Безопасность облачных вычислений

Безопасность для облачных вычислений

Безопасность облачных вычислений

Сегодня облачные вычисления, позволяющие компаниям передать на аутсорсинг их процессы обработки данных коммерческим провайдерам таких услуг, стали популярным, уже достаточно большим и быстрорастущим рынком.

Но природа облачных вычислений заставляет клиентов задуматься о защищенности данных и безопасности такой услуги.

Если данные или их обработка не находятся под непосредственным контролем компании — владельца информации, то у нее есть повод для беспокойства.

Количественные и качественные оценки рынка облачных вычислений показывают его устойчивость и стабильный рост. Разные аналитики оценивали его объемы в 2009 г. от 7,5 до 7,8 млрд долл., прогнозируя к 2014 г. рост до 12,5-14,0 млрд долл.

В отчетах аналитических фирм приводились цифры, что при опросах около половины ИТ-менеджеров сообщали об использовании или планировании использования облачных вычислений.

В приводимых ниже результатах исследования компании Heavy Reading Insider «Cloud Services Fly Into Some Security Turbulence», посвященном безопасности облачных вычислений, были использованы данные таких компаний-провайдеров этих сервисов, как Amazon Web Services, AT&T, GoGrid Cloud Hosting; Google, IBM, Joyent, Rackspace Hosting, Savvis, Terremark Worldwide, VMware и Verizon Communications.

проблема таких сервисов — отсутствие принятого большей частью рынка стандарта обеспечения безопасности облачных вычислений.

Несмотря на существование разных сертификационных процедур и тестов, базирующихся на критериях и требованиях безопасности, единого подхода и методики для обеспечения защищенности облачных вычислений пока нет, нет и единой методики проверки адекватности защиты провайдера подобных сервисов. Клиенты, чтобы получить какие-то гарантии защищенности своих данных, пока должны «блуждать» в море сертификатов, законов, регуляторных требований, разных стандартов и методологий, широко применяемых на основе «лучших практик», но пока официально не принятых. Часто провайдеры, точно знающие, какой защищенности им достаточно, не могут подтвердить, что таковая достигнута. И особую озабоченность вызывает виртуализация.

Вместе с тем, организованная в апреле 2009 г. ассоциация защищенности облачных вычислений — Cloud Security Alliance (CSA) — уже разрабатывает соответствующий набор критериев. Но пока этот набор нельзя использовать как практический инструмент для подтверждения защищенности потенциальных клиентов.

Гарантия безопасности в модели облачных вычислений важна больше, чем в традиционной модели, поскольку перемещение обработки данных в недоверенную среду таит опасность потери этих данных.

Но уже имеется множество потенциальных провайдеров таких сервисов, поэтому рынок заинтересован в решении этой, ставшей главной, проблемы облачных вычислений.

В то же время, обеспечение облачной защищенности — задача чрезвычайно сложная, так как добавляет ее к уже существующим множественным проблемам безопасности, возлагая все это на ИТ-менеджеров.

Пока для клиентов нет быстрого и понятного способа убедиться, что облачные вычисления надежно защищены, но есть путь ускорить достижение этой цели — активное просвещение и обучение клиентов, чтобы они понимали и суть проблем и возможности их решения. И это следует делать не только на уровне CSA, но и на уровне провайдеров таких сервисов.

