• Пошук
  • UA RU

Хмарна безпека: чи згущуються хмари над захистом даних?

Хмарну безпеку сьогодні вважають одним з найперспективніших сервісів в інтернеті.

Такі системи надають більшість можливостей звичним системам ІТ-безпеки, виносячи за дужки питання їх фізичного розміщення. Провайдери хмар обіцяють захист критично важливої інформації від крадіжки, витоку і втрати. У цій статті ми розбираємося в тому, наскільки можна вірити подібним обіцянкам.

Питання безпеки даних давно стосуються не тільки рядових користувачів і великих організацій. Прорахунки можливі і на набагато більш серйозному рівні. В середині листопада проект по роботі з ризиками в кіберпросторі UpGuard повідомив, що 1,8 мільярда документів Пентагону виявилися незахищеними — через банальну помилку в налаштуваннях доступу. Інформація, яка, втім, не містила секретних даних, зберігалася на трьох публічних хмарних серверах. Цей випадок — ще один приклад того, що навіть організації такого рівня, які працюють з найважливішими відомостями, не застраховані від проблем, пов'язаних з безпекою даних. Малий і середній бізнес, відповідно, також не може не думати про ці проблеми.

Що таке хмари?

За минуле десятиліття слово хмара в своєму цифровому значенні настільки міцно увійшло в побут, що його вже рідко беруть в лапки. Спрощено кажучи, це необхідна користувачам комп'ютерна інфраструктура — тобто, сервери, сховища даних, програмне забезпечення, мережі, — які надаються провайдером для розгортання і роботи необхідних клієнту систем. Все це надається онлайн, а, отже, не вимагає від користувача власного обладнання — його забезпечує постачальник послуги. У такому випадку мова йде про так звану "публічну хмару" — на відміну від приватної, створеної однією організацією для своїх внутрішніх потреб.

Хмари дають безліч очевидних переваг

Як свідчать дослідження аналітичного агентства Gartner, основним напрямком і двигуном розвитку ІТ-індустрії хмарні технології стали з кінця 2009 року.

"Хмари дають безліч очевидних переваг — немає необхідності утримувати штат кваліфікованих фахівців для експлуатації власного дата-центру, можливість уникнути капітальних витрат на власне обладнання і в більшу частину ПЗ, можливість запитувати і оплачувати тільки необхідний набір послуг і багато чого іншого", — відзначає глава наглядової ради «Октава Капітал», засновник громадської ініціативи «Громадянська кібероборона» Олександр Кардаков.

Корпорація Amazon, один з найбільших світових постачальників хмар, однією з переваг хмар називає можливість працювати масштабно, залишаючись у безпеці.



Чи все так безхмарно?

Незважаючи на всі запевнення провайдерів, кібербезпека хмарних рішень залишається складним завданням. Адже мова йде про необхідність забезпечити захист даних як мінімум на такому ж рівні, на якому це може бути зроблено на власній ІТ-інфраструктурі.

Дані клієнтів хмар захищаються всередині дата-центрів провайдера. Багато постачальників хмарних послуг проходять оцінку незалежних сторонніх аудиторів. Їх звіти вказують, як конкретний постачальник застосовує внутрішні процеси управління безпекою та наскільки вони ефективні для тих дата-центрів, де зберігаються дані клієнта. 

 

Олексій Швачка з "ІТ-Інтегратор" рекомендує ще на етапі прийняття рішення про міграцію в хмари спростити ІТ-ландшафт організації, тобто, позбутися рідко використовуваних програм, а також максимально стандартизувати софт 

"Якщо немає контролю над інфраструктурою, то немає і повної впевненості в тому, що постачальник рішення реалізує всі необхідні — або хоча б заявлені — організаційні та технічні заходи забезпечення кібербезпеки", — коментує архітектор систем інформаційної безпеки компанії ІТ-Інтегратор Олексій Швачка. Відомі випадки, коли навіть найбільші хмари можуть «відмовити». У того ж Amazon було дві масштабних відмови в обслуговуванні — інфраструктура провайдера була недоступна протягом декількох годин.

