На сегодняшний день альянс CSA объединяет уже более 17 тыс. специалистов из более чем 90 организаций
На сегодняшний день альянс CSA объединяет уже более 17 тыс. специалистов из более чем 90 организаций

Облачные технологии завоевывают свое место под солнцем и постепенно «обрастают» стандартами. Возможно, наиболее важными из них являются рекомендации по обеспечению безопасности. Такие рекомендации опубликованы Cloud Security Alliance — специализированной организацией, образованной компаниями PGP, Qualys, Zscaler, а также ассоциацией ISACA. На сегодняшний день альянс объединяет уже более 17 тыс. специалистов из более чем 90 организаций. Среди разработанных CSA документов — «Основные угрозы облачных вычислений», «Руководство по обеспечению безопасности облачных вычислений», «Матрица контролей для облаков», другие рекомендательные материалы. Сформирована даже программа по сертификации специалистов в области безопасности облачных вычислений, которая получила название Certificate of Cloud Security Knowledge. В России уже есть обладатели этого сертификата.

В настоящее время, по словам Евгения Климова, вице-президента Russian Information Systems Security Professional Association, на базе ассоциации создается российское отделение альянса, которое своей первой целью ставит перевод на русский язык рекомендаций CSA, а также выработку требований по безопасности для российских облачных провайдеров. Один из семинаров RISSPA, который состоялся 9 марта, был посвящен проблемам безопасности облачных вычислений. На нем были рассмотрены риски облачных вычислений и предложены некоторые подходы к их снижению.

Риски облачных вычислений можно разделить на три группы: связанные с выбором оператора, с потерей данных и «общие». К первой группе можно отнести такие риски, как привязка облачной технологии к конкретному поставщику услуг, сбои на стороне провайдера, взлом интерфейса администрирования или банкротство и поглощение оператора.

Больше всего компании боятся утечек данных из сети облачного провайдера вследствие перехвата информации, утери контроля над данными и приложениями, невозможности уничтожения данных, действий инсайдера на стороне провайдера или других пользователей облака. Для защиты можно использовать шифрование данных или их обезличивание. При этом шифровать нужно не только данные, хранящиеся у провайдера, но и канал связи с ним. Однако пока не выработано решений, которые позволяли бы эффективно защищать данные в облаке, хотя работы в этом направлении уже ведутся.

К общим рискам можно отнести потерю связи с сетью провайдера, DDoS-атаки и утрату соответствия требованиям регуляторов. Эти риски можно снизить с помощью правильного составления соглашения об уровне обслуживания (Service Level Agreement, SLA), которое позволит компенсировать часть ущерба. Нормативные требования могут меняться со временем, а закон «О персональных данных» и вовсе делает облачные вычисления неприменимыми на практике. Тем не менее в некоторых случаях облачную систему можно сделать даже более защищенной, чем традиционную архитектуру, за счет разделения обязанностей и правильно составленных договоренностей.