Безопасность в “облаках”: мифы и реальность


В природе существует четыре основные модели организации облачной инфраструктуры:

  1. Частное облако (Private cloud). В таком случае, облачная инфраструктура функционирует в целях обслуживания одной организации. Управление такой облачной инфраструктуры может осуществляться как самой организацией, так и третьей стороной.
  2. Общее облако (Community cloud). Общее облако создается и используется несколькими организациями, которые придерживаются одинаковых принципов при разработке ИТ-инфраструктуры (например, требования к безопасности, регламентные требования). Такая облачная инфраструктура может управляться как самими организациями, так третьей стороной (на самом деле, изнутри мало чем не отличается от Частного облака, но выгоднее с точки зрения финансов)
  3. Публичное облако (Public cloud). Публичное облако общедоступно и создается для больших групп пользователей. Такая инфраструктура создается и обслуживается облачным провайдером, предоставляющим облачные услуги.
  4. Гибридное облако (Hybrid cloud). Данная инфраструктура является сочетанием трех предыдущих моделей развертывания. Главным условием для создания гибридного облака является обеспечение портируемости данных и приложений между объединяемыми моделями облаков.

В общем случае, имеем три базовые стратегии внедрения облаков: “свое”, “чужое”, “свое + чужое”. Несмотря на различие в подходах реализации облачной инфраструктуры, проблемы в обеспечении безопасности информации идентичны.

“Облака” по умолчанию опасны?

Многие руководители считают, что если передать важные данные на хранение какой-либо компании, они неминуемо “утекут” к конкурентам. Но в большинстве случаев, информация утекала и будет утекать благодаря засланным в компанию “казачкам”. Также велика вероятность того, что системный администратор компании, в случае его увольнения, не пожелает тихо уходить, а уйдет, так сказать, громко хлопнув дверью. Против внедрения облаков также выступают сотрудники ИТ-служб, полагая, что они лишатся работы, и при этом убеждают топ-менеджмент в том, что “облака” – это небезопасно.

На самом же деле, противники облаков забывают о трех важных факторах:

  • ФЗ-152 о персональных данных.
  • Лояльность людей переменчива и подвержена большому количеству факторов, а лояльность коммерческих компаний определяется исполнением условий заключенного с вашей компанией договора.
  • В трудовом договоре обычно не прописана обязанность ИТ-службы обеспечивать безопасность обрабатываемых в компании персональных данных и любой другой конфиденциальной информации, поскольку для этого требуется соответствующая лицензия. В случае с облачными провайдерами, в договорах все обязанности сторон прописываются, они должны иметь все необходимые лицензии, их хостинг-площадка удовлетворяет всем необходимым требованиям.

Хотелось бы успокоить представителей ИТ-служб: ликвидации подразделения при внедрении облаков не последует, и не может последовать, поскольку облака решают проблемы с “железом”, “софтом”, многие юридические вопросы, но в то же время создают массу новых и довольно интересных проблем. Взять, например, появление таких трендов, как BYOD, тонкие клиенты и пр. Отходя от главной темы статьи, хотел бы добавить: облака – это не способ сэкономить, если, конечно, вы не планировали строить ЦОД, это способ вовлечения ИТ в бизнес-процессы предприятия. В современном мире ИТ – это партнер бизнеса.

Это должен знать каждый

После общения с представителями нескольких крупных облачных провайдеров материализовался список требований, которые должны быть выполнены для минимального обеспечения безопасности информации на “облаке”:

  • Физическая защита: “железо”, на котором будет реализована облачная ИТ-инфраструктура, должно находиться в защищенном помещении, с климат-контролем, с пропускным режимом (желательно применение биометрического контроля доступа), должны быть приняты все необходимые противопожарные меры, должно быть обеспеченно бесперебойное питание, а также круглосуточное обслуживание всей инфраструктуры.
  • Физическое разделение ресурсов: инфраструктура, в которой обрабатываются критически важные и конфиденциальные данные, физически должна располагаться отдельно от общей инфраструктуры, усиленная безопасность которой не предполагается.
  • Антивирусная защита: в случае SaaS (программное обеспечение как услуга) и PaaS (платформа как услуга) антивирусная защита должна быть обязательно.
  • Безопасность системы: необходимо наличие настроенных специальных брандмауэров для виртуальных машин, а также брандмауэров для всех операционных систем, которые будут использоваться в облачной инфраструктуре.
  • Защита от уязвимостей: облачная инфраструктура должна быть готова к атаке на распространенные уязвимости.
  • Безопасность данных: доступ к данным, хранящимся в специализированных хранилищах и базах данных, должен быть ограничен и все обращения к хранилищу должны отражаться в специальном журнале.
  • Аутентификация: наличие аутентификации по логину и паролю и шифрование процесса аутентификации обязательны, также желательно наличие автоматического сброса данных аутентификации пользователя при его бездействии некоторое время. Необходимо разделение пользователей по ролям, в соответствии с которыми им выдаются соответствующие права на доступ к ресурсам.
  • Менеджмент изменений: пользователи и администратор облачной инфраструктуры должны быть в курсе происходящих изменений как на стороне облачного провайдера, так и на собственных платформах, поэтому не лишним будет некоторый журнал, в котором бы отражались все последние изменения.
  • Шифрование: важная и конфиденциальная, располагающаяся в “облаке” должна быть зашифрована.
  • Соответствие ФЗ-152: хранение и обработка персональных данных должны соответствовать требованиям ФЗ-152.

Какая модель организации облаков лучше с точки зрения безопасности?

Публичное облако – с экономической точки зрения это наиболее привлекательный вариант, однако не все облачные провайдеры выполняют хотя бы те 10 требований, представленных выше. Поэтому если хотите перейти на публичные облака – требуйте у консультантов предоставления полной информации о предоставляемых услугах, если они начинают темнить, ищите другого провайдера, благо теперь их довольно много. Будьте внимательны, кому Вы доверяете информацию.

Частное облако или общее облако – если Вы представитель мегакорпорации и то это для Вас. Если в организации обрабатываются какие-либо конфиденциальные данные (а они есть у всех, например, персональные данные сотрудников) создание частного облака по всем правилам потребует значительных вложений. В этом случае остается в силе проблема с возможными инсайдерами в ИТ-службе и проблема “обиженного системного администратора”.

Гибридное облако – можно сказать, это самый идеальный вариант. Вы можете арендовать защищенные платформы у облачного провайдера и размещать на них всю “конфиденциалку”, а также арендовать незащищенные платформы или собрать свою серверную и размещать там данные с общедоступной и обезличенной информацией.

Таким образом, каждый вариант обладает своими плюсами и минусами. По своему опыту, могу сказать, что внедрение гибридного облака в в компании, в которой работаю, прошло без каких-либо неприятностей. Безопасность данных останется всегда вашей проблемой и даже если у вас заключен договор на защиту данных с отличным облачным провайдером, не забывайте дополнительно шифровать конфиденциальные данные, не теряйте бдительности и внимательно читайте ФЗ-152.