Wprowadzenie

Niniejszy dokument jest poświęcony aspektom bezpieczeństwa danych powierzanych chmurze obliczeniowej Oktawave. Celem dokumentu jest wyjaśnienie stosowanych zabezpieczeń, a także opis mechanizmów, procedur oraz algorytmów zabezpieczających dane.

Dokument został podzielony na dwie części. Pierwsza z nich dotyczy zabezpieczenia danych w zakresie fizycznym, a część druga poświęcona jest warstwie logicznej (z wyłączeniem zarządzania bezpieczeństwem danych za pomocą aplikacji służącej do przetwarzania danych, dostarczonej przez klienta i zainstalowanej w infrastrukturze Oktawave).

Informacje podstawowe

Zgodnie z definicją Oktawave dostarcza usługi chmury obliczeniowej typu IaaS (Infrastructure as a Service). Istotą tego rodzaju usług jest dostarczanie zasobów infrastrukturalnych w sposób zwirtualizowany, pozwalający na dynamiczne i w modelu "na żądanie" przydzielanie konkretnych zasobów obliczeniowych dla klienta. W przypadku chmury obliczeniowej IaaS poszczególne jej usługi stanowią niejako elementy składowe analogicznego serwera dedykowanego, znosząc jednocześnie wszystkie jego ograniczenia:

• fizyczność i wynikającą z niej podatność na awarię,
• brak możliwości szybkiego przeskalowania parametrów.

Rozróżniamy zasadniczo trzy główne usługi stanowiące trzon chmury obliczeniowej IaaS, które w sposobie dostarczenia ich dla użytkowników są analogiczne dla serwerów dedykowanych. W przypadku Oktawave są to:

1. pamięć operacyjna oraz procesory (Xeon lub AMD), zwane łącznie dalej OCI (Oktawave Cloud Instance),
2. przestrzeń dyskowa, zwana dalej OVS (Oktawave Volume Storage),
3. interfejsy sieciowe (prywatne oraz publiczne) zwane dalej OPN (Oktawave Private Network).

Taki podział zasobów oznacza, że aby w chmurze Oktawave uruchomić serwer - będący z perspektywy urządzeń oraz systemu operacyjnego rozwiązaniem analogicznym dla serwera dedykowanego - konieczne jest wykorzystanie co najmniej dwóch z wyżej wymienionych elementów, tj. OCI oraz OVS, czyli odpowiednio przypisany zasób przestrzeni dyskowej.

Tak przygotowana usługa jest w pełni zgodna z niemal każdym obecnie istniejącym systemem operacyjnym i - podobnie jak serwer dedykowany - dziedziczy z tego tytułu ten sam zestaw reguł dotyczących bezpieczeństwa. W związku z tym można wykorzystać i wdrożyć niemalże takie same architektoniczne i proceduralne zasady bezpieczeństwa jak w klasycznym rozwiązaniu hostingowym.

Oznacza to, że w wypadku migracji usług do chmury obliczeniowej IaaS (lub w wypadku uruchamiania nowego środowiska) w kontekście bezpieczeństwa danych należy stosować dokładnie takie same założenia projektowe jak przy projektowaniu klasycznego (tradycyjnego, on premise) rozwiązania.

Ze względu na podobieństwo pomiędzy chmurą IaaS a środowiskiem dedykowanym, także w przypadku chmury IaaS należy mieć na uwadze zasadniczy podział bezpieczeństwa danych na dwa główne obszary, tj.

1. zabezpieczenie przed utratą danych,
2. zabezpieczenie przed utratą kontroli nad danymi.

W niniejszym dokumencie oba obszary będą poruszane naprzemiennie bez uwzględnienia jednolitego podziału. Jest to spowodowane koniecznością oszacowania ryzyka wynikającego z obu obszarów w kontekście różnych rodzajów zabezpieczeń opisanych w dalszej części.

Forma prawna i prawa własności infrastruktury

Oktawave jest spółką z ograniczoną odpowiedzialnością, zarejestrowaną w Sądzie Rejonowym dla m. st. Warszawy XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000426334, pod adresem: ul. Domaniewska 44a (Platinium 5), 02-672 Warszawa.

