Provocari In Cloud Computing

CAPITOLUL 2

Provocari in Cloud Computing

2.1 Cloud computing

Fără îndoială că apariția și dezvoltarea “cloud computing-ului” reprezintă una dintre cele mai importante revoluții tehnologice care a apărut în ultimii ani. În același timp, această realitate reprezintă evoluția naturală a unui set de tehnologii destinate realizării unei informatici utilitare. Cert este că, pentru un număr mare de părți interesate, cloud computing ocupă un loc primordial în dezvoltarea strategiilor lor tehnologice.

Așa cum se arată în [21], în esență cloud computing constă dintr-un set de tehnologii și modele de servicii, care se axează pe utilizarea și furnizarea de aplicații informatice, capacitate de prelucrare, stocare și spațiu pentru memorie, toate bazate pe folosirea Internetului. Drept consecință, cloud computing poate genera importante beneficii economice, întrucât pot fi configurate resurse la cerere, sau extinse și accesate prin internet cu ușurință. Cloud computing poate aduce beneficii și în ceea ce privește securitatea la nivel de firmă, în special pentru cazul celor mici și mijlocii, care pot achiziționa, la un cost redus, tehnologii de nivel înalt, ce în mod normal nu s-ar încadra în limitele lor bugetare.

De asemenea, există o varietate de servicii oferite de furnizorii de cloud computing, de la sisteme virtuale de prelucrare a datelor (care înlocuiesc și/sau funcționează în paralel cu serverele convenționale, sub controlul direct al operatorului), la servicii de asistență pentru dezvoltarea de aplicații și găzduire web avansată, până la soluții informatice on-line care pot înlocui aplicațiile instalate în mod convențional pe computerele personale ale utilizatorilor finali.

Se poate afirma că [22], la ora actuală, cloud computing este un concept modern, un model de servicii de acces prin Internet la sisteme distribuite de resurse de calcul configurabile la cerere, cum ar fi servere, stocare de date, aplicații și servicii, care pot fi puse rapid la dispoziție cu eforturi minime de management și intervenție din partea clientului și a furnizorului. Accesul se poate face de oriunde, convenabil, fără ca utilizatorul să aibă nevoie să știe configurația sistemelor care furnizează aceste servicii. Mai simplu spus, aplicațiile și datele rulează și sunt stocate în altă parte decât pe serverele și stațiile utilizatorului, acesta accesându-le de la distanță (pe Internet, sau pe alte căi cu sau fără fir).

Așadar, se poate spune: Cloud computing [23] reprezintă un nou concept arhitectural de gestionare de la distanță a resurselor de procesare și stocare de date, iar tehnologia s-a dezvoltat atât de mult încât, acum, este suficient să-ți creezi un cont pe Amazon sau Yahoo pentru a putea dezvolta și lansa aplicații în Cloud. Acestea sunt doar două dintre sistemele care sunt dezvoltate în cloud, însă, serviciile care se pot realiza au o varietate largă și pot include aproape orice domeniu de activitate (exemplu: baze de date relaționale, aplicații e-Commerce, aplicații CRM, aplicații ERP etc). Cloud-ul, ca și concept, își propune eficientizarea utilizării de resurse fizice existente pentru o putere de procesare maximă și o eficacitate sporită semnificativ față de metodele tradiționale de procesare [24]. Acestea se traduc în virtualizarea în întregime a stațiilor de lucru și a serverelor dedicate serviciilor – fie că sunt de procesare sau stocare de date, alocarea dinamică a resurselor fizice pentru aceste mașini virtuale în funcție de necesarul fiecăreia la un moment dat, existența unei conexiuni fiabile la Internet care să permită accesarea și procesarea datelor de la distanță.

2.2 Cloud computing și realitatea fizică

După cum s-a precizat și în introducere, termenul “cloud” este deseori folosit ca o metaforă pentru internet și a devenit un clișeu familiar, însă atunci când el este combinat cu termenul “computing”, sensul său devine nu doar mai cuprinzător, ci și – uneori – mult mai confuz. Analiștii cercetărilor de marketing și furnizorii de tehnologie tind să definească cloud computing foarte restrictiv, ca fiind o versiune de actualitate a termenului “utility computing”, care – în esență – folosește servere virtuale disponibile pentru terțe părți prin Internet. Alții merg și mai departe, afirmând că tot ceea ce „consumi” în afara perimetrului firewall-ului se află „în cloud“. O versiune de mijloc asupra termenului de “cloud computing” este cea care îl definește ca orice utilizare de resurse dintr-o locație diferită față de cea a utilizatorului.

Poate că prima conexiune cu termenul analizat trebuie făcută de la precizarea din anul 1961, a lui John McCarthy, professor la MIT, care a prezentat ideea de “computing” ca o utilitate similară celei de electricitate [6].

În această secțiune vom aduna mare parte din definițiile disponibile ale termenului “Cloud” pentru a obține o definiție integratoare, cât și un numitor comun. Foarte interesantă este abordarea din [12], pentru că adună definiții propuse de mulți experți. Deși lipsește o analiză globală a acelor propuneri pentru a găsi o definiție mai comprehensivă, aceasta oferă o idee clară a diferitelor concepte pe care expertii IT le-au exprimat în legătură cu termenul « Cloud ».

Markus Klems [12] pretinde că o scalabilitate imediată și optimizarea folosirii resurselor sunt elemente cheie pentru “cloud”. Acestea sunt livrate prin monitorizare crescută, și automatizarea resurselor de management [12, 15], într-un mediu dinamic [12, 13]. Alți autori nu sunt de acord că acest fapt este o cerință pentru ca o infrastructură să fie considerată “cloud” [14].

Există autori care se concentrează pe modelul de business (colaborarea și plata resurselor strict utilizate – « pay-as-you-go ») și pe reducerea consumului de capital (Jeff Kaplan și Reuven Cohen [12], în timp ce alți autori [15, 16, 17]) pe realizarea « utility computing » (Jeff Kaplan și Reuven Cohen în [12] sau părerile din [16, 15, 18, 13]). Până în prezent, a fost deseori confundat cu norul însuși, dar se pare că acum s-a ajuns la un consens că este doar un element din “cloud” referitor la modelul de business. Un alt principiu major pentru « Cloud » este interfața utilizator accesibilă [12, 17]. Buyya et al. [13] a adăugat că pentru a da o direcție comercială, e necesar să fie consolidat rolul SLA (Acorduri ale Nivelului Serviciului – baze contractuale predefinite) între Service Providers (furnizorii de servicii) și consumatori. Sunt de părere că SLA ar trebui stabilite și între furnizorii de servicii (SP) și furnizorii de infrastructură (IP) pentru a oferi anumite garanții de Calitate a Serviciului (QoS- Quality of Service).

