Prawo i bezpieczeństwo w chmurze obliczeniowej. Mini przewodnik dla biznesmena.

1.     Wstęp teoretyczny

Aby zrozumieć, co to jest cloud computing(chmura obliczeniowa) ważne jest uświadomienie sobie jak te pojęcie wyewoluowało. Jak zauważa w książce Alvin Toffler „Trzecia Fala” cywilizacja rozwinęła się w 3 głównych etapach. Pierwsza fala to społeczeństwo rolnicze, druga to wiek przemysłowy, trzeci wiek cyfrowy (informacyjny). W obrębie każdej z tych fali występują tzw. pod fale. W tym wieku informacyjno-postindustrialnym wielu ludzi uważa, że następnym etapem będzie era cloud computingu.

W swojej książce „The Big Switch” (WW Norton & Co., 2008), Nicholas Carr porównuje rewolucje informacyjną do zmian w epoce przemysłowej. W szczególności, autor zestawia ze sobą powstanie cloud computing w wieku informacyjnym do elektryfikacji fabryk w wieku przemysłowym. Pamiętajmy, że w przeszłości, fabryki musiały tworzyć swoje własne źródła zasilania (koła wodne, wiatraki, prądownice).

Pobierz lub przeglądaj wersje PDF

–>Prawo i ochrona w chmurze obliczeniowej. Przewodnik dla biznesmena<–

Wraz z elektryfikacją, przedsiębiorstwa pozbyły się tego problemu; po prostu podłączają się do sieci elektrycznej. Carr twierdzi, że cloud computing jest prawdziwym początkiem zmian w sposobie rozwoju gospodarczego państw. Zapowiada, że przedsiębiorstwa coraz część będą korzystać z tego typu rozwiązań.  Łatwość i dostępność cloud computingu umożliwią podłączenie się do sieci cloud przedsiębiorstwom tak jak dziś podłączają lub są podłączone do sieci elektrycznych.

2. Prawo w systemach cloud computing

Nie zdajemy sobie sprawy jak często korzystamy z technologii Cloud Computing. Ma to miejsce nawet wtedy, gdy wchodzimy na stronę http://google.pl czy http://facebook.com.

Rozpoczęcie korzystania z usług wymaga od nas zgody i wiąże się zazwyczaj z przeczytaniem kilku stron, które przypominają kontrakt. Jest to umowa świadczenia usługi (SLA), porozumienie między dostawcą i odbiorcą usług.(T&C) Ciekawostką jest to, że użytkownik, akceptując warunki umowy, wyraża zgodę na poddanie się wyłącznej jurysdykcji sądów angielskich w celu rozwiązania wszelkich kwestii prawnych zapewne mało, kto je zna. Prawo angielskie, tak jak i amerykańskie, oparte jest na precedensie (common low), natomiast w Polsce i w wielu krajach europejskich dominuje prawo cywilne, w którym precedensy jedynie je uzupełniają.

Umowy

Świadczenie usług typu cloud computing dla biznesu staje się coraz bardziej powszechne w naszym kraju, jednak nadal liderami światowego rynku po stronie usługodawców pozostają podmioty zagraniczne. To oznacza, iż większość kontraktów na usługi świadczone w chmurze zawierane przez polskich przedsiębiorców to umowy transgraniczne. W takim przypadku należy zwrócić szczególną uwagę na kwestie związane z wyborem jurysdykcji, (który sąd?) i prawa właściwego dla danego kontraktu, (jakie prawo?).

Problem pojawia się również w przypadku, gdy usługodawca świadczy nam usługę przy pomocy podwykonawców, co zdaje się być regułą, szczególnie w zakresie wsparcia infrastrukturalnego („farmy serwerów”). Pomimo powszechności tego zjawiska kontrakty na usługi w chmurze rzadko, kiedy zawierają wzmianki na ten temat. Jeśli natomiast to czynią, ograniczają się przeważnie do stwierdzenia, iż dostawca upewni się, iż infrastruktura jego podwykonawców zapewnia bezpieczeństwo na odpowiednim poziomie. Najczęściej brak natomiast zapisów dotyczących zakresu odpowiedzialności, kwestii związanych z danymi osobowymi etc.

