11.11.2020 | Martin Bayer | Atlassian
Myslíte si, že pokud máte data v Atlassian Cloud, v podstatě již nejsou vaše? Že je někdo zneužívá a vy o tom nevíte? Je nebo není to pravda? Pojďme si dnes ukázat, proč není nutné mít strach z Atlassian Cloud z pohledu bezpečnosti vašich dat. Zároveň si ukažme, které položky roadmapy se tohoto tématu týkají.
Minulý týden jsme uspořádali dva webináře na téma ukončení podpory Server aplikací po 2. 2. 2024 (na souhrn toho nejzajímavějšího z webináře se můžete podívat v našem předchozím blogpostu). Na webinářích jsme nechali asi šedesátku diváků vyjádřit největší obavy z Cloudu. Z odpovědí vyplynulo, že nejvíce zákazníků trápí otázka zabezpečení dat a komunikace s Atlassian Cloud aplikacemi. K tomu se nám logicky přidává i obava z nedostatečného plnění právních rámců typu GDPR nebo HIPAA.
Společnost Atlassian si je vědoma možné nedůvěry některých zákazníků ke Cloudu, která vyplývá z rozdílné architektury celého řešení a toho, že zákazníci data „nemají v baráku“. Nicméně používání cloud řešení se stává standardem napříč obory v celosvětovém měřítku. Atlassian do zabezpečení infrastruktury investuje v rámci vývoje nových features. Zároveň věnuje úsilí i komunikaci zákazníkům a snaží se vysvětlovat, že není proč mít strach. Tématu věnuje stránku https://www.atlassian.com/trust, která se snaží odpovědět na nejčastější dotazy a obavy. Podívejme se na nejvýznamnější funkcionality zabezpečení dat, které jsou v Atlassian Cloud implementovány.
Zákaznická data jsou při přenosu přes veřejné sítě šifrovány pomocí protokolu TLS 1.2+. Protokol je rozšířen o použití Perfect Forward Secrecy (PFS), které napomáhá zabezpečení dat v případě, že by potencionální útočník chtěl datový přenos odposlouchávat a následně dešifrovat. Že vám TLS 1.2 nic neříká? Tento protokol je standardem a používají ho řešení typu Office 365 (Microsoft) nebo Slack. Jediným předpokladem na straně zákazníka je podpora protokolu prohlížečem.
Data Atlassian Cloud aplikací uložená na discích jsou šifrována pomocí AES-256 standardu. Analogicky má data uložena i zmiňovaný a známý produkt Office 365 od společnosti Microsoft. Pro správu klíčů používá Atlassian službu AWS Key Management Service. Společnost AWS tak v rámci interních auditů a kontrol pravidelně validuje vynucování úrovně zabezpečení.
Naplnění pravidel GDPR nařízení se Atlassian věnuje již od jeho uvedení v platnost v roce 2018. Na stránce věnované GDPR Atlassian uvádí souhrn akcí, které podporují GDPR v Atlassian aplikacích (https://www.atlassian.com/trust/privacy/gdpr). Je zde např. zmíněno, že v případě potřeby přímo Atlassian komunikuje s regulačními orgány EU dopady aktualizovaných nebo nových nařízení.
Atlassian Cloud nástroje prozatím nelze považovat za HIPAA Compliant. Především z důvodu nutnosti podpisu tzv. BAA (Business Associate Agreement). V Roadmap vidíme splnění požadavků, které diktuje nařízení HIPAA v roce 2023.
HIPAA / HITECH – For our Cloud products, we are not able to sign a Business Associate agreement and we recommend our Server products for companies that need to comply. We have more information on this in our Privacy Policy.
Na features, které jsou již do Cloud platformy doplněny nebo se chystají, se můžete podívat na odkazu https://www.atlassian.com/roadmap/cloud v kategorii Cloud Platform a ve filtru zvolit Data management, Compliance a Security.
Uvědomujeme si, že to, že člověk nemá věci stoprocentně pod kontrolou je pro většinu z nás, mírně řečeno, frustrující. Cloud používají společnosti z celého světa a na příběhy těchto společností se můžete podívat ve zveřejněných case studies. Z Atlassian materiálů, ze kterých jsme čerpali je patrné, že Atlassian chce být důvěryhodným partnerem v otázce zabezpečení zákaznických dat na své Atlassian Cloud platformě. Navíc si je očividně vědomý obav zákazníků a včera (10. 11. 2020) nasdílel oddělený popis problematiky pro jednotlivé produkty (viz. zdroje).
Pokud by vám nebylo jasné cokoliv z blogpostu nebo připojených materiálů, neváhejte nás kontaktovat na našem emailu atlassian@morosystems.cz. Znovu připomínám, že máme kontakt na zaměstnance Atlassian, kteří jsou ochotní odpovídat naše i vaše otázky. Popř. využijte možnosti ptát se v rámci Atlassian Community, o které jsme psali v jednom z předchozích příspěvků.
Martin Bayer
Atlassian Competency Leader
Martin pracuje v MoroSystems jako Atlassian Solution Architect a Atlassian Competency Leader. Jeho dřívější vývojářská kariéra a zkušenosti s Atlassian nástroji ho postupem času nominovaly do role konzultanta v oblasti technických řešení a integrací Atlassian nástrojů s jinými systémy.
Zjistěte více o zvýšení cen Atlassian produktů od 15. února 2024. Využijte zvýhodněné nabídky a ušetřete například za Jira Software.
Přidejte se k nám na osobní setkání v Květnu, kde se podíváme detailně na nejčastější obavy z migrace na Cloud.
Nechte nám na sebe kontakt a naši odborníci se vám ozvou. Neradi píšete? Kontaktujte experta na telefonním čísle +420 725 761 338
Přicházíme s
MoroSystems Orchestra!
Komentáře