Облако может быть безопасным
С самого начала своего существования облачные вычисления идут рука об руку с сомнениями. Со временем, в традиционных IT-компаниях широкое распространение получила комбинация из обоснованного беспокойства и чрезмерного страха. Даже шли разговоры о конце эпохи IT-безопасности. Тем не менее, облачная концепция созрела – наступило время ее переосмысления.
Первоначальный пессимистический настрой смягчился до реалистичной и дифференцированной точки зрения. Сегодня преобладает мнение, что использование облака для определенных областей деятельности приносит больше преимуществ по сравнению с традиционным подходом.
За и против
Скептики и традиционалисты стоят по одну сторону баррикад и обвиняют сотрудников в бессистемном использовании облачных сервисов в обход IT-служб. Лишь изредка пользователи уделяют внимание требованиям регулирующих органов. Вместо этого они без колебания доверяют конфиденциальные корпоративные данные третьим лицам, которые, скорее всего, не в состоянии защитить информацию на том же уровне, что и IT-департамент компании. Сторонники же облачных услуг, напротив, не спешат обвинять каждого пользователя в безответственности. К тому же, профессиональные облачные провайдеры вполне в состоянии сделать сервисы эффективными, рентабельными, геоспецифичными, соблюдая при этом необходимый уровень безопасности, что зафиксировано в соответствующих условиях эксплуатации. Кроме того, облачные услуги являются практически идеальным ответом на пожелания пользователей: они облегчают их рабочие будни, так как определенные задачи здесь можно выполнить быстрее и проще, чем с устаревшими, стандартизированными решениями, которые предоставляют IT-службы компаний.
В принципе, аргументы как «за», так и «против» вполне справедливы, поэтому крайне важно привести различные требования обеих сторон к общему знаменателю в целях эффективной защиты конфиденциальных корпоративных данных.
Фактически можно говорить о том, что сегодня в облаке уже развернут не один бизнес, работающий с конфиденциальными данными, будь то информация о платежах, заработках сотрудников или управлении персоналом. В конце концов, облачные платформы предлагают конкурентоспособные ресурсы и структуры издержек, что вряд ли возможно в контексте модели «клиент-сервер». Также СМБ получает безопасность, конфиденциальность и нормативное соответствие в одном флаконе, что в рамках небольшой компании было бы сложно обеспечить.
Тем не менее, публичные облака подходят не для всех. Например, когда речь идет о конфиденциальных данных, которые просто не могут покидать пределы компании. Или когда требуется всеобъемлющий контроль, так же как и настоящий офлайн-доступ. Всё это барьеры для использования облачных технологий. Не будем забывать об опасениях, что недобросовестные провайдеры, имея доступ к бизнес-данным, могут ими манипулировать, либо вообще похитить. Поэтому необходимо применять шифрование данных при их обработке, отправке и хранении. Это справедливо и для классической модели клиент-сервер.
Что облако может предложить с точки зрения безопасности?
Если коротко: облачные провайдеры не плохо поработали над вопросами безопасности. Часто они предъявляют всевозможные облачные сертификаты, кроме того, многие провайдеры предлагают соответствующие зоны, которые удовлетворяют специфическим для конкретной страны требованиям к доступности, конфиденциальности и праву собственности на данные. Многие сервисы по безопасности, такие как Cloud Application Security Broker (CASB), WAF (Web Application Firewall), управление политиками (Policy Management) и службы каталогов (Directory Services) интегрированы с услугами облачных провайдеров. Кроме того, сегодня возможно управление от лица нескольких пользователей, чтобы разграничить различные зоны ответственности. В конечном итоге, принцип «чем меньше административных привилегий, тем лучше» реализуется еще более полно. Также много сделано в области шифрования: существует множество функций, которыми клиент может управлять самостоятельно. Регламентированные процессы, прозрачность и возможность получения разнообразной отчетности – все это говорит о том, что профессионально управляемые облака могут предложить высокий уровень безопасности. Облака уже давно не рассматриваются как неоправданный риск.