W zakresie odpowiedzialności dostawcy usług za potencjalne szkody, związane np. z nieprawidłowym działaniem usługi, najczęściej „proponują” zapisy ograniczające tą odpowiedzialność, bądź całkowicie ją wyłączające, na co trzeba zwrócić uwagę.

Prawo UE

Ludzie nie lubią czytać regulaminów. W przypadku jednak usług świadczonych w chmurze warto poświęcić kilka dodatkowych minut i sprawdzić, co usługodawca w takim regulaminie zawarł. W krajach UE (także EFTA) usługodawcy mają prawny obowiązek przygotowania i przedstawienia regulaminu. W Polsce jest on nałożony artykułem 8 Ustawy o świadczeniu usług drogą elektroniczną (UŚUDE). Jednak nawet tam, gdzie nie jest to obowiązkowe, przeważająca większość dostawców oferuje regulaminy w ramach standardowych dobrych praktyk. W regulaminie znajdując się ogólne postanowienia związane z usługą. Gdzie szukać szczegółowych? Powinny znajdować się w samej umowie, której najważniejszą częścią będzie service level agreement, w której usługi zostają zdefiniowane oraz określone zostają ich parametry (ich dostępności, wydajności, poziomu wsparcia dostawcy, klauzule regulujące poziom bezpieczeństwa danych oraz metody ich ochrony, a także środki naprawcze na wypadek przestoju).

Prawa autorskie

Kolejny prawny problem związany z cloud computing związany jest z prawem autorskim. Mianowicie pojawia się kontrowersja związana z SaaS (software as a service – oprogramowanie, jako usługa). Czy w przypadku korzystania z oprogramowania dostępnego w chmurze dochodzi do zawarcia licencji? Albo inaczej, czy zawarcie umowy licencyjnej w takim przypadku jest konieczne?

Zgodnie z art. 74 ust. 4 pkt 1 ustawy o prawie autorskim i prawach pokrewnych monopolem autorskim objęte jest trwałe lub czasowe zwielokrotnianie programu komputerowego w całości lub w części jakimikolwiek środkami i w jakiejkolwiek formie. Jeżeli natomiast korzystanie z programu nie powoduje wspomnianego zwielokrotniania, zgoda uprawnionego z tytułu praw autorskich nie jest wymagana. Pytanie do techników, czy w przypadku korzystania z programu komputerowego zainstalowanego w chmurze dochodzi do zwielokrotnienia tego programu na komputerze korzystającego?

Jeśli do korzystania z takiego oprogramowania niezbędna jest instalacja, choćby tylko jakiegoś rodzaju wtyczki na sprzęcie usługobiorcy, sytuacja jest jasna i licencja powinna zostać zawarta. Jeśli jednak program jest jedynie wyświetlany na monitorze („przelatuje” przez pamięć operacyjną)? W tym drugim przypadku nie będziemy mieli do czynienia z czasowym zwielokrotnianiem (art. 74), a raczej z przejściowym i incydentalnym (art. 23).

Możemy spotkać się z kilkoma różnymi stanowiskami związanymi z tą kwestią. Jedni prawnicy twierdzą, że w przypadku braku instalacji na komputerze usługobiorcy czegokolwiek licencja nie jest konieczna. Inni natomiast podnoszą, że nie jest istotne to, gdzie faktycznie oprogramowanie jest zainstalowane, tylko fakt korzystania z niego i licencja jest niezbędna. Orzecznictwa brak. Sprawa ta natomiast ma niebagatelne znaczenie, np. w zakresie podatkowym i kosztów związanych z prowadzona działalnością. Przyjmując stanowisko o konieczności zawarcia licencji kontrowersje mogą pojawić się również w przypadku, gdy postanowienia licencyjne nie znajdą się w umowie dotyczącej SaaS, natomiast znajdą się tam zastrzeżenia rezerwujące wszystkie prawa producenta (all rights reserved).

Dane osobowe

Należy pamiętać, iż świadczenie usług w ramach modelu cloud computing wiąże się często z przetwarzaniem danych osobowych, a dostawcy tego typu rozwiązań muszą stosować się do licznych regulacji, które często utrudniają ich działalność. Mowa tu oczywiście o polskiej ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz o dyrektywie Parlamentu Europejskiego i Rady z 24 października 1995 r. nr 95/46/WE.