La nivelul anului 2008, McFedries [18] a descris centrul de date (perceput ca o colecție uriașă de servere) ca unitatea de bază a « cloud-ului », oferind cantități foarte mari de putere de calcul și stocare prin folosirea resurselor disponibile. Acest fapt e în legătură cu conceptul de scalabilitate masivă de date propus de Hand [19].

Rolul virtualizării în « Clouds » este, de asemenea, accentuat prin identificarea acestuia ca o componentă cheie [6]. Mai mult, termenul « Clouds » a fost definit ca hardware și software virtualizat plus tehnologiile de monitorizare și alimentare (a se vedea [12]).

În continuare, alți experți (definițiile date de Reuven Cohen, Praising Gaw, Damon Edwards, Ben Kepes [12], și studiul lui Bragg [16]) nu pun accentul pe funcționalitățile “cloud”, preferând să creadă că termenul “cloud computing” este un “termen la modă” ce cuprinde o varietate extinsă de aspecte, precum implementarea, balansarea încărcării și externalizarea-procesarea datelor.

Luând aceste caracteristici în considerare, putem oferi o definiție cuprinzătoare a termenului Cloud. Evident, conceptul este în schimbare și aceste definiții arată cum este gândit astăzi termenul [20]: “Cloud” permite accesul pe bază de rețea, la o grupare de resurse de calcul virtualizate configurabile în mod dinamic (precum resurse hardware, platforme de dezvoltare și/sau servicii). Aceste resurse pot fi reconfigurate în mod dinamic la o scală diferită, permițând utilizarea lor optimă. Această grupare de resurse este accesată folosind un model pay-per-use (plată în funcție de utilizare) în care garanția este oferită de Furnizorul de Infrastructură folosind SLA (Service-Level Agreements). Pe de altă parte, căutând numitorul comun, nu ne va conduce la o definiție, întrucât nici o caracteristică nu este propusă de toate definițiile. Setul de funcționalități care seamană cel mai mult cu această definiție ar fi scalabilitatea, modelul de plată în funcție de utilizare și virtualizarea.

În octombrie 2009 Peter Mell și Tim Grance de la National Institute of Standards and Technology (NIST), laboratorul de Tehnologia Informației, au definit cloud computing după cum urmează [25]:

Cloud computing este un model pentru permisiunea convenabilă, accesul la rețea la comandă la un fond comun de resurse înlănțuite de calcul configurabile și fiabile (de exemplu rețele, servere, memorii, aplicații, servicii), care pot fi puse rapid la dispoziția utilizatorului cu un efort minim de management din partea acestuia și a furnizorului de servicii.

Poate că una din cele mai intuitive definiții este cea dată de Buyya [26], [27]:

Un “Cloud” este un tip de sistem paralel și distribuit compus dintr-o colecție de calculatoare virtual interconectate care sunt dinamic dimensionate și prezentate ca una sau mai multe resurse unificate bazate pe un nivel de serviciu agreat stabilit în timpul negocierii dintre furnizorul de servicii și consumator.

De altfel, această definiție a influențat poziția oficială a NIST (IEEE) prezentată mai sus și considerată – la momentul actual – o poziție “avizată”.

Nu putem încheia această prezentare fără a arăta că unii autori spun despre “cloud computing” că nu este altceva decât o estetizare a celorlalte trei paradigme de calcul, alții descriu o serie de factori care diferențiază aceste paradigme, într-un mod foarte subtil, și anume [28]:

♦ grid computing este o formă de calcul distribuit în care un supercalculator virtual este compus dintr-un grup de calculatoare slab cuplate într-o rețea, ce sunt capabile de a rezolva sarcini foarte complexe;

♦ utility computing reprezintă gruparea unor resurse de calcul, cum ar fi resurse de procesare și resurse de stocare, sub forma unui serviciu taxat asemănător cu furnizarea energiei electrice, sau a altor resurse.

♦ autonomic computing reprezintă realizarea de sisteme de calcul capabile de autoîntreținere.

Paragraful următor încearcă să facă această diferențiere referitoare la primul aspect (din cele trei) semnalat ceva mai sus.

2.3 Comparație cloud –grid computing

O sursă a confuziei în jurul conceptului « cloud » este în relație cu « grid computing » [34, 112]. Distincțiile nu sunt clare deoarece ambii termeni “clouds” și “grids” împart viziuni similare: reduc costurile de calcul, cresc flexibilitatea și siguranța folosind unității hardware operaționale ale terțelor părți. Vom folosi definiții bine stabilite ale termenului « grid » și le vom compara cu definițiile globale și esențiale ale termenului « cloud ».

Deși principiile de bază ale termenului Grid nu s-au schimbat mult în ultima decadă, sunt încă diferite concepții privind semnificația termenului grid. În 2002, Ian Foster [30] a propus o definiție a termenului ca “sistem ce coordonează resurse care nu au legătură cu un control centralizat, folosind standarde, protocoale și interfețe deschise, cu scop general de a furniza calități nontriviale ale serviciului”. Informații mai recente subliniază abilitatea de a combina resurse de la diferite organizații pentru un scop comun [31]). În [32, 33] preocuparea nu o reprezintă coordonarea resurselor din diferite domenii, cât modul cum aceste resurse pot fi administrate și prezentate. De fapt aceasta este divergența de concepții privind conceptul « grid » pe care această lucrare dorește s-o evite în definirea conceptului « clouds ».

Principalele deosebiri și asemănări pot fi sumarizate după cum urmează:

● Partajare resurse: Grid intensifică partajarea coordonată a resurselor în cadrul organizației, în timp ce Cloud furnizează resursele la cerere, dând impresia unei singure resurse dedicate. Astfel, nu există o partajare a resurselor datorită izolării asigurate prin virtualizare.

● Eterogenitate: Ambele modele suportă agregarea de resurse computaționale (componente hardware și arhitecturi software) dispersate geografic.

● Virtualizare: Serviciile Grid sunt furnizate cu interfețe care ascund eterogenitatea resurselor inferioare. Prin urmare, un Grid furnizează posibilitatea de a virtualiza totalitatea părtilor într-o singură zonă largă de resurse. Virtualizarea acoperă atât informațiile (baze de date, fișiere largi etc), cât și resursele de calcul. Cloud Computing adaugă și virtualizarea resurselor hardware.

● Securitate: Virtualizarea face referire la securitate, din moment ce permite izolarea mediilor. În timp ce în mediul cloud fiecare utilizator are acces unic la mediul său virtualizat, mediul Grid deseori nu tratează securitatea utilizatorului. Astfel, unii autori argumentează că securitatea nu a fost serios explorată [29]. Cu toate acestea, mediile Grid oferă servicii de securitate și mecanisme de delegare a autorității pentru a accesa toate resursele disponibile într-o Organizație Virtuală [34].

