5 красных флажков облачной безопасности, которые должны вызвать у вас трепетное чувство Паучка
Если свести все к минимуму, облако на самом деле является просто чьим-то сервером. Но убедительной характеристикой является то, что это сервер или серверы, к которым мы можем получить доступ через Интернет, и который также предоставляет подписчикам необходимые вычислительные ресурсы. Облако — это решение 21-го века проблемы, оставшейся с 20-го века, когда ИТ-ресурсы были дефицитными и дорогими. В результате организации всегда подвергались риску неспособности обслуживать свои локальные системы. Организации, стремящиеся к максимизации прибыли, быстро отреагировали, предложив несколько вариантов в качестве услуги. Единственный вариант — больше не внедрять и не поддерживать собственные аппаратные и программные решения. Теперь у нас есть возможность перенести нашу инфраструктуру на облачную платформу, а также работать с поставщиками услуг для конкретных приложений для общекорпоративных услуг, таких как хронометраж, планирование ресурсов предприятия, отслеживание каналов продаж, финансовые системы и требования к человеческому капиталу.. В конечном счете, цель состоит в том, чтобы освободиться от стресса и риска, связанного с обслуживанием и обновлением наших собственных систем. Хотя эта стратегия может снять некоторые из наших опасений, в мире технологий нет ничего безрискового и защищенного от проблем безопасности, и облачные стратегии не являются исключением.
У нас есть соседи в облаке
Несмотря на то, что есть варианты подписки на частную облачную службу, большинство считает, что стоимость значительно менее приемлема, чем общедоступное облако. Итак, мы сознательно подписываемся на сервисы, с которыми делим серверы с несколькими другими подписчиками. Наряду с более низкой стоимостью мы также получаем преимущество, зная, что если возникнет проблема, которая повлияет на нашу организацию, она также повлияет на всех наших соседей, с которыми мы делим облачное пространство. Это означает дополнительное давление на поставщика услуг, чтобы убедиться, что проблемы выявляются и решаются быстро.
Облачная безопасность: иногда что-то идет не так
Хотя теоретически облачные решения могут помочь снизить наши корпоративные стратегические риски, все же есть важные соображения, когда вы начинаете идти по этому пути.
Мультитенантный кроссовер
Когда у вас есть соседи в облаке, всегда есть риск, что другие подписчики случайно или злонамеренно получат доступ к вашим данным. Как и в любой системе, облачная безопасность настолько хороша, насколько диктует архитектура. Однако как подписчик мы не можем видеть детали архитектуры, разработанной поставщиком услуг. По самой природе описания, сидеть на общем сервере и совместно использовать ресурсы не так безопасно, как иметь физический сервер на месте, на котором размещены ваши корпоративные приложения и хранилище данных. Стоит также отметить, что мир облачных вычислений довольно молод, и большинство поставщиков программного обеспечения как услуги (SaaS) менее зрелы, чем они могут заставить нас поверить. Хотя первоначальная разработка архитектурного плана могла быть тщательной и надежной с массовым тестированием QA, в действительности именно незрелость бизнеса поставщика и процессы изменений вносят риск в уравнение. Ключевым выводом из этого является то, что, когда речь идет о поставщиках облачных услуг, может потребоваться проанализировать уровень их бизнес-зрелости. Партнерство с молодым предприимчивым поставщиком облачных услуг может быть не в наших интересах. Там, где используются короткие пути, существуют пробелы в безопасности.
Отсутствие стандартов
Тесно связанные с пунктами выше, я хотел бы ввести стандарты. Стандарты — младший брат зрелости бизнеса. Существует основное правило, которое мы усваиваем в самом начале пути оптимизации бизнес-процессов. Должны быть доказательства документации, доказательства реализации и доказательства того, что процесс повторяем. Если мы все запишем и будем следовать другому процессу для достижения бизнес-цели, это не будет являться стандартом и не пройдет проверку на запах оптимизации бизнес-процессов. Стандарты или, что более вероятно, их отсутствие станут очевидными на раннем этапе при работе с поставщиком облачных услуг, который еще не достиг уровня зрелости бизнеса.
Шлюзы API
API или интерфейс прикладного программирования — это шлюз, который позволяет различным приложениям взаимодействовать и получать доступ к данным. Они обычно используются для перемещения данных между облачной средой и другим приложением. Когда мы перемещаем приложения в облако, существует высокая вероятность того, что мы продолжим перемещать данные между другими, уже существующими приложениями, которые необходимы нашей организации для ведения бизнеса. Проблема заключается в том, что мы часто ограничены использованием API-интерфейсов, разработанных поставщиком, что также означает, что мы должны быть уверены, что обеспечена надлежащая безопасность. Шлюзы API являются целью хакеров, поскольку они представляют собой точку входа. Если вы планируете продолжать перемещать данные между облачной службой и внутренними приложениями, стоит подумать о развертывании безопасности API, которая реализуется и контролируется вашим предприятием.
Невозможность извлечь ваши данные
Когда вы подписываетесь на облачный сервис, никогда не упускайте из виду тот факт, что данные принадлежат вашей организации. Частью любой стратегии миграции должно быть то, как извлечь ваши корпоративные данные, если ваша стратегия изменится. В идеале вы хотите быть тем, у кого есть контроль. Существуют ли возможности отчетности, которые позволяют вам запускать эту информацию по запросу, или есть ли более техническая стратегия с использованием API. Прежде чем архивировать исторические приложения, убедитесь, что вы знаете, как извлекать данные и куда они попадут после извлечения. Это может стать частью двухгодичного тестирования резервного копирования и восстановления. Мы все делаем это два раза в год, верно?
Отсутствие контроля над тем, кто может получить доступ к вашим данным
Это сложный вопрос. Во время настройки и реализации любого проекта миграции в облако нам необходимо тесно сотрудничать с нашим поставщиком облачных услуг. Во многих случаях это будет включать привлечение партнера по реализации для более сложных реализаций. Это означает знание того, что эксперты в предметной области из одной или нескольких сторонних организаций могут иметь полный доступ к нашим данным. Хотя можно использовать стратегии для использования очищенных или скремблированных данных, во многих случаях, таких как финансовые системы или системы расчета заработной платы, нам в конечном итоге необходимо использовать реальные данные для параллельного и пользовательского приемочного тестирования. Именно тогда становится очень важно сотрудничать с именованными ресурсами и понимать политику поставщика услуг в отношении безопасных посадочных мест для передачи файлов. В свете недавних стратегий работы на дому, которые в настоящее время использует большинство из нас, нам нужна уверенность в том, что наши данные не находятся на жестком диске чьего-либо домашнего ПК. Изучите стандарты, используемые любыми поставщиками облачных услуг, с которыми вы ведете переговоры, и, конечно же, соглашения о неразглашении являются необходимым инструментом администрирования.
С большой властью приходит большая ответственность
По мере того, как мы получаем признание и используем мощь облака, нам необходимо убедиться, что мы продолжаем брать на себя ответственность за безопасность нашей технологии. Хотя мы можем исходить из определенных ожиданий безопасности от поставщика облачных услуг, реальность такова, что мы будем двигаться рядом с соседями, о которых мы ничего не знаем. В лучшем случае будем надеяться, что они будут содержать двор в чистоте. Но помните, что в каждом городе есть как минимум несколько крэк-хаусов.