Провайдеры должны защитить клиента при переходе в «облако»
Российские компании относятся к переходу на облачные технологии с осторожностью по нескольким причинам. Например, есть ряд психологических аспектов, таких как нежелание перемен.
Но самое большое влияние оказывает финансовый аспект — сейчас переход в «облако» не всегда экономически оправдан. Кроме того, есть определенные риски с точки зрения информационной безопасности. Но их необходимо оговорить в соглашении об уровне сервиса (SLA) и разделить, таким образом, с провайдером облачных сервисов.
При принятии решения о переходе на облачные технологии компания‑заказчик должна удостовериться в том, что сервис‑провайдер предоставляет: комплекс организационно‑технических мер защиты, позволяющих исключить возможность реализации угроз со стороны обслуживающего персонала и со стороны других клиентов, расположенных по «соседству» в «облаке». Кроме того, сервисы безопасности, которые могут быть использованы клиентами, размещающими свои персональные данные в нем.
В целом при переходе на облачные технологии можно столкнуться с несколькими ключевыми сложностями в части информационной безопасности. Прежде всего это кража информации сотрудниками сервис‑провайдера и кросс‑машинное вирусное заражение. Первая проблема решается путем разграничения полномочий и внедрения специальных средств контроля. Для решения второй проблемы необходимо специализированное антивирусное обеспечение, способное отследить и предотвратить распространение заражения от виртуального пространства одного пользователя «облака» ко всем остальным.
Наш проектный опыт показывает, что предусмотреть все перечисленные ключевые моменты для высококвалифицированного провайдера не составляет большой проблемы. При создании системы безопасности для облачных сервисов и облачной инфраструктуры нами были проведены научно‑исследовательские работы, целью которых была оценка рисков информационной безопасности при переходе к Cloud‑модели. Отдельно нашей компанией были исследованы вопросы подготовки организационно‑распорядительной документации, созданы модель угроз и модель нарушителя.
С подобными сложностями сталкивается любая компания как в России, так и за ее пределами. Но за рубежом опыт предоставления сервис‑провайдерами подобных услуг и нахождения компромисса интересов с заказчиком больше. Кроме того, в случае, когда компания очень обеспокоена вопросом сохранности своих данных, можно заказать внешний ИБ‑аудит у третьей компании‑интегратора. Это позволит получить объективную оценку уровня защищенности информационных активов. Но следует учесть, что такая проверка возможна только с согласия провайдера.
Сегодня сервис‑провайдер может выделить обеспечение информационной безопасности в качестве отдельного платного сервиса для своих заказчиков. В нашей практике было несколько проектов, где мы реализовали именно такой сценарий, обеспечив при этом соответствие требованиям законодательства по защите персональных данных самого высокого класса. В проектах мы использовали два ключевых решения: Trend Micro Deep Security — антивирус, межсетевой экран и система предотвращения вторжений для виртуальных машин, а также разработанный компанией «Код безопасности» на платформе VM Ware продукт vGate — средство защиты гостевых машин.
В России облачные технологии, бесспорно, находятся еще в стадии становления. И этим обусловлен ряд сложностей, с которыми приходится сталкиваться как сервис‑провайдерам, так и компаниям‑заказчикам. За рубежом «облачная» практика начала применяться намного раньше и поэтому находится на более высоком уровне развития, соответственно, и услуги оказываются более качественно. Однако отечественные провайдеры внимательно следят за последними мировыми трендами, связанными с безопасностью, что помогает максимально снизить риски клиентов.
Колонка написана специально для «Делового квартала»