Facebook Pixel
Русский военный корабль, иди нах*й.
Пожертвовать на армию
×

Безопасность облачных технологий: миф или реальность

Олег Бурлов
коммерческий директор компании SOFTICO
Фото: Free-Photos / Pixabay

Фото: Free-Photos / Pixabay

Облачными решениями сейчас интересуются почти все компании. Если в бизнесе присутствуют любые IT-процессы, включая электронные документы, базы данных, бухгалтерия, — вам понадобятся виртуальные серверы. В последние годы представители различных сфер и бизнеса всех масштабов начинают активнее использовать «облачные» решения. На ком же лежит ответственность за выполнение условий и стандартов согласно законодательству? Достаточно ли подключить облачную инфраструктуру и больше не волноваться за безопасность своих данных? Как реализовать требования информационной безопасности и защиты данных в облачном хранилище?

Как выбрать правильное облачное решение

При выборе любой облачной инфраструктуры для начала стоит понять, какие бизнес-задачи должны быть решены. Стоимость и время, которые нужны на переход в облако, зависят от задач, стоящих перед бизнесом, и от объема необходимой инфраструктуры для переноса информации.

В целом существует три типа облачных решений: публичные, частные и гибридные. Все они построены на базе серверов, программно объединенных в один кластер.

Присоединяйтесь к нам в соцсетях!

Если спрос на обработку данных начинает превышать возможности локального центра, компаниям лучше использовать облака для мгновенного масштабирования производительности и удовлетворения растущих потребностей. Это также позволит им отказаться от приобретения, установки и обслуживания новых серверов, которые могут использоваться эпизодически.

Вычислительные ресурсы публичного варианта облачного хранилища программно делятся между заказчиками, что, соответственно, влияет на мощности, которые может получить каждый клиент.

Подписывайтесь на нас в Google News!

Частное облако предоставляет ресурсы исключительно для одного заказчика. Оно является изолированным, и на физическом, и на программном уровнях. Такой вариант лучше всего подходит крупным корпорациям.

Для отраслей, работающих с конфиденциальными данными, например, банков, государственного сектора, сферы здравоохранения, гибридное облако будет оптимальным вариантом. Например, иногда нужно, чтобы определенные типы данных хранились в локальной среде, а менее конфиденциальные — в облаке.

С такой гибридной облачной архитектурой организации получают преимущества дополнительной гибкости общедоступного хранилища для выполнения менее регламентированных вычислительных задач, выполняя в то же время все отраслевые требования.

Что нужно и сколько стоит переход в облако

Перед тем, как выбрать провайдера и собственно перенести данные в облачное хранилище, нужно взвешенно обдумать реальную ценность имеющейся информации для бизнеса и принять решение: что необходимо сохранить, а что — «виртуализировать».

Процесс оценки данных перед миграцией в облако — практика, которую должна выполнить любая компания в стандартном порядке, независимо от объемов этих данных. Это важный процесс, который помогает организациям поддерживать актуальность методов управления данными и способствует укреплению безопасности. Также это поможет определить лишние массивы информации, которые часто сохраняются, но бесполезны.

Облачный сервис предоставляет всю инфраструктуру как услугу: позволяет сэкономить на инвестициях в собственную серверную инфраструктуру и ее администраторов, обеспечивает стабильность работы, помогает наращивать мощности и функции по мере необходимости. К тому же все это реализуется за прогнозируемый ежемесячный платеж, что значительно сокращает общие расходы.

В зависимости от параметров данных, поставленных задач и потребностей различают три типа услуг облачных провайдеров:

IaaS — Infrastructure as a Service — инфраструктура как услуга, например, виртуальные серверы и виртуальная сеть; можно устанавливать любое программное обеспечение и приложения;

PaaS — Platform as a Service платформа как услуга, например, веб-сервер или база данных; вы управляете программами, а за операционную систему ответственен провайдер;

SaaS — Software as a Service программное обеспечение как услуга, например, электронная почта или другое офисное приложение; вы пользуетесь приложением, а настройки осуществляет провайдер.

Клиентский взгляд. Предостережения и опасения

Согласно отчету Check Point 2020 Cloud Security Report, серьезной угрозой для cloud-сервисов является неправильная конфигурация: 68% компаний указали ее как самую большую проблему (в сравнении с 62% в прошлом году). Неправильная конфигурация облака, неправильные настройки доступа приводят к многочисленным атакам и утечкам данных.

На втором месте находится несанкционированный доступ (58%) — когда частную информацию может получить человек, у которого нет на это прав.

Третье место занимает использование скомпрометированных интерфейсов и API (52%): для того, чтобы работать с облаками, компаниям необходимы специальные программные интерфейсы.

На самом деле, нет неразрешимых проблем с миграцией в облако и непреодолимых обстоятельств, снижающих уровень безопасности. Важно правильно организовать развертывание облачной инфраструктуры.

Различают два основных типа безопасности облачной инфраструктуры:

Внешние: включают требования законодательства, отраслевых стандартов, органов сертификации, соответствие политике безопасности.

Внутренние: желание держать свои данные под контролем, а рабочие процессы с информацией — защищенными.

Кто несет ответственность за безопасность данных

Ответственность за выполнение требований закона или стандарта лежит именно на заказчиках. Для этого нужно заключить специальное соглашение с сертифицированным облачным провайдером.

Вендоры облачных решений должны обеспечивать выполнение требований по безопасности на уровне инфраструктуры и доступа собственных администраторов. Они должны принять требования о защите и официально подтвердить свое соответствие.

В то же время заказчик должен создать подробное техническое задание, в котором будет указан перечень желаемых облачных услуг. В частности, какие стандарты и требования необходимо обеспечить по информационной безопасности. Также нужна детализация степени привлечения облачного провайдера для обеспечения безопасности, необходимости защиты каналов связи с системами или пользователями, находящимися за пределами облачной инфраструктуры.

При этом, если провайдер предоставляет какие-то средства защиты, клиент должен самостоятельно проверить, на что именно распространяются эти средства защиты и достаточно ли их для удовлетворения требований, закрепленных в его собственных документах.

Переход к облачным решениям является ключевым этапом на пути цифрового развития компаний. Однако нужно помнить, что миграция данных в облако не снимает ответственность за регулярный поиск и применение передовых методов управления данными. Применение cloud-технологий любой из моделей не избавляет от необходимости оценивать и принимать решения по минимизации рисков, присущих классической ІТ-инфраструктуре.

The Page Logo
У вас есть интересная колонка для The Page?
Пишите нам: [email protected]

Редакция не несет ответственности за содержание материала и может не разделять мнение его автора

Комментарии

Все новости