Взгляд изнутри на предотвращение облачных рисков

Опубликовано: 8 Марта, 2023

Введение

При скорости, с которой компании и частные лица внедряют несколько облачных платформ, высокий уровень риска неизбежен. В этой статье мы расскажем о недавних событиях в Великобритании и Европе, которые затронули миллионы пользователей из-за отсутствия планирования и непредвиденных обстоятельств.

Отказ от ответственности:
 Важно отметить, что я никоим образом не против облачных технологий, на самом деле я занимаюсь созданием некоторых из крупнейших платформ уже более десяти лет. Эта статья больше посвящена защите активов данных организаций, и ее никоим образом не следует рассматривать как антиоблачную.

Нет смысла в скорости, если ты не можешь ее контролировать…

Неконтролируемое внедрение технологии имеет свои преимущества для поставщика, но может оставить организацию незащищенной. Хорошим примером этого является то, что сотрудники организации быстро осваивают такие технологии, как электронные шкафчики. Их много, и теперь эти технологии полностью загружены шифрованием военного уровня, а иногда даже более надежным шифрованием, которое может быть даже незаконным в вашей стране.

Я консультирую многие организации по этому вопросу; шифрование с использованием публично сгенерированных ключей, которые компания не может расшифровать своими собственными данными, представляет собой значительный риск.

Хорошей идеей было бы не допустить такой практики за счет использования технических, административных средств контроля с примесью просвещения. Образование и четкая коммуникация имеют ключевое значение, сотрудники должны понимать, что данные компании являются активом компании, и компания диктует, как эти данные хранятся, передаются и обрабатываются. Ни в коем случае человек не должен иметь возможность заблокировать компанию от их актива данных.

Мы знаем, что данные являются активом компании, особенно если они производятся на компьютере компании или в рабочее время на других компьютерах, и даже если они проходят через сеть компании, в зависимости от политики компании вы, вероятно, обнаружите, что организации могут претензия к этим данным. Кроме того, собственные данные компании просачиваются через эти кибер-шкафчики с угрожающей скоростью, потому что пользователям легко обмениваться данными.

При решении этой проблемы организациям необходимо найти и применить несколько средств контроля. Во-первых, установите строгий административный контроль, который информирует пользователей о том, что ни в коем случае не допускается утечка данных компании или передача их таким образом, если в письменной форме прямо не указано, что пользователи могут обмениваться данными таким образом, используя предпочитаемый компанией киберблокировщик. Во многих случаях эти технологии доступны через частные облака…

Во-вторых, используйте надежные технические средства контроля, которые отслеживают утечку данных через несколько точек выхода. Сегодня на рынке доступно множество технологий DLP, и хотя их может быть непросто защитить, настоятельно рекомендуется внедрить их, чтобы избежать и смягчить утечку данных.

Далее: убедитесь, что вы достаточно закрываете мобильные устройства; остановить это в наши дни сложно, и мне еще предстоит найти организацию, которая смогла бы должным образом запретить использование личных устройств. Существует множество средств контроля, которые ваша организация может использовать для уменьшения потери данных при использовании персональных устройств. Создание и распространение четкой политики в отношении мобильных устройств и применение технологий для защиты данных компании является обязательным условием, если вы хотите защитить и разрешить доступ к своим активам данных.

Наконец, пометьте все данные компании, чтобы было ясно, что данные принадлежат компании. Есть так много людей, которые обмениваются данными, и они находят это настолько простым, что, если все ваши технические и административные средства контроля не работают, по крайней мере, если об этом узнают, и данные правильно помечены как конфиденциальные компании, нет оправдания. Маркировка также может помочь отслеживать и защищать данные, поскольку некоторые организации имеют разные уровни маркировки. Это означает, что они могут применять элементы управления к конфиденциальным данным, а не ко всем данным.

Просто потому, что его облако не означает, что вам не нужны непредвиденные обстоятельства

Недавние события в Великобритании и Европе показали, что даже при размещении у крупнейших облачных провайдеров катастрофа может привести к тому, что подписчики, у которых нет плана на случай непредвиденных обстоятельств, будут мертвы.

Это урок, как и любой другой, который нужно усвоить на собственном горьком опыте, он применим к любому подписчику любой облачной платформы, включая ваше собственное частное облако, будь то локальное, но удаленно управляемое, гибридное облако или полностью размещенное и управляемое в облако. Очевидно, что из более чем 3000 клиентов лишь у горстки были разумные и работоспособные планы на случай непредвиденных обстоятельств. Чтобы избавить вас от подробностей, я сосредоточусь на том, как исправить проблемы, а не на том, что произошло.