Wszystkie udziały w Oktawave należą do spółki K2 Internet S.A., będącej spółką notowaną na GPW, zarejestrowaną w Sądzie Rejonowym dla m. st. Warszawy XII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem 0000059690 z kapitałem zakładowym 2 485 032,00 zł (opłaconym w całości).

Właścicielem całej infrastruktury wykorzystywane przez chmurę obliczeniową jest Oktawave. W zakres infrastruktury wchodzą wszystkie niezbędne elementy składowe, w tym:

• serwery,
• systemy pamięci masowych,
• przełączniki sieciowe, szkieletowe oraz sieci danych,
• routery,
• okablowanie.

Żaden element infrastruktury nie jest wynajmowany od innego podmiotu. Pełną kontrolę nad wszystkimi elementami składowymi pełni bezpośrednio i wyłącznie Oktawave.

Zabezpieczenie danych w zakresie fizycznym

Fizyczny zakres ochrony i bezpieczeństwa danych należy precyzyjnie podzielić na 4 obszary.

Obszar 1: Lokalizacja danych i zabezpieczenie ośrodka (fizyczne i proceduralne)

Wszystkie urządzenia składowe chmury obliczeniowej Oktawave obecnie pracują w centrum danych Thinx, zlokalizowanym przy ulicy Konstruktorskiej 5. Właścicielem centrum danych jest ATM S.A. (ul. Grochowska 21a, 04-186 Warszawa). Oktawave wynajmuje od ATM S.A. powierzchnię, na której zainstalowane są urządzenia własne Oktawave w ramach standardowych szaf rack 19’’. ATM S.A. dostarcza natomiast usługi:

• wynajmu powierzchni centrum danych,
• zabezpieczenia powierzchni centrum danych w aspekcie fizycznym oraz proceduralnym/dostępowym,
• zasilania energią elektryczną,
• chłodzenia,
• okablowania pomiędzy szafami Oktawave a MMR (tzw. meet-me-room),
• transmisji danych do węzła ACX (wymiana danych pomiędzy operatorami krajowymi), transmisji danych do Orange (dawniej TP), transmisji danych tranzytowych (tranzyt zagraniczny).

Pełna specyfikacja centrum danych Thinx jest dostępna pod adresem: http://www.thinx.pl/centrum_danych/specyfikacje_techniczne.

Centrum danych jest certyfikowane w/g następujących standardów:

• Certyfikat Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001:2013 wydany przez British Standards Institution z numerem certyfikatu IS 524327,
• Certyfikat Systemu Zarządzania Jakością ISO 9001:2008 wydany przez British Standards Institution z numerem certyfikatu FS 602564.

Wykorzystane systemy ochrony:

• system telewizji przemysłowej (wewnątrz i na zewnątrz),
• system strefowej kontroli dostępu oparty na kartach zbliżeniowych,
• wizyty gości w eskorcie służb obiektu,
• system sygnalizacji włamania i napadu z automatycznym powiadamianiem zewnętrznej grupy interwencyjnej,
• lista osób uprawnionych do dostępu wejścia na teren obiektu,
• pracownicy ochrony monitorujący obiekt,
• monitoring,
• Centrum Operacyjne Sieci,
• obsługa techniczna,
• elektroniczna karta identyfikacyjna,
• wszystkie systemy alarmowe monitorowane 24/7/365.

Obszar 2: Sposób przechowywania danych, w tym zabezpieczenia na poziomie nośników danych

Wszystkie dane blokowe przechowywane w infrastrukturze Oktawave (usługa OVS, analogiczna dla dysków twardych), zapisywane są za pomocą całkowicie autorskiej technologii tworzącej tzw. sieć danych w oparciu o węzły danych. Architektura wprowadza koncepcję fizycznej wielopoziomowości danych:

1. warstwa blokowa dla Tier-1,
2. warstwa blokowa dla Tier-2 do Tier-5,
3. warstwa obiektowa dla OCS,
4. warstwa kopii Tier-1/Tier-2 do Tier-5 z innego węzła.

