Google Apps/Bezpečnost

Z HelpDesk
Under construction icon-red.png Tato stránka není ještě hotová

 Text není kompletní nebo aktuální nebo se vztahuje k teprve připravované službě. Používejte jen na vlastní nebezpečí.

Základem bezpečnosti je v dnešní době mít patřičně chráněné osobní účty napříč internetem. Základním způsobem ochrany je samozřejmě silné heslo, které je důležité pravidelně obměňovat, aby nedošlo k jeho prolomení, což by mohlo vyústit nejen ke ztrátě vlastních dat, ale v krajních mezích taktéž ke ztrátě identity či k vydírání. Důležité je taktéž číst smluvní podmínky poskytovatelů, ze kterých lze zjistit, jak bude poskytovatel nakládat s mými osobními údaji a popřípadě daty, která prostřednictvím různých služeb vložíme na internet. Tento článek, respektive návod, má za úkol seznámit vás s bezpečností služeb Google ať pro osobní tak pro podnikové použití.

Způsoby přihlášení

Přihlášení se k účtu Google je pro osobní použití jiné než pro Google apps spravované univerzitou. Univerzita volí ověření pomocí hesla skrze síťový autentizační protokol Kerberos a konto Orion. Běžný účet Google využívá defalutně ověření pomocí hesla, ale je možné a doporučené využít vícefaktorové ověření uživatele.

Smluvní podmínky společnosti Google

Pokud chceme využívat služeb Google prostřednictvím jejich účtu, je nutné při jeho založení souhlasit se smluvními podmínkami, které jsou velmi obsáhlé. Následující odkaz Vás zavede na stránku, kde se lze seznámit se zajímavostmi, které jsou ve smluvních podmínkách obsažené a také Vám poradí, kde si lze smluvní podmínky přečíst.

Napadení účtu Google

Napadení účtu Google je závažný problém, který je nutné neprodleně řešit, především pokud se jedná o účet služeb Google Apps. Může dojít k úniku informací z organizace, která tím může přijít o data a případně o finanční prostředky. U jednotlivců je ztráta kontroly nad účtem taktéž problém, především pokud se jedná o uživatele, který účet aktivně používá. Společnost Google bere tyto hrozby velmi vážně a snaží se jim předejít pomocí zabezpečovacích mechanismů typu vícefaktorové autentizace, kontroly aktivity služeb nebo vyhledáváním podezřelé aktivity.


Způsob uložení dat v Google Apps

Veškerá data, která jsou některou aplikací z rodiny Google Apps zpracována (tzn. uložena, odeslána, sdílena…) jsou uchovávána pomocí tzv. cloudových služeb. Nejde přesně určit geografická poloha uložených dat, protože společnost Google k ukládání používá soustavu serverů, které jsou umístěni v různých datových centrech společnosti Google napříč celým světem.

Mapa datacenter.jpg

K tomu slouží distribuovaný souborový systém, který byl navrhnut na ukládání velkého množství dat do velkého počtu počítačů, popřípadě serverů. Strukturovaná data jsou posléze uložena v distribuované databázi, která je vytvořena nad již zmíněným souborovým systémem. Data uspořádána v blocích jsou ukládána duplicitně, aby se předcházelo možné ztrátě dat při selhání některé z mnoha částí systému. Tyto bloky jsou individuálně zašifrovány, náhodně pojmenovány, aby byla zachována jejich anonymita a navíc nejsou ukládána v podobě, která by byla pro člověka srozumitelná.

Gfs architektura.jpg

Přenosy dat mezi uživatelem a servery probíhá zásadně šifrovaně, kdy se využívá protokolu HTTPS/TSL, kdy RSA certifikáty obsahují klíče o velikosti 2048 bitů. Tyto klíče jsou používané po krátké období (v řádech dnů) a pak jsou obnoveny. Další ochranou dat je globální síť společnosti Google, kterou využívá ke komunikaci mezi svými pracovišti a k přenosu dat mezi datovými centry. Síť je tvořena jak privátními, tak veřejnými a podmořskými linkami a je hustě propojena, aby byla zajištěna vysoká dostupnost služeb. Data jsou nejzranitelnější při průchodu veřejnými sítěmi, kdy Google nemůže garantovat jejich bezpečnost, a tak většina této komunikace probíhá skrze privátní linky, kde je několik vrstev ochrany proti útoku. Například je dostupná jen pro autorizované služby a protokoly a veškerý provoz na síti probíhá skrz GFE (Google Front End) servery, které mají za úkol detekovat podezřelé požadavky a DDoS útoky. Navíc tyto servery mají interně definovanou množinu serverů, se kterými mohou komunikovat.