W zakresie danych osobowych szczególne znaczenie ma treść zapisów umownych, ponieważ ta może prowadzić do uznania usługodawcy bądź jedynie za przetwarzającego dane (obowiązki związane z bezpieczeństwem), bądź za administratora danych, jeśli usługodawca określi cele i środki przetwarzania danych (obowiązki oczywiście dużo dalej idące). Natomiast w przypadku umów transgranicznych oraz częstej praktyce korzystania przez usługodawców z podwykonawców, mających siedziby rozsiane po całym świecie, dodatkowe problemy wiążą się z kwestią przekazywanie danych osobowych do państwa trzeciego (poza obszar UE). Zarówno polskie przepisy, jak i dyrektywa unijna wprowadzają bardzo wysokie standardy związane z bezpieczeństwem danych osobowych przetwarzanych w chmurze, co przez niektórych uznawane jest za jedna z barier hamujących rozwój sektora cloud computing w UE.

3.  Dobór usługi

W celu właściwego zarządzania usługą warto odwołać się do standardów takich jak ITIL[1] (opracowanego przez OGC[2]) czy COBIT[3](opracowanego przez ISACA[4] i IT Governance Institute). Standardy te kładą nacisk na zarządzanie usługą na poziomie całej firmy zgodnie z potrzebami biznesowymi. Takie rozwiązanie pomaga zwiększyć efektywność w zarządzaniu wydatkami.

Przedsiębiorstwa powinny starać się zapoznać z najlepszymi praktykami w zakresie optymalnych obszarów zastosowań dla chmury (jak np. web serwisy), stosowania metod (jak np. automatyzacja) oraz sposobów minimalizacji negatywnych skutków (jak bezpieczeństwo danych) wdrożenia nowej technologii. Potrzebne jest także zapewnienie koordynacji działań biznesu i IT. W celu monitorowania efektywności usługobiorcy potrzebne będzie zdefiniowanie mierników efektywności (KPI[5]) i porównywanie ich z parametrami świadczenia usługi (SLA[6]).Ukoronowaniem decyzji powinno być wynegocjowanie umów świadczenia usług (SLA). Umowy te powinny między innymi zabezpieczyć przesyłane oraz gromadzone dane przez wybranie bezpiecznych rozwiązań transmisji jak SSL[7] czy VPN[8] i wybór odpowiedniego systemu zabezpieczeń. Należy też uwzględnić czas oczekiwanej dostępności systemu tolerancję błędów i dopuszczalną ilość awarii.

3.Zalety cloud computingu

Podzielność (wspólne zasoby) -W przeciwieństwie do poprzednich modeli obliczeniowych, które zakłada dedykowanych zasobów, (czyli moc obliczeniowa lub część infrastruktury przeznaczona dla pojedynczego użytkownika lub właściciela), cloud computing jest oparte na modelu biznesowym, w którym zasoby są dzielone, (czyli wielu użytkowników korzysta z tych samych zasobów) w sieci.

Skalowalność (ang. scalability) – zapewnienie coraz wydajniejszej pracy w miarę zwiększania liczby elementów składowych.

Elastyczność– Użytkownik może w każdej chwili powiększyć lub pomniejszyć dostęp do źródeł obliczeniowych i infrastruktury jak również odstąpić zasób innym użytkownikom przy zakończeniu pracy.

Pay-as-you-go- użytkownik płaci tylko za te usługi, z których korzysta oraz za czas użytkowania.

Dodatkowe żródła- klient w razie potrzeby może uposażyć się w dodatkowe źródła mocy obliczeniowej bądź dodatkowe miejsca na przechowywanie danych.

Oszczędność-z badania przeprowadzonego w 2011 na zlecenie Komisji Europejskiej przez IDC wśród firm, które korzystają z chmury obliczeniowej, wynika, że oszczędności z tym związane wyniosły średnio 10-20% kosztów IT. W przypadku 36% przebadanych przedsiębiorstw wykorzystanie chmury obliczeniowej wygenerowało oszczędności w wysokości 20% wydatków na IT lub wyższej[6].