  • * Традиционные атаки на ПО. Они связанные с уязвимостью сетевых протоколов, операционных систем, модульных компонент и других. Это традиционные угрозы, для защиты от которых достаточно установить антивирус, межсетевой экран, IPS и другие обсуждаемые компоненты. Важно только, чтобы эти средства защиты были адаптированы к облачной инфраструктуре и эффективно работали в условиях виртуализации.
  • * Функциональные атаки на элементы облака. Этот тип атак связан с многослойностью облака, общим принципом безопасности, что общая защита системы равна защите самого слабого звена. Так успешна DoS-атака на обратный прокси, установленный перед облаком, заблокирует доступ ко всему облаку, не смотря на то, что внутри облака все связи будут работать без помех. Аналогично SQL-инъекция, прошедшая через сервер приложений даст доступ к данным системы, не зависимо от правил доступа в слое хранения данных. Для защиты от функциональных атак для каждого слоя облака нужно использовать специфичные для него средства защиты: для прокси – защиту от DoS-атак, для веб-сервер – контроль целостности страниц, для сервера приложений – экран уровня приложений, для слоя СУБД – защиту от SQL-инъекций, для системы хранения – резервное копирование и разграничение доступа. В отдельности каждые из этих защитных механизмов уже созданы, но они не собраны вместе для комплексной защиты облака, поэтому задачу по интеграции их в единую систему нужно решать во время создания облака.
  • * Атаки на клиента. Этот тип атак отработан в веб-среде, но он также актуален и для облака, поскольку клиенты подключаются к облаку, как правило, с помощью браузера. В него попадают такие атаки как Cross Site Scripting (XSS), перехваты веб-сессий, воровство паролей, “человек посредине” и другие. Защитой от этих атак традиционно является строгая аутентификации и использование шифрованного соединения с взаимной аутентификацией, однако не все создатели “облаков” могут себе позволить столь расточительные и, как правило, не очень удобные средства защиты. Поэтому в этой отрасли информационной безопасности есть еще нерешенные задачи и пространство для создания новых средств защиты.
  • * Угрозы виртуализации. Поскольку платформой для компонент облака традиционно являются виртуальные среды, то атаки на систему виртуализации также угрожают и всему облаку в целом. Этот тип угроз уникальный для облачных вычислений, поэтому его мы подробно рассмотрим ниже. Сейчас начинают появляться решения для некоторых угроз виртуализации, однако отрасль эта достаточно новая, поэтому пока сложившихся решений пока не выработано. Вполне возможно, что рынок информационной безопасности в ближайшее время будет вырабатывать средства защиты от этого типа угроз.
  • * Комплексные угрозы “облакам”. Контроль облаков и управление ими также является проблемой безопасности. Как гарантировать, что все ресурсы облака посчитаны и в нем нет неподконтрольных виртуальных машин, не запущено лишних бизнес-процессов и не нарушена взаимная конфигурация слоев и элементов облака. Этот тип угроз связан с управляемостью облаком как единой информационной системой и поиском злоупотреблений или других нарушений в работе облака, которые могут привести к излишним расходам на поддержание работоспособности информационной системы. Например, если есть облако, которое позволяет по представленному файлу детектировать в нем вирус, то как предотвратить воровство подобных детектов? Этот тип угроз наиболее высокоуровневый и, я подозреваю, что для него невозможно универсального средства защиты – для каждого облака ее общую защиту нужно строить индивидуально. Помочь в этом может наиболее общая модель управления рисками, которую нужно еще правильно применить для облачных инфраструктур.

Первые два типа угроз уже достаточно изучены и для них выработаны средства защиты, однако их еще нужно адаптировать для использования в облаке.

Например, межсетевые экраны предназначены на защиты периметра, однако в облаке непросто выделить периметр для отдельного клиента, что значительно затрудняет защиту.

Поэтому технологию межсетевого экранирования нужно адаптировать к облачной инфраструктуре. Работу в этом направлении сейчас активно ведет, например, компания Check Point.

Новым для облачных вычислений типом угроз является проблемы виртуализации. Дело в том, что при использовании этой технологии в системе появляются дополнительные элементы, которые могут быть подвергнуты атаке.

К ним можно отнести гипервизор, систему переноса виртуальных машин с одного узла на другой и систему управления виртуальными машинами.

Рассмотрим подробнее, каким же атакам могут подвергнуться перечисленные элементы:

  • * Атаки на гипервизор. Собственно ключевым элементом виртуальной системы является гипервизор, который обеспечивает разделение ресурсов физического компьютера между виртуальными машинами. Вмешательство в работу гипервизора может привести к тому, что одна виртуальная машина может получить доступ к памяти и ресурсам другой, перехватывать ее сетевой трафик, отбирать ее физические ресурсы и даже совсем вытеснить виртуальную машину с сервера. Пока мало кто из хакеров понимает, как именно работает гипервизор, поэтому атак подобного типа практически нет, однако это еще не гарантирует, что они не появятся в будущем.
  • * Перенос виртуальных машин. Следует отметить, что виртуальная машина представляет собой файл, который может быть запущен на исполнение в разных узлах облака. В системах управления виртуальными машинами предусмотрены механизмы переноса виртуальных машин с одного узла на другой. Однако файл виртуальной машины можно и вообще украсть и попытаться запустить ее за пределами облака. Вынести физический сервер из ЦОДа невозможно, а вот виртуальную машину можно украсть по сети, не имея физического доступа к серверам. Правда, отдельная виртуальная машина за пределами облака не имеет практической ценности – воровать нужно как минимум по одной виртуальной машине из каждого слоя, а также данные из системы хранения для восстановления аналогичного облака, тем не менее, виртуализация вполне допускает воровство частей или всего облака целиком. То есть вмешательство в механизмы переноса виртуальных машин порождает новые риски для информационной системы.
  • * Атаки на системы управления. Огромное количество виртуальных машин, которые используются в облаках, особенно в публичных облаках, требует таких систем управления, которые могли бы надежно контролировать создание, перенос и утилизацию виртуальных машин. Вмешательство в системы управления может привести к появлению виртуальных машин невидимок, блокирование одних машин и подстановка в слои облака неавторизованных элементов. Все это позволяет злоумышленникам получать информацию из облака или захватывать его части или все облако целиком.

Следует отметить, что пока все перечисленные выше угрозы являются чисто гипотетическими, поскольку сведений о реальных атаках этого типа практически нет. В то же время, когда виртуализация и облака станут достаточно популярными, все эти типы нападений могут оказаться вполне реальными. Поэтому их стоит иметь в виду еще на этапе проектирования облачных систем.

