Организации должны убедиться, что приложения, исполняемые в облаках, защищены в соответствии с требованиями регулирующих органов, и доказать это. По мнению экспертов, сейчас общедоступные облачные структуры еще не вполне подходят для некоторых приложений, но провайдеры услуг, ощущающие давление со стороны пользователей, займутся разработкой систем, которые обеспечат безопасность приложений, исполняемых в облаках.
Разговоров вокруг вычислений в облаке сейчас очень много, однако за этой шумихой почти не слышно вопроса о безопасности подобного подхода и о том, как подтвердить такую безопасность. “Можно ли считать концепцию облачных вычислений зрелой? — спрашивает Эмми Декарло, ведущий аналитик по управляемым сервисам компании Current Analysis. — Я полагаю, что нет. Не хватает прозрачности и уверенности”.
Даже если ваши данные хорошо защищены в облаках, вы, возможно, не сможете это доказать, считает она: “Провайдеры общедоступных облаков не обладают всеми возможностями, необходимыми, чтобы отвечать требованиям регулирующих органов, связанным с безопасностью. Но нельзя сказать, что такой момент никогда не наступит или что провайдеры не предлагают предприятиям ничего полезного”.
По мнению Декарло, проблема в том, что провайдеры облаков не выполняют правила, необходимые для соответствия текущим нормативам. Более того, некоторые из них, например, Amazon.com, заявили, что вообще не собираются выполнять эти правила и не будут допускать в свои центры аудиторов, проверяющих их соблюдение. Пользователи не смогут применять услуги таких провайдеров для выполнения заданий, которые подразумевают соответствие требованиям государственных органов США и ЕС по защите данных.
Проблема еще больше осложняется. “Любой клиент, использующий общедоступные облака, на которых выполняется сбор персональных данных, должен соблюдать регулирующие правила соответствующего штата”, — пояснил Крис Лавджой, директор по корпоративной стратегии безопасности IBM. Это значит, что каждый центр, хранящий такие данные или их передающий, должен выполнять правила того штата, в котором он находится. “Как вы можете требовать от компании соблюдать требования всех штатов, не говоря уж о ситуациях, возникающих при передаче данных через границы штатов?”, — спросил Лавджой.
К тому же в общедоступных облаках обычно используется технология виртуализации, позволяющая передавать данные и выполнять вычисления там, где это требует наименьших затрат или наиболее удобно. Поэтому вы не можете знать, где находятся ваши данные, как они защищены и какие другие данные и процессы используются в одной и той же инфраструктуре. На самом деле, этого не знает ни сам провайдер, ни ваш аудитор.
Что же делать в такой ситуации? В настоящее время не может идти речи об использовании облаков для данных, работа с которыми регулируется государственными или отраслевыми правилами. Но это не значит, что вы вообще не можете применять общедоступные облака. “Существует много возможностей их использования для проверки, разработки и бета-тестирования приложений, для которых не нужно соблюдать регулирующие правила, — утверждает Лори Маквитти, менеджер по техническому маркетингу компании F5 Networks. — Распределение заданий, ввод данных, не подлежащих регулирующим правилам, все, что связано с передачей передового опыта, и многое другое можно выполнять в облаках”.
Приложения, которые хорошо работают в облаках, как правило, снабжены средствами защиты, встроенными в них изначально. “Веб-приложения прекрасно подходят для работы в облаках, — считает Скотт Моррисон, вице-президент по разработке компании Layer 7 Technologies. — Важно грамотно использовать сервисно-ориентированную архитектуру и веб-архитектуру. Вы должны встроить средства защиты в саму архитектуру приложения. Вы должны сами обеспечить безопасность приложения. И тогда его можно переносить в облака”.
По его словам, всякое предприятие самостоятельно решает, что стоит исполнять в облаках. “Каждое приложение имеет свои особенности, от которых зависит, можно ли его перенести в облако, — пояснил Моррисон. — Поэтому нужно провести инвентаризацию приложений и систем. Облако используется коллективно, и вы не можете провести физическую границу между приложениями. Многие правила безопасности исходят из того, что системы имеют физические границы. Но вы не можете создать такие границы, если не владеете всей инфраструктурой”.
Частные облака
Один из способов, позволяющих воспользоваться эффективностью облачных вычислений без ущерба для безопасности, заключается в создании частного облака. Такое решение представляет собой то же самое, что и общедоступное облако, но находится на территории предприятия за корпоративными сетевыми экранами, что обеспечивает защиту и соответствие нормативным требованиям. Например, по словам Моррисона, министерство обороны США уже использует одно из самых больших частных облаков в мире.
Конечно, принимая решение о том, стоит ли использовать облако и какое из них выбрать — частное или общедоступное, нужно четко понимать свои задачи и потребности в информационной безопасности. Хорошо ли люди знают, что им нужно? Учли ли они требования регулирующих органов и связанные с ними последствия для своих центров обработки данных? На эти вопросы нужно ответить прежде всего, считает Дэн Кузнецки, вице-президент по исследованиям компании The 451 Group: “Независимо от того, где находятся данные, безопасность нельзя считать чем-то самом собой разумеющимся. Безопасность — это не продукт, который можно купить, это образ жизни, связанный с реализацией соответствующей архитектуры, грамотным выбором инструментов, программ и процедур. Ни один из известных мне продуктов не является безопасным или небезопасным. То же самое можно сказать и о среде вычислений в облаках”.
Что впереди
В настоящее время вы вряд ли сможете перенести важную информацию в общедоступное облако. Однако ситуация может измениться. “Лошадь уже вырвалась из стойла, — констатировала Декарло. — Процесс продвигается, хотя мы и наблюдаем некоторую заминку. То же самое происходило с сервисами Google и Amazon. С вычислениями в облаках связано немало проблем. Но сама концепция настолько привлекательна, что она просто не может не развиваться. Однако я не думаю, что она подходит для всех приложений, и вряд ли вообще когда-либо подойдет для ответственных приложений”.
По мнению экспертов, провайдерам следует действовать быстро, чтобы удовлетворить растущий спрос заказчиков на облачные услуги и на безопасность. “Больницы с нетерпением ждут возможности перенести свои данные в облака, — отмечает Джоэл Смит, директор по технологии компании AppRiver, поставщика систем для облачных вычислений. — Но им нужно заключить специальное соглашение. Они должны найти провайдера, который позволит аудиторам посетить центр обработки данных. Либо регулирующие органы должны выделить некоторый поднабор правил для особых случаев”.
Кузнецки считает, что компаниям стоит двигаться в сторону облаков постепенно: “Сотрудники могут выделить некоторые вспомогательные операции и опробовать их в облаке”.
По мнению Лавджоя, провайдерам облачных услуг, желающим привлечь крупные компании, не останется ничего иного, как обеспечить безопасность и соответствие нормативам: “По законам эволюции провайдеры не смогут этого избежать, Они будут вынуждены выполнять требования заказчиков”.