"Avalik või privaatne pilveteenus?"

From EIK wiki


Pilveteenuste mõiste ja lühike ajalugu[1]

Mis on pilveteenus?

Pilveteenusteks võib üldiselt nimetada kõikvõimalikke üle interneti pakutavaid teenuseid.

Cloud Computing[2]

Mõiste pilveteenused "cloud computing" [3] juured ulatuvad tagasi 1969 aastasse, kui Joseph Carl Robnett Licklider [4] käivitas ARPANETi[5] arenduse. Tema visioon oli, et kõik kasutajad oleksid planeedil ühendatud ja pääseksid andmetele ja programmidele juurde igalt poolt ja igal ajal. Licklider võttis kasutusele mõiste Intergalactic Computer Network[6].

Intergalactic Computer Network[7]


Mõned eksperdid omistavad algupärast pilve visiooni arvutiteadlasele John McCarthyle, kes pakkus välja idee, et arvutiressursse pakutakse riikliku teenusena – nagu elektrit või vett. Tõsisem pilvetehnoloogiate areng toimus 1990-ndatel, kui andmeedastuskiirused oluliselt kasvasid.


Järgmine areng toimus 2002 aastal kui turule tuli Amazon Web Service, mis pakkus pilvetee andmete hoidmine, arvutus ja isegi tööjõu vahendus Amazon Mechanical Turk. [8]


Aastal 2006 tõi Amazon turule Elastic Compute Cloud (EC2) nimelise toote, mis pakkus väikeettevõtetele ja eraisikutele arvutusvõimsuse renti, mille sai jooksutada oma rakendusi.


Amazon EC2/S3 oli esimene laialdaselt juurdepääsetav pilve infrastruktuuri teenus, mis pakkus SaaS[9] online video platvormi Ühendkunigriigi TV jaamadele ja ajalehtedele.


Järgmine suurem verstapost tuli 2009 aastal koos Web 2 tulekuga, kui Google ja teised hakkasid pakkuma brauseripõhiseid ärilahendusi näiteks läbi Google Apps teenuste.


Pilveteenuste põhitunnused ja eelised:

  • Iseteeninduslik ressursside valik: Lõppkasutaja saab ise valida missuguseid ressursse ta vajab ja neid jooksevalt muuta, mis vähendab ettevõtte enda süsteemiadministraatorite järele.


  • Paindlikkus: Ressursse saab vajadusel kasvatada ja ka vähendada vastavalt vajadustele ning ei pea muretsema tühjalt seisma jääda võivate investeeringute pärast.


  • Maksa selle eest mida tarbid: Tarbijad saavad maksta ainult enda poolt tarbitud ressursside eest.


  • Töökindlus: Pilveteenuste pakkujad on reeglina hästi korraldanud teenuste töökindluse jaotades neid tihti ka mitmes regioonis.


  • Migratsiooni paindlikus: Ettevõtted saavad balansseerida koormust ja teenuseid erinevate asukohtade ja teenusepakkujate vahel, et kulusid või ligipääsetavust parandada.


Pilveteenuste rakendamise mudelid:

Pilveteenused võivad olla privaatsed, avalikud või hübriidteenused.

Privaatpilveteenused on ettevõtte andmekeskuse poolt siseseks kasutamiseks mõeldud teenused. Selline teenusemudel pakub mitmekülgset ja mugavat tulemust jättes kontrolli andmete ja turvalisuse üle ettevõttesse. Tuntumad privaat pilveteenused on VMWare, Openstack, KVM ja kõikvõimalikud NAS platvormid.


Avaliku pilveteenuste mudeli puhul pakub kolmas osapool teenuseid üle interneti. Teenuse mudeleid on väga palju, näiteks minutpõhine, protsessoripõhine, gigabaidi põhine jne.


Tuntumad avalikud pilveteenusepakkujad on näiteks Amazon Web Service, Microsoft Azure, IBM, Google Cloud Platform.

Hübriidpilveteenused

Hübriidpilve teenused on kombinatsioon avalikest pilveteenustest ja kohapealasuvatest pilveteenustest, mille vahel toimub mingisugune liidestamine ja automatiseeritus. Ettevõtted saavad jooksutada missioonikriitilisi ja tundlikke aplikatsioone ja andmekogusid kohapeal ja kasutada avalikku pilveteenust koormuspiikide puhul või suhtlemisel teiste osapooltega.


Hübriid pilve eesmärk on luua ühendatud, automatiseeritud, skaleeritav keskkond, mis kasutab avaliku pilve teenuseid ja eeliseid, kuid jätab kontrolli missioonikriitiliste andmete üle siiski ettevõttesse.

Hübriidpilve lahendusi kasutavad näiteks kõik haiglad ja (oma)valitsusasutused.


