Безопасность в «облаках»: мифы и реальность


В природе существует четыре основные модели организации облачной инфраструктуры:
Частное облако (Private cloud). В таком случае, облачная инфраструктура функционирует в целях обслуживания одной организации. Управление такой облачной инфраструктуры может осуществляться как самой организацией, так и третьей стороной.
Общее облако (Community cloud). Общее облако создается и используется несколькими организациями, которые придерживаются одинаковых принципов при разработке ИТ-инфраструктуры (например, требования к безопасности, регламентные требования). Такая облачная инфраструктура может управляться как самими организациями, так третьей стороной (на самом деле, изнутри мало чем не отличается от Частного облака, но выгоднее с точки зрения финансов)
Публичное облако (Public cloud). Публичное облако общедоступно и создается для больших групп пользователей. Такая инфраструктура создается и обслуживается облачным провайдером, предоставляющим облачные услуги.
Гибридное облако (Hybrid cloud). Данная инфраструктура является сочетанием трех предыдущих моделей развертывания. Главным условием для создания гибридного облака является обеспечение портируемости данных и приложений между объединяемыми моделями облаков.

В общем случае, имеем три базовые стратегии внедрения облаков: «свое», «чужое», «свое + чужое». Несмотря на различие в подходах реализации облачной инфраструктуры, проблемы в обеспечении безопасности информации идентичны.

«Облака» по умолчанию опасны?

Многие руководители считают, что если передать важные данные на хранение какой-либо компании, они неминуемо «утекут» к конкурентам. Но в большинстве случаев, информация утекала и будет утекать благодаря засланным в компанию «казачкам». Также велика вероятность того, что системный администратор компании, в случае его увольнения, не пожелает тихо уходить, а уйдет, так сказать, громко хлопнув дверью. Против внедрения облаков также выступают сотрудники ИТ-служб, полагая, что они лишатся работы, и при этом убеждают топ-менеджмент в том, что «облака» — это небезопасно.

На самом же деле, противники облаков забывают о трех важных факторах:
ФЗ-152 о персональных данных.
Лояльность людей переменчива и подвержена большому количеству факторов, а лояльность коммерческих компаний определяется исполнением условий заключенного с вашей компанией договора.
В трудовом договоре обычно не прописана обязанность ИТ-службы обеспечивать безопасность обрабатываемых в компании персональных данных и любой другой конфиденциальной информации, поскольку для этого требуется соответствующая лицензия. В случае с облачными провайдерами, в договорах все обязанности сторон прописываются, они должны иметь все необходимые лицензии, их хостинг-площадка удовлетворяет всем необходимым требованиям.

Хотелось бы успокоить представителей ИТ-служб: ликвидации подразделения при внедрении облаков не последует, и не может последовать, поскольку облака решают проблемы с «железом», «софтом», многие юридические вопросы, но в то же время создают массу новых и довольно интересных проблем. Взять, например, появление таких трендов, как BYOD, тонкие клиенты и пр. Отходя от главной темы статьи, хотел бы добавить: облака — это не способ сэкономить, если, конечно, вы не планировали строить ЦОД, это способ вовлечения ИТ в бизнес-процессы предприятия. В современном мире ИТ — это партнер бизнеса.

Это должен знать каждый

После общения с представителями нескольких крупных облачных провайдеров материализовался список требований, которые должны быть выполнены для минимального обеспечения безопасности информации на «облаке»:
Физическая защита: «железо», на котором будет реализована облачная ИТ-инфраструктура, должно находиться в защищенном помещении, с климат-контролем, с пропускным режимом (желательно применение биометрического контроля доступа), должны быть приняты все необходимые противопожарные меры, должно быть обеспеченно бесперебойное питание, а также круглосуточное обслуживание всей инфраструктуры.
Физическое разделение ресурсов: инфраструктура, в которой обрабатываются критически важные и конфиденциальные данные, физически должна располагаться отдельно от общей инфраструктуры, усиленная безопасность которой не предполагается.
Антивирусная защита: в случае SaaS (программное обеспечение как услуга) и PaaS (платформа как услуга) антивирусная защита должна быть обязательно.
Безопасность системы: необходимо наличие настроенных специальных брандмауэров для виртуальных машин, а также брандмауэров для всех операционных систем, которые будут использоваться в облачной инфраструктуре.
Защита от уязвимостей: облачная инфраструктура должна быть готова к атаке на распространенные уязвимости.
Безопасность данных: доступ к данным, хранящимся в специализированных хранилищах и базах данных, должен быть ограничен и все обращения к хранилищу должны отражаться в специальном журнале.
Аутентификация: наличие аутентификации по логину и паролю и шифрование процесса аутентификации обязательны, также желательно наличие автоматического сброса данных аутентификации пользователя при его бездействии некоторое время. Необходимо разделение пользователей по ролям, в соответствии с которыми им выдаются соответствующие права на доступ к ресурсам.
Менеджмент изменений: пользователи и администратор облачной инфраструктуры должны быть в курсе происходящих изменений как на стороне облачного провайдера, так и на собственных платформах, поэтому не лишним будет некоторый журнал, в котором бы отражались все последние изменения.
Шифрование: важная и конфиденциальная, располагающаяся в «облаке» должна быть зашифрована.
Соответствие ФЗ-152: хранение и обработка персональных данных должны соответствовать требованиям ФЗ-152.

Какая модель организации облаков лучше с точки зрения безопасности?

Публичное облако — с экономической точки зрения это наиболее привлекательный вариант, однако не все облачные провайдеры выполняют хотя бы те 10 требований, представленных выше. Поэтому если хотите перейти на публичные облака — требуйте у консультантов предоставления полной информации о предоставляемых услугах, если они начинают темнить, ищите другого провайдера, благо теперь их довольно много. Будьте внимательны, кому Вы доверяете информацию.

Частное облако или общее облако — если Вы представитель мегакорпорации и то это для Вас. Если в организации обрабатываются какие-либо конфиденциальные данные (а они есть у всех, например, персональные данные сотрудников) создание частного облака по всем правилам потребует значительных вложений. В этом случае остается в силе проблема с возможными инсайдерами в ИТ-службе и проблема «обиженного системного администратора».

Гибридное облако — можно сказать, это самый идеальный вариант. Вы можете арендовать защищенные платформы у облачного провайдера и размещать на них всю «конфиденциалку», а также арендовать незащищенные платформы или собрать свою серверную и размещать там данные с общедоступной и обезличенной информацией.

Таким образом, каждый вариант обладает своими плюсами и минусами. По своему опыту, могу сказать, что внедрение гибридного облака в в компании, в которой работаю, прошло без каких-либо неприятностей. Безопасность данных останется всегда вашей проблемой и даже если у вас заключен договор на защиту данных с отличным облачным провайдером, не забывайте дополнительно шифровать конфиденциальные данные, не теряйте бдительности и внимательно читайте ФЗ-152.

источник