Tavaly év végén írtam egy posztot arról a Tripwire cikkről, amiben 12 biztonsági szakértő vázolta, hogy milyennek látják az ICS biztonság jövőjét 5-10 éves időtávon. Ezekben a válaszokban az egyik várakozás az volt, hogy az ICS rendszerek egyre több ponton fognak kapcsolódni felhős alkalmazásokhoz, például az ipari folyamatirányítással kapcsolatos adatok felhős alkalmazásokkal történő feldolgozása során.
A poszthoz több hozzászólás is érkezett, egyrészt nem tagadva ezt a tendenciát, másrészt viszont erősen helytelenítve az ICS rendszereké és a felhős megoldások egyre szorosabb kapcsolatát.
Először is röviden érdemes átnézni, hogy mire is gondolunk, amikor felhőről beszélünk (ezt csak nagyon röviden, mert ez a téma nem igazán vág a blog profiljába).
Egyrészt vannak publikus, privát és hibrid felhők. Publikus felhőszolgáltató többek között a Microsoft, a Google vagy az Amazon, akik erőforrásokat bocsátanak az ügyfeleik rendelkezésére, privát felhőt pedig gyakorlatilag bármilyen megfelelő infrastruktúrával rendelkező vállalat építhet magának a saját belső hálózatát vagy akár az Internetet felhasználva ehhez - jellemzően ezt azért világszinten is jelentős multinacionális vállalatok szokták megtenni. A hibrid felhő a két előző megoldásnak valamilyen keveréke.
Másrészt ma már szinte bármivel kapcsolatban találhatunk "as-a-Service"-ként hivatkozott, felhős megoldást. A leginkább elterjedtebbek mindmáig az infrastruktúra, mint szolgáltatás (IaaS, Infrastructure-as-a-Service), a platform (Paas, Platform-as-a-Service) és a szoftver (SaaS, Software-as-a-Service), de gyakorlatilag tényleg bármi lehet felhős szolgáltatás, nemrég láttam már Recovery-as-a-Service vagy Identity-as-a-Service szolgáltatásokat is (a Wikipedián a poszt írásának pillanatában 56 különböző szolgáltatást sorolnak fel az Analytics-as-a-Service-től a Unified Communications-as-a-Service).
Én kb. 10 éve gondolom úgy, hogy az ipari szervezetek esetében sem ördögtől való gondolat a felhős alkalmazások használata, de előbb minden esetben alapos kockázatelemzést tartok fontosnak. Azokban az esetekben, amikor a felhőben tárolni szándékozott adatok esetében a bizalmasság nem szempont (vagy egyenesen nem értelmezhető, például jogszabályi kötelezettség miatt publikált adatok esetén), a felhő komolyabb kockázatok nélkül biztosíthat olyan rendelkezésre állást, amit az adott szervezet csak magasabb ráfordítások mellett tudna elérni.
Nyilván vannak olyan adatok, amiket nem vagy csak jelentősen komolyabb biztonsági kontrollok mellett lehet, szabad vagy érdemes a felhőben tárolni vagy feldolgozni, de már talán az előző példa is megmutatja, mennyire bonyolult lehet a kérdés.
Külön kell kezelni azokat az eseteket, amikor egy adott gyártó már nem igazán ad lehetőséget nem-felhős megoldás használatára. A legjobb példának a Microsoft Key Management Service (KMS) rendszerét ma már nem lehet felhő nélkül használni. Ha pedig belegondolunk, hogy a Microsoft Windows operációs rendszer-családja mennyire elterjedt bizonyos ICS gyártók termékeinél, rögtön láthatjuk, hogy vannak és lesznek olyan ICS rendszerek, ahol nem igazán lesz kérdés a jövőben, hogy az adott rendszernek lesz-e (akár csak közvetetten is) köze felhős megoldásokhoz.
Azoknak, akik egy ideje már olvassák a blogot, nem lehet túl meglepő, hogy én személy szerint nem vagyok híve annak, hogy az ICS rendszereket Internet-kapcsolattal lássuk el és ebből egyenesen következik, hogy az ICS rendszerek felhős kapcsolatait sem tartom kifejezetten jó ötletnek. Tekintettel azonban arra, hogy láthatóan nem lehet majd teljesen távol tartani a felhős megoldásokat az ICS rendszerek világától, mindenképp hasznosnak tartom beszélni a témáról, azon túl is, hogy miért nem tartjuk jó ötletnek a felhő és az ICS rendszerek kapcsolatát.
