ÚPVII Pracovná skupina K9.7 Vládny cloud


#61

Chceme certifikovat aj PaaS sluzby (nie len SaaS) a to co najskor. Prave preto aby kym urobi MV tie svoje, tak sa dalo nieco aj robit (rozumej - realizovat rozbehnute OPII projekty).


#62

A uz je niekde napisane co zahrna ta certifikacia?


#63

Pripravuje sa to, a pôjde to cez výnos o štandardoch. Takze tu sa to ešte opripomienkuje. V kocke - bude to o viac leveloch (niečo na spôsob úrovni bezpečnosti), pričom v tom najnižšom to má byť “self assesment” cez sadu otázok (questionaire ako napr. CSA). Aby to bolo pre jednoduchšie služby ľahké, a zbytočne to nedvíhalo ceny služieb (keď by si csp započítaval cenu drahej certifikácie do ceny služby). Zase na druhej strane to musí byť serióznejšie pripravené aby tam nespadli blbosti čo budú mat problém napr s gdpr.


#64

@rho pokracujem odtialto RedFlags: Redizajn siete GOVNET

Ak spravme pozeram key vaulty azure/amazon/gcloud tak, aby bolo mozne pouzit SaaS sluzbu podla NASESu je potrebne:

  1. aby ten keyvault vedel generovat kluc na certifikovanom zariadeni (lebo inak si neviem prestavit ako tam privatny kluc niekto bezpecne donesie)
  2. aby SSL cert bol vygenerovany tiez na tomto HSM module (ak spravne pozeram, tak toto vie len azure) alebo sa spravi VPC cez IPSec tunel, tiez pomocou kluca generovaneho v CloudHSM (co stoji cca 1300$ mesacne)

Toto peklicko nam zabezpecuje len to, ze po ceste to nikto nebude “odpocuvat”. Predpokladam, ze na samotnu aplikaciu bude potrebna dalsia certifikacia (encryption at rest…).

Najvacsi problem vidim v tom, ze podla NASES neverime SSL certifikatom generovanym mimo HSM a IPSec tunel drviva vacsina sluzieb pokial viem nema. Takto si odrezeme kopec sluzieb, ktore by boli inak pouzitelne.

Uz je niekde navrh ako to bude fungovat? Existuje nejaka klasifikacia kedy treba riesit toto a kedy to netreba?


#65

O takom návrhu neviem. A keďže som prestal kooperovať s upvii, bude menovaný aj niekto iný na skupinu cloud.


#66

#67

Ucast na hiringoch SU je inspirujuca. Napriklad dnes som sa dozvedel, ze vladny cloud sa neda pouzit lebo:

  • nie je GDPR compliant (what?)
  • nema bezpecnostny projekt (what?)
  • limit na data je 2TB, niektore projekty potrebuju 10TB. (Podotykam, ze toto je dovod, aby sa u konkretne regulacneho uradu nakupila vlastna vitualizacna platforma, vlastny hw, vlastna prevadzka)

#68

limit na data je 2TB, niektore projekty potrebuju 10TB. (Podotykam, ze toto je dovod, aby sa u konkretne regulacneho uradu nakupila vlastna vitualizacna platforma, vlastny hw, vlastna prevadzka)

2 TB je limit na jeden disk alokovany z pola (teda jeden device, ktory vidi VM). Takych mozes mat ale pre jednu VM alokovanych mnoho (napr. v linuxe to cez LVM spojis dokopy) - takze to v reale ziadny problem nie je. Tento limit je tam aj kvoli obnovam a DR (lahsie sa obnovuje 2TB autonomny blok ako 50TB blok). O tomto sa vie uz od roku 2015, takze ak niekto toto pouzil ako argument - tak <|>


#69

:joy:
Pamätám pár rokov dozadu, keď vládny cloud bol len vízia, ako MF robilo priekum na ministerstvách v duchu “čo by ste povedali na vládny cloud a prevádzku vašich systémov v ňom?”.
Odpoveď bola, “ako by ich jedna mater mala”. Všetci odpovedali v duchu, aká je to úžasná myšlienka, ako ušetrí peniaze,… ALE zrovna náš rezort do vládneho cloudu bohužiaľ nemôže ísť, pretože my sme proste špeciálny rezort :slight_smile:
V posledných týždňoch sa množia vyhlásenia v duchu “radi by sme do vládneho cloudu, ale nemôžeme, pretože…”. Ak si položíme otázku klasika “komu tím prospějete?”, tak možné odpovede sú:

  • končia doby udržateľnosti projektov OPIS a je potrebné rýchlo nakúpiť nejaké to železo a systémové licencie v duchu “rychlé prachy”
  • vládny cloud “potrebuje” nejakú masívnu investíciu a hľadajú sa argumenty pre podporu.

Pritom 2TB je hromada miesta. Ak nepotrebujeme ukladať CT snímky alebo 4K videá, budeme sa držať stratégie informatizácie a platnej legislatívy, teda budeme ukladať len štruktúrované dáta, nemáme problém… Úloha zo základnej školy:
Ak 100 úradníkov zadáva cez klávesnicu údaje 6 hodín denne, koľko rokov potrebuje na zaplnenie 2TB disku?
Doplňujúca otázka: máme na Slovensku informačný systém do ktorého 100 úradníkov ďatluje 6 hodín denne?


#70

https://aws.amazon.com/outposts/

Ajajaj.