Поставщики облачных услуг защищают своих клиентов лучше, чем это могут сделать сами клиенты, потому что безопасность — это неотъемлемая часть их бизнеса. Старший директор по стратегическим коммуникациям Oracle Майкл Хикинс приводит на портале eWeek пять критериев, которым должен соответствовать надежный облачный поставщик услуг.

За последние несколько месяцев как частный сектор, так и государственные организации столкнулись с множеством утечек, целевых вторжений и других осложнений безопасности. Этот факт красноречиво говорит о том, как много всего нужно сделать, чтобы укрепить защиту, особенно учитывая изощренность хакерских атак, которые в будущем наверняка станут еще разрушительнее. Многие компании пришли к выводу — и большинство экспертов разделяет эту точку зрения, — что облачные вычисления обеспечивают более высокий уровень безопасности, чем локальные ЦОДы, управляемые самими компаниями.

Это легко объяснимо, потому для большинства компаний кибербезопасность — это далеко не основной профиль деятельности, ею часто пренебрегают вендоры из когорты так называемых технических компаний, поскольку работа по защите данных часто кропотливая, утомительная и неблагодарная. Во многих случаях усилить защиту не получается даже за счет новейших инструментов и технологий, поскольку на рынке ощущается катастрофическая нехватка ИБ-специалистов. В то же время облачные провайдеры могут обеспечить более высокий уровень безопасности, поскольку безопасность клиентских данных для них — основа бизнеса (или должна быть таковой). Чтобы поддерживать ее на соответствующем уровне, они нанимают лучших специалистов.

Тем не менее не все провайдеры обеспечивают одинаковый уровень защиты, и предприятиям следует понимать отличия между ними. Ниже приводятся шесть ключевых характеристик, которые говорят о способности поставщика услуг обеспечить безопасность данных и предотвратить киберугрозы.

1. Принципы облачного дизайна

Многие облачные провайдеры предлагают только часть полного стека услуг по обработке и хранению данных, поэтому во многих случаях они не могут гарантировать безопасность систем своих клиентов. Провайдеры, которые предлагают услуги типа IaaS, то есть инфраструктуру, не имеют доступа к платформам или слоям приложений клиентов, следовательно, они не могут осуществлять надзор за ними. Тем временем другая группа поставщиков предоставляет только платформы и приложения, но не контролирует инфраструктуру. Клиентам нужно искать провайдеров, которые контролируют все аспекты облака: инфраструктуру, платформы и прикладные уровни. И которые доказали, что безопасность для них — это часть фундаментальной философии дизайна.

Приложения, платформа и инфраструктура должны разрабатываться с учетом требований как безопасности, так и функциональности. В качестве примера можно привести один специфический принцип облачного дизайна — изоляцию. Большинство провайдеров размещают данные клиента и управляющий код, требуемый для управления облаком, на одном сервере. Такой подход открывает перед хакерами широкие возможности. Например, это позволяет им выдавать себя за клиентов, а затем задействовать вредоносное ПО для манипулирования управляющим кодом облака.

Лучше всего выбирать поставщиков, использующих облачную инфраструктуру следующего поколения, в которой управляющий код изолирован от данных клиента, чтобы они не могли его модифицировать.

2. Патчинг

Непропатченное ПО является основной причиной многих, если не большинства, серьезных нарушений кибербезопасности. Таким образом, своевременная установка патчей безопасности имеет основополагающее значение для безопасности в целом. Тем не менее, патчинг сложных систем занимает много времени, к тому же очень часто их нужно отключать. Как правило, эта процедура отнимает несколько часов, что расходится с требованиями бизнеса, который полагается на своевременную обработку транзакций.

Ответственные поставщики облачных услуг устанавливают исправления безопасности не затрагивая интересов конечного клиента — время простоя не должно выливаться в материальные потери. Для этого они прибегают к автономному патчингу — обновление ПО или установка патчей проходят по мере их доступности без необходимости отключения системы.

3. Конфигурация

Пользователи облачных услуг подвергают себя потенциальным рискам, оставляя серверные порты открытыми, даже если в этом нет необходимости. Это же касается вычислительных ресурсов или хранилищ — вместо того, чтобы отключить, их часто оставляют включенными. Хакеры могут получить доступ к этим ресурсам, чтобы затем проникнуть в критически важные работающие системы. Современный облачный провайдер должен обладать средствами, которые позволяют обнаружить вычислительные ресурсы, находящиеся в режиме вынужденного простоя, и заблаговременно отключить их. Это позволяет значительно сузить поверхность атаки и повышает шансы, что клиенты будут находится в безопасности.

Поставщики услуг должны также обезопасить доступ к данным клиентов, выставив по умолчанию настройку, которая закрывает к ним публичный доступ в объектном хранилище. Провайдер должен в автоматическом режиме контролировать изменения тех настроек доступа, которые могут потенциально ставить под угрозу систему или данные, и оповещать об их изменении клиента.

4. Шифрование

Включенное по умолчанию шифрование как для основных, так и для резервных баз данных затрудняет злоумышленникам кражу полезной информации. Поставщики облачных услуг, которые предоставляют такую возможность, заслуживают доверия. Кроме того, внедрение повсеместного сквозного шифрования данных, которые находятся в состоянии покоя, либо транзитных данных означает, что если они и попадут в руки злоумышленников, шансы воспользоваться ими будут стремиться к нулю.

5. Новые технологии

В настоящее время облачные провайдеры еще не поставили на поток ИИ и машинное обучение, чтобы заблаговременно обнаруживать вредоносный код или нетипичные шаблоны и действия, которые угрожают данным клиентов. Изощренность хакерских атак не оставляет сомнений, что вскоре эти грозные инструменты будут приняты на вооружение. Но важно понимать, что облачному провайдеру, который стремится завоевать доверие клиентов, нужна не просто первоклассная ИИ-экспертиза — его специалисты должны обладать глубокими познаниями крупномасштабных бизнес-процессов и умением задействовать ИИ в превентивных целях.

Выводы

Клиентам, которые ищут высокозащищенное облако для критически важных бизнес-данных и рабочих нагрузок, стоит обратить внимание на поставщиков облачных услуг с солидным опытом работы с корпоративными клиентами, которые при этом не обходят стороной современные технологии. Выигрышный вариант — выбор провайдера, который будет выступать в качестве полноправного партнера в развертывании и обеспечении безопасности бизнес-нагрузок, а не пассивного участника, который берет деньги в обмен на доступ к множеству облачных серверов.