Облачными решениями сейчас интересуются почти все компании. Если в бизнесе присутствуют любые IT-процессы, включая электронные документы, базы данных, бухгалтерия, — вам понадобятся виртуальные серверы. В последние годы представители различных сфер и бизнеса всех масштабов начинают активнее использовать «облачные» решения. На ком же лежит ответственность за выполнение условий и стандартов согласно законодательству? Достаточно ли подключить облачную инфраструктуру и больше не волноваться за безопасность своих данных? Как реализовать требования информационной безопасности и защиты данных в облачном хранилище?
Как выбрать правильное облачное решение
При выборе любой облачной инфраструктуры для начала стоит понять, какие бизнес-задачи должны быть решены. Стоимость и время, которые нужны на переход в облако, зависят от задач, стоящих перед бизнесом, и от объема необходимой инфраструктуры для переноса информации.
В целом существует три типа облачных решений: публичные, частные и гибридные. Все они построены на базе серверов, программно объединенных в один кластер.
Если спрос на обработку данных начинает превышать возможности локального центра, компаниям лучше использовать облака для мгновенного масштабирования производительности и удовлетворения растущих потребностей. Это также позволит им отказаться от приобретения, установки и обслуживания новых серверов, которые могут использоваться эпизодически.
Вычислительные ресурсы публичного варианта облачного хранилища программно делятся между заказчиками, что, соответственно, влияет на мощности, которые может получить каждый клиент.
Частное облако предоставляет ресурсы исключительно для одного заказчика. Оно является изолированным, и на физическом, и на программном уровнях. Такой вариант лучше всего подходит крупным корпорациям.
Для отраслей, работающих с конфиденциальными данными, например, банков, государственного сектора, сферы здравоохранения, гибридное облако будет оптимальным вариантом. Например, иногда нужно, чтобы определенные типы данных хранились в локальной среде, а менее конфиденциальные — в облаке.
С такой гибридной облачной архитектурой организации получают преимущества дополнительной гибкости общедоступного хранилища для выполнения менее регламентированных вычислительных задач, выполняя в то же время все отраслевые требования.
Что нужно и сколько стоит переход в облако
Перед тем, как выбрать провайдера и собственно перенести данные в облачное хранилище, нужно взвешенно обдумать реальную ценность имеющейся информации для бизнеса и принять решение: что необходимо сохранить, а что — «виртуализировать».
Процесс оценки данных перед миграцией в облако — практика, которую должна выполнить любая компания в стандартном порядке, независимо от объемов этих данных. Это важный процесс, который помогает организациям поддерживать актуальность методов управления данными и способствует укреплению безопасности. Также это поможет определить лишние массивы информации, которые часто сохраняются, но бесполезны.
Облачный сервис предоставляет всю инфраструктуру как услугу: позволяет сэкономить на инвестициях в собственную серверную инфраструктуру и ее администраторов, обеспечивает стабильность работы, помогает наращивать мощности и функции по мере необходимости. К тому же все это реализуется за прогнозируемый ежемесячный платеж, что значительно сокращает общие расходы.
В зависимости от параметров данных, поставленных задач и потребностей различают три типа услуг облачных провайдеров:
IaaS — Infrastructure as a Service — инфраструктура как услуга, например, виртуальные серверы и виртуальная сеть; можно устанавливать любое программное обеспечение и приложения;
PaaS — Platform as a Service — платформа как услуга, например, веб-сервер или база данных; вы управляете программами, а за операционную систему ответственен провайдер;
SaaS — Software as a Service — программное обеспечение как услуга, например, электронная почта или другое офисное приложение; вы пользуетесь приложением, а настройки осуществляет провайдер.
Клиентский взгляд. Предостережения и опасения
Согласно отчету Check Point 2020 Cloud Security Report, серьезной угрозой для cloud-сервисов является неправильная конфигурация: 68% компаний указали ее как самую большую проблему (в сравнении с 62% в прошлом году). Неправильная конфигурация облака, неправильные настройки доступа приводят к многочисленным атакам и утечкам данных.
На втором месте находится несанкционированный доступ (58%) — когда частную информацию может получить человек, у которого нет на это прав.
Третье место занимает использование скомпрометированных интерфейсов и API (52%): для того, чтобы работать с облаками, компаниям необходимы специальные программные интерфейсы.
На самом деле, нет неразрешимых проблем с миграцией в облако и непреодолимых обстоятельств, снижающих уровень безопасности. Важно правильно организовать развертывание облачной инфраструктуры.
Различают два основных типа безопасности облачной инфраструктуры:
Внешние: включают требования законодательства, отраслевых стандартов, органов сертификации, соответствие политике безопасности.
Внутренние: желание держать свои данные под контролем, а рабочие процессы с информацией — защищенными.
Кто несет ответственность за безопасность данных
Ответственность за выполнение требований закона или стандарта лежит именно на заказчиках. Для этого нужно заключить специальное соглашение с сертифицированным облачным провайдером.
Вендоры облачных решений должны обеспечивать выполнение требований по безопасности на уровне инфраструктуры и доступа собственных администраторов. Они должны принять требования о защите и официально подтвердить свое соответствие.
В то же время заказчик должен создать подробное техническое задание, в котором будет указан перечень желаемых облачных услуг. В частности, какие стандарты и требования необходимо обеспечить по информационной безопасности. Также нужна детализация степени привлечения облачного провайдера для обеспечения безопасности, необходимости защиты каналов связи с системами или пользователями, находящимися за пределами облачной инфраструктуры.
При этом, если провайдер предоставляет какие-то средства защиты, клиент должен самостоятельно проверить, на что именно распространяются эти средства защиты и достаточно ли их для удовлетворения требований, закрепленных в его собственных документах.
Переход к облачным решениям является ключевым этапом на пути цифрового развития компаний. Однако нужно помнить, что миграция данных в облако не снимает ответственность за регулярный поиск и применение передовых методов управления данными. Применение cloud-технологий любой из моделей не избавляет от необходимости оценивать и принимать решения по минимизации рисков, присущих классической ІТ-инфраструктуре.
Редакция не несет ответственности за содержание материала и может не разделять мнение его автора