Якщо немає контролю над інфраструктурою, то немає і повної впевненості в тому, що постачальник рішення реалізує всі необхідні

Профільне об'єднання Cloud Security Alliance відзначає, що сама природа хмар, які працюють "на вимогу", створює чимало нових ризиків для безпеки. У своїх регулярних звітах аналітики об'єднання відзначають, що особливості організації доступу до хмарах часто підштовхують співробітників обходити прийняті правила безпеки. В результаті CSA рекомендує задуматися про нові підходи до самої організації роботи в нових умовах. "Головні загрози 2016 року в хмарній безпеці відображають зміщення причини проблем — від проломів в системах хмарних обчислень до прорахунків на рівні менеджменту", — пояснює віце-президент з досліджень CSA Джей Ер Сантос.

"У провайдерів, звичайно, є і резерв потужностей, і дублювання критичних систем — але вони можуть вкладати в поняття надійності свій сенс, а клієнт свій. Тут важливим є чітке взаємне розуміння і максимально явно і точно прописані SLA, угод про рівень надання послуг", — додає Швачка з "ІТ-Інтегратора".

Як зробити хмари надійними?

Очевидно, ризики в хмарах існують. Але не варто думати, що тільки провайдер відповідає за безпеку. Найбільші гравці ринку, такі як Amazon, Microsoft і Google, гарантують в першу чергу фізичну безпеку дата-центрів і збереження даних клієнтів від руйнування. Клієнти ж відповідають за те, що відбувається на їх віртуальній ділянці хмари. Само собою, і провайдери, і незалежні постачальники систем безпеки надають цілий арсенал для цифрового захисту, але їх використання — прерогатива ІТ-відділів компаній і вимагає додаткового кваліфікованого персоналу і відповідних бюджетів.

У CSA підкреслюють, що перший крок до організації безпеки хмари — дослідження можливих загроз. Там також називають кілька ключових рішень для посилення хмарної безпеки. Серед них — шифрування даних, а також їх захист при передачі. Зашифрована інформація під час передачі повинна бути доступна тільки після аутентифікації користувача з достатніми правами.

Крім традиційного пароля рекомендується використовувати додаткові кошти аутентифікації, такі як токени і сертифікати. Також фахівці радять організувати максимально прозору і безпечну взаємодію провайдера з системами авторизації підприємства — такими як LDAP (Lightweight Directory Access Protocol) і SAML (Security Assertion Markup Language). Варто пам'ятати і про важливість ізоляції користувачів в хмарному середовищі — найчастіше через можливі помилки в налаштуваннях або в коді програмного забезпечення, один користувач може отримати доступ до не своїх даних.

У сфері хмарних обчислень Україна знаходиться ще на самому старті і на роки відстала від світових тенденцій

В "ІТ-інтеграторі" рекомендують ще на етапі прийняття рішення про часткову або повну міграцію ІТ -інфраструктури в хмари зробити кілька попередніх кроків. Наприклад, по можливості спростити сам ІТ-ландшафт організації. Тобто, позбутися від програм або сервісів, які рідко потрібні, а також максимально стандартизувати ПЗ, яке використовує компанія. Також необхідно точно описати бізнес-процеси, вивчивши і оцінивши можливі ризики при їх перенесенні в хмарну інфраструктуру. "Це дасть точне розуміння, яка частина інфраструктури може бути перенесена в хмару, які SLA потрібно вимагати від хмарного провайдера, на які компроміси можна піти", — говорить Швачка.

Варто розуміти, що в сфері хмарних обчислень Україна знаходиться ще на самому старті і на роки відстала від світових тенденцій. Проте, останнім часом цей напрям розвитку ІТ-індустрії набирає обертів, тому зміни неминучі і до них життєво важливо починати підготовку вже зараз, — підсумовує Олександр Кардаков.

Коментарі

1000

Правила коментування
Показати більше коментарів