Как обеспечить безопасность данных в облаке

В Казахстане растет спрос на облака. По словам заместителя председателя правления по развитию стратегических проектов АО «Транстелеком» Газиза Доненбая, каждая третья крупная компания страны размещает в облаках свою инфраструктуру и использует облачные сервисы. Но, как отмечает эксперт, наиболее востребованными остаются такие сервисы, как аренда инфраструктуры (IaaS) и программного обеспечения (SaaS).
директор по развитию Axellect

В Казахстане растет спрос на облака. По словам заместителя председателя правления по развитию стратегических проектов АО «Транстелеком» Газиза Доненбая, каждая третья крупная компания страны размещает в облаках свою инфраструктуру и использует облачные сервисы. Но, как отмечает эксперт, наиболее востребованными остаются такие сервисы, как аренда инфраструктуры (IaaS) и программного обеспечения (SaaS).

Предприятия республики с явным недоверием относятся к платформенным сервисам – тем, которые позволяют не только оптимизировать затраты на ИТ, но и революционировать работу с данными. Бизнес все еще относится к миграции в облака с опасением. Причина страхов – безопасность данных, которые сегодня для множества предприятий стали главным активом.

Кто отвечает за безопасность в облаке

Облачные провайдеры, которые постоянно выводят на рынок новые услуги, в разговорах об обеспечении безопасности ограничиваются рассказом о надежности своих дата-центров. И это не случайно. Дело в том, что обеспечение защиты данных и информационных систем, размещенных в public cloud, ответственны сами компании. И именно на их плечи ложится создание «оборонительных рубежей» при миграции в облако. Это серьезная проблема для любого предприятия. Но ее решение может стать дополнительным, и в некоторых случаях даже главным драйвером развития компании на новой, облачной платформе.

Менее 40% компаний считают, что их инвестиции в развитие облаков полностью оправдались. И дело здесь как в сложности облачных сред (отсутствие компетенций и персонала, применение гибридных и мультиоблачных решений, не всегда понятное распределение ответственности между провайдером и заказчиком), так и в новом подходе к обеспечению безопасности. Дело в том, что традиционные методы, подразумевающее строительство и поддержание в актуальном состоянии ИБ-систем, в облаках не работает. Не случайно 65% ИТ-директоров во всем мире называют угрозу данным главным риском перехода в облако.

Это объясняется высокой скоростью изменений в ИТ-ландшафте, которые происходят в облаке. Гибкость облака и практически мгновенная масштабируемость дают возможность радикального сокращения сроков запуска новых систем и сервисов, для которых требуются новые подходы к обеспечению безопасности. 

Два принципа облачной безопасности

Для того, чтобы обеспечить безопасность облачных систем, необходимо придерживаться двух основополагающих принципов.
 
Первый – прозрачное управление облачными средами. Стремиться к нему необходимо ради того, чтобы постоянно контролировать работу систем, вовремя устранять ошибки и выявлять нештатные ситуации. Особенно актуально это в тех случаях, когда компания использует мультиоблачный подход, разворачивая часть сервисов в публичных облаках и оставляя свои ключевые системы в частном облаке. 

Второй принцип – упреждение. Простая фиксация угроз и контроль за системой становятся недостаточными. Разработка политик и процедур безопасности, организация управления средствами ИБ, четкое определение порядка реагирования на угрозы, сотрудничество с провайдерами в части использования защитных систем – важнейшие задачи, которые должны решаться постоянно, а не единовременно.

Что необходимо сделать при миграции в облако

Достаточно просты и первоочередные действия, которые необходимо предпринять предприятию перед тем, как переносить свои системы в облако. Их можно осуществить пошагово, по мере миграции.

Уже на этапе развертывания облачной платформы ИТ-службы компании должны позаботиться о том, чтобы предусмотреть размещение на облачной платформе необходимых средств безопасности и определить политики доступа к сервисам. При этом стоит предварительно ознакомиться с теми решениями и подходами, которые предлагает сам провайдер. Нет, речь не идет о простом выборе готового решения. Предложение стоит внимательно проанализировать и усилить его дополнительными сервисами, арендуемыми у провайдера или подготовленными собственными силами.

И, тем не менее, в качестве основы стоит развернуть систему безопасности, предложенную поставщиком PaaS. Любой шаблон платформы, предлагаемый провайдером, уже содержит необходимый минимум мер безопасности, при помощи которых можно организовать сетевой доступ к системам и взаимодействие с коммуникациями ЦОД.

Дорожная карта

Облачные технологии переживают этап ускоренного развития. Нормой становится не просто переход в облако или виртуализация используемых мощностей, а развитию гибридных и мультиоблачных сред, когда бизнес использует для разного типа сервисов услуги нескольких провайдеров. Все это требует особенного внимания к разработке стратегии перехода в облака, которая позволит не только воспользоваться новыми преимуществами, но и обеспечить безопасность систем и данных.

При разработке стратегии перехода в облако бизнесу предстоит ответить на несколько важнейших вопросов, которые и определят пути дальнейшего технологического развития.

Первый из них: выбор между арендой готового облачного решения у провайдера и разработкой собственного. Казалось бы, с точки зрения экономики выбор очевиден: арендовать облачные мощности гораздо дешевле и проще, чем строить private cloud. На самом деле вариант с арендой не так прост. Не только поставщик услуг должен соответствовать потребностям заказчика. Сама компания в не меньшей степени должна быть готова использовать услуги провайдера, чтобы добиться максимальной эффективности и оправдать свои инвестиции. 

Второй вопрос – выбор модели облачных услуг или провайдера в соответствии с потребностями. И важнейшим аспектом, который необходимо учитывать, отвечая на этот вопрос, является способность поставщика услуг обеспечить необходимый уровень безопасности систем. При этом речь идет не только о надежности дата-центра, используемого провайдером, но и о функциональности его систем безопасности. 

Ответ на третий вопрос потребует серьезного анализа собственных компетенций компании.  А насколько эффективно сам бизнес защищает собственные данные? Эффективно ли реагирует он на угрозы целостности данных? И, в конце концов, дает ли хранение ценнейших баз данных в собственном ЦОД гарантию их неприкосновенности и конфиденциальности? Строгий аудит собственных систем ИБ и компетенций продемонстрирует реальный уровень безопасности. И чаще всего он будет значительно уступать тому, который может предложить облачный провайдер.

Четвертый вопрос подразумевает понимание перспектив развития компании. Важнейшее преимущество облака – простая масштабируемость систем, которая позволит содержать мощности, необходимые бизнесу «здесь и сейчас». Но насколько готовы к масштабированию системы безопасности, используемые компанией. Надежно ли будут защищены те системы, которые будут вводиться в строй по мере развития компании? И не станут ли они «отрытой дверью» для киберпреступников?

Многие из этих вопросов можно назвать риторическими. Действительно, даже сама их постановка показывает, что защита данных собственными силами для подавляющего большинства компаний – сложнейшая задача. Ее решение требует не только необходимых мощностей, но и компетенций. И в той, и в другой области облачные провайдеры имеют неоспоримые преимущества перед компаниями. 

И, тем не менее, даже самые строгие сервисные соглашения и самые серьезные компетенции провайдера не могут служить полной гарантией безопасности в облаке. Ее обеспечение всегда – общая задача поставщика услуг и заказчика. И организовать безопасность, чтобы сохранить самый ценный актив цифровой эпохи необходимо в момент переезда в облако.