Безопасность в облаке: достаточно надежно для вашего бизнеса?

Введение

Куда бы вы ни посмотрели сегодня, вы видите Облако. Microsoft, IBM, Amazon, Google, Adobe — все спешат предложить комплексную услугу «облачных вычислений», которая привлечет бизнес. Они делают хороший случай для экономики и удобства. Но прежде чем вы бросите свой собственный ИТ-отдел и поместите все свои приложения и данные «где-то там», вы можете тщательно подумать о последствиях для безопасности.

Являются ли соображения безопасности основным препятствием для внедрения облачных вычислений?

На апрельской 2009 г. конференции RSA в Сан-Франциско облачная безопасность — или ее отсутствие — была одной из самых популярных тем для обсуждения. Генеральный директор Cisco Джон Чемберс назвал это «кошмаром безопасности». Подробнее об этом можно прочитать здесь. Тем не менее, такие компании, как Microsoft, IBM, Google и Amazon, усердно продвигают свои облачные решения, и предполагаемая экономия — особенно бесспорно более низкие начальные затраты — выглядят очень привлекательными для предприятий, стремящихся снизить расходы на ИТ в условиях жесткой экономики.

Тем не менее, ответы читателей на недавний набор статей об облачных вычислениях, которые я написал для WXPnews и VistaNews, показывают, что безопасность является серьезной проблемой и вполне может быть самым большим препятствием, с которым сталкиваются те, кто выступает за широкое внедрение технологии. Даже рассматривая преимущества передачи всей или части своей ИТ-инфраструктуры на аутсорсинг поставщикам облачных услуг, многие лица, принимающие технические решения, обеспокоены потерей контроля, связанной с тем, что их критически важные приложения и конфиденциальные данные находятся «где-то там», а не на их собственные серверы.

Компании, на которые распространяются нормативные требования, должны быть особенно осторожны, доверяя свои данные облаку. В статье от 8 апреля 2009 г. для cloudsecurity.org Крейг Болдинг перечисляет многочисленные опасения, связанные с недавним маркетингом Amazon Web Services (AWS) как решения, совместимого с HIPAA.

Одна из причин, по которой TDM опасаются облака, заключается в том, что это всего лишь старая идея с новым названием. Они помнят всю шумиху вокруг поставщиков услуг приложений (ASP) в конце 1990-х и начале 2000-х годов. Когда идея не продавалась, она ушла и вернулась несколько лет назад в виде SaaS, который тоже не вызывал большого энтузиазма, пока не превратился в часть более крупной идеи с более броским названием: облачные вычисления. На этот раз не только название, но и время было правильным; мировой экономический спад заставил компании отчаянно искать способы сократить свои бюджеты. Что может быть лучше для этого, чем сократить расходы на персонал, избавившись от всего или большей части ИТ-отдела, и сократить капитальные расходы, отказавшись от большей части дорогостоящего оборудования и дорогого серверного программного обеспечения, которым эти люди посвящают свое время? Как и в случае с подоходным налогом и налогом на заработную плату, которые удерживаются из вашей зарплаты, вы на самом деле не замечаете стоимость того, чего никогда не видите.

Тем не менее, есть ряд причин, по которым многие компании пока не доверяют облачным вычислениям. Одна из проблем заключается в том, что «Облако» охватывает такой широкий спектр технологий — веб-хранилище, онлайн-приложения, виртуализацию и так далее. Облачные сервисы часто делятся на три категории: программное обеспечение как услуга (SaaS), платформа как услуга (PaaS) и инфраструктура как услуга (IaaS). Независимо от категории, все облачные сервисы имеют общий элемент: зависимость от Интернета или, в случае внутренних/частных облаков, по крайней мере, от локальной или корпоративной глобальной сети. Без сети облако невозможно. Это вызывает проблемы с надежностью в дополнение к проблемам безопасности.

Проблемы безопасности облачных вычислений

Прозрачность облака — одна из самых привлекательных сторон для компаний, но также и источник их недоверия. Все дело в том, что компания может сосредоточиться на своем бизнесе, а ИТ передать кому-то другому. Цель — бесшовный опыт, при котором вам не нужно знать, как все это работает под капотом. Но если вы не знаете, как это работает, как вы узнаете, безопасно ли это?

Самые большие опасения компаний относительно безопасности в облаке, по-видимому, сводятся к одному ключевому фактору: отсутствию контроля. Вы можете даже не знать, где физически хранятся ваши данные, и не знать, какие механизмы безопасности существуют для их защиты. Зашифрованы ли данные, когда они находятся на диске? И если да, то какой метод шифрования используется? Путешествует ли он между вашей локальной сетью и пунктом назначения в облаке по зашифрованному соединению? Как управляются ключи шифрования? Кто, кроме вас, имеет доступ к вашей информации?

Традиционная модель безопасности предприятия в значительной степени зависит от защиты периметра с помощью брандмауэров и шлюзов. Облако на самом деле не имеет периметра, и соглашения об условиях обслуживания некоторых облачных провайдеров (например, для сервисов Amazon EC2) запрещают вам сканировать на наличие уязвимостей. Дополнительные сведения об уязвимостях, характерных для облака Amazon, см. в статье Джорджа Риза «Ключевые проблемы безопасности для облака Amazon ».