W Oktawave nie została zastosowana żadna klasyczna macierz dyskowa, co oznacza, że nie ma żadnego pojedynczego punktu przechowywania danych, podobnie jak nie ma jednego punktu przechowywania kopii zapasowych. Sieć przechowująca dane charakteryzuje się cechą samodzielnej analizy stanu, weryfikacji integralności danych oraz umiejętnością zastąpienia dowolnego węzła wykazującego jakąś dysfunkcję. W rzeczywistości na sieć danych Oktawave można spojrzeć analogicznie jak na macierz, ale o niezwykle dużej pojemności i skalowalności (eliminacja ryzyka utraty danych).

Obszar 3: Sposób przydzielania dostępu do danych

W aspekcie dostępu do danych należy rozróżnić dwa sposoby dostępu:

1. za pomocą fizycznej obecności w centrum danych, po uprzednim zrealizowaniu wymogów proceduralnych (listy dostępowe, identyfikacja),
2. za pomocą infrastruktury Oktawave poprzez skorzystanie z usługi OVS.

W wypadku pierwszego sposobu nie jest możliwy bezpośredni dostęp do danych, a wyłącznie do nośników danych. Obecność w centrum danych nie jest bowiem tożsama ze znajomością fizycznej lokalizacji danych na konkretnych nośnikach (eliminacja ryzyka utraty kontroli nad danymi). Informacje o lokalizacji danych przechowywane są natomiast wyłącznie na poziomie platformy zarządzającej infrastrukturą Oktawave. Co prawda, należy rozważyć ryzyko wyniesienia nośników z centrum danych, niemniej jedną z zasadniczych cech sieci danych Oktawave jest jednoczesne i równoległe wykorzystanie wielu nośników danych w ściśle unikatowy sposób.

W konsekwencji - nawet w sytuacji wyniesienia części nośników poza centrum danych - informacje na nich zawarte będą bezużyteczne bez dostępu do pozostałej części nośników oraz wiedzy o sposobie zapisu danych na nich przechowywanych. W ten sposób ujawnia się wyraźnie przewaga chmury obliczeniowej nad klasycznym rozwiązaniem hostingowym bazującym na serwerach dedykowanych. W takim tradycyjnym rozwiązaniu wystarczy wynieść z centrum danych konkretny serwer lub jego dyski, by uzyskać dostęp do danych.

Naturalnie, należy wziąć pod uwagę bardzo wysoki poziom zabezpieczenia centrum danych przed nieautoryzowanym dostępem i skrajnie zmarginalizowanym ryzykiem nieautoryzowanego wyniesienia nośników. Jednocześnie spełnione są wszelkie wymagania określone przez ustawę o ochronie danych osobowych, Oktawave jest w stanie w każdym czasie wskazać dokładną lokalizację danych w obszarze jednego centrum danych.

W wypadku drugiego sposobu klientowi korzystającemu z zasobów dyskowych OVS przydzielany jest fizycznie konkretny obszar przestrzeni dyskowej z sieci danych będący odpowiednikiem adresowania dysków twardych w klasycznych serwerach dedykowanych (eliminacja ryzyka utraty kontroli nad danymi). Nie istnieje praktycznie żadne ryzyko umożliwiające jednemu użytkownikowi dostęp do dysków OVS przypisanych innemu użytkownikowi.

Proces odpowiedzialny za mapowanie obszarów przestrzeni dyskowej wykorzystuje mechanizm wbudowany z VMWare ESX/vShpere Server, co zostanie poruszone w części dotyczącej logicznego zabezpieczenia.

Obszar 4: Sposoby zabezpieczania sieci publicznych i prywatnych (w tym izolacja sieci)

W tym wypadku należy rozróżnić dwa obszary sieci, tj.

1. sieć publiczna pracująca w oparciu o PVLAN,
2. sieci prywatne (tzw. OPN) pracujące w oparciu o VLAN.

Sieć publiczna pracująca w oparciu o PVLAN

W środowisku chmury Oktawave dla interfejsów publicznych stosowane jest rozwiązanie bazujące na technologii PVLAN (Private VLAN). To technologia umożliwiająca automatyczne tworzenie (segmentację sieci) w sposób gwarantujący brak bezpośredniej komunikacji zarówno pomiędzy instancjami OCI należącymi do jednego klienta, jak i separację pomiędzy instancjami należącymi do różnych klientów.

