Многие ИТ-подразделения отказались от публичных облаков в пользу частных, прикрываясь заботой о безопасности. Но новое исследование показывает, что частные облака нисколько не более безопасны, чем публичные. Это хорошая новость для провайдеров управляемых сервисов, обладающих необходимыми средствами защиты и инфраструктурой для развертывания облаков, считают некоторые эксперты.
Исследование было проведено компанией Unisphere Research по заказу производителя средств безопасности AppSec. Было опрошено 430 участников группы пользователей приложений Oracle (Oracle Application Users Group). Задавались вопросы о безопасности СУБД и управлении рисками. 45% респондентов заявили, что по их мнению, в частном облаке по-прежнему сохраняется риск. Они опасаются предоставлять коллективный доступ к данным и приложениям кроме как в пределах своих бизнес-подразделений.
“До сих пор одним из главных препятствий на пути распространения публичных облаков является страх перед передачей ваших данных и вашего бизнеса внешнему провайдеру, — говорит Джо МакКендрик, ведущий аналитик Unisphere и автор исследования. — Широко обсуждаются частные облака. Это когда компании, в сущности, формируют собственные облака и предоставляют свои сервисы по всему предприятию, чтобы избавиться от этого страха. Они полагают, что если данные и приложения остаются в пределах предприятия, их можно лучше контролировать. Но в этом случае проблема в том, что контроль внутри предприятия недостаточен для защиты данных”.
Согласно исследованию, три из четырех организаций не имеют четкой стратегии обеспечения безопасности облака. Одной из основных проблем защиты частного облака МакКендрик считает бурную репликацию и рассеивание информации из баз данных при слабом контроле, которая начинается в тех случаях, когда несколько бизнес-подразделений реализуют облачные решения в защищенном брандмауэром пространстве.
“Идея частного облака заключается, в сущности, в предоставлении данных и приложений любому, кто в них нуждается, на данном предприятии. Эта идея вызывает массу вопросов, — поясняет он. — Происходит следующее. Множество данных реплицируется или извлекается из производственной среды, где можно обеспечить их безопасность, и переносится в другие среды, где контроль может быть не столь строгим”.
Результаты исследования могут стать тем статистическим фундаментом, который необходим некоторым провайдерам управляемых сервисов для обоснования рекламы их облачных и виртуальных услуг. Например, компания Terremark (г. Майами, шт. Флорида) пытается привлечь клиентов своими облачными сервисами, рассматривая обеспечение безопасности, соблюдение нормативных требований и ведение мониторинга в качестве своих конкурентных преимуществ.
“Мы постоянно слышим одни и те же доводы о преимуществе частных облаков перед публичными, — говорит Пит Николетти, вице-президент подразделения Secure Information Services в Terremark. — У нас есть знания и опыт в области безопасности, а у многих компаний их нет, как нет операционных центров безопасности, работающих в режиме 24/7”.
У сервис-провайдеров не только больше ресурсов. У них есть еще такое преимущество, как ежедневное обеспечение облачной безопасности для сотен или даже тысяч клиентов, и операционный опыт, который дает им очевидные преимущества в области безопасности по сравнению с внутренним опытом компаний по созданию частных облаков силами энтузиастов.
“Мы обладаем тем, что у нас именуется коллективным разумом. Мы выполняем работу для множества других людей. Если мы чему-то научимся в одном месте, то применяем это в другом, — говорит Николетти. — Можно сказать, что мы проходим аудит миллион раз в год, поскольку нашу работу проверяют не только люди, приходящие, чтобы провести аудит физических систем, соблюдения требований PCI, NIST и HIPAA. Нас каждый день несчетное число раз проверяет компания Qualys и множество других, чтобы убедиться, что мы все делаем правильно. Тогда как в других компаниях аудит проводится лишь раз в год”.