Безопасность в публичном облаке
Долгое время считалось, что информационная безопасность в публичном облаке намного ниже, чем в частном. Однако за последние 2-3 года ситуация кардинально поменялась – по статистике, доля компаний, которые видят риски в использовании публичных облачных сервисов, снизилась более чем, на 30%.
Повышение доверия к public cloud стало результатом значительной доработки систем безопасности. Если на первых этапах развития облачного сервиса разработчики стремились реализовать требуемый функционал, то на новой стадии удалось решить ряд проблем с надежностью и безопасностью.
Уязвимые места
Главными проблемами в публичном облаке являются:
-
несанкционированный доступ к сервису (по статистике, составляет около 42% от всех проблем безопасности);
-
небезопасность интерфейса (еще одна распространенная уязвимость, которая встречается почти у 40% существующих публичных облачных хранилищ);
-
некорректная настройка платформы и повышенный риск хищения аккаунтов (встречаются реже, однако также представляют угрозу для безопасности данных).
Публичные облачные сервисы пытаются решить подобные проблемы, используя максимально современные решения.
Как обеспечивается защита данных
Сегодня провайдеры публичных облаков используют ЦОДы с современным оборудованием и софтом. Это позволяет эффективно устранить проблемы, связанные с рядом уязвимостей. Также при помощи ряда мер удалось решить специфические проблемы, которые возникали в облачных сервисах:
-
Для подтверждения заявленной безопасности многие провайдеры стали проводить внешний аудит.
-
Для защиты применяется функция шифрования данных, то есть компания может отправлять любую информацию в зашифрованном виде.
-
Ресурсы разных пользователей строго разделяются и изолируются друг от друга, что гарантирует отсутствие утечек секретных данных.
-
Для поддержания работы публичного облака используются специальные технологии и процедуры, исключающие человеческий фактор.
-
Безопасность и бесперебойность оборудования поддерживается за счет специального тестирования всей системы.
-
Большинство провайдеров сегодня обеспечивают законодательные требования о нахождении данных на территории России.
Защита канала связи
Теперь рассмотрим отдельные аспекты поддержания безопасности в облаке. Для начала разберемся в особенностях защиты канала связи.
Под термином «канал связи» понимается система технических средств и непосредственная среда, обеспечивающая одностороннюю передачу информации. В последние годы стандартным способом для безопасного соединения с серверами через интернет стала виртуальная частная сеть (то есть VPN – Virtual Private Network). Суть такой передачи данных заключается в использовании обязательного шифрования. В результате информация становится недоступной для посторонних.
Шифрование может происходить двумя способами: аппаратно и программно. Сегодня наибольшее распространение получили именно программные продукты . Часть программ для поддержания работы VPN распространяется свободно, другая – является коммерческой и платной. Обязательно для таких продуктов наличие сертификата, так как во всех программах присутствует криптография.
Защита операционной системы
Безопасность хранения данных в облаке требует определенной защиты операционной системы виртуальной машины. Дело в том, что данные легко можно получить через ОС, поэтому необходимы дополнительные меры для сохранности информации. Используется точно такой же принцип защиты, как и для ОС аппаратного сервера.
Сохранность данных реализуется при помощи учетных записей, которыми можно управлять. Строго контролируется отсутствие посторонних учетных записей, также проверяются права каждого зарегистрированного в системе пользователя. Обязательно используется аутентифицированный и авторизованный доступ к операционной системе и обрабатываемым данным.
Поддержание защиты виртуальной среды
Для поддержания защищенности персональных данных используются самые разнообразные меры. Ключевая особенность заключается в том, что все используемые средства отвечают приказу Федеральной службы по техническому и экспортному контролю № 21 от 18.02.2013.
К основным решениям для защиты среды виртуализации можно отнести:
-
Разделение существующей инфраструктуры на независимые сегменты.
-
Регистрация всех событий безопасности для отслеживания уязвимостей.
-
Идентификация или аутентификация субъектов.
-
Создание копий файлов, технических средств и установленных программ для поддержания работы ИТ-инфраструктуры.
-
Поддержание целостности виртуальной инфраструктуры.
-
Использование антивирусной защиты.
-
Управление правами доступа субъектов к информации в cloud-сервисе.
-
Отслеживание перемещений виртуальных компьютеров и обрабатываемых данных.
Все перечисленные меры принимает именно провайдер, что позволяет обеспечить безопасность среды для всех пользователей.
Защита от потери данных
Все привыкли, что цифровые данные легко копировать, однако для этого нужен оригинал. При утрате оригинала все данные, хранящиеся в нем, также утрачиваются навсегда. И одна из главных проблем публичных облачных хранилищ заключалась как раз в защите всей информации от потери.
Сегодня проблема решается двумя способами:
-
Резервное копирование. Для того, чтобы избежать потери информации, регулярно создается резервная копия файлов. Созданные копии размещаются на другом сервере, что обеспечивает их безопасность и позволяет использовать для восстановления утраченных данных.
-
Использование надежных носителей. Дополнительной мерой является совместное применение нескольких носителей для хранения БД. Чаще всего такая мера защита используется непосредственно пользователем публичного облака, при этом она не отменяет резервного копирования.
Подтверждение безопасности
Провайдер должен по первому требованию предоставить подтверждение того, что облачная среда является безопасной для размещения данных. Однако обязательной аттестации для подобных сервисов не существует. В этом случае провайдеры чаще всего используют следующие решения проблемы:
-
Аттестация системы собственными силами и предоставление нужных сведений в форме декларации.
-
Добровольная аттестация фирмы, осуществляющей услуги в области защиты информации, и получение сертификата.
Такие меры хоть и являются дополнительными, однако сегодня используются практически всеми провайдерами. Это позволяет подтвердить безопасность публичного облака для пользователей и привлечь к сотрудничеству ИТ-компании.
Лицензии и сертификаты облачного провайдера
Если безопасность в публичном облаке поддерживается за счет технических решений, требующих сертификации, то и самому оператору потребуется получение этих сертификатов. Обязательной сертификации, в соответствии с нашими законами, требуют только средства защиты, использующие криптографию.
Специальная лицензия на услуги по защите информации облачному сервису не потребуется. Это связано с тем, что провайдер использует защитные меры исключительно для поддержания работы своего сервиса.
Ответственность за сохранность БД
Если ИТ-инфраструктура фирмы даже частично располагается в облачном хранилище, то возникает проблема разграничения ответственности.
Должная безопасность внутри ОС должна обеспечиваться владельцем виртуального сервера. Защита сведений в пространстве между операционной системой и границами cloud-сервиса производится силами провайдера. При этом провайдер не занимается обработкой персональных сведений, так как его сферой ответственности является только область виртуализации.
В целом использование публичного облачного сервиса является достаточно надежным с точки зрения защиты данных. Конечно, некоторые проблемы безопасности требуют постоянного контроля, однако в целом публичные облака не уступают частным. Именно по этой причине наш дата-центр Xelent рекомендует не отказываться от использования облачных сервисов для ИТ-инфраструктуры компании. Такое решение позволяет сократить затраты на оборудование и обеспечивает простое взаимодействие между различными пользователями.