4.Rozwój cloud computingu

Chociaż ASP może wyglądać podobnie do modelu dostarczania usług cloud computing, która jest dziś znana, jako usługa (SaaS), istnieje pomiędzy nimi istotna różnica. Polega na różnicy w świadczonych usługach, a także w modelu biznesowym. Chociaż ASP zazwyczaj dostarczało usługi wielu klientom (podobnie jak dostawcy SaaS robi dzisiaj) robił to za pomocą usługi dedykowanych i oddzielnych Infrastruktur. Oznacza to, że każdy klient miał swoją specjalną instancję aplikacji, a każda jednostka logowała się na dedykowanym hoście lub serwerze. Główną różnicą pomiędzy dostawcami SaaS i ASP jest to, że dostawcy SaaS oferują dostęp do aplikacji w dzielonych i wspólnych infrastrukturach.

5.Rodzaje cloud computingu i zabezpieczenia

SaaS

W przypadku SaaS aplikacje dostarczane przez dostawcę działają na infrastrukturze cloudowej i są dostępne poprzez przeglądarkę. Konsument nie zarządza i nie kontroluje sieci, serwerów, systemów operacyjnych, przechowywania danych lub nawet możliwości aplikacji indywidualnych. Z tego powodu model SaaS oferuje najwięcej funkcjonalności, nie wymagając dostosowywania się od strony klienta a odpowiedzialność za bezpieczeństwo leży niemalże w całości po stronie dostawcy. Skrót Saas używanych jest w dwóch przypadkach. Software-as-a-service oraz security-as-service.

PaaS

Z usługą PaaS klienci tworzą aplikacje używając języków programistycznych i narzędzi wspieranych przez dostawcę, a następnie implementują je do infrastruktury cloudowej. Tak jak w SaaS klienci nie zarządzają i nie kontrolują infrastruktury – sieci, serwerów, systemów operacyjnych lub przechowywania danych, ale mają kontrolę nad wdrożonymi aplikacjami i zazwyczaj też nad konfiguracją środowiska hostowego aplikacji. W PaaS jest mniej gotowych dla klienta lub „wbudowanych” rodzajów zabezpieczeń niż w SaaS, a te, które są – są mniej kompleksowe, ale dają więcej elastyczności w warstwie zabezpieczeń dodatkowych. To oznacza potrzebę dodatkowego zabezpieczenia aplikacji jak również zabezpieczeń wokół zarządzania API[9], takich jak autentykacja, autoryzacja i kontrola.

IaaS

W usłudze IaaS klienci otrzymują procesy, przechowywanie danych, sieci i inne niezbędne zasoby informatyczne jak również wdrażają i trzymają w niej system operacyjne i aplikacje.Podczas gdy użytkownicy nie zarządzają i nie kontrolują cloudowej infrastruktury bazowej, to mają kontrolę nad systemami operacyjnymi, przechowywanymi danymi i wdrożonymi aplikacjami oraz pewien poziom kontroli nad wyborem komponentów infrastruktury sieciowej, takich jak firewalle hostowe.

 

CaaS

Communications as a Service (z ang. „komunikacja, jako usługa”) – usługodawca zapewnia platformę pod telekomunikacyjne środowisko pracy.

IPaaS

Integration Platform as a Service (z ang. „platforma integracyjna, jako usługa”) – platforma zapewniająca integrację pomiędzy różnymi usługami w chmurze.

 Podsumowanie IPS

Mówiąc krótko, PaaS to na przykład PHP, Ruby, Java, C++ dostępne i gotowe do pracy z poziomu przeglądarki. PaaS jest ulokowany „pomiędzy” IaaS, czyli Infrastructure as a Service (infrastruktura, jako usługa) będącym podstawą cloud computingu a SaaS – Software as a Service (oprogramowanie, jako usługa), stojącym najwyżej i obejmującym swoim zakresem najmniejszy obszar w „piramidzie chmury”. W przypadku modelu IaaS usługobiorca dostaje wirtualną maszynę, dostosowaną do jego wymagań (RAM, HDD, CPU), której zapewniamy system operacyjny i potrzebne nam oprogramowanie oraz aplikacje. Natomiast w modelu SaaS usługobiorca wykupuje konkretną usługę, na przykład kreator stron www.

