Облачная безопасность: сгущаются ли тучи над защитой данных?
Облачную безопасность сегодня считают одним из самых перспективных сервисов в интернете
Такие системы предоставляют большинство возможностей привычных систем ІТ-безопасности, вынося за скобки вопрос их физического размещения. Провайдеры облаков обещают защиту критически важной информации от кражи, утечки и потери. В этой статье мы разбираемся в том, насколько можно верить подобным обещаниям.
Вопросы безопасности данных давно касаются не только рядовых пользователей и крупных организаций. Просчеты возможны и на гораздо более серьезном уровне. В середине ноября проект по работе с рисками в киберпространстве UpGuard сообщил, что 1,8 миллиарда документов Пентагона оказались незащищенными – из-за банальной ошибки в настройках доступа. Информация, которая, впрочем, не содержала секретных данных, хранилась на трех публичных облачных серверах. Этот случай — еще один пример того, что даже организации такого уровня, которые работают с важнейшими сведениями, не застрахованы от проблем, связанных с безопасностью данных. Малый и средний бизнес, соответственно, также не может не думать об этих проблемах.
Что такое облака?
За прошедшее десятилетие слово облако в своем цифровом значении настолько прочно вошло в обиход, что его уже редко берут в кавычки. Упрощенно говоря, это необходимая пользователям компьютерная инфраструктура — то есть, сервера, хранилища данных, программное обеспечение, сети, — которые предоставляются провайдером для развертывания и работы необходимых клиенту систем. Все это предоставляется онлайн, а, следовательно, не требует от пользователя собственного оборудования — его обеспечивает поставщик услуги. В таком случае речь идет о так называемом "публичном облаке" — в отличие от частного, созданного одной организацией для своих внутренних потребностей.
Облака дают множество очевидных преимуществ
Как гласят исследования аналитического агентства Gartner, основным направлением и двигателем развития ІТ-индустрии облачные технологии стали с конца 2009 года.
"Облака дают множество очевидных преимуществ – нет необходимости содержать штат квалифицированных специалистов для эксплуатации собственного дата-центра, возможность избежать капитальных затрат на собственное оборудование и в большую часть ПО, возможность запрашивать и оплачивать только необходимый набор услуг и многое другое", — отмечает глава набсовета «Октава Капитал», создатель общественной инициативы «Гражданская кибероборона» Александр Кардаков.
Корпорация Amazon, один из крупнейших мировых поставщиков облаков, одним из преимуществ облаков называет возможность работать масштабно, оставаясь в безопасности.
Все ли так безоблачно?
Несмотря на все заверения провайдеров, кибербезопасность облачных решений остается сложной задачей. Ведь речь идет о необходимости обеспечить защиту данных как минимум на таком же уровне, на каком это может быть сделано на собственной ІТ-инфраструктуре.
Данные клиентов облаков защищаются внутри дата-центров провайдера. Многие поставщики облачных услуг проходят оценку независимых сторонних аудиторов. Их отчеты указывают, как конкретный поставщик применяет внутренние процессы управления безопасностью и насколько они эффективны для тех дата-центров, где хранятся данные клиента.
Алексей Швачка из “ИТ-Интегратор” рекомендует еще на этапе принятия решения о миграции в облака упростить ІТ-ландшафт организации, то есть, избавиться от редко используемых программ, а также максимально стандартизировать софт
"Если нет контроля над инфраструктурой, то нет и полной уверенности в том, что поставщик решения реализует все необходимые — или хотя бы заявленные — организационные и технические меры обеспечения кибербезопасности", — комментирует архитектор систем информационной безопасности компании ИТ-Интегратор Алексей Швачка. Известны случаи, когда даже самые крупные облака могут «отказать». У того же Amazon было два масштабных отказа в обслуживании — инфраструктура провайдера была недоступна в течении нескольких часов.
Если нет контроля над инфраструктурой, то нет и полной уверенности в том, что поставщик решения реализует все необходимые
Профильное объединение Cloud Security Alliance отмечает, что сама природа облаков, которые работают "по требованию", создает немало новых рисков для безопасности. В своих регулярных отчетах аналитики объединения отмечают, что особенности организации доступа к облаках зачастую подталкивают сотрудников обходить принятые правила безопасности. В итоге CSA рекомендует задуматься о новых подходах к самой организации работы в новых условиях. "Главные угрозы 2016 года в облачной безопасности отражают смещение причины проблем — от брешей в системах облачных вычислений к просчетам на уровне менеджмента", — поясняет вице-президент по исследованиям CSA Джей Эр Сантос.
"У провайдеров, конечно, имеется и резерв мощностей, и дублирование критичных систем – но они могут вкладывать в понятие надёжности свой смысл, а клиент свой. Здесь важно четкое взаимное понимание и максимально явно и точно прописанные SLA, соглашений об уровне предоставления услуг", — добавляет Швачка из "ИТ-Интегратора".
Как сделать облака надежными?
Очевидно, риски в облаках существуют. Но не следует думать, что только провайдер отвечает за безопасность. Крупнейшие игроки рынка, такие как Amazon, Microsoft и Google, гарантируют в первую очередь физическую безопасность дата-центров и сохранность данных клиентов от разрушения. Клиенты же отвечают за то, что происходит на их виртуальном участке облака. Само собой, и провайдеры, и независимые поставщики систем безопасности предоставляют целый арсенал для цифровой защиты, но их использование — прерогатива ІТ-отделов компаний и требует дополнительного квалифицированного персонала и соответствующих бюджетов.
В CSA подчеркивают, что первый шаг к организации безопасности облака — исследование возможных угроз. Там также называют несколько ключевых решений для усиления облачной безопасности. Среди них – шифрование данных, а также их защита при передаче. Зашифрованная информация во время передачи должна быть доступна только после аутентификации пользователя с достаточными правами.
Кроме традиционного пароля рекомендуется использовать дополнительные средства аутентификации, такие как токены и сертификаты. Также специалисты советуют организовать максимально прозрачное и безопасное взаимодействие провайдера с системами авторизации предприятия — такими как LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language). Стоит помнить и о важности изоляции пользователей в облачной среде — зачастую из-за возможных ошибок в настройках или в коде программного обеспечения, один пользователь может получить доступ к не принадлежащим ему данным.
В сфере облачных вычислений Украина находится еще на самом старте и на годы отстала от мировых тенденций
В "ИТ-Интеграторе" рекомендуют еще на этапе принятия решения о частичной или полной миграции ІТ -инфраструктуры в облака предпринять несколько предварительных шагов. Например, по возможности упростить сам ІТ-ландшафт организации. То есть, избавиться от программ или сервисов, которые редко нужны, а также максимально стандартизировать ПО, которое использует компания. Также необходимо точно описать бизнес-процессы, изучив и оценив возможные риски при их переносе в облачную инфраструктуру. "Это даст точное понимание, какая часть инфраструктуры может быть перенесена в облако, какие SLA нужно требовать от облачного провайдера, на какие компромиссы можно пойти", — говорит Швачка.
Стоит понимать, что в сфере облачных вычислений Украина находится еще на самом старте и на годы отстала от мировых тенденций. Тем не менее, в последнее время это направление развития ІТ-индустрии набирает обороты, поэтому перемены неизбежны и к ним жизненно важно начинать подготовку уже сейчас, — заключает Александр Кардаков.
Текст доступен на условиях лицензии Creative Commons Attribution-ShareAlike. При написании материала были использованы комментарии специалистов компании IT-Integrator.