Page 3

Перейти к загрузке файла
В заключении стоит сказать, что на данный момент идет активная разработка и совершенствование технологии облачных вычислений. Но речь идет именно о разработке, а не об использовании. На данный момент многие бояться именно самого факта, что информацию будут хранить сторонние люди. И хотя почти невозможность утери либо кражи данных уже доказана, немногие готовы довериться подобным сервисам. Так же сказывается недостаточное на данный период времени качество, стабильность и скорость Интернет-соединений, что создает ощутимые трудности для разработчиков.Однако несмотря на эти существенные недостатки, плюсы от внедрения данной технологии ясны всем. Ведь это экономия для потребителей, борьба с пиратством для разработчиков, минимизация затрат в IT сфере для бизнеса, унификация сетевых стандартов для всех пользователей.
  • 1. Интересная и актуальная информация о Cloud Computing. Новости, аналитика, практические примеры использования.
  • 2. Статья «Облачные вычисления от гигантов IT-рынка»
  • 3. “Облачные вычисления – достоинства и недостатки»
  • 4. Статья «Проблемы безопасности облачных вычислений»
  • 5. Статья «Безопасность для облачных вычислений»

  Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter

Источник: https://studwood.ru/1949822/informatika/bezopasnost_oblachnyh_vychisleniy

Безопасность облачных вычислений • ru.knowledgr.com

Безопасность облачных вычислений

Безопасность облачных вычислений или, проще, безопасность облака – развивающаяся подобласть компьютерной безопасности, сетевой безопасности, и, более широко, информационной безопасности. Это относится к широкому набору политики, технологий, и управляет развернутый, чтобы защитить данные, заявления и связанную инфраструктуру облачных вычислений.

Вопросы безопасности связались с облаком

Организации используют Облако во множестве различных сервисных моделей (SaaS, PaaS и IaaS) и моделей развертывания (Частный, Общественный, Гибрид и Сообщество).

Есть много проблем/проблем безопасности, связанных с облачными вычислениями, но эти проблемы попадают в две широких категории: вопросы безопасности, с которыми стоят поставщики облака (организации, предоставляющие программное обеспечение – платформа – или инфраструктура как обслуживание через облако) и вопросы безопасности, с которыми стоят их клиенты (компании или организации, которые принимают заявления или хранят данные на на облаке). Ответственность идет обоими путями, однако: поставщик должен гарантировать, что их инфраструктура безопасна и что данные и заявления их клиентов защищены, в то время как пользователь должен принять меры, чтобы укрепить их применение и использовать сильные пароли и меры по идентификации.

Когда организация выбирает хранить данные или заявления хозяина на общественном облаке, это теряет свою способность иметь физический доступ к серверам, принимающим его информацию. В результате потенциально деловые чувствительные и конфиденциальные данные находятся в опасности от нападений посвященного лица.

Согласно недавнему Отчету Союза безопасности Облака, нападения посвященного лица – третья по величине угроза в облачных вычислениях. Поэтому, поставщики Облачного сервиса должны гарантировать, что полные проверки данных проводятся для сотрудников, у которых есть физический доступ к серверам в информационном центре.

Кроме того, информационные центры должны часто проверяться для подозрительной деятельности.

Чтобы сохранить ресурсы, сократите издержки и поддержите эффективность, Поставщики Облачного сервиса часто хранят данные больше чем одного клиента на том же самом сервере.

В результате есть шанс, что частные данные одного пользователя могут рассматриваемым другими пользователями (возможно даже конкуренты).

Чтобы обращаться с такими чувствительными ситуациями, поставщики облачного сервиса должны гарантировать надлежащую изоляцию данных и логическую сегрегацию хранения.

Широкое применение виртуализации в осуществлении инфраструктуры облака приносит уникальные проблемы безопасности для клиентов или арендаторов общественного облачного сервиса.

Виртуализация изменяет отношения между OS и основными аппаратными средствами – быть им вычисление, хранение или даже организация сети. Это вводит дополнительный слой – виртуализацию – который саму нужно должным образом формировать, управлять и обеспечить.

Определенные проблемы включают потенциал, чтобы поставить под угрозу программное обеспечение виртуализации или «гиперщиток». В то время как эти проблемы в основном теоретические, они действительно существуют.

Например, нарушение в автоматизированном рабочем месте администратора с управленческим программным обеспечением программного обеспечения виртуализации может заставить целый datacenter понижаться или повторно формироваться к симпатии нападавшего.

Средства управления безопасностью облака

Архитектура безопасности облака эффективная, только если правильные защитные внедрения существуют. Эффективная архитектура безопасности облака должна признать проблемы, которые возникнут с управлением безопасностью.

Управление безопасностью решает эти проблемы со средствами управления безопасностью. Эти средства управления положены на место, чтобы охранять любые слабые места в системе и уменьшить эффект нападения.

