Безопасность технологии In-The-Cloud: достаточно ли она надежна для вашего бизнеса?

На данный момент куда ни взгляни, всюду находится «Облако». Microsoft, IBM, Amazon, Гугл, Adobe – они все стремятся стопроцентно воплотить достоинства «облачных» вычислений, которые завлекли бы бизнес. Но перед тем как перенести все приложения и данные «куда-то там», хорошо бы поинтересоваться разными качествами, касающимися безопасности.

Являются ли препядствия с безопасностью единственными препятствиями, мешающими перейти на «облачные» вычисления?

На конференции RSA в апреле 2009 в Сан-Франциско безопасность «облака» (и ее дефицитность) была одной из главных тем дискуссий. Генеральный директор CISCO Джон Чемберс именовал его «ночным ужасом в плане безопасности». Подробнее ознакомиться можно тут. При всем при всем этом компании Microsoft, IBM, Гугл и Amazon проталкивают свои «облачные» решения, и получаемая экономия (в особенности что касается неописуемо низкого порога вхождения) смотрится очень презентабельно для бизнеса, борющегося за понижение издержек на IT в критериях жесткой экономии.

Читательские отзывы, приобретенные мной после статей по «облачным» вычислениям, написанных для WXPnews и VistaNews, демонстрируют, что безопасность тревожит многих, и что она полностью может быть самым суровым ограничением, мешающим распространению этой технологии. Даже признавая достоинства аутсорсинга собственной IT-инфраструктуры на сто процентов либо отчасти провайдерам служб «облачных» вычислений, многие технические спецы серьезно обеспокоены потерей контроля, происходящей при передаче критичных приложений и принципиальных данных «непонятно куда» заместо содержания их на собственных серверах.

Компании, подпадающие под контроль регулирующих органов за соблюдением нормативно-правовой базы, должны быть в особенности аккуратны при передаче данных «облаку». В статье от 8 апреля 2009 для cloudsecurity.org Крег Болдинг (Craig Balding) перечисляет бессчетные трудности, касающиеся недавнешнего исследования служб Amazon Web Services (AWS) в качестве решения, совместимого с HIPAA.

Один из аргументов, приводимых спецами, осторожно относящимися к «облакам»: это древняя мысль с новым именованием. Они вспоминают кутерьму вокруг провайдеров Application Service Providers (ASP) в конце 1990-х и начале 2000-х. Мысль не сработала, ушла и через пару лет появилась опять под заглавием SaaS, тоже не очень успешно. Сейчас выбрано не только лишь необходимое имя, но к тому же необходимое время; глобальный спад экономики принудил компании искать методы сокращения издержек. И что в таком случае может быть лучше уменьшения издержек на персонал методом сокращения IT-отделов и срезания расходов на дорогую аппаратуру и серверное ПО?

Но при всем этом есть много обстоятельств, по которым компании еще пока не доверяют «облачным» вычислениям. Одна из таких обстоятельств – «Облако» обхватывает широкий диапазон технологий: хранение через Web, онлайновые приложения, виртуализация и т.д.. «Облачные» службы обычно делятся на три категории: Software as a Service (SaaS) (Приложения как службы), Platform as a Service (PaaS)(Платформа как служба) и Infrastructure as a Service (IaaS)(Инфраструктура как служба). Вне зависимости от категории, у всех «облачных» служб есть общая черта: зависимость от Веба либо, в случае внутренних либо личных «облаков», от LAN либо корпоративной WAN. Без сети «облако» не может быть. Это значит, что, вместе с неуввязками безопасности, встает к тому же неувязка надежности.

Трудности, касающиеся безопасности «облачных» вычислений

Прозрачность «облака» – то, что завлекает компании, и сразу служит источником их недоверия. Здесь принципиально то, что компании могут сфокусироваться на своем бизнесе, не обращая внимания на препядствия с IT. Задачка в том, чтоб получить итог без необходимости знать, как по сути все это работает. Но если вы не понимаете, как оно работает, как вы сможете быть убеждены в безопасности?

Наибольшие опаски практически у всех компаний вызывает конкретно недочет контроля. Вы даже сможете не выяснить, как на физическом уровне хранятся ваши данные, и не выяснить, как обеспечивается безопасность там, где обрабатываются данные. Шифруется ли хранимая информация? Если да, то какой способ шифрования употребляется? Передаются ли данные по зашифрованному соединению? Как происходит управление ключами шифрования? И кто, непосредственно, имеет доступ к вашей инфы?

Обычная модель безопасности предприятия впрямую находится в зависимости от огораживания сети брандмауэрами и шлюзами по периметру сети. У «облака» никакого периметра нет, и соглашения об использовании неких провайдеров (например, для служб Amazon EC2) впрямую воспрещают сканирование на наличие уязвимостей. Более подробную информацию об уязвимостях в «облаке» Amazon’а можно отыскать в статье Джорджа Риза (George Reese) Key Security Issues for the Amazon Cloud.

Согласно исследованиям Gartner Group, волнующие компании трудности содержат в себе не только лишь размещение данных и применяемые на различных уровнях типы шифрования, да и протокол провайдера (ответные меры и восстановление), предпринимаемый при нарушении безопасности, ожидаемые меры по поддержке, также как отлично обеспечивается безопасность «облака» исходя из убеждений нормативно-правовой базы.

