Со времени появления «вычислительного облака» многие руководители компаний и специалисты ИТ-подразделений испытывают ощущение уязвимости. Защищены ли мы? Как это узнать? Как оценить степень безопасности?
В значительной степени безопасность зависит от поставщиков, ответственных за ваши системы в «облаке»: особенностей их реализации и следования рекомендациям, а также соблюдения постоянно меняющихся правил.
Наше ощущение безопасности и успех в сфере информационной защиты также зависят от нашего понимания сущности «облака» и от того, в какой степени мы полагаемся на тот или иной его компонент.
В данной статье мы сможем сосредоточиться на базовых требованиях безопасности, исходя из того, что читателям известно, что представляют собой «облачные» вычисления.
В целом «облачные» вычисления можно рассматривать как:
- платформу как службу (PaaS);
- инфраструктуру как службу (IaaS);
- программное обеспечение как службу (SaaS).
Перекладывая капитальные издержки и затраты на обслуживание на внешнего соисполнителя, вы получаете явные бизнес-преимущества, в частности сокращение численности персонала и устранение «внутренней» необходимости освоения персоналом особенностей развивающейся среды. Конечно, сокращение персонала не обязательно приятная новость для ИТ-подразделений (и некоторых их коллег из сферы бизнеса), но мы рассматриваем конкурентные преимущества для компании.
Главная причина беспокойства для любой компании, а потому и каждого ИТ-руководителя, рассматривающего общие рекомендации или конкретные ответы на вопросы в сфере бизнеса, заключается в том, что, передавая управление за пределы своих «четырех стен», вы неизбежно и в значительной степени сами теряете возможности управления. Мы все полагаемся на внешних поставщиков и общую инфраструктуру Интернета. Пример: сервер в вашей компании, обслуживаемый вашими собственными специалистами, не то же самое, что сервер «в облаке», независимо от того, насколько известным является поставщик, и насколько хороша его репутация. Действительно, для внешних элементов вы можете полагаться на поставщиков и заключать договоры о сколь угодно тесном сотрудничестве. Но когда вы столкнетесь с отказом оборудования, потерей данных, нарушением конфиденциальности данных и т. д., а в результате с невозможностью предоставлять услуги, контент или доступ вашим клиентам, партнерам, персоналу, никакой «удаленный» надзор не будет иметь значения.
Ничего не может быть лучше хорошо организованной внутренней защиты. Вы можете без проблем оценить и при необходимости усилить безопасность внутренних компонентов — вы управляете ситуацией напрямую, в каждый момент времени. Кроме того, вы непосредственно распоряжаетесь персоналом, ответственным за безопасность, и упомянутыми выше платформами, инфраструктурой и программным обеспечением. Вы можете оценить потенциальные возможности взлома и немедленно скорректировать меры защиты согласно собственным, сколь угодно строгим требованиям. Вы может составить расписание проверок. «Облако» же требует доверия и отказа от управления.
С другой стороны, считается, что поставщики «облачных» услуг естественно стремятся укрепить доверие и связать «облако» с безопасностью в восприятии потребителей. В этом нет сомнений, ведь у любого поставщика есть стимул работать надежно, чтобы завоевать репутацию и сохранить место на рынке.
Помните: теоретические риски при отсутствии должного управления из возможных становятся весьма вероятными.
Ключевое слово здесь «риски». Необходимо активно противодействовать возможным нарушениям безопасности или эпизодическим потерям работоспособности любых «облачных» услуг, предоставляемых вам от вашего имени. Большинство потерь данных и нарушений безопасности возникают вследствие ошибки человека, и простои, с моей точки зрения, относятся к нарушениям безопасности. При наличии любых простоев работу вашей компании вряд ли можно назвать надежной. Поэтому осведомленность и здравый смысл — основные условия применения рекомендаций и совершенно новых методов для защиты вашей части «облака».
Если вы используете службы в «облаке» или переносите в него любые, в том числе дополнительные элементы, полезно организовать регулярные совещания по безопасности с представителями поставщика. Составьте любое удобное для вас расписание: годовое, полугодовое или квартальное. Потребуйте от поставщиков подготовить презентацию о предпринимаемых мерах безопасности, отчета о том, какие улучшения внесены со времени последнего совещания, чего следует ожидать в будущем и какие проблемы нужно рассмотреть на следующем совещании. Этот цикл должен быть непрерывным.