Безопасность облаков: мифы и реальность
Облака как модель организации ИТ в компаниях появились на рынке сравнительно недавно по меркам традиционного бизнеса. И до сих пор существует множество мифов о надежности облаков, что объясняется недостаточной осведомленностью пользователей и наличием большого количества не совсем достоверной информации.
В большинстве случаев удобство, предоставляемое облачными сервисами, существенно перевешивает последствия возможных проблем с надежностью и безопасностью. Так, например, различные стартап-компании успешно запускают новые проекты без существенных вложений в собственную инфраструктуру.
Миф первый: ИТ-безопасность внутри компании обеспечена более надежно, чем в облаке
Нередко анализ ИБ собственной инфраструктуры показывает, что большую часть данных можно безбоязненно вынести на облако, где уровень ИБ на площадке провайдера заметно выше чем в корпоративной среде.
Перечислим основные преимущества облачных провайдеров перед корпоративной ИТ-инфраструктурой:
Безопасность индивидуальных ресурсов заказчика. Провайдеры облачной инфраструктуры обеспечивают безопасность на своем уровне (изоляция сетей и инфраструктуры пользователей, протоколирование действий администраторов, резервное копирование и т.д., но к самим приложениям и данным пользователя провайдер доступа обычно не имеет. Если пользователь использует платформу IaaS (инфраструктура как сервис) или PaaS (платформа как услуга) на уровне приложений пользователь самостоятельно должен обеспечить безопасность данных. В случае с SaaS безопасность должен гарантировать облачный провайдер.
Ответственность провайдера перед компанией-клиентом регулируются соглашением об уровне обслуживания (Service Level Agreement, SLA), а также соглашением о не разглашении (Non-Disclosure Agreement, NDA), которое определяет как и какой доступ к данным клиента провайдер может получить в зависимости от ситуации, как регистрируется факт получения доступа к данным, какие штрафные санкции применяются в случае нарушений.
Облачные провайдеры вкладывают значительные ресурсы в развитие систем защиты и сохранности данных (программные средства, аппаратные средства, оперативный контроль облачных сервисов специалистами провайдера).
Миф второй: данные из облака похитить проще, чем изнутри компании
Подавляющее большинство утечек данных происходит не на стороне сервиса, а на стороне пользователя. Повышенным источником угроз являются не внешние злоумышленники, а сами сотрудники компании, которые уже имеют доступ к информационным ресурсам компании. Утечки могут быть вызваны как непреднамеренными или ошибочными действиями, так и целенаправленным вредительством (продажа информации конкурентам, саботирование, месть кому-либо и пр.). Тенденция смещения акцента с внешних угроз на внутренние также усиливается с повсеместным применением мобильных устройств, которые не всегда настроены корректным образом и не всегда имеют защитное ПО.
Сконцентрировать данные в облаке и организовать их защиту – значит получить более безопасную и контролируемую среду по сравнению с офисной, где вся информация распределена по рабочим станциям, мобильным устройствам и филиалам компании.
Основные риски облачных сервисов и рекомендации по их снижению
Информационная безопасность – это прежде всего процесс управления рисками. Абсолютная защищенность невозможна в принципе. Перед выбором модели построения ИТ-инфраструктуры с участием облака необходимо оценить, насколько те или иные факторы влияют на функционирование конкретной компании. Опишем основные риски информационной безопасности, которые наиболее часто появляются при работе с облаком:
Нарушение законодательства со стороны других пользователей облака с последующим изъятием оборудования.
Серверное оборудование, на котором размещен облачный сервис, зачастую используется одновременно несколькими пользователями облака, в случае его изъятия могут пострадать «соседи» нарушителя.
Рекомендации: инфраструктура провайдера должна позволять переносить мощности клиента на резервное оборудование в случае недоступности основного.
Передача данных по Интернет-каналу.
Обмен данными с облаком осуществляется непосредственно через Интернет-канал, соответственно, без надлежащей защиты злоумышленники теоретически могут получить передаваемые данные (тела документов, пароли, персональные данные и т.д.).
Рекомендации: необходимо использовать те облачные сервисы, которые обеспечивают своим пользователям защиту передаваемых данных (VPN-соединение, HTTPS и прочие защищенные протоколы передачи).
Ограниченные ресурсы
Особенность облачных сервисов – практически неограниченные ресурсы, которыми пользователь может гибко управлять. Однако при значительных нагрузках на оборудование облачного провайдера часть пользователей могут ощущать существенное снижение быстродействия сервисов вплоть до недоступности сервиса.
Рекомендации: уточните у провайдера, каким объемом ресурсов он фактически располагает. Запросите экскурсию в ЦОД провайдера, если есть такая возможность. Проводите регулярное нагрузочное тестирование предоставляемых сервисов (IaaS и PaaS).
Экономические последствия DDoS-атак.
Это атаки, нацеленные на то, чтобы загрузить все доступные ресурсы сервиса с целью сделать его недоступным для пользователей. Поскольку плата идет за фактическое потребление ресурсов, резкое увеличение трафика существенно скажется на стоимости потребленных облачных ресурсов в момент DDoS- атаки.
Рекомендации: выбирайте тарифные планы без платы за фактический объем потребляемого трафика, отключайте по возможности автоматическое увеличение ресурсов хостинга, регулируйте производительность вашего облака вручную Большинство рисков локальной ИТ-инфраструктуры практически полностью применимы к облачной инфраструктуре (уязвимости сетевых протоколов, уязвимости ОС и отдельных компонентов и т.д).
Прочие риски, о которых часто забывают
Безопасность данных в облаке – это не единственный риск.
- Пользователи облаков могут потерять собственные компетенций в области поддержки инфраструктуры и/или могут попасть в зависимость от внешнего поставщика услуг.
- Так или иначе пользователи теряют собственный контроль над действиями удаленных администраторов и над потоками информации за пределами корпоративной сети.
- Требования российского законодательства во многом ограничивают возможности облачной модели. Для обеспечения требований законодательства облачные провайдеры должны оснащать ЦОДы специальным оборудованием, сертифицированным на соответствие нормативным требованиям. Этим частично объясняются стоимость решений, привязка сервисов к конкретным ЦОДам и невозможность масштабирования.
При переносе ИТ-инфраструктуры в облако следует предварительно тщательно взвесить риски, учесть надежность облачных провайдеров, оценить потенциальные убытки от возможных простоев, ознакомиться со штрафными санкциями регуляторов. Совсем не обязательно выносить в облака сразу всю ИТ-инфраструктуру. Изначально можно ограничиться определенной долей информации и вынести на облака ряд бизнес-процессов.
При верном подходе и правильном выборе поставщика услуг облака способны обеспечить бОльшую надежность и удобство использования бизнес-приложений, нежели существующая в компании ИТ-инфраструктура, а также повысить эффективность вашего бизнеса.
Источник: TADviser