Луговые озёра и окрестности (minaev_hutor) wrote,
Луговые озёра и окрестности
minaev_hutor

Как обеспечить безопасность данных в облаках

Оригинал взят у toomth в Как обеспечить безопасность данных в облаках
Как обеспечить безопасность данных в облаках


Уже давно никто не сомневается в том, что облачные технологии – это удобно и выгодно. Однако вопросы безопасности по-прежнему тревожат многих руководителей во всем мире. Действительно, как можно оставаться спокойным, если бизнес-данные хранятся на стороне провайдера, зачастую в неопределенной географической зоне?



По оценке компании Gartner, в 2014 г. публичными облачными сервисами пользовались лишь 8% компаний по всему миру без учета Индии и Китая, которые демонстрируют иные темпы прогресса. Аналитики ожидают, что организациям удастся преодолеть ментальный барьер только в 2015 г. и массово перейти «в облака» лишь к 2017 г., когда облачной инфраструктурой смогут похвастаться уже 33% компаний. В 2022 г. к данной категории можно будет отнести уже 60% организаций.



Почему же не происходит облачного скачка сегодня? Одной из основных причин являются вопросы безопасности. Эксперты отмечают, что рынок информационной безопасности (ИБ) намного более инертен, чем сфера высоких технологий в целом. Пользователи долгое время присматриваются к новым решениям, выжидают, ищут успешные кейсы и только тогда задумываются о том, чтобы в реальности применить новые инструменты.

Все это приводит к тому, что, отвечая на вопросы «Лаборатории Касперского», опрошенные ИТ-эксперты признали, что лишь 18% компаний приняли все меры по обеспечению информационной безопасности облачных сред, в то время как в 65% организаций защита внедрена частично, а 14% компаний вообще пока об этом не задумывалось.

Разным облакам – разная защита

Впрочем, нельзя мерить все «облака» под одну гребенку. В зависимости от особенности деятельности, приложений и требований к безопасности, инфраструктура компании может быть построена на базе частного, гибридного или публичного облака. В первом случае облачная инфраструктура используется только для нужд самой компании. Она может быть развернута на серверах, арендованных в защищенном центре обработки данных, или на собственных мощностях, например, специально установленном для этих задач кластере.

Как обеспечить безопасность данных в облаках

Некоторые компании вообще не испытывают облачных страхов, так как используют новые технологии исключительно для удобства администрирования и повышения эффективности использования вычислительных ресурсов и хранилищ данных.



«Практически все наши корпоративные сервисы построены на базе облачных технологий, но мы не беспокоимся об их безопасности, так как пользователи входят в систему со своих ноутбуков, находясь в рамках корпоративной сети, – комментирует Михаил Петров, директор департамента информационных систем оргкомитета олимпиады в Сочи. – В связи с используемой архитектурой мы просто не испытываем потребности в дополнительной защите».

Впрочем, в упомянутом выше прогнозе аналитики Gartner отмечают использование множества мобильных устройств как основной драйвер к развитию рынка облачных технологий. По оценке экспертов в ближайшем будущем сотрудники компаний будут использовать до 4 различных портативных устройств, таких как планшеты, смартфоны, ноутбуки и нетбуки. А организовать доступ к корпоративным системам для такого количества систем оказывается значительно проще на базе облачной инфраструктуры. И в данном случае имеет смысл говорить об обеспечении безопасности доступа. С этой целью применяются различные технологии шифрования, сертификаты удостоверяющих центров и прочие средства безопасности, проверяющие легитимность подключения клиента к облаку.



«Помимо собственно облачных сервисов, необходимо также помнить о безопасности канала связи и о конечных устройствах, которые используются на стороне клиента. Не менее важны внутренние политики, регламентирующие, кто из сотрудников имеет доступ к данным в облаке, или информацию какого уровня секретности можно хранить в облаке. В компании должны быть сформированы прозрачные правила: какие службы и сервисы будут работать из облака, а какие – на локальных ресурсах, какую именно информацию стоит хранить «у себя», а какую можно размещать в облаках» – делится своими соображениями Константин Воронков, руководитель отдела Endpoint-решений «Лаборатории Касперского».