Убедитесь, что ваш DR/BCP обновлен и работоспособен

Независимо от того, сколько ваш провайдер говорит вам, что все будет в порядке, существует несколько стратегий обеспечения устойчивости, максимальное время безотказной работы и обученный персонал, которые могут инициировать все виды угроз, чтобы вывести вас из строя.

Без наличия одного из трех столпов безопасности у вас нет безопасности. Гарантировать соединение через Интернет (общедоступную сеть) практически невозможно. Хотя надежность Интернета постоянно улучшается, существует слишком много факторов, которые могут поставить под угрозу ваш бизнес. Частное облако может противостоять большинству этих векторов угроз. Это может быть смягчено договорными соглашениями об уровне обслуживания. Я лично использую общедоступные облачные сервисы, некоторые из них великолепны, но многим предстоит пройти долгий путь.

Даже SLA может вас подвести из-за непредвиденных обстоятельств. Совсем недавно группа компаний в Европе, которая предоставляла облачные услуги примерно 3000 клиентам с общим влиянием более миллиона пользователей, связанных с крупнейшими поставщиками ИТ в мире, испарилась ровно за шесть недель.

Никто не думал, что это произойдет с ними

Клиенты с критической инфраструктурой, которые обратились к этому кластеру услуг у конкретного поставщика, чтобы гарантировать высокий уровень обслуживания, большую стабильность и аварийное восстановление, не имели плана на случай непредвиденных обстоятельств для ликвидации такого крупного поставщика. Конечным результатом стало то, что клиенты потеряли все свои данные, размещенную инфраструктуру и доступ.

Что вы должны делать?

Я не удивлен, что у этих клиентов не было плана на случай непредвиденных обстоятельств из-за всех обещаний, которые провайдеры дают клиентам. Единственный способ гарантировать, что это не произойдет с вашей организацией, — это протестировать и развить ваши планы на случай непредвиденных обстоятельств, а также убедиться, что вы можете отсоединиться от облачного провайдера и перейти к альтернативному провайдеру, если ваш основной провайдер каким-либо образом будет работать по умолчанию.

У людей есть ложное чувство безопасности, потому что провайдер больше, чем жизнь, но факт остается фактом: независимо от того, насколько мал или велик провайдер, он может исчезнуть чуть более чем через месяц. Леденящие душу факты заключаются в том, что из 500 ведущих европейских компаний, прошедших тщательную комплексную проверку, каждая из них упустила из виду возможность того, что компания с оборотом в миллиард долларов закроется через шесть недель.

Как разделить яйца между несколькими корзинами

Аналогия, которую я всегда использую со всеми своими клиентами, заключается в том, что многие люди думали, что два самолета врежутся в две башни, расположенные рядом друг с другом. Каковы шансы, примерно такие же, как у компании с миллиардным оборотом, которая закроется через шесть недель? То, что вы могли бы сделать, чтобы облегчить эту проблему, потребует самоотверженности, творческого подхода и будет стоить немного больше денег, чем вы уже вложили в своего провайдера. Это не только позволит вам оставаться на работе во времена облачных вычислений, но и значительно «уменьшит риск» этих непредвиденных обстоятельств.

  • Контракт, гарантирующий, что вы сможете передать все свои данные другому поставщику.
  • Убедитесь, что у вас есть собственная резервная копия данных и что вы можете восстановить данные в альтернативной среде.
  • Всегда знайте, что если служба проходит через общедоступную сеть, существует элемент риска, независимо от того, насколько отличным вы можете себе представить решение, риск существует.
  • Проверьте решение, прежде чем прыгать обеими ногами.
  • Знайте, что внедрение потребительских решений для корпоративного использования сопряжено с проблемами, связанными с потребителями, которые могут быть неприемлемы для корпорации.
  • Эффективно сообщайте о своих политиках своим сотрудникам, чтобы они знали, что разрешено, а что нет. Большинство людей не подозревают, что обмен корпоративными данными представляет собой проблему.
  • Чем активнее вы будете в этой области, тем лучше будет защищена ваша компания.

Вывод

Облако изменило то, как мы работаем и как мы взаимодействуем друг с другом. Всего за пару кликов мы можем поделиться данными с коллегами или зарегистрироваться в службе, которая открывает доступ к нашей рабочей среде. Защита ваших активов данных сейчас важнее, чем когда-либо прежде, поэтому пришло время принять соответствующие меры.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023