Każdy publiczny interfejs serwera w chmurze (OCI) pracuje w tzw. trybie wyizolowanym (‘isolated’). Tryb ten umożliwia na poziomie warstwy drugiej sieci Ethernet transmisję wyłącznie pomiędzy serwerem (OCI) a bramką dostępową do sieci (gateway). Także wymiana danych pomiędzy różnymi serwerami (OCI) w ramach jednej sieci jest realizowana za pomocą bramki dostępowej (Proxy ARP). Brama wyposażona jest w wiele filtrów uniemożliwiających przeprowadzenie szerokiej gamy ataków, m.in. dhcp snooping, sniffing czy arp spoofing (eliminacja ryzyka utraty kontroli nad danymi).

Sieci prywatne (tzw. OPN) pracujące w oparciu o VLAN

W przypadku stosowania sieci prywatnych OPN w infrastrukturze Oktawave tworzony jest w pełni funkcjonalny VLAN pomiędzy wszystkimi elementami infrastruktury wykorzystywanymi przez klienta. Aby konkretna instancja serwera (OCI) uzyskała dostęp do sieci OPN, wymagane jest utworzenie odpowiedniego interfejsu, zmapowanie go do wybranej sieci OPN oraz ustawienie odpowiedniej adresacji IP. Każdy klient może mieć wiele sieci OPN. Dostęp do utworzonej sieci OPN jest ograniczony na poziomie fizycznym za pomocą przełączników sieciowych wyłącznie dla konkretnego klienta.

Ze względu na swoją pełną izolację sieci OPN są także całkowicie odcięte od sieci publicznych i służą głównie do segmentacji sieci w architekturze aplikacji klienta, umożliwiając oddzielenie poszczególnych segmentów sieci pomiędzy sobą (np. rozdzielenie segmentów sieci aplikacyjnych od baz danych czy od serwerów WWW).

Komunikacja pomiędzy różnymi sieciami OPN klienta (lub siecią publiczną) możliwa jest wyłącznie za pomocą serwera (OCI) wyposażonego w oprogramowania filtrujące ruch – tzw. firewall. Rolą klienta jest uruchomienie oraz odpowiednie skonfigurowanie reguł firewalla (eliminacja ryzyka utraty kontroli nad danymi).

Jest to rozwiązanie znane z klasycznej architektury dedykowanej, gdzie wybrane serwery pełnią funkcję firewalli, kontrolując ruch pomiędzy utworzonymi VLAN-ami.

Z perspektywy bezpieczeństwa danych zabezpieczenie sieci publicznej za pomocą PVLAN skutecznie chroni dane przed próbami przejęcia (utrata kontroli, podmiana) na poziomie pakietów danych w trakcie transmisji. Z kolei wykorzystanie usługi OPN pozwala zabezpieczyć wewnętrzne dane (nietransmitowane kanałem publicznym) przed zagrożeniami nieuprawnionych prób podsłuchu transmisji oraz umożliwia filtrowanie oraz nadawanie praw dostępu do poszczególnych segmentów.

Zabezpieczenie danych w zakresie logicznym

Podobnie jak w przypadku ochrony fizycznej zakres zabezpieczeń należy podzielić na cztery obszary.

Zarządzanie dostępem do danych poprzez stosowanego zarządcę procesów (ang. hypervisor)

Oktawave wykorzystuje wyłącznie szeroko znane na rynku rozwiązanie VMware ESX (VMware vShpere 5.0) jako zarządcę procesów obsługujących poszczególne OCI uruchamiane przez klientów. VMWare vShpere jest oprogramowaniem posiadającym certyfikację EAL4+, uznawany z wiodący standard bezpieczeństwa szczególnie istotny w przypadku klientów instytucjonalnych oraz rządowych. Więcej informacji o certyfikacie: http://en.wikipedia.org/wiki/EAL4. Więcej informacji o certyfikatach VMware można znaleźć pod poniższym adresem:

• https://www.vmware.com/security/certifications/common-criteria.html.