● Servicii de înalt nivel: Mediile Grid oferă un set de servicii precum căutare metadate, transfer de date [33, 34]. Spre deosebire de mediile Grid, Cloud încă suferă o anumită lipsă de servicii de înalt nivel, fapt ce este probabil legat de nivelul jos de maturitate al conceptului. Mediile Cloud permit ca aceste subiecte să fie tratate la nivel de aplicație [35], deși mediile “cloud” complete vor necesita câteva mecanisme pentru tratarea acestor subiecte [57].

● Arhitectură, Dependență și Sensibilitate de Platformă: Virtualizarea este un element cheie al arhitecturii-agnostice a aplicației “cloud”. De exemplu, furnizorii de servicii pot implementa aplicații bazate pe Enterprise Java Beans în același mod în care ar implementa un set de servicii “Grid”. Arhitectura “Cloud” le va trata pe ambele în mod egal. Totuși, prin definiție, “grids” acceptă doar aplicații colaborative de tip grid, astfel că se impun restricții mari dezvoltatorilor.

● Mecanism Software: Din moment ce mediile grid se bazează pe servicii și taskuri, acestea implică nevoia de a localiza și coordona respectivul serviciu, lucru care nu este necesar în arhitecturile la cerere precum acelea din mediile clouds.

● Utilizare: modelele “clouds” sunt ușor de utilizat, ascunzând detaliile de implementare de utilizator [12, 13, 17]. Aces punct de intrare redus este o cerință pe termen lung, încă neimplementată a gridurilor [34]. Comparația dintre modul de gestionare a resurselor complexe de stocare, componentă cu componentă pe de o parte și simplu (de ansamblu) și gestionat din exterior pe de altă parte, vine în sprijinul argumentării atenției acordate termenului “cloud”.

● Modelul de plată : Inițial, eforturile din modelul “Grid” au fost în cea mai mare parte bazate pe fonduri publice, în timp ce modelul “cloud” a fost condus de oferte comerciale. Serviciile grid sunt taxate folosind o rată fixă per serviciu sau pe resursele utilizate, partajate între colecții dinamice de indivizi sau organizații. Pe de altă parte, utilizatorii modelului “cloud” sunt în mod obișnuit taxați pe modelul de plată per utilizare. Modele de plată mai avansate și aplicabilitatea contractelor privitoare la serviciile oferite (SLA) într-un mediu cloud complet de-abia au început a fi explorate [57], ceea ce va înlătura una din bariere pentru a înlocui aplicațiile tradiționale cu modelul “cloud”, și anume pierderea controlului asupra costului [36].

● Calitatea Serviciului: În general, mediile grid nu sunt supuse unui nivel concret QoS, dincolo de startegii best-effort, din cauza principiilor de colaborare și de partajare a resurselor. De fapt, aplicația construită la nivel superior pe platforma Grid este cea care trebuie să asigure orice calitate oricărui serviciu oferit.

În consecință, au fost stabilite mecanisme pentru adoptarea Acordurilor privind Nivelul Serviciilor, dintre furnizorii de infrastructură (IP) în mediul Grid [34]. Dimpotrivă, QoS sunt caracteristici inerente ale multor medii cloud; de exemplu, la nivelul anului 2008, Amazon deja a inclus o încercare de a furniza anumite QoS, prin baze contractuale predefinite – SLA (99.9% durata de funcționare a infrastructurii) [35]. Acest aspect este meritos, ținând cont de faptul că ‘Amazon Web Service Customer Agreement’ eliberează compania Amazon de orice responsabilitate ce reiese din “întreruperi de curent, de nefuncționare a sistemului sau alt gen de întreruperi”.

2.4 Legislația existentă pentru utilizarea modelelor de cloud computing; organizații de reglementare și standardizare

În ultimul timp, au fost depuse eforturi pentru a crea și unifica un mediu legal specific de cloud. De exemplu, actul Safe Harbor dintre SUA și UE oferă un cadru de 7 cerințe pentru companiile din SUA care utilizează date din terțe țări, cu precădere din UE. Acest cadru explică modalitatea de participare a companiilor și certificarea în conformitate a acestora, fiind definit detaliat pe site-urile Departamentului de Comerț și al Comisiei Federale de Comerț din SUA. Pe scurt, acordul permite majorității corporațiilor din SUA să certifice că s-au alăturat unei organizații de autoreglementare, care aderă la cele 7 Principii privind datele personale stabilite de cadrul SUA Safe Harbor, sau că a implementat politici de confidențialitate proprii care sunt conforme cu aceste principii:

Înștiințarea persoanelor vizate despre scopul colectării și utilizării datelor personale;

Consimțământul persoanei vizate de a divulga datele personale unei terțe părți;

Securitatea datelor personale în cazul transferului către o terță parte;

Permisiunea accesului persoanelor vizate la datele personale;

Precauții de securitate, pentru a feri datele colectate de pierderi, abuz sau dezvăluire;

Responsabilitatea de a asigura integritatea datelor colectate;

Deținerea unui mecanism adecvat de aplicare a normelor.

Furnizorii importanți de servicii, precum Amazon Web Services, Yahoo, Google, activează pe piețe globale, în mod tipic în SUA, Japonia și UE, prin extinderea infrastructurii locale și opțiunea selectării de către client a zonelor disponibile. Totuși, încă sunt temeri privind securitatea și confidențialitatea la ambele nivele, individual și guvernamental. O preocupare majoră este îndreptată către Actul USA PATRIOT și Actul de Confidențialitate în Comunicații Electronice. Actul USA PATRIOT, cunoscut sub numele de Patriot Act, este un act al Congresului SUA controversat, pe care Președintele SUA George W. Bush l-a promulgat pe 26 Octombrie 2001. Numele este un acronim pentru „Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism” (Public Law P.L. 107-56).

Actul extinde definiția terorismului, pentru a include terorismul intern, lărgind astfel numărul activităților asupra cărora Legea PATRIOT USA ar putea fi aplicată. A sporit abilitatea organelor de lege de interceptare a comunicațiilor prin telefon, email, de a accesa documente medicale, informații financiare, și a crescut gama de prevederi (proceduri) pentru aplicarea legii și pentru autoritățile de imigrări la reținerea și deportarea imigranților suspecți de acte de terorism. A diminuat restricțiile privind colectarea de informații în SUA. Mai mult, a extins autoritatea Ministerului de Finanțe de a se implica în tranzacțiile financiare implicând persoane și afaceri străine.

Actul de Confidențialitate în Comunicații Electronice este definit în Codul SUA, Titlu 18, Partea I, Capitol 121, §2710. Acces Ilegal la Comunicațiile Înregistrate.

Abuzurile prevăzute în acest act includ acces intenționat neautorizat la o facilitate prin care un serviciu de comunicații electronice este furnizat sau acces depășind o autorizație în mod intenționat la acea facilitate pentru a obține, modifica sau preveni accesul autorizat la o comunicație cu fir sau electronic.