В то время как есть много типов средств управления позади архитектуры безопасности облака, они могут обычно находиться в одной из следующих категорий:

Средство устрашения управляет

Средства управления:These предназначены, чтобы уменьшить нападения на систему облака.

Во многом как предупредительный знак на заборе или собственности, сдерживающие средства управления, как правило, уменьшают уровень угрозы, сообщая потенциальным нападавшим, что будут негативные последствия для них, если они продолжатся. [Некоторые считают их подмножеством профилактических средств управления.]

Профилактические средства управления

Средства управления:Preventive усиливают систему против инцидентов, обычно уменьшая, не фактически устраняя слабые места. Сильная идентификация пользователей облака, например, делает его менее вероятно, что неавторизованные пользователи могут получить доступ к системам облака, и более вероятно что пользователи облака положительно опознаны.

Детектив управляет

Средства управления:Detective предназначены, чтобы обнаружить и реагировать соответственно на любые инциденты, которые происходят.

В случае нападения детективный контроль будет сигнализировать о профилактических или корректирующих средствах управления решать проблему.

Безопасность системы и контроль сетевой безопасности, включая меры обнаружения и предотвращения вторжения, как правило используются, чтобы обнаружить нападения на системы облака и коммуникационную инфраструктуру поддержки.

Корректирующие средства управления

Средства управления:Corrective уменьшают последствия инцидента, обычно ограничивая повреждение. Они входят в силу во время или после инцидента. Восстановление системных резервных копий, чтобы восстановить поставившую под угрозу систему, является примером корректирующего контроля.

Размеры безопасности облака

Обычно рекомендуется, чтобы информационные средства управления безопасностью были отобраны и осуществлены соответственно и в пропорции к рискам, как правило оценив угрозы, слабые места и воздействия.

В то время как проблемы безопасности облака могут быть сгруппированы в любое число размеров (например, Gartner, названный семь, в то время как Союз безопасности Облака определил четырнадцать проблемных областей), три обрисованы в общих чертах ниже.

Безопасность и частная жизнь

Управление идентичностью: у Каждого предприятия будет своя собственная система управления идентичностью, чтобы управлять доступом к информации и вычислительным ресурсам.

Поставщики облака или объединяют систему управления идентичностью клиента в свою собственную инфраструктуру, используя федерацию или технологию SSO, или предоставляют собственное управленческое решение для идентичности.

Физическая защита: поставщики Облачного сервиса, физически безопасные, аппаратные средства IT (серверы, маршрутизаторы, кабели и т.д.) против несанкционированного доступа, вмешательства, воровства, огней, наводнения и т.д.

и гарантируют, что существенные поставки (такие как электричество) достаточно прочны, чтобы минимизировать возможность разрушения. Этого обычно достигают, вручая приложения облака от 'мирового класса' (т.е.

профессионально определяют, разрабатывают, строят, управляют, проверяют и сохраняют), информационные центры.

Безопасность персонала: Различные информационные проблемы безопасности, касающиеся IT и других профессионалов, связанных с облачными сервисами, как правило, обрабатываются через пред – пара – и действия постзанятости, такие как новички потенциала проверки безопасности, осведомленность безопасности и программы обучения, превентивный контроль состояния безопасности и наблюдение, дисциплинарные процедуры и договорные обязательства, включенные в трудовые договоры, соглашения о сервисном обслуживании, нормы поведения, политика и т.д.

Доступность: поставщики Облака помогают гарантировать, что клиенты могут полагаться на доступ к своим данным и заявлениям, по крайней мере частично (неудачи в любом пункте – не только в пределах областей поставщиков облачного сервиса – может разрушить коммуникационные цепи между пользователями и заявлениями).

Прикладная безопасность: поставщики Облака гарантируют, что заявления, доступные как обслуживание через облако (SaaS), безопасны, определяя, проектируя, осуществляя, проверяя и поддерживая соответствующие прикладные меры безопасности в производственной среде.

Обратите внимание на то, что – как с любым коммерческим программным обеспечением – средства управления, которые они осуществляют, могут не обязательно полностью снизить все риски, которые они определили, и что они могли не обязательно определить все риски, которые представляют интерес клиентам.

Следовательно, клиенты, возможно, также должны убедиться, что приложения облака соответственно обеспечены в их определенных целях, включая их обязательства соблюдения.

Частная жизнь: Поставщики гарантируют, что все критические данные (номера кредитной карточки, например) замаскированы или зашифрованы (еще лучше) и что только у зарегистрированных пользователей есть доступ к данным полностью. Кроме того, цифровые тождества и верительные грамоты должны быть защищены, как должен любые данные, которые поставщик собирает или производит о потребительской деятельности в облаке.

Соблюдение

Многочисленные законы и постановления принадлежат хранению и использованию данных.

