Как обеспечить безопасность данных в облаках
Уже давно никто не сомневается в том, что облачные технологии – это удобно и выгодно. Однако вопросы безопасности по-прежнему тревожат многих руководителей во всем мире. Действительно, как можно оставаться спокойным, если бизнес-данные хранятся на стороне провайдера, зачастую в неопределенной географической зоне?
По оценке компании Gartner, в 2014 г. публичными облачными сервисами пользовались лишь 8% компаний по всему миру без учета Индии и Китая, которые демонстрируют иные темпы прогресса. Аналитики ожидают, что организациям удастся преодолеть ментальный барьер только в 2015 г. и массово перейти «в облака» лишь к 2017 г., когда облачной инфраструктурой смогут похвастаться уже 33% компаний. В 2022 г. к данной категории можно будет отнести уже 60% организаций.
Почему же не происходит облачного скачка сегодня? Одной из основных причин являются вопросы безопасности. Эксперты отмечают, что рынок информационной безопасности (ИБ) намного более инертен, чем сфера высоких технологий в целом. Пользователи долгое время присматриваются к новым решениям, выжидают, ищут успешные кейсы и только тогда задумываются о том, чтобы в реальности применить новые инструменты.
Все это приводит к тому, что, отвечая на вопросы «Лаборатории Касперского», опрошенные ИТ-эксперты признали, что лишь 18% компаний приняли все меры по обеспечению информационной безопасности облачных сред, в то время как в 65% организаций защита внедрена частично, а 14% компаний вообще пока об этом не задумывалось.
Разным облакам – разная защита
Впрочем, нельзя мерить все «облака» под одну гребенку. В зависимости от особенности деятельности, приложений и требований к безопасности, инфраструктура компании может быть построена на базе частного, гибридного или публичного облака. В первом случае облачная инфраструктура используется только для нужд самой компании. Она может быть развернута на серверах, арендованных в защищенном центре обработки данных, или на собственных мощностях, например, специально установленном для этих задач кластере.
Некоторые компании вообще не испытывают облачных страхов, так как используют новые технологии исключительно для удобства администрирования и повышения эффективности использования вычислительных ресурсов и хранилищ данных. «Практически все наши корпоративные сервисы построены на базе облачных технологий, но мы не беспокоимся об их безопасности, так как пользователи входят в систему со своих ноутбуков, находясь в рамках корпоративной сети, – комментирует Михаил Петров, директор департамента информационных систем оргкомитета олимпиады в Сочи. – В связи с используемой архитектурой мы просто не испытываем потребности в дополнительной защите».
Впрочем, в упомянутом выше прогнозе аналитики Gartner отмечают использование множества мобильных устройств как основной драйвер к развитию рынка облачных технологий. По оценке экспертов в ближайшем будущем сотрудники компаний будут использовать до 4 различных портативных устройств, таких как планшеты, смартфоны, ноутбуки и нетбуки. А организовать доступ к корпоративным системам для такого количества систем оказывается значительно проще на базе облачной инфраструктуры. И в данном случае имеет смысл говорить об обеспечении безопасности доступа. С этой целью применяются различные технологии шифрования, сертификаты удостоверяющих центров и прочие средства безопасности, проверяющие легитимность подключения клиента к облаку.
«Помимо собственно облачных сервисов, необходимо также помнить о безопасности канала связи и о конечных устройствах, которые используются на стороне клиента. Не менее важны внутренние политики, регламентирующие, кто из сотрудников имеет доступ к данным в облаке, или информацию какого уровня секретности можно хранить в облаке. В компании должны быть сформированы прозрачные правила: какие службы и сервисы будут работать из облака, а какие – на локальных ресурсах, какую именно информацию стоит хранить «у себя», а какую можно размещать в облаках» – делится своими соображениями Константин Воронков, руководитель отдела Endpoint-решений «Лаборатории Касперского».
