УправлениеБезопасность

Как защитить данные в облаках

| 01.03.2018

Как защитить данные в облаках

Постарайтесь познакомиться со службой информационной безопасности провайдера. Какие бы шикарные технологии нам ни предлагал рынок, ими еще нужно уметь пользоваться – не только внедрять, но и эффективно эксплуатировать...

Итак, вы решили разместить данные в облаках, прочитали немало статей о том, как это быстро, удобно и экономически выгодно, но вас сдерживают некоторые опасения по поводу безопасности ваших данных. Действительно ли облачный провайдер сможет защитить ваши данные, не станут ли они случайно доступны соседу по облаку или злоумышленнику, который специально нацелен их украсть? Хорошо, если вы достаточно подкованы в области информационной безопасности, знаете все методы защиты и можете удостовериться, что они внедрены у вашего провайдера. Если это не так, то сегодня я попробую в двух словах рассказать, как провести подобную проверку.

С чего начать?

==================================================================

Постарайтесь познакомиться со службой информационной безопасности провайдера. Какие бы шикарные технологии нам ни предлагал рынок, ими еще нужно уметь пользоваться – не только внедрять, но и эффективно эксплуатировать.

==================================================================

Если мы говорим об инструментах информационной безопасности, то ответственной за нее в компании должна быть соответствующая служба. Проверьте, есть ли у вашего партнера служба информационной безопасности, и если есть, то обязательно попросите провести для вас очную встречу с ее специалистами.

О чем спрашивать?

Сферу информационной безопасности можно условно поделить на несколько зон.

1. Физическая безопасность оборудования

Многие ассоциируют облака с чем-то, не имеющим никаких географических координат. На самом деле пока это не совсем так. Сейчас все облачные провайдеры размещают оборудование для оказания услуг в ЦОДах. Таких ЦОДов может быть несколько, они могут принадлежать самому провайдеру или сдаваться по договору аренды. В ЦОДах должны быть предприняты все необходимые меры, препятствующие физическому доступу злоумышленников к оборудованию. Например,

==================================================================

система разграничения и контроля доступа разрешает проход в ЦОД исключительно по предварительной записи с проверкой документов, к стойкам допускается только персонал с постоянными пропусками. Механические замки или замки с биометрией ограничивают доступ к оборудованию в стойках. Камеры системы видеонаблюдения расположены так, чтобы охватить все зоны машинного зала. Копии видеозаписей должны храниться 2-3 недели для возможного расследования инцидента.

==================================================================

2. Безопасность каналов связи и доступа из сети Интернет

У облачного провайдера обычно очень много заказчиков. Все они пользуются его услугами через Интернет. Представьте себе облако в виде многоквартирного дома. В нем огромное количество жильцов, которые должны беспрепятственно проходить к себе домой, но при этом никто из них не хочет, чтобы в подъезд попадали сомнительные личности, которые могут намусорить или разрисовать стены. В облаке аналог двери с домофоном – это пограничное сетевое оборудование безопасности. Функции этого оборудования позволяют пропускать внутрь облака только его «жильцов», контролируя попытки незаконного проникновения. А роль консьержа играет оборудование защиты от DDoS-атак, которые при успешном проведении могут создать такой трафик на пограничное оборудование, что оно не будет справляться со своим функционалом и полностью заблокирует «двери» в облако для всех. Защита от DDoS-атак помогает фильтровать настоящих пользователей от созданных с целью навредить и блокирует запросы последних.

3. Защита внутри облака (защита системы виртуализации)

Еще одна критичная зона с точки зрения информационной безопасности – это система виртуализации. Если продолжить сравнение с многоквартирным домом, система виртуализации – это подъезд с холлом на каждом этаже, из которого пользователи-жильцы попадают в свои квартиры-виртуальные серверы. Есть специальные средства, ограничивающие доступ из одной сети внутри облака в другую, доступ одного заказчика – к соседним. Этот уровень защиты называется защитой среды виртуализации, и он должен быть реализован у облачного провайдера, которого вы выбрали.

4. Безопасность самих виртуальных машин

Все предыдущие меры безопасности прекрасно справляются с возложенными на них функциями только в том случае, если вы сами не проявляете халатность, то есть если вы позаботились о надежности входной двери в свою квартиру и не приглашаете к себе подозрительных гостей. При покупке сервиса SaaS или PaaS у вашего партнера необходимо уточнить,

==================================================================

какие средства защиты информации используются на уровне гостевой операционной системы – антивирус, средство контроля доступа, пароль администратора. При заказе обычной инфраструктуры не забывайте, что защита самой виртуальной машины находится в вашей зоне ответственности.

==================================================================

5. Контроль действий администраторов

Есть такие системы – системы контроля привилегированных пользователей, – которые позволяют сотрудникам службы информационной безопасности контролировать действия системных администраторов и ограничивать их в каких-то опрометчивых действиях с точки зрения информационной безопасности. Спросите у вашего партнера, использует ли он такие системы, и если нет, то как организовано выполнение функций подобных систем.

Верить ли на слово?

Как говорится, доверяй, но проверяй. Вот и здесь я советую проверить всё, что вам расскажут. Попросите показать сертификаты безопасности на оборудование и программное обеспечение, о котором вам рассказывали. Проверьте наличие аттестатов соответствия инфраструктуры требованиям безопасности. Внимательно изучите процесс отработки инцидентов информационной безопасности и регламент парольной политики.

В заключение отмечу, что обеспечение информационной безопасности, увы, не дешевое удовольствие. Если хотите со стопроцентной гарантией защитить данные от кражи, то отключите компьютер от сети и держите его в сейфе. Здесь каждый совершает свой собственный выбор, исходя из окружающей его действительности – жить ли в лесной избушке на свежем воздухе, в военном городке закрытого типа, не отмеченном на карте, или в многоквартирном доме с домофоном, консьержем и шлагбаумом при въезде во двор.

img
Олег Коновалов

Олег Коновалов,

руководитель отдела облачных сервисов

компании «ОНЛАНТА» (ГК ЛАНИТ)

Ланит | Lanit Онланта | Onlanta Облачные технологии Облачный сервис Виртуализация

Журнал: Журнал IT-News, Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Десять лет назад мы говорили о будущем цифры и управления с Пеккой Вильякайненом - технологическим предпринимателем и опытным инноватором. То будущее, о котором мы говорили тогда, наступило. День за днем, со скоростью времени.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

ТехноКлуб «Дефицит чипов: как выжить в новой реальности?»
Зеленоград, конгресс-центр ОЭЗ «Технополис Москва»
Бесплатно
04.08.2021
10:30
У лояльных хмурый день светлей.
ОНЛАЙН
09.08.2021 — 10.08.2021
19:00
Международная конференция по информационной безопасности ZeroNights
Санкт-Петербург, Кожевенная линия, 40, «Севкабель Порт»
3 490 руб
25.08.2021
09:00–23:00
Конференция «Кадровый ЭДО: цифровизация на практике»
Москва, отель Метрополь, Театральный проезд, 2
25.08.2021
09:30–17:00