Persoanele găsite vinovate de încălcarea acestor reglementări, pot fi pedepsite în cazul în care abuzul este comis în scopul de a obține avantaje comerciale, distrugeri sau câștig comercial personal, de a sprijini un criminal sau un act cu prejudicii cu încălcarea Constituției și a legilor SUA sau ale oricărui stat, prin amendă sau închisoare sau ambele.

In UE se lucrează la adoptarea – cât mai rapidă a unei Strategii europene pentru securitatea Internetului, în concordanță cu legile internaționale și naționale existente, care va cuprinde și aspectele definitorii din cloud computing. Este de reținut că, la nivel de Comisii UE s-au realizat grupuri de lucru pentru a elabora materiale de referință pentru aspecte semnificative privind cloud computing, unul din ele referindu-se Strategia cadru de încredere în cloud-ul european [38], a cărei prezentare schematică este dată în fig.2.2.

În cadrul strategiei s-au luat o serie de măsuri cum ar fi:

pentru ca utilizatorii de cloud să dispună de interoperabiltate, portabilitate și reversibilitate a datelor s-a impus sistematizarea standardelor tehnice, în sensul adoptării doar a celor agreate de toate țările europene.

Prin utilizarea mai frecventă a standardelor adoptate, coroborat cu certificarea serviciilor în cloud prin care se garantează respectarea standardelor corelat cu certificatele elaborate de autoritățile de certificare ca dovadă a respectării obligațiilor asumate prin standardizare, se va asigura o creștere considerabilă a cloud-ului în aplicații diverse.

Se știe că, la ora actuală, vânzătorii de produse informatice caută să capteze clienții prin ocolirea standardelor sectoriale. Totuși, trebuie ocolită calea prin care furnizorii de cloud încearcă să îndrepte produsele către cele nestandardizate, fără să țină seama de interoperabilitate, reversibilitate și portabilitatea datelor, caracteristici de bază folosite în evitarea captării utilizatorilor.

În același timp, standardele aferente cloud-ului vor stârni interesul și altor entități din afara sferei tehnologiei informației, cum sunt IMM-urile sau utilizatorii din zona publică, care nu sunt avizați sa aprecieze nivelul de aplicare a standardelor, în special cu privire la interoperabilitatea cloud-urilor ca și rapiditatea deplasării datelor de la un provider la altul. Acest ultim aspect atrage după sine o certificare independentă, realizată de o entitate de încredere recunoscută.

La nivel mondial sunt o serie de acțiuni care se referă la standardizare și certificare. Din punct de vedere instituțional, în primul rând se remarcă NIST – National Institute for Standards and Technology – care a elaborat o serie de documente, inclusiv definiții acceptate de toată comunitatea producătorilor și utilizatorilor de IT cloud, dar și ETSI – Institutul European de Standardizare în Telecomunicații, în cadrul căruia există un grup cloud de evaluare a nevoilor de standardizare precum și a celor de interoperabilitate. Totuși, la ora actuală cel mai important este implementarea standardelor elaborate și certificarea conformității acestora, scopul fiind creșterea încrederii utilizatorilor în cloud computing.

Entitățile organizaționale (mari, medii sau mici) care utilizează servicii informatice în cloud doresc o certificare a acestor servicii cu cerințele juridice și de audit, iar interoperabilitatea aplicațiilor și serviciilor folosite se vrea într-un cadru legal, standardizat.

pentru furnizorii importanți de servicii cloud computing se impun scheme – la nivel de Uniune Europeană – de certificare a acestora;

Tradițional, negocierile privind acordurile de externalizare a serviciilor de stocare date, instalații de calcul și alte servicii erau realizate prin contracte între parteneri. Prin folosirea capacităților de cloud, utilizatorul poate avea acces la resurse informatice cu scalabilitate și flexibilitate infinite, concordant cerințelor sale particulare. Totuși, această mare flexibilitate a cloud computing-ului față de externalizarea tradițională este “timorată” de increderea relativ scăzută a clienților, izvorâtă din incertitudini privind aplicarea standardelor și a certificării acestora.

Trebuie – de asemenea – să se recunoască cadrul juridic complex și, uneori, incert care conduc la contracte cu clauze ce exonerează de răspundere. Drept consecință, se impune folosirea unor contracte standard de tipul take-it-or-leave-it (dacă îți convine bine, dacă nu, nu), care insă pot avea condiții inacceptabile pentru utilizatorul final. De asemenea, contractele respective pot impune clauze restrictive de recuperare a datelor, sau nu au prevederi cu referire la integritatea și confidențialitatea datelor, ca și cele privind continuitatea serviciului.

contractele de tip cloud computing trebuie să conțină clauze fără echivoc referitoare la nivelul serviciilor oferite de provideri beneficiarilor;

Una din cele mai sensibile probleme întâlnită în clauzele contractuale se referă la nivelul serviciului pe care un furnizor de cloud îl garantează pentru utilizatorii finali, prin care se poate exprima gradul de încredere în furnizor.

Este demn de reținut că – la nivelul Comisiei UE – s-a propus un regulament privind legislația europeană față de politica de vânzări transfrontaliere, ținând seama de legislația țărilor membre, sub forma unor norme cu referire directă (nemijlocită) la cloud computing.

Trebuie însă precizat că, o serie de aspecte care nu se încadrează în legislația europeană comună pot fi cuprinse în clauze opționale. De exemplu, foarte importante sunt aspectele legate de protecția datelor după încetarea contractului, locul de amplasare și de transfer a datelor, dreptul de proprietate asupra datelor, modificări de servicii, subcontractări etc.

Este important de facut precizarea că, deși utilizatorii de cloud sunt protejați prin actuala legislație UE, adesea ei nu-și cunosc drepturile, mai ales cele care țin de aspectul contractual.

se impune realizarea unui parteneriat european în domeniul cloud computing-ului între industria furnizoare de servicii cloud și statele membre UE, care să conducă la creșterea cu cel puțin 20% a cheltuielilor de profil, pentru a spori șansele furnizorilor de cloud computing în direcția ieftinirii serviciilor de guvernare electronică (atingerea unui nivel competitiv pe plan mondial).

În atingerea acestui obiectiv un rol esențial îl are sectorul public, prin calitatea sa de cel mai mare cumpărător de servicii cloud. În consecință, sectorul public poate impune restricții privind caracteristicile serviciilor referitoare la performanțe, securitate, portabilitate, interoperabiltate etc, ca și cerințe de certificare și conformitate. La ora actuală există inițiative naționale ca: Andromede în Franța, G-Cloud în Regatul Unit și Trusted Cloud în Germania, dar din cauza fragmentării sectorului public impactul este redus, iar raportul calitate-preț nu este bine reflectat asupra cetățeanului. Sunt zone ca e-sănătatea, e-guvernarea, serviciile sociale de asistență la domiciliu, care pot permite interoperabilitatea datelor și ar reduce semnificativ costurile.