В США они включают частную жизнь или законы о защите данных, Промышленность Платежной карточки – Стандарт Защиты информации (PCI DSS), закон о Мобильности и Ответственности Медицинского страхования (HIPAA), закон Сарбейнса-Оксли, федеральный информационный закон об управлении безопасностью 2002 (FISMA) и Детский закон об Обеспечении секретности Онлайн 1998, среди других.

Подобные законы могут примениться в различной юридической юрисдикции и могут отличаться вполне заметно от проведенных в жизнь в США. Пользователи облачного сервиса, возможно, часто должны знать о юридических и регулирующих различиях между юрисдикцией. Например, данные, хранившие Поставщиком Облачного сервиса, могут быть расположены в, скажем, Сингапуре и отражены в США.

Многие из этих инструкций передают под мандат особые средства управления (такие как сильные средства управления доступом и контрольные журналы) и требуют регулярного сообщения.

Клиенты облака должны гарантировать, чтобы их поставщики облака соответственно выполнили такие требования как соответствующие, позволив им выполнить их обязательства с тех пор, в большой степени, они остаются ответственными.

Непрерывность бизнеса и восстановление данных

Поставщики:Cloud имеют в распоряжении непрерывность бизнеса, и восстановление данных планирует гарантировать, что обслуживание может сохраняться в случае бедствия или чрезвычайной ситуации и что любой убыток данных будет возмещен.

Эти планы могут быть разделены с и рассмотрены их клиентами, идеально соответствующими собственным мерам непрерывности клиентов.

Совместные упражнения непрерывности могут быть соответствующими, моделировав главный Интернет или неудачу электроснабжения, например.

Регистрации и контрольные журналы

Дополнение:In к производству регистрируется и контрольные журналы, поставщики облака работают со своими клиентами, чтобы гарантировать, что эти регистрации и контрольные журналы должным образом обеспечиваются, сохраняются столько, сколько клиент требует и доступен в целях судебного расследования (например, eDiscovery).

Уникальные требования соблюдения

Дополнение:In к требованиям, которым клиенты подвергаются, информационные центры, используемые поставщиками облака, может также подвергнуться требованиям соблюдения.

Используя поставщика облачного сервиса (CSP) может привести к дополнительным проблемам безопасности вокруг юрисдикции данных, так как клиент или данные арендатора могут не остаться на той же самой системе, или в том же самом информационном центре или даже в пределах облака того же самого поставщика.

Юридические и договорные проблемы

Кроме проблем безопасности и соблюдения, перечисленных выше, поставщики облака и их клиенты договорятся об условиях вокруг ответственности (предусматривающий, как инциденты, включающие потерю данных или компромисс, будут решены, например), интеллектуальная собственность и конец обслуживания (когда данные и заявления будут в конечном счете возвращены клиенту). Кроме того, есть соображения для приобретения данных от облака, которое может быть вовлечено в тяжбу. Эти проблемы обсуждены в Service-Level Agreements (SLA).

Публичные акты

Юридические вопросы могут также включать держащие отчеты требования в государственный сектор, где много агентств требуются законом сохранить и сделать доступным электронные документы определенным способом.

Это может быть определено законодательством, или закон может потребовать, чтобы агентства соответствовали правилам и методам, установленным держащим отчеты агентством.

Государственные учреждения используя облачные вычисления и хранение должны принять эти проблемы во внимание.

Внешние ссылки

  • Почему безопасность облака требует многократных слоев
  • Как компании могут ослабить проблемы безопасности облака
  • Защита информации нарушает инфографику

Источник: http://ru.knowledgr.com/08892283/%D0%91%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C%D0%9E%D0%B1%D0%BB%D0%B0%D1%87%D0%BD%D1%8B%D1%85%D0%92%D1%8B%D1%87%D0%B8%D1%81%D0%BB%D0%B5%D0%BD%D0%B8%D0%B9

Технологии облачных вычислений. Благо или угроза

Безопасность облачных вычислений

В последнее время особую популярность среди пользователей стали приобретать так называемые облачные вычисления, технологии, позволяющие осуществлять хранение и обработку информации не на домашнем компьютере, а на удалённом сервере. Как утверждается, эта инновация призвана максимально упростить и облегчить взаимодействие современного пользователя с миром цифровых технологий.

Впрочем, считать облачные вычисления инновацией не стоит, эти технологии существовали и раньше, просто они не были столь распространены и, конечно же, разрекламированы. Если обратиться к истории развития компьютерных технологий, то идеи, близкие к современной cloud computing можно встреть еще в далёких 70 годах.

Облачные вычесления. Зачем?

Сейчас принято говорить о пользе подобных технологий. Существует весьма распространённое мнение, что такой подход не только повысит уровень безопасности хранения данных, но и поспособствует снижению стоимости персональных компьютеров, а также позволит существенно снизить расходы на программное обеспечение.

Учитывая тот факт, что объёмы обрабатываемой информацииинформации растут, а программное обеспечение становится всё более ресурсоёмким, производители компьютерной техники вынуждены создавать всё более мощные машины.

