Россия
Россия
Дана характеристика существующих моделей обслуживания видов облачных технологий. Сформулированы основные проблемы защиты информации в облачных сервисах. Рассмотрены стратегии обеспечения облачной безопасности для бизнеса разных размеров.
облачные технологии, безопасность облачных данных.
Облачные технологии уже стали наиболее активно развивающимся направлением в крупных компаниях с распределенной инфраструктурой, которые стремятся перейти к более эффективному управлению информационными системами. Большинство малых и средних компаний также рассматривают новые технологии, предоставляемые облачными инфраструктурами, как возможность сократить расходы и обеспечить более высокое качество предоставляемых услуг.
Для этого, исходя из специфики решаемых задач и объемов обрабатываемой информации, нужно будет выбрать одну из трех существующих на сегодняшний день моделей обслуживания [1]:
- SaaS – программное обеспечение как сервис. В данном случае вы используете программное обеспечение, приложения и операционные системы провайдера, который полностью контролирует функционирование облачной инфраструктуры. По большому счету, вы управляете лишь своим аккаунтом (группой аккаунтов) с возможностью вносить незначительные изменения в некоторые настройки приложений. Примером данной услуги могут послужить YahooMail, Google Disk, Office Online и др.
- PaaS – платформа как сервис. Здесь вы получаете возможность установки собственного программного обеспечения и построения приложений уровня Saas. Тем не менее, контроль операционных систем, серверов, хранилищ данных по-прежнему остается за провайдером. Самым простым примером здесь может послужить хостинг, где вы устанавливаете свою CMS, модули и плагины к ней, а также получаете доступ к MySQL, PHPMyAdmin и др.
- IaaS – инфраструктура как сервис. Здесь у вас еще больше свободы – провайдер предоставляет лишь физический фундамент вычислительных мощностей (виртуальных машин), на основе которых вы можете развернуть свою облачную инфраструктуру и реализовать собственные решения уровня PaaS и Saas, контролируя устанавливаемые операционные системы и приложения.
Повсеместное использование ЭВМ и на их основе всевозможных организационно-технических («человек-машина») систем, таких как «облачные» вычисления, влечет за собой возникновение проблем информационной безопасности. Еще один немаловажный вопрос – насколько защищенной оказывается информация после ее размещения на облаке. Провайдеры облачных услуг утверждают, что причин для беспокойства нет, поскольку защита информации клиентов для них – вопрос первостепенной важности.
Однако, даже если провайдеру и удастся защитить персональные данные от атаки извне, можно ли быть уверенным, что сотрудники самого облачного сервиса не превысят должностные полномочия и не получат доступ к персональной информации. Даже в том случае, если на облаке предусмотрено шифрование, ключи шифрования также хранятся на облачном сервере, а значит каждый, кто имеет к ним доступ, может получить доступ и к вашим зашифрованным данным.
Фактически задачу защиты облака можно разделить на две составляющие: обеспечение безопасности функционирования оборудования и безопасности данных. Провайдер должен реализовать защиту своего аппаратно-программного комплекса от несанкционированного вторжения, модификации кода, взлома ИТ-системы, чтобы обеспечить защиту данных клиента. Клиент, в свою очередь, при необходимости размещения каких-либо важных и секретных данных, может использовать технологии шифрования для защиты от несанкционированного доступа к ценной информации. Только такой комплекс мер позволит обеспечить безопасность данных в облаке.
Исходя из этого, можно использовать одну из четырех стратегий обеспечения облачной безопасности для бизнеса разных размеров с разными требованиями к конфиденциальности [2].
Стратегия «Минимум ошибок» предполагает максимальное использование лидирующих SaaS-сервисов, не обладающих необходимой экспертизой предприятиями малого бизнеса, поскольку они вряд ли достигнут сравнимого уровня ИБ самостоятельно.
Стратегия «Минимальные усилия» предусматривает максимальное использование лидирующих SaaS-сервисов и дополнительно тщательное изучение и использование доступных встроенных сервисов безопасности, например: двухфакторной аутентификации, защиты паролем загружаемых в Google Drive документов, аккаунта Google на других сайтах («кустарная» реализация принципа SSO), хранение резервных учетных записей Google и удаление учетных записей сотрудников при их увольнении.
Стратегия «Точечное внимание» заключается в снижении общепризнанных рисков и активном противодействии базовым угрозам. Ключевой посыл – противодействие управляемому количеству угроз, концентрация ресурсов и экспертиз на самых важных направлениях. Как минимум девять указанных угроз ИБ облаков должны быть смягчены, по возможности интегрированы с платформой сервис-провайдера для снижения капитальных и операционных затрат. В случае отсутствия интегрированных мер необходимо внедрение выделенных решений / мер по ИБ облаков. При выборе мер можно использовать как лучшие практики от ENISA, так и описанные ниже продукты ИБ (в том числе, интегрированные с платформами сервис-провайдеров).
Стратегия «Многослойная оборона» предполагает разработку целостной комплексной концепции обеспечения облачной безопасности на основе глубокого анализа рисков, тщательного выбора сервис-провайдера, с учетом вопросов обеспечения ИБ и соответствия требованиям законодательства, а также последующего проектирования и внедрения организационных и технических мероприятий по защите информации. Исходя из значимости и количества чувствительной информации, система защиты по возможности должна быть независима от провайдера облачных сервисов. Все средства защиты информации должны быть переданы в промышленную эксплуатацию и эксплуатироваться командой экспертов. В случае отсутствия внутренних ресурсов – сертифицированных специалистов по облачной безопасности, аудиту и контролю – ИТ желательно привлекать внешних экспертов на постоянной основе – как через открытие новых позиций, так и путем аутсорсинга или аутстаффинга.
1. Модели сервисов облачных вычислений: Часть 1. Инфраструктура как сервис [Электронный ресурс]/ developerWorks: программе IBM «Глобальный предприниматель»/ 16.03.2012/ URL:http://www.ibm.com/developerworks/ru/library/cl-cloudservices1iaas/
2. Защита облачных сервисов: стратегия информационной безопасности и продукты [Электронный ресурс]/астерос: бизнес-корпорация по предоставлению комплекса IT-услуг/ 29 апреля 2014г./ URL:http://www.asteros.ru/press/press/2477/ /