De asemenea, piața IMM-urilor de tehnologii avansate ar avea oportunități sporite, iar sectorul privat s-ar bucura de servicii de cea mai bună calitate, într-o piață concurențială corectă, cu interoperabilitate sporită și standardizare imediată.

La nivel european și internațional sunt o serie de organizații de reglementare și standardizare, cele mai cunoscute fiind [22]:

Cloud Security Alliance (CSA) este o organizație non-profit, cu misiunea de a promova utilizarea celor mai bune practici pentru furnizarea și asigurarea securității în Cloud Computing, și de a oferi educație cu privire la utilizarea de cloud computing. Cloud Security Alliance este condusă de o coaliție largă de practicieni din industrie, corporații, asociații și alte părți interesate.

ISACA este o asociație independentă non-profit, la nivel mondial. ISACA se angajează în dezvoltarea, adoptarea și utilizarea la nivel global a cunoștințelor și a practicilor pentru sistemele informatice de vârf.

Național Institute of Standards and Technology (NIST) – fondată în 1901 – este o agenție federală non-reglementare în cadrul Departamentului de Comerț al SUA. Misiunea NIST este de a promova inovația și competitivitatea industrială prin avansarea științei, a standardelor și tehnologiilor în moduri care sporesc securitatea economică și îmbunătățesc calitatea vieții noastre.

Article 29 Working Party – European Comision este un grup de lucru pentru protecția datelor ce a fost instituit în temeiul Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal.

European Cloud Partnership (ECP) reunește industria și sectorul public pentru a stabili o piață unică digitală pentru cloud computing în Europa. Acesta a fost stabilit în cadrul European Cloud Strategy.

2.5 Principalele caracteristici și provocări ale structurilor cloud computing

Sunt câteva caracteristici cheie ale mediului “cloud computing”. Ofertele de serviciu sunt de cele mai multe ori disponibile pentru consumatori specifici și afaceri de dimensiuni mici care văd beneficiul utilizării prin minimizarea cheltuielilor de capital. Acest fapt conduce la scăderea nivelului barierei de intrare pe piață, din moment ce infrastructura folosită pentru aceste oferte de servicii este deținută de un furnizor de servicii “cloud” și nu trebuie să fie cumpărată de către consummator. Pentru că utilizatorii nu sunt legați de un dispozitiv specific (au nevoie doar de abilitatea de a accesa Internetul) și pentru că Internetul este disponibil indiferent de locație, utilizarea “cloud” permite clienților să acceseze resursele din cloud de oriunde și cu orice dispozitiv care permite accesul la Internet.

Multitenanța permite partajarea resurselor și costurilor de către un grup mare de utilizatori. Beneficiile cheie includ:

Centralizarea infrastructurii și costuri reduse;

Capacitate crescută pentru maximele de încărcare;

Îmbunătațiri ale eficienței sistemelor care sunt adesea neutilizate la capacitate maximă;

Alocarea dinamică a CPU, a stocării și lățimii de bandă;

Performanță consistentă care este monitorizată de către furnizorul de servicii.

Fiabilitatea este îmbunătățită în medii cloud computing, pentru că furnuizorii de servicii utilizează site-uri multiple redundante. Acest fapt e atractiv pentru intreprinderi datorita asigurarii continuitatii afacerii si recuperarii acesteia in caz de catastrofe. Cu toate acestea, multe servicii majore Cloud Computing au suferit intreruperi, iar personalul din domeniul IT si managerii de afaceri nu pot face multe in aceste situatii.

Un alt beneficiu care face ca serviciile “cloud” să fie sigure, este că scalabilitatea poate varia dinamic bazându-se pe cereri în schimbare ale utilizatorilor. Pentru că furnizorul de serviciu administrează infrastructura necesară, securitatea este adesea îmbunătățită. Ca rezultat a centralizarii datelor, există un focus crescând asupra protejării resurselor clienților menținute de furnizorul de servicii. Pentru a asigura clienții că datele lor sunt în siguranță, furnizorii de “cloud” sunt prompți în angajarea unui personal de securitate dedicat. Acest fapt este privit ca un beneficiu, dar ridică, de asemenea, temeri privind pierderea controlului clientului asupra datelor sensitive. Accesul la date este de obicei prin logare (autorizat), dar accesarea înregistrărilor activităților efectuate și a evenimentelor de autentificare poate fi dificilă, sau chiar imposibilă pentru client.

Centrele de date și întreaga infrastructură asociată sunt mari consumatoare de energie. Durabilitatea modelului cloud computing este realizată prin folosirea îmbunătățirilor în utilizarea resurselor și implementarea unor sisteme mai eficiente energetic.

În 2007, Google, IBM și un număr de universități au început să lucreze la proiecte de cercetare pe scară largă în cloud computing. Până în vara anului 2008 destul de puține evenimente legate de cloud computing au fost programate. Prima conferință anuală privind cloud computing a fost programată să fie găzduită on-line în perioada 20-24 aprilie 2009. Potrivit site-ului oficial:

Această conferință este primul eveniment pentru cloud computing, acoperind cercetare, dezvoltare și inovații din lumea cloud computing. Programul reflectă cel mai înalt nivel de realizări din comunitatea cloud computing, în timp ce prezentările au avut o gamă excepțională de oratori. Panelurile, seminariile și tutorialele au fost selectate să acopere o gamă cu cele bune subiecte din cloud computing.

Se pare că întreaga lume era – la momentul respectiv – entuziasmată de potențialul modelului “cloud computing”, dar majoritatea leaderilor se întrebau: “care este oportunitatea de piață pentru aceasta tehnologie și care este viitorul potențial pentru o utilizare pe termen lung a acesteia?” Cercetări ulterioare însemnate și informații din ce în ce mai consistente s-au pus în evidență în anii care au urmat, iar utilizările potențiale pentru modelele “cloud computing” s-au dovedit a fi viabile. În cele din urmă, “cloud computing” pare că aduce maselor, funcționalitățile unui supercalculator. Yahoo, Google, Microsoft, IBM și alte companii sunt angajate în crearea unor servicii noi on-line (pe lângă cele deja realizate), pentru a oferi utilizatorilor acces la informații, pentru a veni în sprijinul grijilor vieții cotidiene, precum sănătate, finanțe, asigurări etc.

Cea mai mare provocare întâlnită de companii este securitatea stocării datelor (a se vedea paragraful următor), acces foarte rapid la Internet și standardizare. Stocarea unor cantități uriașe de date personale, identitate și preferințe pentru aplicații specifice, în locații centralizate, ridică multe îngrijorări privind protecția datelor. Aceste preocupări, în schimb, ridică întrebări privind cadrul legal care ar trebui implementat pentru un mediu “cloud”.

Altă provocare pentru modelul cloud computing este că implementarea broadband în SUA rămâne cu mult în urmă față de multe alte țări din Europa și Asia. Cloud computing nu este posibil fără conexiuni Internet de viteză mare (ambele cu și fără fir). Dacă viteza broadband lipsește, serviciile cloud computing nu pot fi făcute accesibile la scară extinsă.