Как обеспечить безопасность данных в облаках

Публичные облака

Наибольшее количество вопросов в сфере безопасности вызывают именно публичные облака. Дело в том, что получить доступ к ним может почти любой желающий, и беспокойство о гарантиях безопасности оказывается очень высоким, если на одном и том же физическом сервере хранятся бизнес-данные и информация частных пользователей.



«Главным вопросом является сложность аудита и контроля систем информационной безопасности для клиента, – рассказывает Константин Воронков. – Размещая свою информацию в публичном облачном сервисе, компания не имеет возможности проверить уровень обеспечения безопасности. И даже если провайдеры облачных сервисов допускают своих клиентов к проведению аудита информационной безопасности своих серверов, далеко не у каждого клиента найдутся специалисты необходимой квалификации».

Впрочем, провайдеры уверяют, что в большей части случаев опасения беспочвенны, так как для защиты публичных облаков делается очень многое. «Мы абсолютно убеждены, что защита данных пользователей, и частных и корпоративных, имеет первостепенное значение – от качества этой защиты зависит уровень доверия к провайдеру облачных услуг. В Google cотни инженеров по безопасности во всем мире круглосуточно работают над этой задачей. Высочайший уровень безопасности облачных сервисов Google подтвержден международными сертификатами, независимыми аудиторами, отраслевыми рейтингами и самими заказчиками, число которых по всему миру превышает 5 млн», – комментирует Сергей Ненарочкин, менеджер по развитию Google Enterprise.

Приложения и платформы

Тем временем современная облачная инфраструктура позволяет предоставлять в качестве сервисов приложения, системы, платформы или даже целую инфраструктуру. Однако, как показывает практика, наиболее популярной услугой оказывается предоставление доступа к приложениям. Это связано с тем, что на большинстве устройств уже имеется операционная система, позволяющая пользователю комфортно работать. А вот корпоративные приложения очень даже удобно предоставлять из облака.

Как обеспечить безопасность данных в облаках



«Мы пользуемся облачными сервисами в трех областях: CRM, HR и электронная почта. CRM-система находится на внешних серверах с системным и прикладным программным обеспечением стороннего производителя, она надежно защищена, и в ней мы храним информацию о заказчиках, и партнерах. Всю информацию о наших сотрудниках, включая контактные данные, название позиции, штатное расписание, мы также храним вне нашей инфраструктуры, – рассказывает Андрей Ковалев, директор по корпоративным решениям «Dell Россия». – Почтовый сервис позволяет сотрудникам получить удаленный и надежно-защищенный доступ к корпоративной переписке с любого компьютера или устройства, находясь в любой точке мира».

Подход к защите информации в данном случае крайне прост: выбирается подрядчик, прошедший соответствующий аудит и получил сертификаты рейтинговых агентств, устанавливаются ограничения доступа к системам согласно ролевой модели, а на конечных устройствах размещается защитное ПО, которое позволяет гарантировать сохранность и защищенность данных при их работе. Более того, при подключении к облачному сервису может происходить проверка защищенности рабочего места. И если с ноутбуком, смартфоном, планшетом или стационарным ПК что-то «не так», например, отсутствует обновленный антивирус или не включен модуль защиты от утечек, система может автоматически привести данные параметры к норме или отказать в предоставлении доступа.

Наконец, интересной особенностью российского бизнеса является возможность использования облачных сервисов для оптимизации своих бизнес-процессов, в том числе – защиты информации. В крупных компаниях, которые уже имеют свою собственную развитую инфраструктуру, миграция на внешнюю платформу требует тщательной подготовки, виртуализации существующих приложений и долгое время подразумевает сосуществование собственной ИТ-инфраструктуры и приложений/систем, работающих на внешних площадках.



Тем временем множество российских компаний до сих пор находятся на крайне низком уровне автоматизации, работая исключительно с офисными приложениями и составляя все отчеты в простых таблицах Excel. Для них миграция в облако равносильна созданию надежной ИТ-среды, за которую будет отвечать подрядчик. Впрочем, в этом случае остается самый важный вопрос: верно выбрать исполнителя и правильно составить с ним договор.

Андрей Шуклин

Как обеспечить безопасность данных в облаках


Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 0 comments