Компании, которые задумываются о переходе к «облачным» вычислениям, больше всего волнует вопрос безопасности. Но далеко не все знают, что при профессиональном подходе к выбору провайдера «облачных» услуг существует возможность повысить уровень защиты своих данных. Как выясняется на практике, зачастую провайдер предоставляет более высокий уровень безопасности, чем тот, который компании могут обеспечить внутри собственной инфраструктуры. Дело в том, что решение задач связанных с безопасностью провайдеры берут на себя и посвящают этой работе гигантские усилия.  Часто именно на гарантиях безопасности строится вся маркетинговая активность провайдера. Обслуживая предприятия с оборотом в миллиарды долларов, «облачные» провайдеры делают всё от них зависящее для обеспечения максимально безопасной среды. Тем не менее, «облачные» вычисления несут в себе множество новых рисков для потенциальных пользователей.

Перед тем как довериться определёному провайдеру, компании стоит удостовериться в том, что он действительно обладает средствами для обеспечения уровня надёжности, необходимого для безопасной работы с приложениями и хранения данных в «облаке». К счастью, возрастающая конкуренция на рынке «облачных» сервисов заставляет игроков предлагать бòльшие возможности и во многих случаях более гибкий контроль, чем готовы предоставить организациям их собственные ИТ-инфраструктуры. Расчётливые покупатели «облачных» сервисов, действительно знающие, что им нужно, могут курсировать от одного провайдера к другому в поиске более подходящих для себя решений.

Но прежде чем погрузиться в «облачные» вычисления, клиенту необходимо определить полный список требований к вычислительной платформе, включая и уровень безопасности. В этом случае можно обратиться к поставщику с прямым вопросом, способна ли его платформа удовлетворить этим требованиям.  Для того, чтобы не ошибиться в выборе, важно знать, какие именно вопросы задавать и что именно искать в ответах провайдера.

На сегодняшний день лучшим экспертом в сфере «облачной» безопасности является Cloud Security Alliance (CSA). Эта организация выпустила и недавно обновила руководство (http://www.cloudsecurityalliance.org/csaguide.pdf), включающее описание сотни нюансов и рекомендаций, которые необходимо принимать во внимание при оценке рисков в «облачных» вычислениях. Ещё одной организацией, деятельность которой затрагивает аспекты безопасности в «облаке», выступает Trusted Computing Group (TCG). Она является автором нескольких стандартов в этой и других сферах, в том числе широко используемых сегодня Trusted Storage, Trusted Network Connect (TNC) и Trusted Platform Module (TPM). Более подробную информацию об этих стандартах можно получить на веб-сайте TCG http://www.trustedcomputinggroup.org/.

«Облачные» вычисления: вопросы и ответы.

Прежде чем обратиться к вопросам, необходимо понять преимущества использования решений основанных на стандартах. И это касается всех областей безопасности. Проприетарные системы несут меньший уровень надёжности по сравнению с системами на базе стандартов, и с этим согласны как игроки рынка, так и государственные учреждения, и органы стандартизации. Именно поэтому повсеместное распространение получили такие стандарты, как Advanced Encryption Standard (AES) и Transport Layer Security (TLS). Они претерпели годы анализа и улучшений. Более того, используя основанные на общепринятых стандартах системы безопасности, клиент получает дополнительное преимущество — в случае необходимости он сможет поменять провайдера услуг, так как большая часть провайдеров поддерживают стандартизованные решения.

Еще один момент, который стоит прояснить: как удостовериться в том, что провайдер выполняет данные им обещания? В этом поможет заключение соглашения об уровне услуг (Service Level Agreement, SLA), или контракта, или другого письменного документа, где будут четко прописаны обязательства провайдера.

Вопросов , которые стоит задать потенциальному провайдеру «облачных» услуг:

1. Сохранность хранимых данных. Как сервис-провайдер обеспечивает сохранность хранимых данных?

Лучшая мера по защите расположенных в хранилище данных — использование технологий шифрования. Провайдер всегда должен шифровать хранящуюся на своих серверах информацию клиента для предотвращения случаев неправомерного доступа. Провайдер также должен безвозвратно удалять данные тогда, когда они больше не нужны и не потребуются в будущем.

2. Защита данных при передаче. Как провадйер обеспечивает сохранность данных при их передаче (внутри «облака» и на пути от/к «облаку»)?

Передаваемые данные всегда должны быть зашифрованы и доступны пользователю долько после аутентификации. Такой подход гарантирует, что эти данные не сможет изменить или прочитать ни одно лицо, даже если оно получит к ним доступ посредством ненадёжных узлов в сети.

3. Аутентификация. Как провайдер узнает подлинность клиента?