În final, trebuie menționat că standarde tehnice folosite în implementarea diverselor sisteme IT și aplicații necesare să facă mediul “cloud computing” operațional nu au fost încă pe deplin definite, public revizuite și ratificate de către un organ de supraveghere. Chiar și consorțiile care se formează trebuie să depășească acest obstacol la un moment dat și, până la realizarea acestui fapt, progresul noilor produse se va produce probabil într-un ritm extrem de lent.

În afară de provocările discutate în paragrafele anterioare, siguranța mediilor cloud computing a fost (și rămâne) un subiect controversat în cercurile de tehnologie. Datorită disponibilității publice a mediului “cloud computing”, problemele care apar în mediul cloud tind să fie dezvăluite mult mai în detaliu publicului larg.

Spre deosebire de problemele care apar la scară extinsă, gen medii organizaționale, care deseori pot avea caracter nepublic, chiar și situațiile când doar câțiva utilizatori cloud computing întâmpină probleme, devin cunoscute public.

În Octombrie 2008, Google a publicat on-line un prim articol care trata lecțiile învățate din găzduirea a peste 1 milion de clienți în modelul cloud computing. Parametrul luat în considerare de personalul companiei Google a fost durata medie de funcționare per utilizator, bazată pe rata de erori de pe server. Ei consideră că aceste metrici de fiabilitate permit o comparație amănunțită cu alte soluții. Măsurările lor sunt făcute pentru fiecare acces la server, pentru fiecare utilizator, fiecare moment al zilei, și chiar fiecare întârziere în milisecunde este înregistrată grafic. Google a analizat informațiile colectate din timpul anului 2007 și a descoperit că aplicația lor Gmail a fost disponibilă pentru fiecare persoană mai mult de 99.9% din timp.

Cineva ar putea întreba cum un procentaj de 99.9% rezultat din măsurarea fiabilității, ar putea fi comparat cu abordările convenționale folosite pentru business e-mail. Conform cercetării efectuate de către Radicati Group, companiile cu soluții e-mail proprii au avut în medie 30-60 minute de timp de nefuncționare neprogramat și 36-90 minute de timp de nefuncționare planificat pe lună, comparativ cu 10-15 minute de timp de nefuncționare cu Gmail. Pe baza acestor analize, Google declara că pentru întreruperile neplanificate, soluția Gmail este de două ori mai fiabilă decât soluția Novell Group Wise și de patru ori mai fiabilă decât soluția Microsoft Exchange, ambele necesitând o menținere a infrastructurii interne. Se subînțelege că o fiabilitate mai mare va însemna o productivitate crescută a angajatului. Google a descoperit că soluția Gmail este mai mult decât cvadruplă ca fiabilitate decât soluția Novell Group Wise și de 10 ori mai fiabilă decât o soluție bazată pe tehnologia Microsoft Exchange, când în determinarea fiabilității se iau în cosiderare și opririle planificate pentru mentenanță, inerente platforme de mesaje instalate la locația clientului.

Pe baza acestor descoperiri, compania Google a fost încrezătoare să anunțe public în octombrie 2008 că procentul SLA de 99.9% oferit clienților care au utilizat Premier Edition Gmail va fi extins la Google Calendar, Google Docs, Google Sites and Google Talk.

Din moment ce mai mult de 1 milion de firme folosesc Google Aps pentru a-și conduce afacerile, Google a făcut o serie de angajamente pentru a îmbunătăți comunicarea cu clienții în timpul oricărei întreruperi și pentru a face toate problemele transparente și vizibile în cadrul grupurilor deschise de utilizatori. Pentru că Google rulează pe platforma proprie Google Apps, angajamentul pe care l-au făcut se justifică, de aceea se pare că Google conduce industria în evoluția modelului cloud computing de a deveni o parte din ceea ce se cheamă Web 3.0 – generația viitoare de Internet [39].

2.6 Securitatea în cloud computing

Gestiunea informațiilor și securizarea datelor în cloud [41] reprezintă cele mai importante preocupări din acest domeniu, întrucât trecerea către astfel de tipuri de servicii impune dezvoltarea de noi strategii de securitate care să lase neafectate elasticitatea, disponibilitatea și integritatea datelor oferite de noua arhitectură logică.

Pe lângă avantajele evidente și semnificative pe care fenomenul ”Cloud Computing” le aduce în sfera IT-ului, există și o serie de temeri care se nasc odată cu apariția conceptului de externalizare a serviciilor privind stocarea și procesarea informațiilor confidențiale și foarte sensibile pentru o companie, care trebuie să respecte reglementările legale aplicabile domeniului de activitate al companiei deținătoare a datelor. Printre acestea se numără:

Temeri privind aspecte din securitatea tradițională [42] – aici trebuie amintite atacuri asupra rețelelor și a stațiilor de lucru/servere care, după părerea multor oameni de specialitatea, vor fi mult mai ușor de făcut odată cu migrarea în cloud întrucât posesorii datelor nu vor mai avea acces fizic la acestea. Acest argument este combătut de furnizorii de cloud prin aceea că, securitatea datelor este mult mai eficientă dacă ea este contractată ca un serviciu de la un terț decât dacă este lăsată la latitudinea posesorului. Acest domeniu a fost dezbătut pe larg în literatură și s-a ajuns la o categorisire a aspectelor privind atacurile în cloud. Acestea trebuie studiate din diferite puncte de vedere și anume: nivelurile de atac asupra mașinilor virtuale, vulnerabilitățile furnizorului de servicii în cloud, fenomenul de phishing în cloud, procesele de autentificare și autorizare în cloud, acțiuni criminale în cloud.

Disponibilitatea [43] – disponibilitatea este un subiect foarte sensibil care trebuie discutat având în vedere indicatorii de performanță obligatorii diferitelor domenii de activitate – indicatori care în unele cazuri sunt mai permisivi, iar în altele, din contră, reprezintă puncte critice. Printre acești factori se numără: timpul de funcționare în parametri optimi ai serverelor – furnizorii de servicii în cloud susțin ca acesta este comparabil cu cel al sistemelor tradiționale. Pe de altă parte consumatorii de servicii cloud susțin că furnizorii nu pot face o prioritizare corectă a aplicațiilor pentru toate companiile întrucât această prioritate diferă de la o companie la alta. Un alt factor de avut în vedere este faptul că furnizorul de servicii cloud este single point of failure – acest lucru este combătut de furnizor prin invocarea interoperabilității între cloud-urile existente [44]. Asigurarea integrității în procesarea datelor este o altă grijă a consumatorilor de servicii în cloud întrucât ei trebuie să se bazeze pe bunăvoința furnizorului.

