18 мая 2011 г.

Безопасность облачных услуг
Готовил небольшой обзор - выжимка ниже.




Облачные вычисления
Это модель предоставления услуг по сети. Облака это экономия на виртуализации, автоматизации и самообслуживании. В обычном ЦОД 70% расходов идет на поддержку имеющихся ресурсов и при этом 85% из них простаивает. Настройка новых сервисов занимает время. Перенос ИТ в облако позволяет сократить расходы и время на запуск новых проектов, поэтому многие задумываются об облачных вычислениях




Анатомия страха
Почему безопасность облачных услуг – причина номер один в отказе к внедрению?

Конфиденциальность данных
· Где гарантия конфиденциальности данных хранящихся в облаке? Могут ли данные быть скомпрометированы? Как контролировать перемещение данных внутри облака и через облако?
· Будет ли сами сотрудники провайдера услуги честны и не влезут в данные?
· Как данные от множества клиентов хранятся? Может ли провайдер использовать эти данные для сбора статистики?
· Как проверить, что данные, которые вы удалили из облака, действительно там уничтожены?

Целостность
· Как мне узнать, что обработка данных идет по ожидаемым алгоритмам?
· Как мне узнать, что сам провайдер услуги не изменяет мои данные?

Доступность
· Что делать, если пропал канал к провайдеру услуги?
· Будут ли необходимые ресурсы недоступны при DDoS атаке на провайдера?
· Что делать если провайдер услуги выйдет из бизнеса?
· Что делать при потере данных в облаке?

Отчетность
· А как теперь контролировать какие данные, куда и кем были перенесены?
· Как вызывать службы разбора инцидентов и куда?
Легальность
· Я буду ли я соответствовать SOX, HIPAA, ФЗ-152 перенеся данные и вычисления в облако?
· А могу ли я доверить обработку своих данных субконтрактору провайдера облачных услуг?
· Кто и как проверяет выполнение требований по контракту?

Увеличение числа целей для атак
· Сами данные расположены теперь вне компании: как их там защищают?
· Теперь приходится получать доступ к своим данным через общедоступные сети: может ли атакующий вклиниться в эти сессии?
· Сами подключения к облаку могут быть перенаправлены на поддельное облако, как защитить клиентов облачных услуг от фишинга (подделки интерфейса сайта)?
· Если мы используем облачные услуги из незащищенного места: аэропорт, чужой офис, публичный доступ, например во время вебконференции, где видны данные на экране ноутбука и слышна речь, то как гарантировать защиту от утечек данных?

Доверие
· Кто работает в провайдере услуг, как набирают сотрудников и контролируют их?
· Какие процессы идут внутри компании?



Вывод
Мелкие и средние компании, в которых ни адекватной службы ИТ, ни тем более службы безопасности вообще никакой нет, могут спокойно переходить на облачные услуги, потому что надежность и безопасность там уже сейчас намного выше.
Крупные компании, имеющие свою службу ИТ и свою службу безопасности, должны оценить все риски и принять решение. По сути их служба ИТ чаще всего уже построена как приватное облако. Нужно лишь решить стоит ли переносить данные и существующие или новые ИТ процессы во внешнее облако, ведь причин для этого всего две: экономия средств и увеличение скорости развертывания новых ИТ услуг.

Комментариев нет:

Отправить комментарий