Jaká data ukládat

Jelikož není známo, kam jsou naše data ukládána, a protože sdílením dat dáváme společnosti Google celosvětově platnou licenci k používání těchto dat pro propagaci a vylepšování služeb, nedoporučuje se skrze internet posílat data, která mohou obsahovat citlivé údaje nebo knowhow. Google Apps mohou výborně sloužit k předávání znalostí uvnitř organizace nebo skupiny, ale jako nástroj na ukládání firemních dat v otevřené podobě je nevhodný, stejně jako ostatní cloudové služby. Proto je doporučené při posílání dokumentů, nebo jiných objektů využívat šifrování již na uživatelské úrovni a nespoléhat jen na šifrování, které je používané implicitně při přenosu dat. Je to další krok k zajištění integrity dat a myslím, že není obtížné tento krok realizovat.

Obnova ztracených dat z Google Apps

Jak se lze dočíst v licenčních podmínkách, společnost Google se v rámci platných právních předpisů zříká odpovědnosti za ztrátu dat. To znamená, že když dojde ke ztrátě vašich dat, které pomocí některé ze služeb Google Apps sdílíte, nebo je prostřednictvím těchto služeb máte uložené na cloudovém úložišti, tak tato data nemá společnost Google povinnost obnovit, či vás jakkoliv odškodnit. Proto je vhodné pravidelně provádět vlastní zálohu těchto dat. V praxi však společnost Google nabízí pro běžné vlastníky Google Apps dvě možnosti, jak obnovit data.

  1. Obsahují vestavěné funkce na obnovu dat z úložiště, které jsou vhodné pro obnovu menšího množství dat. Množství dat je právě velkým omezením, protože uživatelský Koš má omezenou kapacitu a tak může dojít k permanentní ztrátě uživatelských dat. Proto se využívá spíše při nechtěném odstranění některých dat uživatelem, než při ztrátě dat, které bylo způsobeno technikou. Tyto funkce jsou však limitovány následujícími podmínkami:
  • Maximálně lze obnovit data, která byla ztracena před 30 dny a to jen v případě emailových konverzací. Uživatelská data v Koši jsou uchovávána jen po dobu 25 dnů.
  • Nelze zvolit konkrétní soubory pro obnovu a ani je procházet. Obnovit lze buď všechny soubory nebo žádné.
  • Nastavení sdílení není zálohováno a musí být tedy uživatelem znovu nastaveno.
  • Je potřeba asistence administrátora, protože běžní uživatelé nemají k těmto službám přístup.

Google Apps obsahují dvě funkce sloužící k obnově dat a to:

    1. Nástroj umožňující administrátorům Google Apps obnovit smazaná data z Google Drive pomocí uživatelských Košů. Tato možnost je dostupná jen pro data, která byla smazána maximálně před 25 dny.
    2. Email Audit API, která slouží k obnově emailových komunikací až 30 dní zpětně.
  1. Google Valut je druhá možnost obnovy ztracených dat. Výhodou je možnost obnovy jen určitých souborů, což u předchozí možnosti nebylo možné, ale nevýhodou je opět omezení podmínkami:
  • Lze obnovit jen aktuální verze souborů.
  • Vyžaduje asistenci administrátora.
  • Je nutné data nejprve exportovat do souboru a posléze při obnově tento soubor naimportovat.
  • Nastavení sdílení není zálohováno a musí být tedy uživatelem znovu nastaveno.
  • Nelze použít, pokud je smazán účet Google
  • Jen pro aplikace Google Drive a Gmail

Je tedy žádoucí nespoléhat se pouze na systém ukládání společnosti Google, který by měl ztrátě dat předcházet a uživatel by se o ní neměl ani dozvědět, a zálohovat si veškerá data na záložní média. Uživatelé neomezené verze Google Apps mají k dispozici tvorbu auditů a záloh, ze kterých lze obnovovat ztracené soubory.

Zdroje