Ponadto, Oktawave wykorzystuje wiele własnych mechanizmów ochronnych, również zapewniających izolację danych blokowych klientów. Jednym z nich jest oparcie mechanizmów autoryzacyjnych do platformy zarządzania usługami (http://admin.oktawave.com) o protokół Kerberos. Dzięki temu wszystkie operacje realizowane za pomocą platformy, na każdym etapie, wykonywane są w kontekście zalogowanego użytkownika (dzierżawienie uprawnień). Inny polega na logicznej separacji danych na poziomie dysków OVS za pomocą protokołu SCSI w warstwie dostarczania danych do hypervisora. Każdy wolumen dyskowy OVS jest również podłączony do konkretnego OCI wybranego przez klienta za pomocą dedykowanego LUN-a (unikatowy identyfikator dysku).

Sposób przydzielania i odwoływania dostępu do danych

Sposób zarządzania dostępem do danych jest zdeterminowany poprzez mechanizmy przydzielania przestrzeni dyskowej OVS. Oktawave umożliwia klientowi przypisanie do serwera OCI koniecznej liczby wolumenów OVS - niemniej, to aplikacja zainstalowana na serwerze OCI przez klienta musi posiadać funkcje określające reguły dostępu do danych. Jest to analogiczny scenariusz jak w wypadku serwerów fizycznych, gdzie aplikacja decyduje, kto ma prawo dostępu do danych zgromadzonych na lokalnych dyskach serwera. W wypadku OCI aplikacja w identyczny sposób będzie zarządzała prawami dostępu do danych zgromadzonych na dyskach OVS.

W tym świetle odpowiedzialność Oktawave w zakresie przydzielania i odwoływania dostępu do danych sprowadza się do umożliwienia przydzielenia odpowiedniego dysku OVS do konkretnego serwera OCI wraz z gwarancją wyłączności dostępu do danych zgromadzonych na tym dysku wyłącznie przez OCI, do której dysk jest podłączony.

W wypadku danych wrażliwych możliwe jest stosowanie szyfrowania dysków OVS poprzez oprogramowania szyfrujące zainstalowane na OCI. Szyfrowanie danych odbywa się wtedy w kontekście systemu operacyjnego OCI, a dostawca Oktawave nie ma realnego sposobu na pozyskanie i odszyfrowanie danych (nie dysponuje kluczami szyfrującymi).

Jednocześnie należy podkreślić następujące cechy:

• każde utworzone OCI jest inicjalnie wyposażone w konto serwisowe tech-support pozwalające na ewentualną pomoc klientowi w zakresie konfiguracji systemu operacyjnego OCI (jest to konto w systemie operacyjnym OCI). Hasło do konta tech-support jest przechowywane w sposób bezpiecznych w systemie zarządzającym platformą Oktawave, a dostęp do niego mają wyłącznie administratorzy systemu. Klient w każdym momencie może powziąć decyzję o usunięciu konta tech-support z każdej uruchomionej przez siebie OCI (np. przed wgraniem własnych danych). Wówczas suport techniczny Oktawave zostanie pozbawiony możliwości dostępu do zgromadzonych danych (i jednocześnie możliwości wsparcia klienta w trakcie konfiguracji czy codziennej administracji),
• administratorzy Oktawave mają techniczną możliwość sklonowania kopii danych klienta (jest to funkcja dostarczana przez VMware vSphere), jednak ta możliwość jest ograniczonego do ścisłego zespołu administratorów najwyższego poziomu. W tą funkcjonalność wbudowany jest mechanizm bardzo precyzyjnego logowania informacji o procesie klonowania, w tym co najmniej o osobie wykonującej klon oraz czasie operacji. Ta funkcjonalność jest niezbędna, aby Oktawave mogło zachować zdolność przekazania danych odpowiednim służbom na wniosek odpowiednich organów państwowych bez ryzyka destabilizacji całej infrastruktury. Jest to mechanizm, który w analogicznym świecie serwerów dedykowanych odpowiada na możliwość zajęcia w formie dowodu elektronicznego serwera zlokalizowanego w centrum danych. Należy pamiętać, iż w przypadku stosowania szyfrowanych wolumenów OVS, zawartość pozostaje nadal zaszyfrowania zatem niemożliwa do oczytania nawet w procesie klonowana.