Публичные облака
Наибольшее количество вопросов в сфере безопасности вызывают именно публичные облака. Дело в том, что получить доступ к ним может почти любой желающий, и беспокойство о гарантиях безопасности оказывается очень высоким, если на одном и том же физическом сервере хранятся бизнес-данные и информация частных пользователей.
«Главным вопросом является сложность аудита и контроля систем информационной безопасности для клиента, – рассказывает Константин Воронков. – Размещая свою информацию в публичном облачном сервисе, компания не имеет возможности проверить уровень обеспечения безопасности. И даже если провайдеры облачных сервисов допускают своих клиентов к проведению аудита информационной безопасности своих серверов, далеко не у каждого клиента найдутся специалисты необходимой квалификации».
Впрочем, провайдеры уверяют, что в большей части случаев опасения беспочвенны, так как для защиты публичных облаков делается очень многое. «Мы абсолютно убеждены, что защита данных пользователей, и частных и корпоративных, имеет первостепенное значение – от качества этой защиты зависит уровень доверия к провайдеру облачных услуг. В Google cотни инженеров по безопасности во всем мире круглосуточно работают над этой задачей. Высочайший уровень безопасности облачных сервисов Google подтвержден международными сертификатами, независимыми аудиторами, отраслевыми рейтингами и самими заказчиками, число которых по всему миру превышает 5 млн», – комментирует Сергей Ненарочкин, менеджер по развитию Google Enterprise.
Приложения и платформы
Тем временем современная облачная инфраструктура позволяет предоставлять в качестве сервисов приложения, системы, платформы или даже целую инфраструктуру. Однако, как показывает практика, наиболее популярной услугой оказывается предоставление доступа к приложениям. Это связано с тем, что на большинстве устройств уже имеется операционная система, позволяющая пользователю комфортно работать. А вот корпоративные приложения очень даже удобно предоставлять из облака. «Мы пользуемся облачными сервисами в трех областях: CRM, HR и электронная почта. CRM-система находится на внешних серверах с системным и прикладным программным обеспечением стороннего производителя, она надежно защищена, и в ней мы храним информацию о заказчиках, и партнерах. Всю информацию о наших сотрудниках, включая контактные данные, название позиции, штатное расписание, мы также храним вне нашей инфраструктуры, – рассказывает Андрей Ковалев, директор по корпоративным решениям «Dell Россия». – Почтовый сервис позволяет сотрудникам получить удаленный и надежно-защищенный доступ к корпоративной переписке с любого компьютера или устройства, находясь в любой точке мира».
Подход к защите информации в данном случае крайне прост: выбирается подрядчик, прошедший соответствующий аудит и получил сертификаты рейтинговых агентств, устанавливаются ограничения доступа к системам согласно ролевой модели, а на конечных устройствах размещается защитное ПО, которое позволяет гарантировать сохранность и защищенность данных при их работе. Более того, при подключении к облачному сервису может происходить проверка защищенности рабочего места. И если с ноутбуком, смартфоном, планшетом или стационарным ПК что-то «не так», например, отсутствует обновленный антивирус или не включен модуль защиты от утечек, система может автоматически привести данные параметры к норме или отказать в предоставлении доступа.
Наконец, интересной особенностью российского бизнеса является возможность использования облачных сервисов для оптимизации своих бизнес-процессов, в том числе – защиты информации. В крупных компаниях, которые уже имеют свою собственную развитую инфраструктуру, миграция на внешнюю платформу требует тщательной подготовки, виртуализации существующих приложений и долгое время подразумевает сосуществование собственной ИТ-инфраструктуры и приложений/систем, работающих на внешних площадках.
Тем временем множество российских компаний до сих пор находятся на крайне низком уровне автоматизации, работая исключительно с офисными приложениями и составляя все отчеты в простых таблицах Excel. Для них миграция в облако равносильна созданию надежной ИТ-среды, за которую будет отвечать подрядчик. Впрочем, в этом случае остается самый важный вопрос: верно выбрать исполнителя и правильно составить с ним договор.
Андрей Шуклин