Haiglatel peab säilima töövõime ka peale avaliku teenuse kättesaamatuks muutumist. Selliseks näiteks on Haigla Info Süsteem HIS ja Tervishoiu Pildi Pank TPP.


Riigipilv

Eestis loodud teenus Riigipilv on Riigi Infokommunikatsiooni Sihtasutuse hallatav pilvekeskkond, mis võimaldab riigi institutsioonidele ja elutähtsa teenuse osutajatele mugavaid ja turvalisi pilvelahendusi. Riigipilve pilooti ehitab konsortsium, kuhu kuuluvad peale RIKSi veel Cybernetica, Dell EMC, Ericsson, OpenNode ja Telia.

Riigipilv[10]


Eesti Riigipilv on ehitatud järgides ISKE nõudeid, Eesti Vabariigi seadusandlust ning turvalise arenduse head tava.


Pilvekettad ja andmelekked

Era- ja väikeettevõtete põhiliseks vajaduseks on pilvepõhine salvestusruum. Eesmärk on jagada teiste kasutajatega informatsiooni või hoida andmeid enda tarbeks igalt poolt kättesaadavana pilves.

Suuremad salvesturuumi pakkujad on Dropbox, Google Drive, iCloud, Amazon S3, OneDrive.



Dropbox

Firma Dropbox[11], Inc. asutati 2007a. kahe Massachusettsi Tehnoloogiainstituudi üliõpilase, Drew Houston-i ja Arash Ferdows-i, poolt. Algselt kasutas firma failide hoius-tamiseks Amazon's Simple Storage Service serveris ning ainult metadatat(kellel on ligipääs failidele) Kellele need failid kuuluvad hoiti enda serveris.

Hiljem loodi Amazonile sarnane süsteem, ent oluliselt efektiivsema talletusega nimega Magic Pocket. Selle loomine võttis aega umbes 6 kuud ja testimine 8 kuud, aga alles kahe aasta pärast suudeti kogu info tõsta oma riistvara peale. Kuna oli vajadus kasutada eriotstarbelist riistvara, siis selgus, et Magic Pocket tarkvara ei ühildu ning see kirjutati uuesti ümber uues programmeerimiskeeles(algselt Google-i Go, aga kuna see oli väga mälu-nõudlik, siis mindi üle Mozilla Rust-ile). DropBox pakub lisaks failihoiustamisele ka reaalajas koostöö võimalust, näiteks Microsoft Office 365 teenust või nende loodud DropBox Paper.



2012 tabas firmat rünnak, mille käigus lekkisid internetti üle 68 miljoni kasutaja e-maili ja parooli[12]. Algselt väitis firma, et kätte saadi vaid e-maili. Hiljem selgus läbi Leakbase nimelise teenuse poolt Motherboard lehele saadetud andmebaasis olid ka paroolid. DropBox saatis peatselt ka laiali teated kasutajatele, et nad parooli ära muudaks.

Rünnak sai alguse sellest, et LinkedIn sotsiaalvõrgustiku rünnakust saadi ühe Dropboxi töötaja parool ning sellega pääseti ligi andmebaasile. Firma esindaja kommenteeris, et neile teadaolevalt pole keegi lekkinud infot kasutanud ja andmed on turvalised. Küberturbeeksperdid soovitavad kasutada paroolihaldureid genereerimaks unikaalseid salasõnu, ent ka nemad satuvad rünnakute ohvriks(OneLogin august 2016). Hetkel on parimaks soovituseks kahe-astmeline autentimine.


2014 väitsid häkkerid, et neil on teada ca. 7. miljoni kasutaja meiliaadressid ja paroolid[13] ning nõudsid nende eest lunaraha Bitcoinides. Pastebin lehel avaldati esialgu õrritamiseks „B“ tähega algavad kontod paroolidega ning iga maksega lisati veebi uued andmed. Dropbox reageeris uudisele väites, et neid pole rünnatud ning andmed on saadud läbi kolmandate teenusepakkujate ning väljatoodud kontode paroolid on aegunud. Samas tühistati kõikide Pastebin avaldatud kontode paroolid ning kasutajad pidid uued tegema.


Samal aastal tuli ilmsiks ka tarkvaraviga, mis teatud tingimustel kustutas kasutajate failid ära[14]. Nimelt kui klient kasutas vanemat programmi ning arvuti suleti, kui ta parasjagu valikulist sünkroniseerimist tegi, siis need failid kustutati jäädavalt. Firma reageeris kiiresti ja parandas vea, kuid andmeid polnud võimalik taastada ning ohvritele pakuti hüvituseks aasta tasuta teenust.