Но не будет ли проще вместо того, чтобы тратить ресурсы на производство сложных и мощных компьютеров, запустить в производство более простые девайсы с базовой операционной системной и специально заточенным под использование cloud computing браузером?

Выгода

При этом программное обеспечение можно установить на удалённый сервер, обеспечив к нему доступ сразу с нескольких тысяч, а может и сотен тысяч компьютеров. Только представьте, сколько средств может сэкономить компания, в каждом офисе которой должен быть установлен современный ПК с дорогостоящим проприетарным программным обеспечением?

По идее не меньшие выгоды должен получить и простой пользователь. Всё очень просто. Во-первых, это позволит сократить расходы на приобретение компьютерной техники.

Вы, наверное, и сами заметили, как быстро совершенствуется серверная архитектура.

А поскольку облачные вычислительные системы совершенствуются без участия пользователя, то какой смысл гнаться за новинками, которые всё равно через год устареют?

Во-вторых, возрастёт скорость обработки информации, а также объёмы предоставляемого свободного дискового пространства. Зачем покупать дополнительные жёсткие диски, если “избыток” информации можно хранить где-нибудь в облаке, ведь это реально дешевле. Зачем приобретать программы, если с таким же успехом обработать данные можно на удалённом сервере?

Уже сейчас имеется масса онлайн-сервисов оказывающих подобные услуги, причём совершенно бесплатно. Остаётся одно “но” – скорость обмена данными. Впрочем, это дело наживное. И это только одни из немногих аргументов в пользу технологий облачных вычислений.

Безопасность под угрозой

Тем не менее, не смотря на столь очевидные выгоды, в последнее время всё чаще раздаются голоса, выступающие против такого стремительного распространения технологии облачных вычислений.

И опасения эти далеко небезосновательны. Рядовых пользователей, а также представителей малых и средних компаний больше всего беспокоит вопрос безопасности хранимых на внешних серверах данных.

И действительно, гарантий, что ваши персональные данные останутся в неприкосновенности, просто нет и быть не может. Имеются примеры, когда облачные сервера были успешно взламываемы злоумышленниками, а хранящаяся на них информация похищалась.

К примеру, специалисты шведского ведомства фортификаций считают, что хранение данных на внешних серверах сопряжено с высокими рисками утечки информации. И даже больше. Имеются весьма веские основания считать, что некоторые государства, в частности Россия, США, Китай, а также часть стран Западной Европы используют облачные сервера с целью промышленного шпионажа.

В той же Швеции специалисты Fortifikationsverket ежегодно регистрируют около 20 серьёзных утечек ценной корпоративной информации, произошедших в результате взлома облачных центров.

С другой стороны, что помешает самим государственным структурам мониторить облачные сервера в поисках очередной крамолы? Или вы забыли, в какой век мы живём? Взять хотя бы истерию с пресловутым авторским правом в западных странах. Другая возможная опасность связана, прежде всего, с монополизацией рынка облачных и вообще информационных услуг.

Не нужно быть провидцем, чтобы догадаться, к каким последствиям может привести глобализация в этой сфере. Мало по малу крупные организации, владеющие облачными центрами будут вытеснять более мелкие софтверные компании и частных разработчиков программного обеспечения.

Перемещения ПО в облака ограничит возможности “народных умельцев” специализирующихся на его взломе и адаптации к нуждам массового пользователя. Рассчитывать же на то, что расположенное на удалённых серверах ПО будет бесплатным, по меньшей мере, наивно. Таким образом, выбор, увы, останется между “плати” и “юзай покрытую пылью старину”.

Существуют и другие, более прозаичные аспекты. Так, открытым остаётся вопрос о круглосуточной доступности самих облачных ресурсов.

К каким последствиям может привести хакерская атака, хорошо известно на примере случая с компанией Sony, когда один из её сервисов (PSN) был практически парализован, а личные данные нескольких миллионов пользователей были безвозвратно утрачены. Открытыми для обсуждения остаются юридические вопросы, и возможных сценариев тут может быть масса.

Право на жизнь?

Итак, мы подошли к тому моменту, когда вопрос стал вполне очевиден – стоит ли впускать в свою жизнь инновации облачных технологий или, распознав в них очередной инструмент глобализации и попытку навязывания новой системы контроля, отвергнуть. Для многих этот вопрос может показаться очень непростым, но от того, в какую сторону склонятся весы, возможно, будет зависеть будущее всего Интернета.

Невольно приходят на ум слова известнейшего американского программиста, автора концепции “копилефта” Ричарда Столлмана утверждающего, что облачные сервисы являются ничем иным как ловушкой, подспудным инструментом, главная цель которого заключается в том, чтобы загнать людей в контролируемые проприетарные системы… По его словам мы имеем дело с маркетинговой уловкой, идя на поводу которой пользователи добровольно обрекают себя на “цифровое” рабство. Если услуги, предоставляемые облачными сервисами бесплатны сейчас, это вовсе не означают, что они таковыми останутся, когда других вариантов кроме как обращение к облаку уже не будет.