Sposób usuwania skasowanych danych

W przypadku infrastruktury Oktawave usuwanie danych sprowadza się do usuwania wolumenu dyskowego OVS. Należy tutaj rozróżnić podział na:

• usuwanie danych przez aplikację dostarczoną/działającą na OCI, do których podłączone są dyski OVS,
• usunięcie dysków OVS w infrastrukturze Oktawave.

W wypadku usuwania danych przez aplikację dostarczoną/działającą na OCI to aplikacja powinna posiadać mechanizmy bezpiecznego usunięcia danych (tj. wykonania np. kilkukrotnego nadpisania danych losowymi ciągami bajtów). Oktawave nie ingeruje w żadnym momencie w proces zapisu/usuwania danych na dyskach OVS.

W przypadku usunięcia dysków OVS w infrastrukturze Oktawave następuje usunięcie map wskazujących adresację bloków danych należących do usuwanego dysku OVS. W tym momencie nie następuję zerowanie (nadpisanie zerami) nośników danych. Jednakże w każdym przypadku tworzenia nowego dysku OVS, obszar danych który został do niego przydzielony jest uprzednio zerowany (nadpisany bajtami 0). W konsekwencji każdy nowo utworzony dysk OVS (nawet jeśli zawiera w sobie bloki danych uprzednio wykorzystywanych przez usunięty OVS) jest pozbawiony jakichkolwiek danych.

Izolacja danych pomiędzy subregionami

Aby zapewnić możliwość budowy środowisk HA (ang. High Availability) w infrastrukturze Oktawave, została wprowadzona koncepcja subregionów. Subregiony są fizycznie niezależnymi segmentami sieci Oktawave (klastry), które nie współdzielą pomiędzy sobą żadnych urządzeń fizycznych. Poszczególne subregiony są umieszczone w jednym centrum danych.

W rezultacie instancje OCI oraz dyski OVS uruchamiane w różnych subregionach posiadają zdolność pracy nawet w przypadku całkowitej awarii jednego z nich. Taka konstrukcja pozwala klientowi umieścić system/aplikację w jednym subregionie wraz z redundantną kopią w drugim subregionie. Następnie - wykorzystując funkcjonalność load balancingu (kolejna usługa Oktawave) - użytkownik może rozproszyć ruch do aplikacji pomiędzy dwa (lub więcej) subregiony.

Ta funkcja nie ma bezpośrednio wpływu na ryzyko utraty danych czy kontroli nad danymi, istotnie jednak może podnieść poziom dostępności danych.

Niezależnie od koncepcji subregionów, Oktawave udostępnia również dostarczone w oprogramowaniu hyperwizora VMware mechanizmy zapewnienia HA.

Regularne skanowanie bezpieczeństwa

Ze względu na przetwarzanie różnego rodzaju danych powierzonych infrastrukturze Oktawave, w tym także danych transakcyjnych, platforma Oktawave regularnie raz na kwartał poddawana jest skanom bezpieczeństwa wymaganym przez certyfikat PCIDSS. Aktualny wynik ostatniego skanu infrastruktury znajduje się pod tym linkiem: https://pci.usd.de/compliance/3514-FCBB-F7A9-8321-8A8D-CAB9/details_en.html.

Podsumowanie

Oprócz opisanych powyżej mechanizmów zabezpieczeń danych Oktawave na mocy odpowiednich umów posiada możliwość określenia stosownych (innych niż podstawowe) uregulowań dotyczących:

• SLA wraz z definicjami czasu reakcji i usunięcia awarii oraz odpowiedzialności za niezaplanowane przerwy w dostępności,
• sposobu i zakresu przetwarzania danych,
• określenia poziomu wsparcia administracyjnego,
• mechanizmów monitorowania oraz powiadamiania klienta o potencjalnych problemach,
• polityki wykonywania kopii danych.