Controlul asupra datelor unei organizații este translatat unui terț (furnizor de servicii în cloud). Aici se discută de implicații legale privind procesarea datelor confidențiale, probleme privind transparența datelor, aspecte privind procesul de auditare al datelor, aspectele contractuale care trebuie incluse în mod obligatoriu într-un angajament dintre un furnizor de servicii în cloud și clientul său, spionajul între furnizorii de cloud, blocarea datelor în spațiul de stocare al furnizorului de servicii, natura tranzitorie a datelor (acesta cuprinde reglementarea situațiilor în care furnizorul de servicii în cloud subcontractează alt furnizor).

Acestor probleme și griji le-au fost aduse diferite soluții [45] care rezolvă unele dintre ele, însă lasă altele tratate parțial sau chiar ridică alte probleme. Printre aceste soluții se numără: crearea cloud-urilor private – la nivel de companie – care rezolvă controlul asupra datelor, crearea standardelor de securitatea specializate pe serviciile oferite în cloud, realizarea unui proces de auditare care vizează toate nivelurile de securitate stringente companiei etc. Domeniul este însă foarte vast așa încât nu se poate contura o soluție care rezolvă tot – soluția perfectă – ci se poate discuta despre abordări optime, care, în funcție de specificul unei companii rezolvă problemele critice acesteia.

Pentru a putea obține rezultatele scontate – asigurarea mecanismelor eficiente de securizare a datelor și informațiilor în arhitecturi de tip cloud [46] trebuie să analizăm cum își propun furnizorii de astfel de servicii să colaboreze în vederea livrării premiselor de cloud computing. Cele mai importante și atrăgătoare caracteristici ale cloud-ului sunt abilitatea de a scala și de a proviziona în mod dinamic puterea de calcul, obținând astfel o optimizare a costurilor beneficiarilor, precum și abilitatea consumatorilor (utilizatorii finali, organizațiile sau personalul IT) de a consuma aceste resurse în vederea obținerii unor rezultate maxime, fără a se preocupa de gestionare complexității tehnologiei folosite. Arhitectura cloud, poate fi privată (atunci când este găzduită în interiorul companiei – fapt ce, din perspectivă infrastructură, se traduce în situarea resurselor în interiorul firewall-urilor companiei) sau publică (găzduită în Internet). Aceste caracteristici au dus la un set de valori scontate prin implementarea unei arhitecturi cloud:

Satisfacerea instantanee a necesităților de resurse de calcul;

Valoare sporită adusă tehnologiilor folosite prin diminuarea costurilor;

Platforme tehnologice standardizate care facilitează colaborarea;

Reducerea necesarului de personal specializat pentru suportul tehnologiei.

Odată cu toate aceste avantaje, cloud computing aduce și o serie de riscuri materializate în noua dimensiune dată colaborării între organizații și interacțiunii umane, noile dependințe organizaționale, modele noi de business generate datorită posibilității de satisfacere rapidă a oricăror cerințe de performanță din perspectiva puterii de calcul.

În ciuda tuturor avantajelor modelului “cloud”, sporirea riscurilor de securitate trebuie contracarată pentru a beneficia complet de această nouă paradigmă computațională. De exemplu, în cadrul cloud-ului, este pierdut controlul asupra bunurilor, într-o anumită măsură, astfel că modelul de securitate trebuie regândit. Securitatea organizației este doar atât de bună ca cel mai puțin de încredere partener, departament sau distribuitor. Poți să îi încredințezi furnizorului de servicii datele tale? [40]

Modelul cloud presupune pierderea controlului asupra securității fizice. Într-un cloud public, utilizatorul împarte resursele computaționale cu alte companii. Într-un bloc comun, exterior întreprinderii, nu ai cunostință sau control asupra locației resurselor. Expunerea datelor într-un mediu comun cu alte companii oferă guvernului “cauze îndreptățite” pentru verificarea acestor date datorită unei ilegalități ale altei companii.

Serviciile de stocare ale unui provider de cloud pot fi incompatibile cu serviciile altui provider, în cazul în care un client ar hotărî să se mute de la unul la altul. Providerii sunt cunoscuți pentru crearea de servicii numite “sticky services”, care pun în dificultate clienții în astfel de situații (ex. “Simple Storage Device” –S3- de la Amazon este incompatibil cu Blue Cloud de la IBM sau Google sau Dell).

Dacă informația este criptată în trecerea prin cloud, cine controlează cheile de criptare/decriptare? Clientul sau providerul de cloud? Majoritatea clienților doresc ca datele lor să fie criptate în ambele sensuri ale traficului pe Internet, folosind SSL (protocolul Secure Sockets Layer). De asemenea, majoritatea clienților doresc ca datele lor să fie criptate atâta timp cât sunt stocate în spațiile puse la dispoziție de provider. Cu siguranță clientul dispune de instrumentele de criptare/decriptare, ca și cum datele ar fi încă stocate pe serverele proprii.

Integritatea datelor constă în asigurarea datelor identice pe parcursul oricărei operații (precum transfer, stocare sau recuperare). Cu alte cuvinte, integritatea datelor este asigurarea omogenității și corectitudinii lor. De asemenea, presupune efectuarea de modificări doar în urma tranzacțiilor autorizate. Pentu așa ceva este nevoie de un standard comun, însă nu există încă.

Folosind ofertele SaaS în cadrul cloud-ului înseamnă că este mult mai puțin nevoie de dezvoltare software. Spre exemplu, folosind un management web-based al relațiilor cu clientii (CRM), elimină necesitatea scrierii de cod și customizarea aplicației distribuitorului. Unealta aleasă pentru dezvoltarea aplicațiilor trebuie să aibă un model de securitate embedded, pentru a ghida developerii în această etapă și să restricționeze utilizatorii doar la datele pentru care au autorizație.

Pe masură ce tot mai multe procese critice sunt mutate în cloud, distribuitorii SaaS vor trebui să prezinte log-uri (registre) de date în timp real, atât pentru proprii administratori, cât și pentru personalul clientului. Cineva trebuie să fie responsabil pentru monitorizarea securității, și cum aplicația și datele nu sunt sub controlul utilizatorului, rolul de monitorizare nu va reveni acestuia. Vor fi în stare clienții să aibă suficientă încredere în provideri într-atât încât să accepte această migrare a aplicațiilor critice în cadrul cloud-ului? Cum registrele providerului de SaaS sunt interne și nu neaparat accesibile din exterior de către clienți sau alte părți externe, monitorizarea va fi dificilă.

Aplicațiile din cadrul cloud trec prin adiții constante de facilități și utilizatorii trebuie să se țină la curent cu îmbunătățirile aduse pentru a fi siguri de propria protecție. Viteza la care se schimbă aplicațiile afectează atât SDLC (software development life cycle – ciclul de dezvoltare al software-ului) cât și securitatea. De exemplu, Microsoft și SDLC-ul sau asigură o perioadă de trei până la cinci ani, în care software-ul critic nu va trece prin modificări substanțiale. Cu toate acestea, cloud-ul va putea avea nevoie să includă o modificare o dată la câteva săptămâni. Securitatea trebuie neapărat să țină pasul cu rapiditatea modificărilor. Aceasta înseamnă că utilizatorii trebuie să upgradeze constant versiunea, pentru a avea asigurată o funcționare corectă, precum și o protecție adecvată a datelor.

