Budou vaše data v Atlassian Cloud v bezpečí?

11.11.2020 | Martin Bayer | Atlassian

Myslíte si, že pokud máte data v Atlassian Cloud, v podstatě již nejsou vaše? Že je někdo zneužívá a vy o tom nevíte? Je nebo není to pravda? Pojďme si dnes ukázat, proč není nutné mít strach z Atlassian Cloud z pohledu bezpečnosti vašich dat. Zároveň si ukažme, které položky roadmapy se tohoto tématu týkají.

Proč právě toto téma?

Minulý týden jsme uspořádali dva webináře na téma ukončení podpory Server aplikací po 2. 2. 2024 (na souhrn toho nejzajímavějšího z webináře se můžete podívat v našem předchozím blogpostu). Na webinářích jsme nechali asi šedesátku diváků vyjádřit největší obavy z Cloudu. Z odpovědí vyplynulo, že nejvíce zákazníků trápí otázka zabezpečení dat a komunikace s Atlassian Cloud aplikacemi. K tomu se nám logicky přidává i obava z nedostatečného plnění právních rámců typu GDPR nebo HIPAA.

A teď k věci…

Společnost Atlassian si je vědoma možné nedůvěry některých zákazníků ke Cloudu, která vyplývá z rozdílné architektury celého řešení a toho, že zákazníci data „nemají v baráku“. Nicméně používání cloud řešení se stává standardem napříč obory v celosvětovém měřítku. Atlassian do zabezpečení infrastruktury investuje v rámci vývoje nových features. Zároveň věnuje úsilí i komunikaci zákazníkům a snaží se vysvětlovat, že není proč mít strach. Tématu věnuje stránku https://www.atlassian.com/trust, která se snaží odpovědět na nejčastější dotazy a obavy. Podívejme se na nejvýznamnější funkcionality zabezpečení dat, které jsou v Atlassian Cloud implementovány. 

Šifrování datového přenosu

Bezpečnost v Atlassian Cloud: Šifrování datového přenosu

Zákaznická data jsou při přenosu přes veřejné sítě šifrovány pomocí protokolu TLS 1.2+. Protokol je rozšířen o použití Perfect Forward Secrecy (PFS), které napomáhá zabezpečení dat v případě, že by potencionální útočník chtěl datový přenos odposlouchávat a následně dešifrovat. Že vám TLS 1.2 nic neříká? Tento protokol je standardem a používají ho řešení typu Office 365 (Microsoft) nebo Slack. Jediným předpokladem na straně zákazníka je podpora protokolu prohlížečem.

Šifrování dat na discích Cloudu

Bezpečnost v Atlassian Cloud: Šifrování dat na discích Cloudu

Data Atlassian Cloud aplikací uložená na discích jsou šifrována pomocí AES-256 standardu. Analogicky má data uložena i zmiňovaný a známý produkt Office 365 od společnosti Microsoft. Pro správu klíčů používá Atlassian službu  AWS Key Management Service. Společnost AWS tak v rámci interních auditů a kontrol pravidelně validuje vynucování úrovně zabezpečení.

GDPR

Bezpečnost v Atlassian Cloud: GDPR

Naplnění pravidel GDPR nařízení se Atlassian věnuje již od jeho uvedení v platnost v roce 2018. Na stránce věnované GDPR Atlassian uvádí souhrn akcí, které podporují GDPR v Atlassian aplikacích (https://www.atlassian.com/trust/privacy/gdpr). Je zde např. zmíněno, že v případě potřeby přímo Atlassian komunikuje s regulačními orgány EU dopady aktualizovaných nebo nových nařízení.

HIPAA

Bezpečnost v Atlassian Cloud: HIPAA

Atlassian Cloud nástroje prozatím nelze považovat za HIPAA Compliant. Především z důvodu nutnosti podpisu tzv. BAA (Business Associate Agreement). V Roadmap vidíme splnění požadavků, které diktuje nařízení HIPAA v roce 2023.

HIPAA / HITECH – For our Cloud products, we are not able to sign a Business Associate agreement and we recommend our Server products for companies that need to comply. We have more information on this in our Privacy Policy.

A kde v roadmapě najdeme features týkající se zabezpečení dat?

Na features, které jsou již do Cloud platformy doplněny nebo se chystají, se můžete podívat na odkazu https://www.atlassian.com/roadmap/cloud v kategorii Cloud Platform a ve filtru zvolit Data management, Compliance Security.

Bezpečnost v Atlassian Cloud: Roadmapa

Závěr

Uvědomujeme si, že to, že člověk nemá věci stoprocentně pod kontrolou je pro většinu z nás, mírně řečeno, frustrující. Cloud používají společnosti z celého světa a na příběhy těchto společností se můžete podívat ve zveřejněných case studies. Z Atlassian materiálů, ze kterých jsme čerpali je patrné, že Atlassian chce být důvěryhodným partnerem v otázce zabezpečení zákaznických dat na své Atlassian Cloud platformě. Navíc si je očividně vědomý obav zákazníků a včera (10. 11. 2020) nasdílel oddělený popis problematiky pro jednotlivé produkty (viz. zdroje).

Pokud by vám nebylo jasné cokoliv z blogpostu nebo připojených materiálů, neváhejte nás kontaktovat na našem emailu atlassian@morosystems.cz. Znovu připomínám, že máme kontakt na zaměstnance Atlassian, kteří jsou ochotní odpovídat naše i vaše otázky. Popř. využijte možnosti ptát se v rámci Atlassian Community, o které jsme psali v jednom z předchozích příspěvků.

Zdroje

Icons made by Freepik, Flat Icons from www.flaticon.com
Martin Bayer Martin Bayer

Atlassian Competency Leader

Martin pracuje v MoroSystems jako Atlassian Solution Architect a Atlassian Competency Leader. Jeho dřívější vývojářská kariéra a zkušenosti s Atlassian nástroji ho postupem času nominovaly do role konzultanta v oblasti technických řešení a integrací Atlassian nástrojů s jinými systémy.

Komentáře

Podobné články

Nechte nám na sebe kontakt a naši odborníci se vám ozvou. Neradi píšete? Kontaktujte experta na telefonním čísle +420 602 507 062

Důvěřují nám tyto firmy

dieboldnixdorf
aevi
ebay
avast1
ceska_sporitelna
unicredit
t-mobile
o2
volkswagenfs
lundegaard
oxyonline1
lunchtime
aura
tomhorn
koger
bsc
astonitm