По данным Gartner Group, некоторые из проблем облачной безопасности, которые беспокоят компании, включают не только местонахождение данных и то, какое шифрование используется на различных уровнях, но и то, каким будет протокол провайдера (меры реагирования/восстановления), если произошло нарушение безопасности, какой тип следственной поддержки можно ожидать, и достаточно ли безопасности поставщика облачных услуг для соответствия отраслевым и государственным нормам.

Достаточно сложно обеспечить безопасность вашей информации в ваших собственных системах и сети. Сторонники облачных технологий утверждают, что передача безопасности ваших данных в руки экспертов — таких известных людей, как IBM, Microsoft, Google и Amazon — обеспечивает лучшую защиту, чем наем или обучение собственных специалистов по безопасности. Однако громкие имена также являются громкими (и популярными целями). И любой, кто когда-либо пытался достучаться до настоящего, живого человека в какой-либо крупной бюрократии, а уж тем более к тому, кто заботится о вашей проблеме и имеет опыт, чтобы что-то с ней сделать, знает, что размер не всегда означает лучшее обслуживание..

Другая проблема заключается в том, что большое облако представляет собой крупную привлекательную цель для хакеров и злоумышленников. Большинство экспертов по безопасности признают, что важная причина, по которой Microsoft Windows используется чаще, чем Linux или Mac OS, заключается в ее большой доле на рынке: хакер, который будет атаковать Windows, найдет гораздо больше систем, которые можно взломать или взломать. Точно так же хакер, который проникнет в системы крупного поставщика облачных услуг, обнаружит огромное количество данных, которые нужно украсть, или операции организаций, которые нужно нарушить.

Отсутствие стандартов создает проблемы

Одна из самых больших проблем заключается в том, что, хотя каждый поставщик облачных услуг реализует меры по защите данных, хранящихся на его серверах, в настоящее время не существует общепризнанных стандартов безопасности облачных вычислений. Такие группы, как Jericho Forum, аналитический центр по безопасности, работают над созданием структуры, которая поможет создать такие стандарты и поможет компаниям определить, какие задачи можно безопасно доверить облаку. Их рекомендации основаны на стандартизированной, простой в использовании модели классификации данных с соответствующими стандартами для уровней доверия управления и стандартизированными метаданными, чтобы указать, какой уровень безопасности следует применять к каждому элементу данных. Подробнее об этом можно прочитать в статье под названием «Модель облачного куба: выбор облачных формаций для безопасного сотрудничества ». загружается в формате PDF.

Национальный институт стандартов и технологий (NIST) и Международная организация по стандартизации (ISO) также работают над стандартами защиты облачных данных. Однако наличие нескольких стандартов само по себе может усложнить ситуацию, хотя гораздо лучше знать, что ваш облачный провайдер соответствует какому-то набору стандартов, чем гадать.

Какое решение?

Облачные вычисления все еще находятся в зачаточном состоянии, но хорошая новость заключается в том, что — в отличие, например, от разработки компьютерных операционных систем и приложений — последствия для безопасности учитываются, и механизмы безопасности внедряются с самого начала. В марте такие компании, как eBay, Intuit, DuPont и ING, сформировали группу под названием Cloud Security Alliance с целью продвижения передовых методов обеспечения безопасности в облачной среде. Подробнее об организации вы можете узнать здесь. В их официальном документе «Руководство по безопасности для критически важных областей облачных вычислений» содержится хороший обзор моделей облачных вычислений и их характеристик, а также рассматриваются облачные службы с точки зрения управления и управления рисками, правовых вопросов, электронного обнаружения, соответствия и аудита., непрерывность бизнеса и аварийное восстановление, безопасность приложений, шифрование и управление ключами, управление идентификацией и доступом, хранение и виртуализация, среди прочего.

В то же время группа технологических компаний, в которую входят IBM, AT&T, Cisco, Sun, EMC и AMD, подписала документ под названием « Манифест открытого облака », который поддерживает максимально «открытые» услуги облачных вычислений. Это будет означать большую совместимость между провайдерами. В документе безопасность рассматривается в одном абзаце, в котором признается неудобство многих организаций при хранении своих данных и приложений в системах, которые они не контролируют, и частично говорится, что «согласованность в отношении технологий аутентификации, управления идентификацией, соответствия требованиям и доступа будет приобретать все большее значение». Весь документ можно прочитать здесь.

По мере того как стандарты безопасности разрабатываются, принимаются и становятся ожидаемыми клиентами, многие проблемы безопасности, связанные с облачными вычислениями, будут устранены. В то же время компаниям не обязательно воздерживаться от использования облачных сервисов, но им следует тщательно проанализировать свои стратегии внедрения облачных технологий и ничего не принимать на веру. Задавайте трудные вопросы поставщикам услуг и разумно выбирайте, какие задачи передать в облако, а какие оставить на месте и под своим контролем. Возможно, самый важный вывод из обсуждения — и тот, который был упущен из виду во многих дискуссиях на эту тему — заключается в том, что облако — это не решение «все или ничего». Имеет смысл использовать облачные сервисы для одних задач, но не для других. Поставщики интеллектуальных облачных сервисов распознают это и предложат свои услуги в «кафетерийном меню», которое позволит вам использовать облако для приложений и данных, менее чувствительных к безопасности, и перенести другие задачи и данные в облако позже, если вообще перенесут.