Какие опасения вызывает у заказчиков использование облачных сервисов?

Следует разделять понятия облака и просто ЦОД, пользователей как частных лиц и корпоративных заказчиков. С точки зрения использования облачных сервисов корпоративными пользователями и у облака, и у on premise есть свои плюсы и свои минусы, важно адекватно оценить их и использовать облако «правильно». Оптимальным вариантом являются гибридные решения: свой ЦОД и облако, каждое со своими преимуществами.

Плюсы использования облаков:

• снижение нагрузки на специалистов компании, которые могут сосредоточиться на управлении виртуальной инфраструктурой;

• не надо думать о железе и его поддержке – переход в виртуальную инфраструктуру снимает эти проблемы с заказчика;

• ускорение развертывания сред: виртуализация делает эти процессы более быстрыми и гибкими;

• удобство использования: готовые сервисы не требуют настройки и доступ к ним можно получит или прекратить в течение нескольких минут.

Почему же не все заказчики переходят на облачные сервисы?

• Опасения за безопасность. К примеру, к хранящимся в облаке данным имеют доступ посторонние лица и сервисы;

• Наличие уже имеющегося оборудования, которое работает и к которому привыкли специалисты. Переход сложен, инвестиции в оборудование уже сделаны и должны быть покрыты.

• Стоимость. Полноценное облако – это достаточно дорого. Затраты меняют структуру, но они не становятся меньше.

• Сложность миграции имеющейся инфраструктуры. Миграция в облако относительно несложна, только если гипервизор совпадает. Как правило, требуются серьезные изменения в архитектуре взаимодействия компонентов и сети.

• В случае блокировки провайдера услуг возможна потеря доступа к почте и данным (включая прерывание бизнес-процессов)

Полагаться полностью на одного поставщика услуг, включая облачного провайдера – это всегда повышенный риск, в том числе риск информационной безопасности. Принимая этот риск, компания должны быть готова к сценарию, когда он реализуется. Всегда должны быть резервные планы, резервные копии, резервные сервисы. Их целесообразность рассчитывается исходя из времени возможного простоя и связанных с ним потерь.

Следует разделять провайдеров облачных сервисом по целевым сегментам потребителей и типу предоставляемых услуг. К примеру, SberCloud, МТС Cloud, Ростелеком – это облачные сервисы, нацеленные на крупных заказчиков. Они предоставляют профессиональную инфраструктуру, вроде VMware и VDI. Google, Yandex нацелены на малый и средний бизнес и предоставляют в основном услуги SaaS.

С точки зрения безопасности облаков, надо понимать, что есть безопасность самого ЦОД, а есть безопасность данных в нем. По договору пользования сервисом провайдер обычно имеет к ним доступ и как-то их обрабатывает, например, занимаясь лингвистическим анализом и обучением ИИ-моделей. Например, в политике конфиденциальности Microsoft указано, что «…мы будем получать, сохранять, передавать, раскрывать или хранить ваши персональные данные, включая личное содержимое, например, содержимом электронной почты на странице outlook.com или файлы, которые находятся в личных папках на службе Onedrive …».

В случае IaaS ситуация намного лучше: утечка возможна, только если специалист, занимающийся обслуживанием и имеющий доступ, намеренно в нарушение всех инструкций получит доступ к образу виртуальной машины и будет его исследовать. Утечки для компаний, специализирующихся на таких сервисах – непозволительный репутационный риск.

Google и Yandex (и прочие SaaS – сервисы), как правило, продают контекстную рекламу, и для ее настройки они анализируют данные клиентов: документы, почту. Использование SaaS в облаке – это вопрос доверия. Если мы компании доверяем, то мы отдаем ей свои данные и готовы к тому что она будет их как-то использовать.

Предпочтительным вариантом являются гибридные решения: использование одновременно своего ЦОД и облачных сервисов с тщательным планированием, какие функции и преимущества каждого из вариантов необходимо задействовать, исходя из оцениваемого риска. Иногда компании опаснее уничтожение данных, чем их утечка. Все зависит от модели угроз конкретной компании, информационных потоков и оцениваемых рисков.

Некоторую проблему представляет явление, связанное с цифровизацией всех процессов: из-за удобства облачных сервисов имеется тенденция недооценки риска, вызванного использованием облачных сервисов. Предоставляя услуги, особенно бесплатные, провайдер что-то берет взамен, и часто это именно данные пользователей.

Есть 3 основных направления в обеспечении безопасности облачного сервиса: защита инфраструктуры, защита конечного пользователя, защита данных. Что можно сделать со стороны провайдера, чтобы защитить данные? В первую очередь - обеспечить шифрование точка-точка для защиты передачи данных от заказчика до своего сервиса и обеспечить шифрование самих данных. Здесь есть тоже нюансы: при предоставлении неисключительной лицензии пользователь оказывает услугу «сам себе» и может использовать любые алгоритмы и типы шифрования, но если предоставляется сервис, то к предоставлению услуги шифрования применяются дополнительные требования, включая наличие лицензии у поставщика услуг и применение только определенных алгоритмов.

Как нивелировать риски по вине самих пользователей?

Вопрос ответственности очень тонкий, и у облачных провайдеров эти пункты закреплены в договорах. Для облачных провайдеров это репутационные риски, и они эти вопросы прорабатывают очень осторожно: качество паролей, сроки их действия, безопасность клиентских учетных данных – ответственность за это они стараются с себя максимально снять.

Как правило, обеспечение безопасности на прикладном уровне является ответственностью пользователя (заказчика), на системном уровне и гипервизоре это находится в области полномочий провайдера.

Со стороны заказчика вопросы безопасности конечного пользователя – это вопросы классической ИБ: контроль доступа, разделение полномочий, парольная политика и прочие меры информационной безопасности, применяемые в своей инфраструктуре.

Резюмируя сказанное, можно отметить те факторы, которые позволят «не переживать за безопасность облаков»:

• Крупным провайдерам нет смысла «ковыряться» в данных конечных пользователей, они сами следят за безопасностью своей инфраструктуры и очень трепетно относятся к тому, чтобы с их стороны никаких утечек данных не произошло.

• Многие провайдеры предоставляют под ключ и anti-DDoS и WAF сервисы, этим можно и нужно пользоваться для защиты своей гибридной инфраструктуры и данных.

• Защищенное решение в облаке можно построить, если качественно подобрать архитектуру и рассчитать (и принять) связанные с этим риски. Обязательными условиями является шифрование данных, наличие резервных копий на других площадках, наличие альтернативных поставщиков услуг на случай отказа.

• Использование облака не отменяет необходимости обеспечивать безопасность конечных пользователей. Провайдер за это как правило не отвечает.

• Шифрование канала передачи данных от заказчика до провайдера является обязательной мерой безопасности.