Google Drive

Google Drive on Google-i poolt arendatud pilveteenus, mis käivitus 24.02.2012. Teenust on kritiseeritud, kuna privaatsuspoliitika võimaldab Google-l kasutada andmeid loomaks uut sisu, näiteks suunatud reklaami. Sarnaselt DropBox-ile on ka Google Drive-l võimalik kasutada Microsoft Office 365 teenust ning on levinud erinevatel platvormidel. Tasuta on 15GB vaba ruumi, ent tuleb arvestada, et see jaguneb kõikide Google teenuste vahel(näiteks gmail, docs, photo).


2016 tabas androidi Gooligani rünnak[15]. Tegu oli nakatunud äppidega, mida tõmmati alla alternatiivsetest äpipoodidest. Seal on palju tasuta programme, mis teevad need poed atraktiivseks, aga alati ei suudeta äppide turvalisust kontrollida. Sihtmärgiks olid vanemad androidi versioonid ning üle miljoni kasutaja Google andmed saadi kätte.


Icloud

Icloud on Apple-i pilveteenus, mis käivitus 12.10.2011. Sarnaselt Google Drive-le pakub see võimalust hoiustada koopiaid telefonis olevatest piltidest ja failidest. Lisaks on ka võimalus leida ja näha oma telefoni asukohta, kui see on kaduma läinud ning kustutada kogu sisu eemalt. Apple kaevati kohtusse Arizona firma Icloud Communications poolt kaubamärgi rikkumise tõttu. Nõuti, et loobutaks nimest Icloud ning kahjutasu. Paari kuu pärast muutis Icloud Communications oma nime ning kohtuasjast loobuti. Teenus on saanud kriitikat, kuna andmeid ei krüpteerita enne sünkroniseerimist ning see võimaldab andmeid kaaperdada.


2014 lekkisid paljude naiskuulsuste isiklikud pildid, kes hoidsid oma andmeid Icloud-is[16]. Need avalikustati erinevates foorumites ning ka Twitteris. Erinevad tehnikablogid kahtlustasid, et Apple-i teenus, millega on võimalik oma telefoni asukoht leida, polnud kaitstud Brute Force rünnaku eest ning sellega pääseti ligi kuulsuste andmetele. Firma ise kommenteeris, et tegu oli suunatud ründega, mille nimi on phishing, kuid ei puudutanud võimalikku teenuseriket. Varsti peale andmete lekkimist väljastas Apple ka uuenduse, millega turvaauk parandati.


Amazon S3

Amazon S3 on pilveteenus, millega pakutakse andmete hoiustamist ja võimaldatakse veebilehtede majutamist. Teenus käivitus märtsis 2006 Ameerikas ning 2007 Euroopas. S3 tähendab Simple Storage Service. Kuna teenus on kasvanud väga suureks(seda kasutavad näiteks Netflix, Reddit, Pinterest jpt), siis on tekkinud ka palju katkestusi, nii looduse kui ka inimfaktori tagajärjel.


2017 lekkis suur kogus andmeid Dow Jones, Verizon ja Vabariiklaste parteist[17]. Viimast kirjeldatakse kui läbi aegade üht suurimat omataolist. Lekete põhjus oli valesti valitud Amazon S3 turvaseaded. Otseselt pole selles muidugi süüdi Amazon, vaid firma ja inimesed, kes kiirustades jätsid turvalisuse kahe silma vahele.


OneDrive

OneDrive on Microsofti poolt loodud teenus, mis käivitus 2007a. augustis. Teenuse nimi oli algselt SkyDrive, ent sattus kohtuvaidlusesse Ühendkuningriigis BSkyB teleteenuse osutajaga ning võitis kohtuasja. Kuigi algselt lubati otsus edasi kaevata, sellest siiski loobuti ning valiti uueks teenuse nimeks OneDrive[18]. OneDrive-i on kõvasti kritiseeritud, kuna ta jälgib pilves hoitavat materjali ning kui see läheb vastuollu Microsofti eeskirjadega, siis sisu kustutatakse ning ka konto võidakse sulgeda.


2010 teatas Microsoft, et andmeid nende BPOS (Business Productivity Online Suite)-st on alla laetud võõraste poolt[19]. Probleem parandati kahe tunni jooksul. Kõik sai võimalikuks vaid väga kindlatel tingimustel ja polnud mitte niivõrd häkkerite pahategu kuivõrd Microsofti möödalaskmine. Seda peetakse esimeseks suuremaks pilveteenuste andmete lekkimiseks.



LinkedIn


Kuigi LinkedIn ei tegele pilveteenuse pakkumisega, tasub see siiski välja tuua. 2012 said häkkerid kätte suure hulga kasutajate andmeid[20]. Kui esialgu saadeti välja paroolide lähtestamine 6,5 miljonile kasutajale, siis 2016 selgus, et tegelik kättesaadud kontode arv ulatus 165 miljonini. Paljud teenused (näiteks Netflix) võrdlesid oma kasutajate paroole lekkinutega ning vajadusel saatsid kasutajatele omapoolse paroolide lähtestamise. Samast lekkest sai alguse DropBoxi häkkimine, kuna sama parooli kasutati ka selles firmas.


