By 
Недавно меня попросили прокомментировать результаты исследования, посвященного вопросам безопасности «облаков». Поскольку респондентов из России не было, что неудивительно — рынок публичных «облаков» только формируется, я задумался о том, какие требования к безопасности предъявляют российские потребители. Ведь именно эти пионеры во многом определяют облик данной услуги. Проанализировав наш опыт, я сформировал четыре основных пункта, на которые распадается вопрос безопасности «облаков». Предлагаю в ближайших двух постах подробно разобраться с ними. Степень доверия к провайдеру, как к компании, включая степень доверия к тем обязательствам о соблюдении конфиденциальности, которые прописаны в договоре на оказание услуг.
Обычно, когда говорят о безопасности в «облаках», подсознательно имеют в виду различные технические средства ее обеспечения. Думаю, для читателя не станет откровением тот факт, что какие бы совершенные технические средства ни существовали для разграничения данных одного заказчика от другого, в конечном счете ими управляет провайдер. Это значит, что всегда найдется техническое средство, которое позволит ему заглянуть в инфраструктуру. Например, мы рекомендуем своим заказчикам при передаче данных в «облако» для безопасности зашифровать их собственными ключами. И в целом считаем, что этого достаточно. Но если задаться целью, то можно придумать сценарий, правда, более подходящий для фильма о ЦРУ, когда сотрудник провайдера может завладеть данными даже при таких условиях. И потому гораздо важнее технических средств доверие к компании-провайдеру. Эта компания, прежде всего, должна быть партнером, который, гарантировав конфиденциальность данных, действительно обеспечит ее.
Аналогичная ситуация на рынке аутсорсинговых дата-центров. Например, у нас около 80% заказчиков на collocation — банки. Для рынка это нонсенс. Ведь финансовые организации наиболее пристально относятся к вопросам безопасности. Об этом, в частности, свидетельствует огромное количество самых разнообразных средств обеспечения безопасности, которые они установили на нашей площадке. Но сам факт говорит за себя: компания КРОК долгие годы работает с банками, является для многих из них одним из основных поставщиков ИТ-услуг и решений. Отношения подтверждены годами успешной работы, поэтому нам доверяют информационные системы.
Элемент доверия в «облаках» — основа основ, без этого нельзя.
Следующий пункт: реальные технические средства обеспечения безопасности данных.
Несмотря на сказанное выше, конечно, без технических средств обеспечения безопасности не обойтись. Они могут быть самыми разными, и лучше, если они затрагивают сразу три области: защита периметра сети и виртуальной инфраструктуры от атак снаружи, обеспечение безопасности внутри самой облачной инфраструктуры и, наконец… А что же третье?
Важно понимать, что в «облаке» к обеспечению безопасности нужен более внимательный подход, чем в традиционной среде. Безусловно, провайдер обязан обеспечить защиту периметра сети и виртуальной инфраструктуры, но вот прикладные системы в инфраструктурном облаке —ответственность заказчика.
И эта задача требует большого внимания, ведь системы, перенесенные в «облако», становятся на шаг ближе к опасной среде, к Интернету. Любая неосторожность может привести к тому, что извне в эти системы будет осуществлено проникновение, причем независимо от той защиты, которую провайдер обеспечивает на периметре сети и внутри виртуальной платформы.
Например, когда система стоит в центре обработки данных компании, без доступа в Интернет, ее могут почти никак не защищать. А если завтра систему перенесут в «облако» и, скажем, неосторожный администратор со стороны заказчика дает к ней доступ извне, через Интернет? Вероятность ее взлома зависит только от сложности пароля, назначенного на административную учетную запись. Если пароль простой, то никакое «облако» со всеми средствами защиты, которые обеспечивает провайдер, не отследит факта взлома. Все просто — для «облака» это будет легальный вход в систему по паролю. А на самом деле это уже будет хакер, подобравший пароль и получивший контроль над прикладной системой заказчика.
Поэтому при переходе в «облако» компании должны понимать, что требуется несколько иной, более глубокий уровень внимания к обеспечению безопасности своих прикладных систем. Даже если провайдер обнесет высоким забором инфраструктуру, без внимания заказчика к безопасности собственных прикладных систем, возникнут проблемы, которые в облачной среде станут очевидны гораздо быстрее.
Надеюсь, я не слишком разочаровал вас в «облаках». За безопасностью информационных систем нужно следить независимо от современных технологических тенденций. А «облака» лишь дополнительно мотивируют заниматься этим.
В следующем посте я подробнее остановлюсь на двух оставшихся вопросах:
— аудируемость «облака» независимой и, главное, доверенной компанией на предмет соблюдения требований конфиденциальности данных;
— степень зрелости компании-заказчика в части работы с данными и готовности переносить эту работу в «облако».
… [Trackback]
[…] Read More on to that Topic: portaltele.com.ua/articles/network-technology/lr-86.html […]