ИТ-отрасль и регуляторы оказывают сильное давление на поставщиков решений и заказчиков с целью упрочения информационной безопасности, но здесь должно быть пространство и для дискуссий о значении облачного бизнеса и о том, как он может помочь компаниям стать более гибкими и проницательными.
Будучи членами команды «Облачная стратегия и участие клиентов в инновациях», мы регулярно встречаемся с заказчиками и обсуждаем их ожидания, возможности и озабоченности. Множество «круглых столов», дискуссий, форумов и совещаний с экспертами в различных организациях разных регионов, а также встречи с группами пользователей помогли сформулировать мысли, изложенные в этом материале.
Безопасность остается главной заботой предприятий, изучающих возможность перехода к облачным сервисам. Проблема усугубилась после откровений Сноудена. Хотя безопасность важна, она требует чувства меры, а не продиктованного страхом подхода.
Рассмотрим три наиболее важных аспекта безопасности.
1. Значение географического расположения
В обсуждении облачной тематики доминирует один вопрос: насколько облака безопасны? Этот вопрос — только вершина айсберга. Обычно он приводит к постановке следующих проблем:
• физическая защита и местонахождение данных;
• безопасность сетевых коммуникаций;
• резервное копирование и восстановление данных;
• соблюдение требований регуляторов;
• переносимость данных.
Однако, согласно исследованию Verizon Data Breach Investigation Report (DBIR), 86% всех нарушений совершалось с использованием краденых паролей. Это указывает на необходимость усиления защиты аутентификации сотрудников и тщательного изучения политики однократной регистрации.
Расположение ЦОДа или ЦОДов, где развернуты облачные решения и где хранятся и обрабатываются данные клиентов, тоже вызывает дискуссии, поскольку ИТ-подразделения должны заботиться о физическом размещении данных. Строгость европейского регулирования, особенно в Германии (в 2009 г. немецкий федеральный закон о защите данных Bundesdatenschutzgesetz, или BDSG, был существенно изменен с целью охвата ряда новых проблем защиты данных), может способствовать формированию доверия при решении вопроса о географическом местоположении данных клиентов.
И не будем забывать, что все вышесказанное относится как к собственным площадкам предприятий, так и к облачным решениям.
2. Главное — доверие
Облачные вычисления принципиально меняют восприятие проблемы безопасности. Главным активом любого сервис-провайдера становятся доверие и ценность бренда. Это то, чем мы руководствуемся и чем должен руководствоваться любой провайдер в данной области.
Необходимо обрабатывать данные в условиях полной свободы выбора провайдера и стремиться предоставлять сервисы и поддержку, обеспечивающие безопасное течение важнейших бизнес-процессов.
Необходимо защищать своих клиентов от несанкционированного доступа к данным и их злонамеренного использования, а также от раскрытия конфиденциальных сведений, применяя различные меры, касающиеся сотрудников, приложений, организации, систем и сетей.
Облачные вычисления избавляют ИТ-подразделения предприятий от необходимости производить закупки и позволяют им сосредоточиться на задачах добавления стоимости. В то же время облачные провайдеры концентрируют усилия на решении определенных задач и достигают в этом наивысшего профессионализма. Постоянно повторяющиеся задачи и их автоматизация, а также применение передового опыта, полученного в результате сотен тысяч операций, помогают устранить ручную работу и источники ошибок.
Другой хороший пример — шифрование данных для устройств пользователей с помощью протокола SSL. Необходимо контролировать все уровни облачных вычислений от ЦОДа и СУБД до ПО промежуточного слоя и уровня приложений. В хорошем публичном облаке на каждом уровне проводится тщательный аудит безопасности и соблюдаются жесткие стандарты защиты. Мы придерживаемся прозрачных стандартов безопасности и аудита и соблюдаем самые строгие требования конфиденциальности данных.
Чтобы соответствовать всем требованиям, ваш провайдер должен по крайней мере дважды в год проходить аудит SSAE16-SOC2 Type II.
3. Управление «милитаризованной» и «демилитаризованной» зонами в Интернете
EU 95/46 EC, PCI-DSS, ISO 27002, BS7799, ASIO-4, FIPS Moderate, BS10012, SSAE-16/SOC2... Это только часть списка наиболее важных стандартов аудита и сертификатов, относящихся к ЦОДам и ИТ-сервисам.
Ваш провайдер должен пройти все эти сертификации. Кроме того, архитектура его сети должна быть многоуровневой. В нашем случае трафик конечного пользователя ограничен исключительно пределами пограничной «демилитаризованной зоны» (DMZ) веб-серверов. Каждый уровень среды хостинга организован наподобие DMZ. Это позволяет разделять уровни с помощью брандмауэра или виртуальной локальной сети. Каждый запрос в отдельности проверяется перед созданием независимого запроса на следующем уровне.
Безопасность — предмет постоянной заботы для нас (учитывая, что у нас 65 тыс. сотрудников в 150 странах, использующих наши облачные решения), а также для наших клиентов и партнеров. Высший приоритет — сделать безопасность столь же простой, как азбучная истина.