Bezpečná dálnice do cloudu

Petr Stejskal Aimtec
28. 5. 2019 | 4 minuty čtení

Cloud
Článek

Momentka z typické haly – skladem se rozléhá pípání čteček a bzukot tiskáren. Operátoři skenují čárové kódy a tisknou samolepicí etikety, které pak aplikují na balení s materiálem nebo hotovými výrobky. Data proudí mezi čtečkou/tiskárnou a serverem rychle, bezpečně a bez jakékoliv pozornosti uživatelů. Alespoň v případě on-premise řešení. Jak je to ale s připojením zařízení do cloudu?

Komunikace v současné době probíhá v drtivé většině případů přes vlastní počítačovou síť zákazníka. Data se tak nikdy nepodívají za zdi haly do nebezpečného světa internetu a proudí pouze po vlastních bezpečných drátech. Díky tomuto pocitu bezpečnosti se stále i v moderních informačních systémech používají starší nezabezpečené komunikační protokoly – například znakový Telnet nebo klasické HTTP pro webový prohlížeč. To se však v cloudovém světě musí zcela změnit.

Rizika nezabezpečené komunikace

Při využití cloudových služeb už informační systém neleží na „domácí“ půdě ve vlastní serverovně, ale přistupuje se k němu přes otevřený a nezabezpečený internet, kde se vyskytuje velké množství potenciálně rizikových faktorů. Při využití nezabezpečené komunikace mezi klientem (mobilní čtečka, tiskárna nebo také vaše PC) a informačním systémem na serveru je hlavním rizikem krádež nebo manipulace s daty. Podniková data se stávají stále cennějším zbožím, a poslat tak informace přes nezabezpečený protokol je podobné, jako kdyby vám vaše banka poslala PIN ke kartě na pohlednici.

Druhým hlavním rizikem je potenciální zpřístupnění informačního systému prakticky každému uživateli internetu. Dokud byl systém na vašem serveru, nikdo zvenku se k němu nemohl dostat. Cloudové nástroje a systémy jsou však dostupné téměř každému. A to vyžaduje mnohem větší bezpečnostní opatření.

Zabezpečení cloudových řešení

Vývojáři IT technologií si jsou bezpečnostních rizik velmi dobře vědomi, a tak na každé riziko existuje protiopatření. Na krádež nebo manipulaci s daty míří především šifrování komunikace. To je proces, kdy z čitelné informace uděláte na první pohled naprostý nesmysl, kterému porozumí pouze druhá strana, která zná dešifrovací klíč. Šifrování si běžný uživatel nevšimne, probíhá pouze mezi softwary.

Mezi jeden z nejpopulárnějších komunikačních protokolů v rámci počítačových sítí dnes patří HTTP. I přesto, že byl původně vyvinut pouze pro zobrazování webových stránek, dnes je de facto využíván jako přenosové médium i pro jiné aplikace. Řešením pro cloudové nástroje je jeho zabezpečená varianta HTTPS, která nejenže zajistí šifrování přenášených dat a jejich trvalou integritu (potvrzení, že s nimi nikdo během cesty nemanipuloval), ale také ověření identity druhé strany. Když tedy odešlete přes HTTPS například EDI zprávu nebo transakci do WMS systému, máte jistotu, že přesně víte, s kým komunikujete, a zároveň, že data v transakci nebo EDI zprávě nikdo nezmění a nepřečte si je.

Zabezpečení komunikace v aimtec.cloud

V rámci řešení aimtec.cloud používáme HTTPS protokol k připojení nejen mobilních terminálů, ale také koncových PC, případně dotykových panelů. Mobilní terminály využívají HTTPS spojení v rámci nativní Android aplikace DCIx Touch Client, která je vlastním vývojovým produktem Aimtecu. Uživatelé počítačů používají svůj standardní webový prohlížeč, webová adresa ale vždy začíná písmeny „https“ místo „http“, jak je dnes již standardem pro většinu webových stránek. To samé platí i pro dotykové panely, obvykle umístěné ve výrobních prostorách sloužících k odvádění výroby.

HTTPS je možné v některých případech využít také pro odeslání tiskových úloh na tiskárnu. Standardně by server umístěný v cloudovém datovém centru neměl žádný přístup k tiskárně, která leží na stole vedle vás a je připojena pouze do lokální podnikové sítě. Pro tisk etiket nebo zákaznických dokumentů z platformy aimtec.cloud je však možné použít moderní protokol IPP, který využívá HTTPS pro přenos dat, a tím i veškerých jeho bezpečnostních vlastností.

Ideálním řešením tisků je však definice zabezpečeného tunelu pomocí VPN. Představuje bezpečnou cestu dat i přes veřejný internet a oběma stranám dává plnou možnost kontroly nad pravidly datového toku. V ideálním případě je zřízeno VPN spojení mezi datacentrem a sítí zákazníka pouze v jednom směru (z cloudu k zákazníkovi) a na přesně danou sadu koncových bodů (tiskáren). Tím je eliminováno riziko hrozící z potenciálního vystavení tiskáren na internet.

Druhý zásadní bezpečností problém, kterým je spolehlivá autentizace, řeší především správně nastavená politika hesel a práce s nimi. Platforma aimtec.cloud pracuje s hesly jako s velmi citlivými údaji – jsou šifrována a politika práce s nimi vyžaduje určitou minimální délku, prevenci opakování nebo omezenou platnost a zablokování účtu v případě několika neúspěšných přihlášení. V návaznosti na použitou funkci je také možno využít provázání na Microsoft Active Directory, a správu uživatelů tak ponechat centralizovanou.

Při vývoji platformy aimtec.cloud je bezpečnost jednou z hlavních priorit. Zabezpečení komunikace mezi klientem a serverem je pouze jedna z oblastí, kde jsou aplikovány nejmodernější přístupy ke komplexnímu řešení celého systému. Díky tomu je platforma velmi modulární, zcela zabezpečená, ale zároveň plně otevřená potřebné komunikaci s okolím.