Пользоваться облачными технологиями или нет, решать вам. Наш совет прост – используйте для хранения и обработки данных личные компьютеры.

Если же на то пошло, и вы готовы доверить чужим рукам ваши файлы и результаты вычислений, делать это нужно крайне осмотрительно. Есть прекрасная поговорка, согласно которой давать в долг можно только ту сумму, которую вы готовы подарить.

Аналогично и с облачными технологиями. Доверять им можно только те данные, с которыми вы без особого сожаления готовы расстаться.

Источник: https://www.softrew.ru/mysli-vsluh/371-tehnologii-oblachnyh-vychisleniy-blago-ili-ugroza.html

Интернет-издание о высоких технологиях

Безопасность облачных вычислений

По мере роста интереса к модели Software-as-a-service (SaaS) увеличивается и озабоченность по поводу безопасности такого решения. До сих пор совокупная стоимость владения была основным аргументом при рассмотрении SaaS. Но теперь, когда «облака» стали использоваться все чаще для стратегических и критически важных бизнес-приложений, безопасность вышла на первое место.

В ежегодном исследовании Gartner, проводимом среди ИТ-директоров и касающемся инвестиций в технологии, облачные вычисления резко переместились с шестнадцатой позиции на вторую. И сейчас основной задачей является обеспечение безопасности SaaS.

В самом деле, подавляющее большинство клиентов, узнав об облаке, говорят, что они скорее создадут виртуальный центр обработки данных на своей территории–private cloud, поскольку плохо знакомы с вопросами безопасности SaaS и возможностями их решения.

«В связи с этим обеспечение безопасности облачных вычислений будет основным направлением деятельности вендоров в ближайшем будущем», — считает Джонатан Пенн (Jonathan Penn), аналитик Forrester Research.

«Разработчики, занимающиеся безопасностью, привыкли продавать свои продукты напрямую предприятиям.

Однако со временем они будут использовать облачных провайдеров для поставки своих продуктов на рынок», — добавляет он.

В модели SaaS приложение запускается на облачной инфраструктуре и доступно через веб-браузер. Клиент не управляет сетью, серверами, операционными системами, хранением данных и даже некоторыми возможностями приложений. По этой причине в модели SaaS основная обязанность по обеспечению безопасности практически полностью ложится на провайдеров.

Есть несколько рисков безопасности при использовании SaaS, которые необходимо учитывать при принятии решения о переходе на такую модель работы.

Незрелость управления идентификацией (Identity Management)

Провайдеры облачных услуг далеко не всегда стремятся усложнять свою платформу интеграцией с системой управления идентификацией. Существуют несколько технологий третьих компаний, позволяющих расширить управление доступом на основе ролей в облаке, например через технологию единого доступа (single sign-on, SSO). Но в целом эта область находится все еще на ранней стадии развития.

В настоящий момент каждый из крупных игроков на рынке SaaS стремится создать свою технологию взаимосвязи с клиентом.

У Google есть Secure Data Connector, который формирует шифрованное соединение между данными клиентов и бизнес-приложениями Google и позволяет клиенту контролировать, какие сотрудники могут получать доступ к ресурсам GoogleApps, а какие нет. Salesforce обеспечивает похожий функционал, реализованный на собственной технологии.

При обращении клиентов к множеству различных SaaS-приложений растет и количество используемых инструментов безопасности, что может привести к неповоротливости и плохой масштабируемости такой модели.

Существуют несколько сторонних продуктов,которые, по крайней мере,предполагают возможность их использования при подключении к множеству типов SaaS-приложений, но на данный момент они еще не достаточно опробованы провайдерами.

Поэтому управление идентификационными данными и контролем доступа для корпоративных приложений, по мнению экспертов Digital Design, остается одной из основных проблем, стоящих перед ИТ сегодня.

Слабость стандартов

К сожалению, эволюция SaaS опережает деятельность по созданию и модификации необходимых отраслевых стандартов, многие из которых не обновлялись уже много лет.

«Мы прошли аудит SAS 70», – первое, что обычно говорят провайдеры облачных услуг, рекламируя свои услуги с точки зрения их безопасности.

Этот стандарт не является специализированным для облачных вычислений (и даже не является стандартом информационной безопасности), но он стал основным в отсутствиесоответствующих регламентирующих актов. На деле это просто базовый свод для операционного аудита.

Лучшим, по сравнению с SAS 70, является ISO 27001, описывающий требования в области информационной безопасности. Это достаточно всеобъемлющий стандарт, охватывающий многие аспекты безопасности, которые могут беспокоить клиентов. Для провайдеров и клиентов может быть интересен ISO 27002, описывающий практические правила управления информационной безопасностью.

Эти стандарты можно использовать при построении облака SaaS, но в любом случае необходима разработка специального стандарта для облачных вычислений.

