2015/11/25 15:33:05

Безопасность облаков: мифы и реальность

Облака как модель организации ИТ в компаниях появились на рынке сравнительно недавно по меркам традиционного бизнеса. И до сих пор существует множество мифов о надежности облаков, что объясняется недостаточной осведомленностью пользователей и наличием большого количества не совсем достоверной информации. В большинстве случаев, удобство, предоставляемое облачными сервисами, существенно перевешивает последствия возможных проблем касательно надежности и безопасности. Так, например, различные стартап-компании успешно запускают новые проекты без существенных вложений в собственную инфраструктуру.

Миф первый: ИТ-безопасность внутри компании обеспечена более надежно, чем в облаке

Нередко анализ собственной ИБ инфраструктуры показывает, что большую часть данных можно безбоязненно вынести на облако, где уровень ИБ на площадке провайдера заметно выше чем в корпоративной среде.

Перечислим основные преимущества облачных провайдеров перед корпоративной ИТ-инфраструктурой:

  • Безопасность индивидуальных ресурсов заказчика. Провайдеры облачной инфраструктуры обеспечивают безопасность на своем уровне (изоляция сетей и инфраструктуры пользователей, протоколирование действий администраторов, резервное копирование и т.д., но к самим приложениям и данным пользователя провайдер доступа обычно не имеет. Если пользователь использует платформу IaaS (инфраструктура как сервис) или PaaS (платформа как услуга) на уровне приложений пользователь самостоятельно должен обеспечить безопасность данных. В случае с SaaS, безопасность должен гарантировать облачный провайдер.

  • Ответственность провайдера перед компанией-клиентом регулируются соглашением об уровне обслуживания (Service Level Agreement, SLA), а также соглашением о не разглашении (Non-Disclosure Agreement, NDA), где определяется как и какой доступ к данным клиента провайдер может получить в зависимости от ситуации, как факт получения доступа к данным регистрируется, какие применяются штрафные санкции в случае нарушений.

  • Облачные провайдеры вкладывают значительные ресурсы в развитие систем защиты и сохранности данных (программные средства, аппаратные средства, оперативный контроль облачных сервисов специалистами провайдера).

Миф второй: данные из облака похитить проще, чем изнутри компании

Подавляющее большинство утечек данных происходит не на стороне сервиса, а на стороне пользователя. Повышенным источником угроз являются не внешние злоумышленники, а сами сотрудники компании, которые уже имеют доступ к информационным ресурсам компании. Утечки могут быть вызваны как непреднамеренными или ошибочными действиями, так и целенаправленным вредительством (продажа информации конкурентам, саботирование, месть кому-либо и пр.). Тенденция смещения акцента с внешних угроз на внутренние также усиливается с повсеместным применением мобильных устройств сотрудниками компании, которые в свою очередь не всегда настроены корректным образом и не всегда имеют защитное ПО.

Сконцентрировать данные в облаке и организовать их защиту – значит получить более надежную, безопасную и контролируемую среду, по сравнению с офисной, где все информация распределена по рабочим станциям, мобильным устройствам и филиалам компании.

Основные риски облачных сервисов и рекомендации по их снижению

Информационная безопасность – это прежде всего процесс управления рисками. Абсолютная защищенность невозможна в принципе. Перед выбором модели построения ИТ-инфраструктуры с участием облака необходимо оценить, насколько те или иные факторы влияют на функционирование конкретной компании.

Опишем основные риски информационной безопасности, которые наиболее часто появляются при работе с облаком:

  • Нарушение законодательства со стороны других пользователей облака с последующим изъятием оборудования.

Поскольку оборудование находится на стороне провайдера, а одно и то же оборудование зачастую используется одновременно несколькими пользователями облака, в случае изъятия оборудования могут пострадать «соседи» нарушителя.

Рекомендации: инфраструктура провайдера должна позволять переносить мощности клиента на резервное оборудование в случае недоступности основного.

  • Передача данных по интернет-каналу

Обмен данными с облаком осуществляется непосредственно через Интернет-канал, соответственно, без надлежащей защиты передаваемых данных злоумышленники теоретически могут получить передаваемые данные (тела документов, пароли, персональные данные и т.д.).

