CCM перечисляет оптимальные методы защиты информации при использовании облачных сервисов. Документ охватывает широкий круг тем, от защиты центров обработки данных, оборудования и приложений до средств обеспечения непрерывности бизнеса и оценки уязвимостей. Третья редакция CCM предлагает рекомендации по пяти новым категориям: мобильная безопасность; управление цепочкой поставок; прозрачность и учитываемость; интероперабельность и переносимость; шифрование и управление ключами.
Мобильность — логичная тема для CCM, поскольку мобильный доступ к облачным сервисам применяется все шире, отметил Шон Кордеро, сопредседатель рабочей группы CCM. Рекомендации по мобильности касаются не только доступа к облачным приложениям, но также доставки в виде сервисов систем управления мобильными устройствами и иного ПО.
Одна из рекомендаций, например, состоит в том, чтобы ввести в действие четко изложенную политику использования мобильных устройств и проследить за тем, чтобы все в организации с нею ознакомились. Возможно, это и очевидный совет, добавил Кордеро, но у многих заказчиков, по его сведениям, отсутствует политика контроля над тем, к каким сервисам пользователи могут обращаться с мобильных устройств. Сам Кордеро возглавляет Cloud Watchmen, консалтинговое агентство, специализирующееся на облачной безопасности.
«В связи с распространением BYOD проблема защиты данных на мобильных устройствах становится все актуальнее, — продолжил он. — Если руководитель, например, хочет безопасно пользоваться iPad, такая политика четко продиктует, как защитить само устройство, какую информацию на нем можно хранить и к каким данным на нем имеет доступ предприятие».
Еще одна новая категория — прозрачность и учитываемость — касается управления цепочкой поставок. Согласно рекомендациям CSA, у заказчика должно быть четкое понимание того, как именно данные обрабатываются его провайдером. В некоторых случаях тот может работать с третьими сторонами, в связи с чем появляется риск безопасности, поясняет Кордеро.
Например, при использовании сервиса виртуальных десктопов заказчик заключает контракт с оператором, но сам он может пользоваться платформой хранения от иного провайдера. Заказчик должен знать всю «цепочку поставок» своих данных, чтобы иметь возможность убедиться в их защищенности на каждом из звеньев. Еще один набирающий популярность сценарий касается платформ в виде сервиса, продолжил Кордеро. Часто PaaS — облачная платформа разработки приложений — работает на инфраструктуре в виде сервиса. В этом случае заказчикам стоит знать о соглашениях об уровне обслуживания и защищенности не только своего провайдера PaaS, но и его провайдера IaaS.
Следование оптимальным методам, приведенным в CCM, — один из способов для заказчиков защитить себя. Недавняя история с провайдером сервиса облачного ханения Nirvanix, который внезапно попросил своих клиентов переносить данные куда-либо в связи со своим разорением, иллюстрирует важность наличия средств обеспечения непрерывности бизнеса.
CSA — некоммерческая организация, занимающаяся проблемами безопасности облачных сервисов. Она регулярно обновляет CCM по мере выхода новых отраслевых стандартов, таких как ISO27001/2. Участники ассоциации работают с пользователями облаков, консультантами и сервис-провайдерами, выявляя актуальные тенденции в отрасли и отражая их в CCM.
Полный перечень рекомендаций CCM доступен в формате PDF на сайте альянса. На нем есть также раздел STAR Registry, предлагающий вариант CCM в формате анкеты для заполнения провайдерами. Их ответы доступны для просмотра потенциальным пользователям, желающим сравнить разных операторов облачных сервисов.