Убедиться в безопасности инфы в ваших собственных системах и сетях – уже достаточно трудно. Заступники «облака» говорят, что передача безопасности ваших данных в руки профессионалов (больших имен типа IBM, Microsoft, Гугл и Amazon) даст наилучшую защиту, чем работа с нанятыми либо обученными своими профессионалами. Но большие имена – это к тому же большие цели. Ну и каждый, кто хотя-либо раз пробовал говорить с реальными живыми людьми в бюрократической системе, с людьми, которых ваши препядствия и принимаемые по ним решения не очень тревожут, соображает, что размер далековато не всегда значит наилучшее качество.

Еще одна неувязка состоит в том, что огромное «облако» заключает внутри себя симпатичную цель для взломщиков и иных злоумышленников. Большая часть профессионалов считают, что принципиальной предпосылкой более высочайшей частоты атак на систему Windows по сопоставлению с Linux либо Mac OS является более широкая распространенность этой операционной системы: взломщик, охотящийся на Windows, сумеет поразить больше систем. Аналогично, взломщик, атакующий огромное «облако» системы провайдера, сумеет заполучить больший объем данных либо проследить за огромным числом операций организации.

Недочет эталонов вызывает трудности

Одной из больших заморочек будет то, что, хотя каждый провайдер воспринимает суровые меры по защите данных, хранимых на его серверах, все еще не существует общемировых общепризнанных эталонов в области безопасности «облака». Некие группы (например, группа профессионалов на форуме Jericho Forum) разрабатывают главные принципы для предстоящего развития эталонов, также работают над советами компаниям по вопросу задач, которые они могут тихо передоверить «облаку». Эти советы основываются на стандартизованной и легкой в применении модели систематизации данных, соответственных эталонах доверительных уровней управления и стандартизованных метаданных, что позволяет указывать уровень безопасности для каждого элемента данных. Об этом вы сможете прочесть подробнее в работе под заглавием Cloud Cube Model: Selecting Cloud Formations for Secure Collaboration, которую можно загрузить в формате PDF.

Государственный Институт Эталонов и Технологий (NIST) и Интернациональная Организация по Стандартизации (ISO) также работают над эталонами защиты «облачных» данных. Но существование огромного количества эталонов само по себе может все усложнить, хотя, естественно, все-же приятнее знать, что твой провайдер держится хоть каких-нибудь эталонов.

Каково же решение?

«Облачные» вычисления все еще находятся в зачаточном состоянии, но преимущество состоит в том, что (не как в случае с разработкой компьютерных операционных систем и приложений) с неуввязками безопасности числятся, а механизмы защиты врубаются с самого начала. В марте некие компании, включая eBay, Intuit, DuPont и ING сформировали группу под заглавием Cloud Security Alliance (Союз по «облачной» безопасности) с целью распространения наилучших практик защиты «облачной» среды. Подробности об этой организации можно отыскать тут. Их официальный доклад, Security Guidance for Critical Areas of Фокус in Cloud Computing (Управление по безопасности для критичных областей исходя из убеждений «облачных» вычислений), дает неплохой обзор моделей «облачных» вычислений и их черт, также рассматривает «облачные» службы исходя из убеждений управления рисками, юридических событий, открытий в области электроники, аудита соответствия, преемственности бизнеса, восстановления после аварий, безопасности приложений, управления ключами шифрования, управления доступом, хранения, виртуализации и т.д..

В то же время, группа технических компаний, включая IBM, AT&T, Cisco, Sun, EMC и AMD, подписала документ, озаглавленный Open Cloud Manifesto (Манифест открытого «облака»), поддерживающий сохранение служб «облачных» вычислений так открытыми, как это может быть. Это будет означать более глубокую взаимосвязанность меж провайдерами. В этом документе безопасности посвящен отдельный раздел, в каком указывается на дискомфорт, испытываемый разными организациями по поводу хранения их данных и приложений в системах, которые они не держут под контролем, и утверждается, а именно, что «последовательность в области технологий аутентификации, управления идентификацией, соответствия и доступа становится все более важной». Документ полностью можно прочесть тут.

По мере развития, адаптации и все большего соответствия ожиданиям потребителей эталонов безопасности, будут решаться многие трудности, связанные с «облачными» вычислениями. Тем временем, организациям не стоит непременно откладывать внедрение «облачных» служб, но они должны пристально проанализировать свои стратегии перехода на «облачность» и ничего не принимать на веру. Задавайте вопросы провайдерам и будьте благоразумны при выборе делегируемых «облаку» задач. Возможно, важнейшим выводом из нашего обсуждения (и многих других дискуссий данной темы) будет то, что в области «облачных» вычислений не надо принимать решения типа «все либо ничего». Замечательно, если можно использовать «облачные» вычисления для неких задач, но не для всех. Умные «облачные» провайдеры это усвоют и предложат некоторый перечень собственных услуг, в каком будет обозначено, какие услуги подходят для наименее чувствительных к вопросам безопасности приложений и данных, а какие услуги можно подключить при желании позже.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.