Советы по перемещению существенных с точки зрения безопасности рабочих нагрузок в облако
- Задокументируйте такие критерии, как релевантные с точки зрения безопасности сценарии использования, функциональные и технические требования, процессы и процедуры. Поделитесь этими данными со стратегическими партнерами и соответствующими провайдерами, чтобы планировать облачную миграцию и управление жизненным циклом.
- Частные сценарии использования, такие как сертификаты и геоспецифические требования конфиденциальности, требуют специального облачного провижинга (Cloud Provisioning), который необходимо запросить напрямую у поставщика услуг – включая детальный и утвержденный протокол соответствия нормативным требованиям. Планируйте также детальные сценарии использования, такие как работа в режиме коллективной аренды, распределенное администрирование, доступ внешних пользователей, снижение риска вмешательства третьих лиц.
- Избегайте применения облаков не из-за принципиальности в вопросах безопасности, а лишь в исключительных случаях. Вместо этого собирайте все контраргументы и установите всеобъемлющий регулирующий механизм, который включает в себя все необходимые технологии и процедуры, чтобы противостоять предубеждениям относительно облачных услуг.
- Определите рабочую модель для совместного администрирования. Разделите полномочия и обязанности между провайдерами, владельцами данных и приложений, а также пользователями. При этом должно быть гарантировано, что отдельные администраторы не могут поставить под угрозу безопасность или доступность критически важных приложений и служб. Поэтому необходимо тщательное кадровое регулирование в отношении администраторов и привилегированных пользователей в случаях изменения их позиции в компании (новое назначение, преемственность полномочий, выход на пенсию, увольнение).
- Определите требуемые границы, чтобы в будущем иметь возможность достаточно гибко менять облачных провайдеров. Важна при этом не только возможность миграции в облако, но и смена одного облака на другое и, при необходимости, возможность полностью уйти из облака. Миграция при этом должна включать такие элементы, как данные, приложения, пользовательский интерфейс, сценарии использования, а также базовую модель администрирования.
- Не стоит недооценивать шифрование. При этом речь идет не о том, что «было бы неплохо его иметь…», оно должно быть активировано в любом случае. Естественно, ключи шифрования будут управляться ответственными за конкретные данные, независимо от того, касается ли та или иная информация компании, поставщика или системы управления. Кроме того, предлагается выбрать для отдельных сценариев использования различные по своей сложности и специфике процедуры шифрования, которые работают на протяжении всего жизненного цикла защищаемых данных.
- Обязательно соблюдайте геоспецифические предписания по защите данных. Нередки случаи, когда хранение за пределами страны запрещено, поэтому тема прав собственности на данные при планировании внедрения облачной среды должна быть тщательно изучена. В этом случае полезно конфигурирование соответствующих зон для высокой доступности и защиты данных.
- Доступ к конфиденциальным данным в обязательном порядке должен осуществляться только при использовании мультифакторной аутентификации. Также, стоит задуматься о применении CASB, брокеров идентификации (Identity Broker) и служб федерации (Federation Service).
- Убедитесь также, что ваш WAF (Web Application Firewall) правильно сконфигурирован и защищает все критические веб-интерфейсы и веб-сервисы, а самое главное охватывает аутентификацию.
- - Убедитесь в том, что сотрудничество с провайдером является максимально прозрачным. Проверьте договоры на предмет скрытых статей, который могут повлечь нежелательные изменения в условиях использования и политике конфиденциальности.
В заключение небольшой совет: в том случае если сотрудник захочет обратиться к тому или иному стороннему облачному решению в обход IT-компании, зачастую будет достаточно в контроллере доставки приложений сконфигурировать соответствующие настройки перенаправления запросов. Так, пользователю в автоматическом режиме будет предложено вернуться только к тем сервисам, которые разрешены в рамках компании. При этом реализуема переадресация сотрудника к соответствующему внутреннему приложению, что поддерживает высокий уровень безопасности.
Опубликовано 08.12.2016
