2015/11/25 15:33:05

Безопасность облаков: мифы и реальность

Облака как модель организации ИТ в компаниях появились на рынке сравнительно недавно по меркам традиционного бизнеса. И до сих пор существует множество мифов о надежности облаков, что объясняется недостаточной осведомленностью пользователей и наличием большого количества не совсем достоверной информации. В большинстве случаев, удобство, предоставляемое облачными сервисами, существенно перевешивает последствия возможных проблем касательно надежности и безопасности. Так, например, различные стартап-компании успешно запускают новые проекты без существенных вложений в собственную инфраструктуру.

Миф первый: ИТ-безопасность внутри компании обеспечена более надежно, чем в облаке

Нередко анализ собственной ИБ инфраструктуры показывает, что большую часть данных можно безбоязненно вынести на облако, где уровень ИБ на площадке провайдера заметно выше чем в корпоративной среде.

Перечислим основные преимущества облачных провайдеров перед корпоративной ИТ-инфраструктурой:

  • Безопасность индивидуальных ресурсов заказчика. Провайдеры облачной инфраструктуры обеспечивают безопасность на своем уровне (изоляция сетей и инфраструктуры пользователей, протоколирование действий администраторов, резервное копирование и т.д., но к самим приложениям и данным пользователя провайдер доступа обычно не имеет. Если пользователь использует платформу IaaS (инфраструктура как сервис) или PaaS (платформа как услуга) на уровне приложений пользователь самостоятельно должен обеспечить безопасность данных. В случае с SaaS, безопасность должен гарантировать облачный провайдер.

  • Ответственность провайдера перед компанией-клиентом регулируются соглашением об уровне обслуживания (Service Level Agreement, SLA), а также соглашением о не разглашении (Non-Disclosure Agreement, NDA), где определяется как и какой доступ к данным клиента провайдер может получить в зависимости от ситуации, как факт получения доступа к данным регистрируется, какие применяются штрафные санкции в случае нарушений.

  • Облачные провайдеры вкладывают значительные ресурсы в развитие систем защиты и сохранности данных (программные средства, аппаратные средства, оперативный контроль облачных сервисов специалистами провайдера).

Миф второй: данные из облака похитить проще, чем изнутри компании

Подавляющее большинство утечек данных происходит не на стороне сервиса, а на стороне пользователя. Повышенным источником угроз являются не внешние злоумышленники, а сами сотрудники компании, которые уже имеют доступ к информационным ресурсам компании. Утечки могут быть вызваны как непреднамеренными или ошибочными действиями, так и целенаправленным вредительством (продажа информации конкурентам, саботирование, месть кому-либо и пр.). Тенденция смещения акцента с внешних угроз на внутренние также усиливается с повсеместным применением мобильных устройств сотрудниками компании, которые в свою очередь не всегда настроены корректным образом и не всегда имеют защитное ПО.Цифровизация ТЭК: тренды, перспективы, крупнейшие ИТ-поставщики. Обзор TAdviser 14.9 т

Сконцентрировать данные в облаке и организовать их защиту – значит получить более надежную, безопасную и контролируемую среду, по сравнению с офисной, где все информация распределена по рабочим станциям, мобильным устройствам и филиалам компании.

Основные риски облачных сервисов и рекомендации по их снижению

Информационная безопасность – это прежде всего процесс управления рисками. Абсолютная защищенность невозможна в принципе. Перед выбором модели построения ИТ-инфраструктуры с участием облака необходимо оценить, насколько те или иные факторы влияют на функционирование конкретной компании.

Опишем основные риски информационной безопасности, которые наиболее часто появляются при работе с облаком:

  • Нарушение законодательства со стороны других пользователей облака с последующим изъятием оборудования.

Поскольку оборудование находится на стороне провайдера, а одно и то же оборудование зачастую используется одновременно несколькими пользователями облака, в случае изъятия оборудования могут пострадать «соседи» нарушителя.

Рекомендации: инфраструктура провайдера должна позволять переносить мощности клиента на резервное оборудование в случае недоступности основного.

  • Передача данных по интернет-каналу

Обмен данными с облаком осуществляется непосредственно через Интернет-канал, соответственно, без надлежащей защиты передаваемых данных злоумышленники теоретически могут получить передаваемые данные (тела документов, пароли, персональные данные и т.д.).

Рекомендации: необходимо использовать те облачные сервисы, которые обеспечивают своим пользователям защиту передаваемых данных (VPN-соединение, HTTPS и прочие защищенные протоколы передачи).

  • Ограниченные ресурсы

Особенность облачных сервисов – практически неограниченные ресурсы, которыми пользователь может гибко управлять. Однако при значительных нагрузках на оборудование облачного провайдера часть пользователей могут ощущать существенное снижение быстродействия сервисов вплоть до фактической недоступности сервиса.

Рекомендации: уточните у провайдера, каким объемом ресурсов он фактически располагает. Запросите экскурсию в ЦОД провайдера, если есть такая возможность. Проводите регулярное нагрузочное тестирование предоставляемых сервисов (IaaS и PaaS).

