Мое облако – моя крепость. К вопросу безопасности облачных технологий

Один из главных вопросов, который тревожит будущих пользователей, связан с безопасностью облачного сервиса. И, нужно признаться, что это беспокойство обосновано, но лишь отчасти. В облаке аккумулируется информация стратегической важности, конфиденциальные сведения личного характера и еще большая охапка данных, утечка или пропажа которых сыграет на руку разве что кризис-менеджеру. Идеальной защиты от информационных угроз не существует, но в относительном измерении облака имеют серьезные преимущества перед другими способами хранения.

В отличие от собственной ИТ-инфраструктуры, облако зачастую оказывается куда более контролируемой и защищенной средой. Судите сами. Вложить деньги в разработку и поддержание систем информационной безопасности на предприятии могут позволить себе лишь единицы. Для провайдера облачных сервисов безопасность – приоритетная статья расходов, ведь это хлеб, который будет кормить его не один год. Кстати, именно на гарантии безопасности многие из них делают ставку при проведении маркетинговых кампаний. Другой важный момент – это конкуренция. Для того чтобы оставаться на плаву в рыночных условиях, провайдер вынужден предлагать клиентам новые возможности и решения. Сотрудники собственного ИТ-отдела на такие подвиги, к сожалению, мало мотивированы.

Безопасность – приоритетная статья  

расходов для провайдера  

облачных услуг

Не лишним будет отметить, что облачная инфраструктура выстраивается и поддерживается в соответствии с правилами и стандартами безопасности, сложенными опытом экспертов и флагманов области. При этом рынок облачных услуг динамично вбирает в себя как разработки смежных сфер, так и активно внедряет собственные. Отечественные провайдеры учитывают в работе рекомендации лучших иностранных компаний, например, таких, как Cloud Security Alliance и Trusted Computing Group. Они выпустили руководства и стандарты, описывающие сотни нюансов обеспечения безопасной жизни облака.

Росстандарт также готовится внести свою лепту в унификацию требований по защите информации, обрабатываемой с использованием технологий виртуализации и облачных вычислений, но пока существует лишь первая редакция двух ГОСТов. Для адекватной оценки возможностей будущего провайдера необязательно знать все сто страниц стандарта. Достаточно разобраться в главном, и мелочи сами подтянутся.

Всегда готов!

Безопасность облачного сервиса в немалой степени зависит от того, какой тип сервера – виртуальный или выделенный – выбирает компания для работы в облаке. У виртуального сервера есть риск того, что данные разных клиентов, помещенные в единую программную среду, из-за ошибки в коде увидят владельцы десятков других аккаунтов. К тому же полномочия пользователя виртуального сервера весьма ограниченны: все задачи подстраиваются под уже заданную многопользовательскую структуру. Для создания более защищенной и многофункциональной среды необходим выделенный сервер, который дает большую свободу выбора при установке операционной системы и программного обеспечения, включая уникальный и самописный софт. В своей практике мы отдаем предпочтение именно выделенным серверам, так как их гибкость позволяет обеспечить высокий уровень защиты клиентов «Глобал Офис».

В дата-центре все организовано
вокруг главного требования –
безопасности

Ранее мы уже рассказывали о том, как устроена инфраструктура облака. Высота помещений, размещение стеллажей, температурно-влажностный режим, системы видеонаблюдения и противопожарной безопасности и др. – все в дата-центре организовано вокруг главного требования безопасности. Провайдерам приходится жить в пионерском режиме «всегда готов!». Готов к сбоям в электричестве, пожарам, наводнениям и даже проверкам компетентных органов.

Сохранность данных

Надежный поставщик всегда должен шифровать хранящуюся у него на серверах информацию! Компании, предоставляющие облачные сервисы, имеют специальный софт для шифрования данных со стойким методом криптографической защиты. Для этого у них должны быть лицензии ФСБ, сертификаты и толковые программисты. Программы шифрования данных позволяют создать на сервере зашифрованный жесткий диск, доступ к которому возможен только по паролю. При этом пароль и логин клиент задает самостоятельно. Имея на руках жесткий диск, без пароля извлечь из него пользу злоумышленнику не удастся. Более рискованный вариант защиты данных: компания предоставляет провайдеру список авторизованных пользователей. В этом случае облако является безопасным до тех пор, пока сотрудник не становится бывшим сотрудником или не уходит на другую должность.

Гарантию сохранности информации 
обеспечивает ежедневное резервное
копирование данных

Для стопроцентной гарантии сохранности информации ежедневно производится резервное копирование всех данных. К примеру, в наших дата-центрах копии находятся в архиве в течение месяца и дополнительно размещаются еще на двух резервных серверах. Вдобавок к этому, современные протоколы и алгоритмы (TLS, IPsec, AES и др.) сделали возможным шифрование не только данных, но и канала их передачи. Канал передачи данных с компьютера на сервер и с сервера на компьютер защищен несколькими программами, взломать которые невозможно.

Контроль доступа

Хорошее облако работает как стройная иерархия, в которой за порядком приглядывает Большой Брат. Провайдеры устанавливают в облачной среде программу по учету рабочего времени сотрудников и тем самым получают контроль над их работой. С помощью таблиц можно отследить, кто на рабочем месте работал, а кто витал в облаках. В режиме онлайн сервис позволяет просмотреть, что происходит на рабочем столе у подчиненных. Но на этом контроль не заканчивается.

Разграничение прав доступа среди сотрудников – еще один инструмент управления. Такой софт дает возможность одним работникам изменять, копировать, удалять файлы, переносить их на локальный компьютер и отправлять на печать, другим – открывать и закрывать, а третьим – не догадываться об их существовании. Кроме того, существуют особые средства для предотвращения утечки информации. Например, специальное ПО позволяет заблокировать USB-порты, DVD-приводы компьютеров и выключить удаленный сервер по SMS.

Безопасное будущее облаков

Сегодня на рынке появляются новые технические и программные решения, заставляющие пользователей относиться с большим доверием к облакам. В частности, ведется работа по созданию технологии самозащищенных данных (self-protected data), в которые интегрирован механизм безопасности. Это значит, что доступ к информации можно получить только в том случае, если среда отвечает заданным правилам. Если с помощью встроенных механизмов среда идентифицируется как небезопасная, то данные пользователю не раскрываются.

Помимо этого, для того чтобы защитить интересы владельцев облачных аккаунтов, в гости к провайдеру можно «подселить» доверенный монитор (trusted monitor). Данное программное обеспечение устанавливается на сервер провайдера и позволяет пользователю убедиться в том, что поставщик добросовестно исполняет свои обязательства.

* * *

В прошлом году компания NTT Communications провела опрос среди около трехсот CIO и ИТ-сотрудников с целью выяснить их отношение к облачным технологиям. Оказалось, что вопрос безопасности, который массированно обсуждается экспертами и всесторонне промывается на ИТ-форумах, далеко не самый важный. Едва ли не главной проблемой для айтишников является интеграция облачных решений в существующую инфраструктуру организации. Нельзя отрицать, что от защищенности облака зависит очень многое, но вместе с тем не стоит переоценивать ее в ущерб других задач, требующих и от провайдера, и от пользователей не менее пристального внимания и конкретных действий.