Хмарними рішеннями зараз цікавляться майже всі компанії. Якщо у бізнесі присутні будь-які IT-процеси, включаючи електронні документи, бази даних, бухгалтерія, – вам знадобляться віртуальні сервери. В останні роки представники різних сфер та бізнеси всіх масштабів починають активніше використовувати хмарні рішення. На кому ж лежить відповідальність за виконання умов та стандартів згідно з законодавством? Чи достатньо підключити хмарну інфраструктуру і більше не хвилюватися за безпеку своїх даних? Як саме реалізувати вимоги інформаційної безпеки та захистити дані у хмарному сховищі?
Як обрати правильне хмарне рішення
При виборі будь-якої хмарної інфраструктури для початку варто зрозуміти, які бізнес-завдання мають бути вирішені. Вартість і час, які потрібні на перехід у хмару, залежать від задач, що стоять перед бізнесом, і від обсягу необхідної інфраструктури для переносу інформації.
Загалом існує три типи хмарних рішень: публічні, приватні та гібридні. Всі вони побудовані на базі серверів, які програмно об'єднані в один кластер.
Якщо попит на обробку даних починає перевищувати можливості локального центру, компаніям краще використовувати хмари для миттєвого масштабування продуктивності та задоволення зростаючих потреб. Це також дозволить їм відмовитися від придбання, встановлення та обслуговування нових серверів, які можуть використовуватися епізодично.
Обчислювальні ресурси публічного варіанту хмарного сховища програмно діляться між замовниками, що, відповідно, впливає на потужності, які може отримати кожен клієнт.
Приватна хмара надає ресурси виключно для одного замовника. Вона є ізольованою, і на фізичному, і на програмному рівнях. Такий варіант найкраще підходить великим корпораціям.
Для галузей, які працюють із конфіденційними даними, наприклад, банки, державний сектор, сфера охорони здоров’я, гібридна хмара буде оптимальним варіантом. Наприклад, іноді потрібно, щоб певні типи даних зберігалися в локальному середовищі, а менш конфіденційні – у хмарі.
З такою гібридною хмарною архітектурою організації отримують переваги додаткової гнучкості загальнодоступного сховища для виконання менш регламентованих обчислювальних задач, виконуючи в той же час усі галузеві вимоги.
Що потрібно і скільки коштує перехід у хмару
Перед тим, як обрати провайдера та власне перенести дані у хмарне сховище, потрібно виважено обміркувати реальну цінність наявної інформації для бізнесу та прийняти рішення: що необхідно зберегти, а що – «віртуалізувати».
Процес оцінки даних перед міграцією в хмару — практика, яку має виконати будь-яка компанія в стандартному порядку, незалежно від об’ємів цих даних. Це важливий процес, який допомагає організаціям підтримувати актуальність методів управління даними і сприяє зміцненню безпеки. Також це допоможе визначити зайві масиви інформації, які часто зберігаються, але не приносять користі.
Хмарний сервіс надає всю інфраструктуру як послугу: дозволяє зекономити на інвестиціях у власну серверну інфраструктуру та її адміністраторів; забезпечує стабільність роботи, допомагає нарощувати потужності та функції в міру необхідності. До того ж усе це реалізується за передбачуваний щомісячний платіж, що значно скорочує загальні витрати.
У залежності від параметрів даних, поставлених задач та потреб розрізняють три типи послуг хмарних провайдерів:
IaaS — Infrastructure as a Service — інфраструктура як послуга, наприклад, віртуальні сервери та віртуальна мережа; можна встановлювати будь-яке програмне забезпечення і додатки;
PaaS — Platform as a Service — платформа як послуга, наприклад, веб-сервер або база даних; ви керуєте програмами, а за операційну систему відповідальний провайдер;
SaaS — Software as a Service — програмне забезпечення як послуга, наприклад, електронна пошта або інший офісний застосунок; ви користуєтеся додатком, а налаштування здійснює провайдер.
Клієнтський погляд. Перестороги та побоювання
Згідно зі звітом Check Point 2020 Cloud Security Report, найсерйознішою загрозою для cloud-сервісів є неправильна конфігурація: 68% компаній вказали її як найбільшу проблему (порівняно з 62% в минулому році). Невірна конфігурація хмари, неправильні налаштування доступу призводять до чисельних атак і витоків даних.
На другому місці знаходиться несанкціонований доступ (58%) — коли приватну інформацію може отримати людина, в якої немає на це прав.
Третє місце займає використання скомпрометованих інтерфейсів та API (52%): для того, щоб працювати з хмарами, компаніям необхідні спеціальні програмні інтерфейси.
Насправді, немає нерозв'язних проблем із міграцією в хмару і нездоланних обставин, що знижують рівень безпеки. Важливо правильно організувати розгортання хмарної інфраструктури.
Розрізняють два основних типи безпеки хмарної інфраструктури:
Зовнішні: включають вимоги законодавства, галузевих стандартів, органів сертифікації, відповідність політиці безпеки.
Внутрішні: бажання тримати свої дані під контролем, а робочі процеси з інформацією — захищеними.
Хто несе відповідальність за безпеку даних
Відповідальність за виконання вимог закону або стандарту лежить саме на замовниках. Для цього потрібно укласти спеціальну угоду з сертифікованим хмарним провайдером.
Вендори хмарних рішень мають забезпечувати виконання вимог із безпеки на рівні інфраструктури і доступу власних адміністраторів. Вони повинні прийняти вимоги про захист і офіційно підтвердити свою відповідність.
Водночас замовник має створити детальне технічне завдання, в якому буде вказано перелік бажаних хмарних послуг. Зокрема, які стандарти і вимоги необхідно забезпечити з інформаційної безпеки. Також потрібна деталізація ступеня залучення хмарного провайдера для гарантування безпеки, необхідності захисту каналів зв'язку з системами або користувачами, що знаходяться поза межами хмарної інфраструктури.
При цьому, якщо провайдер надає якісь засоби захисту, то клієнт повинен самостійно перевірити, на що саме поширюються ці засоби захисту і чи достатньо їх для задоволення вимог, закріплених у його власних документах.
Перехід до хмарних рішень є ключовим етапом на шляху цифрового розвитку компаній. Однак потрібно пам'ятати, що міграція даних у хмару не знімає відповідальність за регулярний пошук і застосування передових методів управління даними. Застосування cloud-технологій будь-якої з моделей не позбавляє від необхідності оцінювати й ухвалювати рішення з мінімізації ризиків, які притаманні класичній ІТ-інфраструктурі.
Редакція не несе відповідальності за зміст матеріалу і може не поділяти точку зору його автора