  • Экономические последствия DDoS-атак

Это атаки, нацеленные на то, чтобы загрузить все доступные ресурсы сервиса с целью сделать сервис недоступным для его пользователей. Поскольку пользователь платит только за фактическое потребление ресурсов, резкое увеличение потребляемых ресурсов и трафика существенно скажется на стоимости потребленных облачных ресурсов в момент DDoS-атаки.

Рекомендации: выбирайте тарифные планы без оплаты за фактический объем потребляемого трафика, отключайте по возможности автоматическое увеличение ресурсов хостинга, регулируйте производительность вашего облака вручную.

Большинство рисков локальной ИТ-инфраструктуры практически полностью применимы к облачной инфраструктуре (уязвимости сетевых протоколов, уязвимости ОС и отдельных компонентов и т.д).

Прочие риски, о которых часто забывают

Безопасность данных в облаке – это не единственный риск:

  • Пользователи облаков могут потерять собственные компетенций в области поддержки инфраструктуры и/или могут попасть в зависимость от внешнего поставщика услуг.

  • Так или иначе пользователи теряют собственный контроль над действиями удаленных администраторов и над потоками информации за пределами корпоративной сети.

  • Требования российского законодательства во много ограничивают возможности облачной модели. Для обеспечения требований законодательства облачные провайдеры должны оснащать ЦОДы специальным оборудованием, сертифицированным на соответствие нормативным требованиям. В таком случае сервисы пользователей будут привязаны к конкретному ЦОД, потеряют возможность масштабирования и стоимость такого решения будет существенно выше.

При переносе ИТ-инфраструктуры в облако следует предварительно тщательно взвесить риски, учесть надежность облачных провайдеров, оценить потенциальные убытки от возможных простоев, ознакомиться со штрафными санкциями регуляторов. Совсем не обязательно выносить в облака сразу всю ИТ-инфраструктуру. Изначально можно ограничиться определенной долей информации и вынести на облака ряд бизнес-процессов.

При верном подходе и правильном выборе поставщика услуг облака способны обеспечить бОльшие надежность и удобство использования бизнес-приложений, нежели существующая в компании ИТ-инфраструктура, а также повысить эффективность вашего бизнеса.

Автор: Андрей Ардашев

Источник — «https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%91%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D0%BE%D0%B1%D0%BB%D0%B0%D0%BA%D0%BE%D0%B2:_%D0%BC%D0%B8%D1%84%D1%8B_%D0%B8_%D1%80%D0%B5%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D1%81%D1%82%D1%8C»

Править
Read in English   |   Короткая ссылка   |  Просмотров: 2991
Российские кардиохирурги первым в мире успешно имплантировали пациенту сосудистый протез с лепестками синусов корня аорты
В России разработали и начали применять умный катетер Visus-MG для дренажа мочевого пузыря
Московский «Металлист» начал выпуск протезов рук для детей. Они печатаются на 3D-принтере
Кировская область перевела сайты больниц на «Госвеб»
Конференция «Cloud Day 2024» состоится 23 апреля
«Код Безопасности» приглашает на большой стрим о защите сетевой инфраструктуры
Современное кассовое ПО: как оптимизировать бизнес и соответствовать законодательству
Для платформы Polymatica разработан новый модуль для сбора и ведения данных компанией Codex Proj
Конференция «ИТ в промышленности 2024» состоится 28 мая
Конференция «ИТ в банках 2024» состоится 28 мая
Конференция «Big Data & Artificial Intelligence Day» состоится 24 апреля
Масштабная конференция True Tech Day снова соберет тысячи представителей ИТ-сообщества
Александр Русских, Global ERP: Мы заняли нишу импортозамещающих продуктов еще десять лет назад, благодаря нашим заказчикам
Владимир Маслов, ТПП РФ: После ухода Qlik — импортозамещение BI
Платформа ГосТех использует систему виртуализации на российском ПО компании «Базис»
GETMOBIT: Наша платформа стала открытой — появилась возможность подключения устройств сторонних производителей
Александр Егоркин, Газпромбанк: Если мы немедленно проведем импортозамещение, бизнес-процессы встанут
Рынок заказной разработки ПО в России: особенности, перспективы, крупнейшие участники. Обзор TAdviser
Банковские API: кастомизация клиентского пути для любого сегмента бизнеса
Российский рынок видеоконференцсвязи: оценки, драйверы, крупнейшие участники. Обзор TAdviser
Депутат Госдумы экс-программист Анатолий Вассерман примет участие в TAdviser SummIT 28 мая
28 мая министр цифрового развития Максут Шадаев выступит на TAdviser SummIT
Российский рынок BI-систем: оценки, перспективы, крупнейшие вендоры и интеграторы. Обзор TAdviser
Российский рынок СЭД/ECM борется с демпингом и рассчитывает на возможности искусственного интеллекта. Обзор и рейтинг TAdviser
Рынок ИТ-услуг в России: оценки, тренды, крупнейшие участники. Обзор и рейтинг TAdviser