Turvaintsidentide mõjud on avalike teenuste puhul oluliselt laiemad, kui esmapilgul paistab. Kuna kasutajad on reeglina laisad, siis ühe konto parooli lekkimine võib kergesti viia identiteedivargusteni ning teiste küberkuritegudeni.

NAS lahendused

Ühe enam kasutajaid leiavad ka personaalsed pilveteenused, mis on kasutajatel saadaval nii valmislahenduste, kui ka platvormidena.


Vabaplatvormidena on võiks esile tuua:


  • FreeNAS*
  • Tonido*
  • NAS4Free*
  • openmediavault*


Valmislahendused:


  • WD My Cloud
  • Seagate Personal Cloud
  • QNAP
  • Buffalo LinkStation
  • Apple AirPort Time Capsule
  • Synology DiskStation


Synology[21]

Synology on aastal 2000 Taiwanis loodud ettevõte, mis toodab NAS, IP valve ja võrguseadmeid. Synology põhitooteks võib pidada DSM (Disk Station Manager), mis on Linuxil põhinev Synology NAS-ide operatsioonisüsteem ja töötab ettevõtte poolt müüdava raua peal.


Synology DiskStation on praeguseks arenenud kaugelt enamaks kui võrguketas NAS. Selle peal on „karbist välja“ kohe kasutatavad 102 rakendust. Nende hulgas mailserver, VPN server, Cloudserver, VM manager jne. Lisaks tootjapoolsetele on tekkinud ka tugev kommuun ja kuna toote kasutajate arv pidevalt kasvab, siis on internetis piisavalt infot mis tahes küsimuste lahendamiseks.


Sellise toote eeliseks võib pidada väga intuitiivset kasutajaliidest, kuid samas on kõike võimalik teha ka käsurealt, kui see peaks paremini sobima. Kõikidel mudelitel on kogu ülesehitus põhimõtteliselt samasugune – erinevused on ainult vastavalt rauale võimaldatavad teenused näiteks VM. Hiljuti on sinna lisandunud Active Directory Server, mis on põhimõtteliselt MicroSofti AD.


Synology VM


DSM uuendamine käib vastavalt soovile kas käsitsi või automaatselt, et tagada ka vähemkogenenud kasutajatel elementaarne turvalisus. Kõiki neid teenuseid aitab jooksutada suur mudelivalik ja ka näiteks SSD cache:


SSD Cache



Synology DiskStation on võimeline sünkroniseerima andmeid ka teistest avalikest teenusest (Google, OneDrive, DropBox jne) saavutades sellega hübriidpilve lahenduse.


Cloud sync


Ühe tavalise kodukasutaja NAS maksab ca 450€. Lisaks 4*3TB Seagate IronWolf kettad 4*103€. Kokku 862€. RAID6 konfiguratsioonis on salvestusmaht 6TB. 1GB maksumus oleks sellisel juhul 0,14€.

1TB hind ühekordse investeeringuna 140€ - see on kolm aastat Amazoni teenust.

Kui mahtu palju või andmed delikaatsed tasub privaatne Synology Cloud kaalumist. Ühe paketina on Synology kaasas ka radioloogiliste, digitaalsete piltide arhiiv PACS.

Pilveteenuste hindade võrdlus

Pilveteenuste hinnad


Kokkuvõtteks

Kaasaegne elu kolib aina enam internetti ja pilveteenused on selle üks loomulik osa. See et meie ärid, identiteet, tegevused ja isiklik elu on kellegi kolmanda osapoole valduses nõuavad aina paremat digihügieeni põhimõtete järgimist.

Eelnevast tulenevad mõned soovitused pilveteenuste kasutamiseks:

  • Avalikus pilves ei tasu hoida liiga tundlikke andmeid.
  • Erinevatel kontodel peab kindlasti kasutama erinevaid paroole.
  • Võimalusel tuleks kasutada kaheastmelist audentimist.
  • Hübriidlahendused on turvalisemad ja soodsamad.
  • Suure hulga tehnilise informatsiooni või meediafailidega töötamise puhul on privaatsel pilvel olulised eelised kättesaadavuse seisukohalt - lokaalse võrgu kiirus, sõltumatus interneti ühenduse kiirusest, andmete turvalisus.
  • Kõiki andmeid ei tohigi avalikus pilves hoida. Näiteks delikaatsete isikuandmete kohta tasub uurida "andmekaitse inspektsiooni kodulehelt."

Viited