Облака как модель организации ИТ в компаниях появились на рынке сравнительно недавно по меркам традиционного бизнеса. И до сих пор существует множество мифов о надежности облаков, что объясняется недостаточной осведомленностью пользователей и наличием большого количества не совсем достоверной информации.
В большинстве случаев удобство, предоставляемое облачными сервисами, существенно перевешивает последствия возможных проблем с надежностью и безопасностью. Так, например, различные стартап-компании успешно запускают новые проекты без существенных вложений в собственную инфраструктуру.
Нередко анализ ИБ собственной инфраструктуры показывает, что большую часть данных можно безбоязненно вынести на облако, где уровень ИБ на площадке провайдера заметно выше чем в корпоративной среде.
Перечислим основные преимущества облачных провайдеров перед корпоративной ИТ-инфраструктурой:
Безопасность индивидуальных ресурсов заказчика. Провайдеры облачной инфраструктуры обеспечивают безопасность на своем уровне (изоляция сетей и инфраструктуры пользователей, протоколирование действий администраторов, резервное копирование и т.д., но к самим приложениям и данным пользователя провайдер доступа обычно не имеет. Если пользователь использует платформу IaaS (инфраструктура как сервис) или PaaS (платформа как услуга) на уровне приложений пользователь самостоятельно должен обеспечить безопасность данных. В случае с SaaS безопасность должен гарантировать облачный провайдер.
Ответственность провайдера перед компанией-клиентом регулируются соглашением об уровне обслуживания (Service Level Agreement, SLA), а также соглашением о не разглашении (Non-Disclosure Agreement, NDA), которое определяет как и какой доступ к данным клиента провайдер может получить в зависимости от ситуации, как регистрируется факт получения доступа к данным, какие штрафные санкции применяются в случае нарушений.
Облачные провайдеры вкладывают значительные ресурсы в развитие систем защиты и сохранности данных (программные средства, аппаратные средства, оперативный контроль облачных сервисов специалистами провайдера).
Подавляющее большинство утечек данных происходит не на стороне сервиса, а на стороне пользователя. Повышенным источником угроз являются не внешние злоумышленники, а сами сотрудники компании, которые уже имеют доступ к информационным ресурсам компании. Утечки могут быть вызваны как непреднамеренными или ошибочными действиями, так и целенаправленным вредительством (продажа информации конкурентам, саботирование, месть кому-либо и пр.). Тенденция смещения акцента с внешних угроз на внутренние также усиливается с повсеместным применением мобильных устройств, которые не всегда настроены корректным образом и не всегда имеют защитное ПО.
Сконцентрировать данные в облаке и организовать их защиту – значит получить более безопасную и контролируемую среду по сравнению с офисной, где вся информация распределена по рабочим станциям, мобильным устройствам и филиалам компании.
Информационная безопасность – это прежде всего процесс управления рисками. Абсолютная защищенность невозможна в принципе. Перед выбором модели построения ИТ-инфраструктуры с участием облака необходимо оценить, насколько те или иные факторы влияют на функционирование конкретной компании. Опишем основные риски информационной безопасности, которые наиболее часто появляются при работе с облаком:
Серверное оборудование, на котором размещен облачный сервис, зачастую используется одновременно несколькими пользователями облака, в случае его изъятия могут пострадать «соседи» нарушителя.
Рекомендации: инфраструктура провайдера должна позволять переносить мощности клиента на резервное оборудование в случае недоступности основного.
Обмен данными с облаком осуществляется непосредственно через Интернет-канал, соответственно, без надлежащей защиты злоумышленники теоретически могут получить передаваемые данные (тела документов, пароли, персональные данные и т.д.).
Рекомендации: необходимо использовать те облачные сервисы, которые обеспечивают своим пользователям защиту передаваемых данных (VPN-соединение, HTTPS и прочие защищенные протоколы передачи).
Особенность облачных сервисов – практически неограниченные ресурсы, которыми пользователь может гибко управлять. Однако при значительных нагрузках на оборудование облачного провайдера часть пользователей могут ощущать существенное снижение быстродействия сервисов вплоть до недоступности сервиса.
Рекомендации: уточните у провайдера, каким объемом ресурсов он фактически располагает. Запросите экскурсию в ЦОД провайдера, если есть такая возможность. Проводите регулярное нагрузочное тестирование предоставляемых сервисов (IaaS и PaaS).
Это атаки, нацеленные на то, чтобы загрузить все доступные ресурсы сервиса с целью сделать его недоступным для пользователей. Поскольку плата идет за фактическое потребление ресурсов, резкое увеличение трафика существенно скажется на стоимости потребленных облачных ресурсов в момент DDoS- атаки.
Рекомендации: выбирайте тарифные планы без платы за фактический объем потребляемого трафика, отключайте по возможности автоматическое увеличение ресурсов хостинга, регулируйте производительность вашего облака вручную Большинство рисков локальной ИТ-инфраструктуры практически полностью применимы к облачной инфраструктуре (уязвимости сетевых протоколов, уязвимости ОС и отдельных компонентов и т.д).
Безопасность данных в облаке – это не единственный риск.
При переносе ИТ-инфраструктуры в облако следует предварительно тщательно взвесить риски, учесть надежность облачных провайдеров, оценить потенциальные убытки от возможных простоев, ознакомиться со штрафными санкциями регуляторов. Совсем не обязательно выносить в облака сразу всю ИТ-инфраструктуру. Изначально можно ограничиться определенной долей информации и вынести на облака ряд бизнес-процессов.
При верном подходе и правильном выборе поставщика услуг облака способны обеспечить бОльшую надежность и удобство использования бизнес-приложений, нежели существующая в компании ИТ-инфраструктура, а также повысить эффективность вашего бизнеса.
Источник: TADviser