O altă trăsătură importantă este o necesitate nou aparută, și anume aceea ca securitatea să se mute la nivelul de date, pentru că organizațiile să fie sigure de protecția datelor oriunde acestea ar merge. Datele sensibile reprezintă domeniul clientului, nu al providerului de cloud computing. O provocare cheie în cadrul paradigmei cloud-computing este securitatea la nivelul de date.

De asemenea, politica guvernului va trebui să se schimbe în raport atât cu oportunitățile cât și cu amenințările aduse de cloud computing. Vor deveni importante probleme legate de datele private trimise off-shore și protectia intimității, indiferent dacă sunt date controlate de către o a treia parte sau trimise off-shore într-o altă țară. Va exista o diminuare a securității, pe măsură ce controlul tradițional precum VLAN (virtual local-area networks) și firewall-urile se dovedesc mai puțin eficiente în tranziția pe mediile virtuale. Managerii de securitate vor trebui sa fie îndeosebi mai atenți cu sistemele ce conțin date critice, cum ar fi informațiile financiare ale unei corporații sau cod sursă necesar, pe parcursul tranziției spre virtualizarea serverelor în medii de producție.

Outsourcing înseamnă pierderea semnificativă a controlului asupra datelor, și cu toate că nu este o idee bună din punct de vedere al perspectivei securității, avantajele pe planul afacerilor și al finanțelor vor continua să crească utilizarea acestor servicii. Personalul răspunzător de securitate va trebui să conlucreze cu staff-ul juridic al companiei pentru a asigura că termenii din contracte să protejeze datele corporațiilor și să prezinte oferte atractive la nivel de servicii, ce pot fi asigurate de provider.

Serviciile cloud vor rezulta în mulți utilizatori IT mobili care accesează date de afaceri și servicii fără a traversa mai întâi rețeaua corporației. Acest fapt obligă organizațiile să sporească securitatea între utilizatorii mobili și serviciile cloud. Plasarea de cantități însemnate de date în cloud-ul accesibil global lasă expuse organizațiile în fața amenințărilor distribuite – atacatorii nu vor mai fi nevoiți să treacă “prin teritorul” companiei pentru a fura date sensibile, caci le pot găsi într-o singură locație virtuală.

Dinamica și fluiditatea naturii mașinilor virtuale va face dificilă menținerea consistenței securității. Usurința clonării și distribuției între serverele fizice ar putea rezulta în propagarea erorilor de configurație și alte vulnerabilități. Asigurarea securității sistemului și identificarea locației unei mașini virtuale nesigure vor fi probleme importante. Indiferent de locația mașinii virtuale ín cadrul mediului virtual, detecția intruziunii și mecanismele preventive vor trebui să recunoască activitate malițioasă la nivelul mașinii virtuale. Co-locația mai multor mașini virtuale mărește “suprafața” expusă atacurilor și riscului compromiterii “mașină virtuală-la-mașină virtuală”.

Mașini virtuale localizate și servere fizice folosesc același sistem de operare, precum și aceleași aplicații web, într-un mediu cloud server, mărind amenințarea unui atac sau de malware care să exploateze vulnerabilitățile acestor sisteme și aplicații, de la distanță. Mașinile virtuale sunt vulnerabile la trecerea dintre mediul privat și cloud-ul public. Un mediu cloud împărțit total sau parțial are o suprafață de atac mai mare și mai expusă, de aceea este considerat mai riscant decât un mediu cu resurse dedicate.

Sistemele de operare și fișierele aplicațiilor sunt plasate pe o infrastructură fizică împărțită de utilizatori, într-un mediu cloud virtual și necesită monitorizare de sistem, a fișierelor și a activității pentru a întări încrederea clienților și pentru a oferi dovezi care să ateste că resursele acestora nu au fost compromise sau modificate ilicit.

Definirea obiectivelor securității ȋn cadrul mediului cloud: [40]

Dependabilitate – Software-ul execută funcțiile sale predictibil și funcționează corect sub o varietate de condiții, inclusiv atunci când se află sub atac sau este o gazdă pentru malware.

De ȋncredere – Software-ul sa conțină un număr minim de vulnerabilități sau nici o vulnerabilitate care ar putea sabota dependabilitatea software-ului. Trebuie să fie, de asemenea, rezistente la logica malware.

Rezistență – Software-ul este rezistent sau tolerant la atacuri și are capacitatea de a se recupera cât mai repede posibil, minimizând eventualele pagube.

Există șapte principii complementare pe care se bazează asigurarea securității informației: confidențialitate, integritate, disponibilitate, autentificare, autorizare, audit și răspundere. Cele mai importante sunt reprezentate de primele 3, supranumite “triada CIA” ȋn cloud computing (Confidentiality-Integrity-Availability: CIA) [40].

Asigurarea securității informațiilor în mediul cloud computing-ului impune trei niveluri de securitate [22]: securitatea rețelei, securitatea serverului și securitatea aplicației. Aceste nevoi de securitate sunt prezente și în infrastructura internă și sunt afectate direct de politicile de acces și fluxurile de lucru ale unei entități care își deține și gestionează resursele. Când o entitate trece pe cloud computing, apar provocări de securitate la fiecare dintre cele trei niveluri, cât și cele care privesc operarea activității economice și persoanele implicate în managementul sistemului. Deși aceste provocări de securitate sunt exacerbate prin cloud computing, nu sunt produse de acesta.

Criptarea nu este o soluție completă, pentru că datele trebuie să fie decriptate în anumite situații – astfel încât să se poată prelucra și să se poată duce la îndeplinire funcțiile normale de management de date, de indexare și de sortare. Astfel, deși datele în tranzit și datele stocate sunt efectiv criptate, nevoia de a decripta, în general de furnizorul de servicii cloud, poate fi o problemă de securitate.

Managementul identității și al accesului și politicile asociate pentru utilizarea serviciilor cloud trebuie să fie echivalente practicilor curente de la nivelul firmelor și să asigure capacitatea de a interopera cu aceste aplicații existente.

Am lăsat intenționat aceste 3 aspecte la sfârșitul capitolului întrucât dezvoltările din teză, care vor fi expuse în capitolele următoare au un numitor comun: S4I (Secure, Intelligent, Interlinked, Interactive Infrastructure) – bază a platformei care combină modelul de cloud computing tipic cu categoriile de echipamente și utilizatori ai acestora în scopul garantării funcționării în medii eterogene, precum și realizarea de aplicații orientate către utilizator, integrate în sistem și transparente pentru cel ce folosește sistemul informatic dezvoltat.