Несколько лет назад, случись вам спросить любого ИТ-руководителя, как обеспечить безопасность при работе с общедоступные облачными сервисами, он, скорее всего, посоветовал бы не использовать их вовсе. Однако сегодня больше шансов встретить более гибкий подход, хотя бы потому, что за прошедшие годы отрасль наработала обширный практический опыт в этой области.
Я общался со многими системными архитекторами, ИТ-руководителями и консультантами, и, вспоминая слова Оскара Уайльда о том, что опытом люди называют свои ошибки, хочу разобрать их опыт на примере некоторых заблуждений, связанных с безопасностью и использованием общедоступных облачных сервисов (для краткости будем называть их облачными сервисами) в корпоративной среде.
Оценка рисков в отрыве от бизнес-контекста
Противники использования облачных сервисов в корпоративных средах (а также других новых концепций вроде BYOD, когда вместо корпоративных ПК сотрудники могут использовать собственные ноутбуки или смартфоны) очень часто акцентируют внимание на рисках, на том, что может пойти не так. Безусловно, риски необходимо тщательно взвешивать и, по возможности, устранять. Например, можно разрешить сотрудникам использовать общедоступные облачные ресурсы и собственные устройства, но только при условии обязательной двухфакторной аутентификации.
Кроме того, риски нужно оценивать в контексте бизнеса. Да, использование сторонних сервисов может создавать новые уровни или типы рисков (например, в какой-то момент сервис может просто взять и прекратить свое существование). Но если, скажем, сервис аналитики данных по клиентам приносит организации значительную выгоду, то, возможно, дополнительный риск оправдан. Или нет. В любом случае риски надо рассматривать в более широком контексте, не сводя все только к привычным для ИТ-специалистов категориям и параметрам.
Запреты не решают проблему, а лишь загоняют ее в подполье
Широко распространенный подход, при котором во главу угла ставятся риски, а не соотношение издержек и выгоды, часто приводит к появлению так называемой «теневой ИТ-системы предприятия». Иначе говоря, когда ИТ-специалисты решают в интересах надежности и безопасности запретить использование облачных сервисов или других привычных для пользователей новшеств (или отложить этот вопрос «до лучших времен»), сотрудники организации и даже целые подразделения начинают применять все это «подпольно».
Само по себе это не всегда означает проблему. Современный бизнес очень сильно зависит от множества технологий, и попытка реализовать их все силами собственных ИТ-специалистов не имеет практического и экономического смысла. Однако, в том, что касается выработки и реализации методов оценки, выбора и обеспечения безопасности сторонних решений, ИТ-специалисты могут принести организации существенную пользу. Которую, в свою очередь, невозможно получить, если все эти процессы от них тщательно скрываются.
Идеализация безопасности собственной ИТ-системы предприятия
Сопротивление облачным сервисам, похоже, в значительно мере проистекает из сравнения с некой идеальной корпоративной ИТ-инфраструктурой, в которой не бывает плохо настроенных брандмауэров, сотрудников-злоумышленников и не установленных вовремя исправлений безопасности. Такие инфраструктуры, несомненно, существуют, но далеко не во всех организациях, особенно в небольших, где часто вовсе нет специалистов по безопасности. Вам вряд ли придется мониторить горы новостей, чтобы найти очередной сюжет о взломе корпоративного дата-центра. С появлением законодательных требований по раскрытию случаев утечки персональных клиентских данных стало очевидно, что бреши в защите данных — явление повсеместное и никак не связанное с тем, где хранятся данные — на собственных серверах организации или в облаке.
Все вышесказанное не означает, что не стоит тщательно оценивать тот или иной облачный сервис, принимая во внимание его техническую проработанность, наличие сертификатов, а также послужной список поставщика услуг. Но при выполнении такой оценки стоит помнить, что совершенства в этом мире не существует.
Игнорирование методик обеспечения безопасности при переходе к облачным технологиям
В случаях, когда организация решает доверить облачным сервисам ту или иную часть своих ИТ-задач, возникает риск впасть с другую крайность, а именно делегировать поставщику сервиса ответственность за безопасность тех вещей, которые на самом деле контролируются самой организацией и за которые она несет ответственность самостоятельно. (При обсуждении облачных сервисов часто говорят о модели «разделения ответственности за безопасность», когда поставщик отвечает за одну часть аспектов безопасности, а заказчик — за другую).
Например, при использовании IaaS-платформы образы работающих в облаке операционных систем предоставляются и поддерживаются самим заказчиком. Поэтому они должны формироваться, контролироваться, обновляться и сопровождаться с использованием процессов и правил не менее безопасных, чем те, что применяются в отношении софта в собственном дата-центре организации.
Отсутствие последовательной стратегии в вопросах управления
Исторически сложилось так, что корпоративные ИТ-специалисты сами создавали ИТ-инфраструктуру предприятия и сами писали для нее приложения. С приходом облачных сервисов и других сторонних услуг их роль меняется и теперь они все чаще выступают в качестве посредников, решающих задачи предоставления и управления разнообразными услугами и сервисами в партнерстве с другими подразделениями организации. Не всем такой переход дается легко.
С точки зрения безопасности и управления это часто приводит к непоследовательности при выборе места хранения тех или иных данных, а также в вопросах обмена данными со сторонними сервисами. Кроме того, возникает фрагментация сервисов идентификации и контроля доступа, а также описанная выше противоречивость на уровне методологии.
Зачастую ответ на эти проблемы видится в использовании соответствующих технологий, например, платформ облачного управления, систем единого входа или решений для управления идентификационными данными. Однако описанные выше изменения корпоративной ИТ-среды влекут за собой изменения на уровне оргструктуры предприятия, такие как появление смешанных рабочих групп из ИТ-специалистов и сотрудников подразделений, использующих тот или иной сервис. И здесь мы подходим к, возможно, самому важному выводу: помимо новых методов, процессов и технологий, внедрение общедоступных и гибридных облачных сред требует четкого понимания того, как меняются сама ИТ-система предприятия и ее связи с другими подразделениями организации.
Автор статьи — специалист Red Hat по облачной стратегии.