Последние несколько лет компании постепенно переходят к использованию облаков в расчете на повышение производительности труда и эффективности ИТ. Многие обнаружили, что облачные вычисления дают преимущества, которые несколько лет назад невозможно было даже вообразить.
Облачные вычисления становятся популярными и заставляют организации встраивать средства защиты в системы и решения
Но несмотря на достигнутый прогресс — согласно консорциуму Open Data Center Alliance (ODCA), почти 97% организаций пользуются облаками в той или иной форме, — остаются нерешенными серьезные вопросы защиты данных.
“Облачные вычисления и “ПО как сервис” быстро превращаются в важнейшие элементы деятельности компаний, — утверждает Джек Сеппл, управляющий директор консультативной фирмы Accenture по облачным вычислениям. — Технологии и инструменты открывают перед ними новые возможности, но при этом порождают новые озабоченности и риски, связанные с безопасностью”.
Хотя облака требуют применения многих средств защиты, известных ИТ-подразделениям уже долгие годы (установка исправлений, шифрование, защита от вредоносного кода, обеспечение безопасности конечных точек, предотвращение потери данных и т. д.), необходимо также использование более “всеобъемлющего подхода”, отметил он.
Нет смысла пытаться обойти эту недавно возникшую облачную “гряду”. ODCA прогнозирует, что к 2015 г. половина членов этого консорциума (в основном крупные корпорации вроде BMW, China Unicom, Deutsche Bank и Lockheed Martin) перенесет 40 или более процентов своих ИТ-операций в частные облака, а четверть будет осуществлять свыше 40% операций в публичных облаках.
Гэри Лавленд, ведущий сотрудник PwC, считает, что компаниям следует избавиться от страха перед облаками. “Мы вступили в новую эру компьютинга, и облако становится его важным элементом”, — подчеркивает он.
Дорога в облака
Обеспечение безопасности облаков осложняется быстрым развитием данной технологии и облачной среды в целом. Инфраструктура, которая сегодня является самой современной, спустя несколько месяцев может оказаться устаревшей.
Более того, облачные технологии способны вынудить организацию пересмотреть давно действующие политики и стратегии. Хотя страх перед облаками в значительной мере вызван тем фактом, что данные часто находятся вне четырех стен предприятия, облачные вычисления несут с собой реальные риски.
В действительности облачная безопасность, как и корпоративная безопасность вообще, не сводится к технологиям и техническим навыкам. Она охватывает юридические вопросы, требования регуляторов, обучение персонала и противодействие постоянной угрозе атак извне.
С переносом бизнеса в облака, включая использование SaaS (“ПО как сервис)” и IaaS (“инфраструктура как сервис”), важно создать полноценную систему безопасности, которая раскрывает потенциал облаков и одновременно защищает от вторжений, потери данных и других рисков.
Именно такую концепцию сделала центральной для своего бизнеса и ИТ компания Clayton Holdings. Она насчитывает около 650 сотрудников, размещенных в пяти офисах на территории США, занимается консалтингом и оказывает банкам, ипотечным заимодателям, инвесторам и страховым компаниям услуги по проверке состояния кредитов и управлению кредитными рисками.
“Многим нашим сотрудникам облако представлялось чем-то пугающим”, — сказал Джон Коулс, вице-президент Clayton Holdings по интеллектуальному бизнесу. Тем не менее в сентябре 2008 г. компания приступила к использованию облачной системы управления бизнес-процессами Appian. Это позволило ей быстро реализовать важнейшие функции и уменьшило капитальные затраты.
Данный проект стал для компании первым опытом использования облачных вычислений. Поскольку в ее ИТ-системах хранились конфиденциальные сведения (имена, адреса, задолженности по кредитам, номера карт социального страхования и др.), “мы должны были убедиться, что не попадем в заголовки новостей”, признается Коулс.
Помимо использования обычных инструментов защиты, таких как аутентификация, защита от вредоносного кода и предотвращение потери данных, Clayton решила не хранить в облаке идентифицируемую личную информацию (personal identifiable information, PII). Была создана система, способная по запросу объединять любые или все данные, если пользователь прошел аутентификацию во внутренней сети. Система разделяет PII о клиентах и записи о них, используя внутренние идентификаторы. Кроме того, Clayton применяет виртуальную частную сеть, чтобы шифровать весь обмен информацией.
