Безопасность публичных и частных «облаков»

По результатам исследований проведенных аналитиками фирмы Gartner, доходы в сфере «облачных» технологий уже в 2013 году составят 150 миллиардов долларов. Многие предприятия уже осуществили перенос корпоративных данных в «облако», еще большее количество компаний собираются это сделать в ближайшее время, но и тех и других волнует вопрос безопасности данных, размещенных в «облаке». Конечно, никто не может дать гарантию абсолютной безопасности в любой компьютерной среде, однако, при переходе на «облачные» технологии можно предпринять определенные меры, которые помогут уменьшить риск потери данных до минимального уровня. Например, при выборе провайдера важно смотреть не только на ценовую политику фирмы, но и на реализуемые ею протоколы безопасности. При этом важно понимать, что переход на «облачные» технологии может быть более безопасным, чем стандартные внутренние решения, так как отрасль вложила миллиарды долларов в безопасность информации.

     В публичном «облаке» система конечного пользователя имеет высокий уровень автоматизации. Клиенты могут размещать свои приложения в «облаке» и управлять всеми пользовательскими параметрами своих служб. Публичное «облако» не имеет такой видимости, как частное «облако». При использовании публичного «облака» вы уступаете контроль над размещением вычислительных ресурсов. В частном «облаке» ресурсами пользуется меньшее число людей, и они имеют более высокий уровень управления. В зависимости от этих различий для управления безопасностью в этих средах разработаны конкретные практические методы.

     Первым и самым важным шагом является установка процедуры авторизации. Для подбора пароля необходима процедура рандомизация, а также необходимость строгого соблюдения протоколов создания паролей всеми сотрудниками. Это поразительно, но многие люди по-прежнему используют такие слова как «пароль» или комбинации цифр «12345» в качестве пароля доступа к важнейшим источникам данных. Применение стандарта LDAP и учетных данных администратора позволяет действительно защитить информацию.

     Разобравшись с внутренними процедурами авторизации, стоит обратить пристальное внимание на своих аутсорсинговых партнеров. Придерживают ли они ваши протоколы безопасности и выполняют ли они фоновые проверки, соблюдают ли другие меры, которые обеспечивают защиту и контроль над передачей информации? Разделение информации имеет чрезвычайно важное значение, особенно в случае публичных компьютерных сред. Провайдеры должны использовать самые лучшие средства шифрования для поддержания вашей информации в безопасном и пригодном для использования состоянии. Они также должны оказывать услуги администрирования на самом высоком уровне, в том числе устанавливать брандмауэры и современные системы обнаружения сетевых атак.

Правовые аспекты хранения данных в «облаке»

Существует много правовых проблем, связанных с хранением информации, особенно это касается данных, идентифицирующих личность. Несмотря на то, что информация находится в «облаке», она все же где-то должна размещаться и есть правила, которые регламентируют ее перемещение. В некоторых странах, например в Европе, предъявляются очень строгие требования к безопасности информации, которые ограничивают места хранения и перемещения информации. Выбирайте провайдера, который осведомлен об этих правилах, и мог бы в случае необходимости быстро переместить вашу информацию, чтобы соответствовать данным требованиям. По данным исследования, проведенного фирмой Gartner, сорок с лишним государств имеют официальные нормативы, регламентирующие методы защиты персональных данных (PII). Следует отдавать предпочтение общеизвестным провайдерам «облачных» услуг, которые располагают системными средствами контроля над перемещением PII в рамках своей «облачной» сети.

     Для выхода на рынок компаний-провайдеров требования не очень высоки, поэтому многие «облачные» провайдеры выходят на рынок, не имея достаточного практического опыта в сфере кадровой политики и технологий. Вот почему для того, чтобы составить полное представление о работе той или иной компании стоит задать не один десяток вопросов. Один из самых важных – вопрос о том, кто будет иметь право доступа и перемещения вашей информации. Будут ли они сообщать вам о каких-либо нарушениях системы безопасности, или просто скрывать их? Есть ли у данной аутсорсинговой компании дополнительные ресурсы в другом месте, позволяющие вам при желании создать аварийный центр обработки данных на случай стихийных бедствий?

     В контракте можно предусматривать более высокие уровни шифрования и стандарты хранения информации. Помимо данного «облачного» провайдера, необходимо ознакомиться с работой какого-нибудь другого соответствующего провайдера услуг SaaS и его технологиями. Ваш бизнес зависит от множества различных аутсорсинговых компаний, которые так или иначе обращаются с вашей информацией, поэтому важно, чтобы в системе управления информацией не было никаких слабых звеньев.

     Аутсорсинговые компании должны придерживаться определенных стандартов присвоения паролей, которые уменьшают вероятность их взлома. В случае многопользовательских «облачных» сред риски выше и поэтому провайдер должен показать используемые ими средства управления, которые обеспечивают разделение для уменьшения рисков.

Заключение

Достижение высокого уровня безопасности в публичном и частном «облаках» требует установки требований конфиденциальности и пользовательского доступа. Новые решения для хранения и управления информацией появляются на рынке довольно быстро, и по мере внедрения этих инструментальных средств у пользователей будут появляться дополнительные средства защиты своей информации.


Поделиться информацией

Вы можете послать эту статью или новость коллеге или знакомому по email со своим комментарием, пригласить обсудить ее. Просто нажмите на иконку конверта --->


Сообщения, вопросы и ответы

Вы можете задать вопрос, написать комментарий, обсудить данную новость или статью.

Ваше сообщение (вопрос, ответ, комментарий)