Rozróżniamy trzy podstawowe rodzaje chmur:

  1. prywatne (ang. private cloud) – to rodzaj chmur stanowiących część organizacji, uruchamiane i zarządzane w środowisku organizacji,
  2. publiczne (ang. public cloud) – to rodzaj chmur, które są dostarczane przez zewnętrznego dostawcę,
  3. hybrydowe (ang. hybrid) – to połączenie chmury prywatnej i publicznej, gdzie część pracuje w środowisku organizacji a część w środowisku publicznym.

5. Problemy związane z cloud computingiem

Zabezpieczenie pewności i integracji transmisji danych do i od chmury publicznej.

Niektóre zasoby i dane uprzednio ograniczone do prywatnej sieci są obecnie narażone na ataki z Internetu i ze wspólnej sieci publicznej należącej do osób trzecich np. dostawców infrastruktury dla chmury. Związane jest to jednak z protokołem http. Używanie https[10] ogranicza problem do praktycznego minimum. Od kiedy pewne podzbiory tych zasobów (o może nawet wszystkie) są narażone na ataki Internetowe organizacje używające chmur publicznych zmierzają się ze znaczącym wzrostem ryzyka utraty danych. Możliwość kontroli zabezpieczeń jest ograniczona( nie jak w przypadku chmur prywatnych). Zmniejsza się ewentualność monitoringu obsługi czy zbieraniu danych statystycznych.

Zapewnienie odpowiedniej kontroli dostępu(uwierzytelniania[11], autoryzacji[12], audytu) dla każdego źródła, z którego korzystasz logując się do chmury usługodawcy.

Zapewnienie stałego dostępu do Internetu we wszystkich urządzeniach w przedsiębiorstwie(ataki z zewnątrz) BGP prefix hijacking zazwyczaj związana ze zła konfiguracją oraz ataki DNS

6. Rodzaje zagrożeń

Przechodząc z tradycjonalnego przetwarzania danych do przetwarzania chmurowego pojawiły się nowe wyzwania dotyczące prywatności i bezpieczeństwa. Bezpieczeństwo przetwarzania chmurowego można podzielić na dwa wymiary: bezpieczeństwo fizyczne oraz bezpieczeństwo cybernetyczne.

Fizyczne dotyczy fizycznych własności systemu. Na przykład centrum baz danych, która jest własnością dostawcy usługi, musi spełniać pewne standardy bezpieczeństwa, posiadać różne certyfikaty krajowe oraz globalne, prowadzić nadzór, sprawność w zarządzaniu bezpieczeństwa prewencyjnego, certyfikaty przeciwpożarowe, nieprzerwane zasilanie energii, środki ostrożnościowe dotyczące kataklizmów naturalnych. Do dodatkowej kontroli zalicza się monitoring 24/7 dotyczący ciepła, wilgoci, klimatyzacji, oraz ewentualne zabezpieczenia biometryczne.( Zabezpieczenie biometryczne – rodzaj zabezpieczenia opartego na danych biometrycznych: wizerunku twarzy, zapisu linii papilarnych palców, zapisu obrazu tęczówki. Zabezpieczenie ma na celu eliminację fałszerstw lub stanowi kod dostępu.).

Z drugiej strony mamy bezpieczeństwo cybernetyczne zabezpiecza nas przed atakami z cyber świata. Istnieje ryzyko ataku na zabezpieczenia cybernetyczne na rozwiązania chmurowe a także na same sieci. Tego typu ataki polegają na używaniu olbrzymiej liczby zasobów, na wyłączaniu ich działania i blokowaniu dostępu dla użytkowników.

Rodzaje:

InsiderAttack: Dotyczy to zazwyczaj pracowników i były pracowników oraz osób posiadających odpowiednie hasła i uprawnienia. Za atak ten może odpowiadać wyżej wymieniona osoba której celem jest uszkodzenie lub zmodyfikowanie danych o klientach, uszkodzenie serwerów, oraz obejmuję każdy rodzaj ataku który może zostać przeprowadzony od wewnątrz.