Наиболее распространённым способом аутентификации является защита паролем. Однако провайдеры, стремящиеся предложить своим клиентам более высокую надёжность, прибегают к помощи более мощных средств, таких как сертификаты и токены. Наряду с использованием более надёжных к взлому средств аутентификации провайдеры должны иметь возможность работы с такими стандартами как LDAP и SAML. Это необходимо для обеспечения взаимодействия провайдера с системой идентификации пользователей клиента при авторизации и определении выдаваемых пользователю полномочий. Благодаря этому провайдер всегда будет располагать актуальной информацией об авторизованных пользователях. Худший вариант — когда клиент предоставляет провайдеру конкретный список авторизованных пользователей. Как правило, в этом случае при увольнении сотрудника или его перемещении на другую должность могут возникнуть сложности.

4. Изоляция пользователей. Каким образом данные и приложения одного клиента отделены от данных и приложений других клиентов?

Лучший вариант: когда каждый из клиентов использует индивидуальную виртуальную машину (Virtual Machine — VM) и виртуальную сеть. Разделение между VM и, следовательно, между пользователями, обеспечивает гипервизор. Виртуальные сети, в свою очередь, развёртываются с применением стандартных технологий, таких как VLAN (Virtual Local Area Network), VPLS (Virtual Private LAN Service) и VPN (Virtual Private Network).

Некоторые провайдеры помещают данные всех клиентов в единую программную среду и за счёт изменений в её коде пытаются изолировать данные заказчиков друг от друга. Такой подход опрометчив и ненадёжен. Во-первых, злоумышленник может найти брешь в нестандартном коде, который позволит ему получить доступ к данным, которые он не должен видеть. Во-вторых, ошибка в коде может привести к тому, что один клиент случайно «увидит» данные другого. За последнее время встречались и те, и другие случаи. Поэтому для разграничения пользовательских данных применение разных виртуальных машин и виртуальных сетей является более разумным шагом.

5. Нормативно-правовые вопросы. Насколько провайдер следует законам и правилам, применимым к сфере «облачных» вычислений?

В зависимости от юрисдикции, законы, правила и какие-то особые положения могут различаться. Например, они могут запрещать экспорт данных, требовать использования строго определённых мер защиты, наличия совместимости с определёнными стандартами и наличия возможности аудита. В конечном счёте, они могут требовать, чтобы в случае необходимости доступ к информации смогли иметь государственные ведомства и судебные инстанции. Небрежное отношение провайдера к этим моментам может привести его клиентов к существенным расходам, обусловленными правовыми последствиями.

Провайдер обязан следовать жёстким правилам и придерживаться единой стратегии в правовой и регулятивной сферах. Это касается безопасности пользовательских данных, их экспорта, соответствия стандартам, аудита, сохранности и удаления данных, а также раскрытия информации (последнее особенно актуально, когда на одном физическом сервере может храниться информация нескольких клиентов). Чтобы это выяснить, клиентам настоятельно рекомендуется обратиться за помощью к специалистам, которые изучат данный вопрос досконально.

6. Реакция на происшествия. Как провайдер реагирует на происшествия, и насколько могут быть вовлечены его клиенты в инцидент?

Иногда не всё идет по плану. Поэтому провайдер услуг обязан придерживаться конкретных правил поведения в случае возникновения непредвиденных обстоятельств. Эти правила должны быть задокументированы. Провайдеры обязательно должны заниматься выявлением инцидентов и минимизировать их последствия, информируя пользователей о текущей ситуации. В идеале им следует регулярно снабжать клиентов информацией с максимальной детализацией по проблеме. Кроме того, клиенты сами должны оценивать вероятность возникновения проблем, связанных с безопасностью, и предпринимать необходимые меры.

Будущее «облачной» безопасности.

Несмотря на то, что сегодня имеется значительно более широкий набор инструментов для обеспечения безопасности, чем прежде, работа далеко не окончена. В некоторых случаях для вывода на рынок той или иной технологии, помогающей решить новую задачу, проходит некоторое время, даже несмотря на то, что она уже разработана. Вот некоторые из таких новейших технологий: данные со встроенной защитой (самозащищённые данные) и доверенные мониторы.

Самозащищённые данные (self-protected data) — это зашифрованные данные, в которые интегрирован механизм обеспечения безопасности. Такой механизм включает в себя набор правил, которым может или не может удовлетворять среда, в которой находятся самозащищённые данные. При попытке доступа к этим данным, механизм проверяет среду на безопасность и раскрывает их, только если среда является безопасной.

Доверенный монитор (trusted monitor) — это программное обеспечение, устанавливаемое на сервер провайдера «облачных» вычислений. Оно позволяет наблюдать за действиями провайдера и передавать результаты пользователю, который может убедиться в том, что компания действует в соответствии с принятым регламентом.

Когда все исследовательские работы и разработка новых технологий будут завершены, следующим шагом станет их внедрение провайдером услуг. Когда это произойдет, клиенты будут с большим доверием относится к концепции «облачных» вычислений.

Источник: http://cloudzone.ru/articles/analytics/11.html