Рекомендации: необходимо использовать те облачные сервисы, которые обеспечивают своим пользователям защиту передаваемых данных (VPN-соединение, HTTPS и прочие защищенные протоколы передачи).

  • Ограниченные ресурсы

Особенность облачных сервисов – практически неограниченные ресурсы, которыми пользователь может гибко управлять. Однако при значительных нагрузках на оборудование облачного провайдера часть пользователей могут ощущать существенное снижение быстродействия сервисов вплоть до фактической недоступности сервиса.

Рекомендации: уточните у провайдера, каким объемом ресурсов он фактически располагает. Запросите экскурсию в ЦОД провайдера, если есть такая возможность. Проводите регулярное нагрузочное тестирование предоставляемых сервисов (IaaS и PaaS).

  • Экономические последствия DDoS-атак

Это атаки, нацеленные на то, чтобы загрузить все доступные ресурсы сервиса с целью сделать сервис недоступным для его пользователей. Поскольку пользователь платит только за фактическое потребление ресурсов, резкое увеличение потребляемых ресурсов и трафика существенно скажется на стоимости потребленных облачных ресурсов в момент DDoS-атаки.

Рекомендации: выбирайте тарифные планы без оплаты за фактический объем потребляемого трафика, отключайте по возможности автоматическое увеличение ресурсов хостинга, регулируйте производительность вашего облака вручную.

Большинство рисков локальной ИТ-инфраструктуры практически полностью применимы к облачной инфраструктуре (уязвимости сетевых протоколов, уязвимости ОС и отдельных компонентов и т.д).

Прочие риски, о которых часто забывают

Безопасность данных в облаке – это не единственный риск:

  • Пользователи облаков могут потерять собственные компетенций в области поддержки инфраструктуры и/или могут попасть в зависимость от внешнего поставщика услуг.

  • Так или иначе пользователи теряют собственный контроль над действиями удаленных администраторов и над потоками информации за пределами корпоративной сети.

  • Требования российского законодательства во много ограничивают возможности облачной модели. Для обеспечения требований законодательства облачные провайдеры должны оснащать ЦОДы специальным оборудованием, сертифицированным на соответствие нормативным требованиям. В таком случае сервисы пользователей будут привязаны к конкретному ЦОД, потеряют возможность масштабирования и стоимость такого решения будет существенно выше.

При переносе ИТ-инфраструктуры в облако следует предварительно тщательно взвесить риски, учесть надежность облачных провайдеров, оценить потенциальные убытки от возможных простоев, ознакомиться со штрафными санкциями регуляторов. Совсем не обязательно выносить в облака сразу всю ИТ-инфраструктуру. Изначально можно ограничиться определенной долей информации и вынести на облака ряд бизнес-процессов.

При верном подходе и правильном выборе поставщика услуг облака способны обеспечить бОльшие надежность и удобство использования бизнес-приложений, нежели существующая в компании ИТ-инфраструктура, а также повысить эффективность вашего бизнеса.

Автор: Андрей Ардашев

Источник — «https://zdrav.expert/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%91%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D0%BE%D0%B1%D0%BB%D0%B0%D0%BA%D0%BE%D0%B2:_%D0%BC%D0%B8%D1%84%D1%8B_%D0%B8_%D1%80%D0%B5%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D1%81%D1%82%D1%8C»

Править
Короткая ссылка   |  Просмотров: 3065
Директор по ИТ «Сибура» Алиса Мельникова расскажет о технологической кооперации на TAdviser SummIT 28 ноября
Курировавшая цифровизацию в ЦБ Ольга Скоробогатова уходит с поста первого заместителя председателя
«Русагро» за ₽159 млн внедрило систему автоматического распознавания сорных растений с помощью дронов
ИТ-кластер Фонда «Сколково» переименовали и назначили нового директора
Детское питание Abbott вызывает некроз. Компания оштрафована на $0,5 млрд
Салехардская окружная клиническая больница успешно внедряет технологию цифрового ЭКГ
Радиофармпрепарат Johnson & Johnson от рака простаты привел к смерти четырех человек
Комплексное внедрение медицинской информационной системы: опыт компании «РТ МИС»
Европейский медицинский центр выбирает киоски Smartix для автоматизации обслуживания
Medtronic отзывает бракованные катетеры системы забора спинномозговой жидкости, из-за которых пострадали десятки пациентов