Flooding Attack: w tym rodzaju ataku, hakerzy wysyłają olbrzymią ilość pakietów z zarażonych i eksploatowanych źródeł nazywanych zombi. Pakiety są przesyłane protokołami TCP, UDP, ICMP albo ich kombinacją. Tego rodzaju ataki są przeprowadzane przeważnie z nieautoryzowanych połaczeń sieciowych. Ze względu na charakter cloud computingu połączenie z usługodawcą odbywa się przez Internet. Powoduję to, że narażenie na ataki DOS oraz DDOS są nieuniknione. Floading attack wpływają na dostępność usługi autoryzowanym użytkownikom.

User-to-Root-attack: w tego typu ataku intruz przechwytuje haslo oraz login użytkownika i może otrzymać bezgraniczny dostęp do całego systemu. Przepełnienie bufora używyane są do połaczenia konsolowego do procesów autoryzowanych. Tego typu atak może być zrealizowany za pomocą przepełnienia bufora ze statycznie ustawioną pojemnością, po czym wyciekające dane są przechwytywane przez atakującego. Haker może dzięki zdobytym hasłom zablokować dostęp do serwerów oraz do maszyn wirtualnych.

Port-scannig: atak, który identyfikuje otwarte, zamknięte i filtrowane porty w systemie. W tym przypadku atakujący za pomocą otwrtych portów, może przechwycić informacje takie jak IP i adres MAC należących do połączenia a także szczegóły dotyczące zapory oraz bramki sieciowej. Najczęściej są to TCP, UDP, SYN/FIN/ACK oraz Window(raczej przestarzały). Samo w sobie skanowanie nie jest atakiem, interakcja następują po zdobyciu odpowiednich informacji.

Ataki na maszyny wirtualne(hiperwizory)

Backdoor channel attack: atak typu pasywnego, w którym intruz przechwytuje zautoryzowane połączenie, aby przeprowadzić atak DDoS. Wysyła on również sygnały do innych węzłów, które będą uznane za prawidłowe, co ułatwi mu obciążenie całego systemu.

Ataki te wykorzystują często tzw. podatności “zero day” aplikacji i systemów operacyjnych, które nie były publicznie znane w momencie ich użycia. Przeprowadzane są z wykorzystaniem różnych technologii i obejmują wiele etapów – od rozpoznania celu ataku, techniki socjotechniczne, różne kanały komunikacji (najczęściej web, e-mail) dla przesłania do ofiary tzw. exploita, a następnie załadowanie właściwego kodu złośliwego, który stara się jak najbardziej zamaskować swoją obecność na komputerze ofiary, po komunikację zwrotną z “centrum sterowania” (command and control server) i wreszcie realizację celu ataku, czyli np. wyciągnięcie z organizacji interesujących danych. Atak taki może “rezydować” na komputerach ofiar przez bardzo długi czas zanim zostanie wykryty lub nawet zanim podejmie działania.
Ze względu na stosowane rozwiązania do ukrywania obecności malware, wykorzystanie podatności “zero day” oraz bardzo częste modyfikowanie kodu ataku (np. poprzez użycie technik polimorfizmu, szyfracji, ukrywanie kodu w często używanych innych rodzajach plików – pdf, ms office, pliki video, itp.), wykorzystywanie różnych kanałów komunikacji z Command and Control Servers ataki te są praktycznie niewykrywalne przez rozwiązania zabezpieczające bazujące na sygnaturach, heurystyce, czy korzystające z serwisów reputacyjnych, czyli te, które wykorzystują do działania wcześniej znane i opisane cechy ataku.

Najbardziej nagłośnionymi atakami nowej generacji są tzw. ataki APT (advanced persistent threats) i TPT (targeted persistent threats), które były skierowane przeciwko największym firmom i organizacjom na świecie, a także instytucjom rządowym – dla przykładu ataki znane pod nazwami Operacja Aurora, Stuxnet, Night Dragon. Ataki nowej generacji są także wiązane z koncepcjami tzw. cyberwojen między państwami, haktywizmem i cyberterroryzmem.