Скрытность провайдеров

Провайдеры облачных услуг утверждают, что у них больше возможностей по обеспечению защиты данных, чем у типичного клиента, и безопасность в SaaS, на самом деле, находится на более высоком уровне, чем принято думать.

Но это трудно проверить, поскольку провайдеры SaaS, как правило, достаточно скрытны в этом отношении.

В частности, многие из них публикуют очень мало информации о своих центрах обработки данных, утверждая, что таким образом можно скомпрометировать безопасность.

По этой причине возможности по анализу безопасности SaaS более ограничены по сравнению с обычными «домашними» системами. Конечно, можно придумать ряд способов преодолеть данные ограничения.

Например, при согласии провайдера клиент может привести своих экспертов и попытаться «взломать» систему для оценки ее безопасности.

Но в любом случае, необходимо четко прорабатывать, согласовывать и прописывать в SLA все гарантии работы сервиса SaaS.

Из любой точки: рискованное удобство

Основное преимущество модели SaaS – доступность бизнес-приложений отовсюду, где есть подключение к сети интернет – также создает новые риски.

Например, если организовать корпоративную электронную почту на базе сервиса Gmail, то любой сотрудник сможет войти в систему из кафе с небезопасного компьютера.

В этом случае данные попадают за пределы периметра безопасности компании-клиента, что не может не беспокоить ИТ-службу.

Предприятия, которые используют или планируют использовать SaaS, должны обратить особое внимание на регулирование подключения к облаку, считают специалисты Digital Design. Это может быть контроль доступа с определенных IP адресов или обязательное подключение через VPN.

Доступ также может регулироваться с помощью специализированных устройств – шлюзов безопасности, которые играют роль посредников между клиентами и облачными услугами.

Еще один вариант – разграничение доступа к бизнес-приложениям таким же образом, как обычно это делается для определенных ресурсов Интернет – чатов или социальных сетей.

Дополнительным риском можно назвать низкую ИТ-квалификацию сотрудников, которым необходим доступ к облачным сервисам, особенно при доступе из-за пределов периметра безопасности клиента. И если для решения этой проблемы для внутренних пользователей возможно использовать веб-фильтрацию и мониторинг, то для внешних необходимо провести обучение.

Территориальная принадлежность данных

В различных странах существует ряд  нормативов, которые требуют, чтобы конфиденциальные данные оставались внутри страны.

И хотя хранение данных в пределах определенной территории, на первый взгляд, не является сложной задачей, провайдеры облачных сервисов часто не могут этого гарантировать.

В системах с высокой степенью виртуализации данные и виртуальные машины могут перемещаться из одной страны в другую для различных целей – балансировки нагрузки, обеспечения отказоустойчивости.

Некоторые крупные игроки на рынке SaaS (такие, как Google, Symantec) могут дать гарантию хранения данных в соответствующей стране. Но это, скорее, исключения, в целом выполнение этих требований встречается пока довольно редко.

Даже если данные остаются в стране, у клиентов нет возможности проверить это. Кроме того, не надо забывать и о мобильности сотрудников компаний.

Если специалист, работающий в Москве, командируется в Нью-Йорк, то лучше (или, как минимум, быстрее), чтобы он получал данные из ЦОД в США. Обеспечить это – задача уже на порядок сложнее.

Микстуры от головной боли

На самом деле, безопасность SaaS – не такая уж и утопия, как может казаться. Конечно, многое требует улучшения, хотя и сегодняшние методы защиты данных могут вполне удовлетворить клиента.

Безопасность SaaS часто рассматривается изолированно.

Но нельзя забывать, что защита данных в рамках собственной инфраструктуры до сих пор остается острой проблемой для многих компаний, а путь к идеальной (желаемой) системе безопасности лежит через значительные затраты времени и денег.

Риски утечки информации, приписываемые SaaS, присущи и многим другим аспектам ИТ. Особенно это заметно по мере роста использования персональных мобильных устройств, используемых работниками. Такие гаджеты – настоящая головная боль для службы безопасности любой организации.

Очевидно, что многие, отрицательно отзывающиеся о безопасности SaaS, забывают, что их собственная инфраструктура также не идеальна. Но такого негативного мнения для многих достаточно, чтобы отложить рассмотрение вопроса об использования SaaS в собственной организации на неопределённый срок.

Конечно, не все услуги «одинаково полезны». Некоторые провайдеры и в самом деле могут неприятно удивить своим качеством. Поэтому выбор поставщика услуг должен всегда основываться на внимательном анализе соответствия возможностей и гарантий бизнес-требованиям компании.

«Правильный» SaaS провайдер обсудит применяемые стратегии безопасности со своими клиентами. Если с качеством предоставления услуг все в порядке, то приложения SaaS обеспечат такой же уровень безопасности, как и решения, работающие в собственной инфраструктуре предприятия.

Источник: http://www.cnews.ru/reviews/free/saas/articles/articles12.shtml

Военный юрист
Добавить комментарий