Для получения данных из облака сотрудники заполняют специальную форму, которая создает полную запись с помощью системы управления бизнес-процессами. “Мы заблаговременно провели детальный анализ с привлечением юристов и службы безопасности. Поэтому мы знали, что в облаке будем чувствовать себя уверенно, — сказал Коулс. — Важно обеспечить должный контроль, а также сдержки и противовесы. Но помимо этого важно также избавиться от представления, будто вы не осуществляете контроль, если данные находятся вне систем вашего предприятия”.
Лавленд из PwC считает облака просто еще одним инструментом или средством ИТ, который необходимо использовать. “Организации должны смотреть на них широко открытыми глазами, использовать проактивный подход и понимать, где хранятся данные, как они хранятся и как все это связано с безопасностью и защитой личных сведений, — рекомендует он. — Следует знать, какие средства защиты предоставляет облачный провайдер и что вам необходимо сделать внутри своей организации, а затем создавать инфраструктуру, которая сводит риск к минимуму”.
Простой факт, о котором часто забывают, заключается в том, что не все данные являются равнозначными с момента создания или имеющими одинаковую ценность. Соответственно при переходе в облака организациям следует заняться классификацией данных.
Согласно Accenture, важно потратить время и силы на заблаговременную классификацию данных и уметь различать безопасность и защиту сведений личного характера. Только в этом случае компания будет способна полностью понять ценность данных и сможет должным образом обращаться с каждым классом данных. Например, не подлежащие нормативному регулированию и не представляющие большого секрета данные можно спокойно хранить в публичном облаке без модификации, тогда как данные, составляющие тайну, лучше хранить в частных облаках или под гораздо более жестким контролем.
Сочетание публичного и частного облаков
Разбираться в связанных с облачными вычислениями проблемах, от которых голова может пойти кругом, — это именно то, что Avatar New York считает своей первоочередной задачей. Компания занимается маркетингом и обеспечением электронного бизнеса. Ее клиентами являются Bergdorf Goodman, Sapporo и Yamaha. Для управления сложными проектами клиентов она использует сочетание публичного и частного облаков.
Для наращивания по мере необходимости количества серверов и вычислительных ресурсов Avatar пользуется услугами корпорации Rackspace, а для администрирования ИТ в облаке — услугами компании Puppet Labs. “Поскольку мы работаем с ценной клиентской информацией, мы предъявляем жесткие требования к безопасности”, — поясняет главный технолог Патрик Талли.
Для защиты серверов в публичном облаке Avatar решила использовать ПО защиты облаков Halo, созданное компанией CloudPassage.
“Публичные облака очень динамичны по своей природе. Если сервер перезагружается, то меняются его IP-адрес и другие настройки, — говорит Талли. — Это порождает различные проблемы, связанные со средствами защиты хоста, которые функционируют в статичной среде”.
ПО CloudPassage облегчает добавление серверов и расширение полосы пропускания, что занимает считанные минуты. При этом оно гарантирует, что все серверы, доступные через Интернет, надежно защищены и отвечают требованиям регуляторов. Весь процесс автоматизирован с помощью скриптов Puppet. В общей сложности Avatar управляет сейчас более чем 50 находящимися в облаке серверами.
Сеппл из Accenture говорит, что в действительности облачная среда может оказаться более безопасной, чем серверы в корпоративном ЦОДе. В конечном счете нужно всего лишь отступить на шаг и изучить передовой опыт использования облаков.
Если организация понимает, каким рискам подвергается с точки зрения безопасности и защиты сведений личного характера, если она классифицирует данные и четко определяет роли сотрудников, начинают играть роль другие факторы. В этом случае важно найти облачного провайдера, предлагающего высокий уровень прозрачности. Среди прочего необходимо знать, кого он может привлечь в качестве субподрядчика и как выстроена цепочка контроля. Далее следует использовать адекватные средства управления идентификацией и доступом.
Лавленд из PwC считает, что важно определить оптимальное сочетание публичных, частных и гибридных облаков и изучить, как соотносятся с облаком различные технологии (включая мобильную технологию и социальные сети). В условиях новой приоритетности технологий возрастает значение решений для управления мобильными устройствами и других инструментов управления технологиями. Большое значение имеет также обучение сотрудников.
“Популярность облачных вычислений на предприятиях быстро растет, — подчеркивает Лавленд. — Поэтому важно обеспечить должный уровень защиты”.