Zródła:

http://www.ipblog.pl/2013/02/technologie-mobilne-wybrane-aspekty-praktyczne-i-prawne-czesc-2/

http://www.kylos.pl/blog/paas-programowanie-w-chmurze/

„Usługi Przetwarzania w chmurze” HAKIN9 6/2010 Aleksander Ćwikliński

„Cloud Security and Privacy” by Tim Mather, Subra Kumaraswamy, and Shahed Latif ISBN: 978-0-596-80276-9

“Attack Types and Intrusion Detection Systems in Cloud Computing” by U. Oktay and O.K. Sahingoz September 2013

http://en.wikipedia.org/wiki/Port_scanner

http://websecurity.pl/fireeye-wywiad/

http://pl.wikipedia.org/wiki/Chmura_obliczeniowa

[1] ITIL – Information Technology Infrastructure Library

[2] OCG – Office of Government Commerce

[3] COBIT – Control Objectives for Information and related Technology

[4] ISACA – Information Systems Audit and Control Association

[5] KPI – Key Performance Indicator/Kluczowy wskaźnik efektywności

[6] SLA – Service Level Agreement/Umowa świadczenia usługi

[7] SSL – Secure Socket Layer

[8] VPN – Virtual Private Network/Wirtualna Sieć Prywatna

[9] Usługa Zarządzanie interfejsami API pomaga chronić systemy o znaczeniu krytycznym dla firmy za pomocą uwierzytelniania, ograniczania szybkości, przydziałów i buforowania. Dzięki tym funkcjom firmowe systemy bez problemów działają nawet pod dużym obciążeniem. Świadomość faktu, że dostęp do firmowych interfejsów API mają tylko partnerzy, deweloperzy i aplikacje autoryzowane przez właściciela tych interfejsów oraz że te grupy postępują zgodnie z zasadami firmowymi, daje poczucie spokoju.

[10] HTTPS (ang. Hypertext Transfer Protocol Secure) – szyfrowana wersja protokołu HTTP. W przeciwieństwie do komunikacji niezaszyfrowanego tekstu w HTTP klient-serwer, szyfruje go za pomocą protokołu SSL. Zapobiega to przechwytywaniu i zmienianiu przesyłanych danych. Oraz http – Hypertext Transfer Protocol

HTTPS działa domyślnie na porcie nr 443 w protokole TCP. Wywołania tego protokołu zaczynają się od https://, natomiast zwykłego połączenia HTTP od http://. Protokół HTTPS jest warstwę wyżej (na transporcie SSL), najpierw następuje więc wymiana kluczy SSL, a dopiero później żądanie HTTP. Powoduje to, że jeden adres IP może serwować tylko jedną domenę lub też tylko subdomeny danej domeny (zależnie od przyznanego certyfikatu).

[11] Uwierzytelnianie polega na sprawdzaniu poświadczeń próby połączenia. Proces ten obejmuje przesłanie poświadczeń z klienta dostępu zdalnego na serwer dostępu zdalnego w postaci zwykłego tekstu lub w formie zaszyfrowanej, przy użyciu protokołu uwierzytelniania.

[12] Autoryzacja polega na sprawdzaniu, czy próba połączenia jest dozwolona. Autoryzacja ma miejsce po pomyślnym uwierzytelnieniu.

4 komentarze

  • Dzień dobry. Widzę że prowadzisz blog o 'webmasteringu’, ale ale… może warto zacząć od wpisu w którym pokażesz że nie wszystkie czcionki posiadają polskie znaki i jak wybrać te które posiadają bo bez nich strona prowadzona w języku polskim wygląda krótko mówiąc tragicznie. Pozdrawiam.

    • Witam serdecznie! Zapewne chodzi Ci o font. W dodatku wydaje mi się, że ironizujesz. Możesz skonkretyzować ?

        • Nie nie można:) I zapraszam na bardzo ciekawą stronę http://fontnieczcionka.pl/ Niestety problemem w tym przypadku musi być rodzaj przeglądarki. Może problem ze starym IE albo Safari.W przypadku Chroma i najnowszego IE występują wszystkie znaki. Mimo wszystko dziękuję za informacje. Pozdrawiam

Dodaj komentarz