Облачные переговоры часто начинаются с вопроса о защите данных в облаке. Столь острый интерес к этому вопросу вызван большим количеством мифов об облаках – «облачных страшилок», кочующих из статьи в статью.
Страхи, как известно, возникают от недостатка качественной информации о предмете. Мы намерены это исправить и опровергнуть самые распространенные из облачных заблуждений.
Миф №1. Данные из облака легче похитить
На самом деле серьёзный провайдер облачных услуг в подавляющем большинстве случаев обеспечивает более надёжную защиту для ИТ-инфраструктуры клиента, нежели та, которую клиент может организовать самостоятельно.
Это достигается в результате того, что:
- безопасность виртуальной среды клиента – это один из базовых элементов, на которых держится бизнес облачного провайдера;
- ответственность провайдера перед компанией-клиентом регулируется соглашением об уровне услуг (SLA);
- облачный провайдер вкладывает значительные ресурсы в развитие систем защиты и сохранности данных; сюда можно включить как программные продукты и аппаратные средства, так и оперативный контроль ИТ-специалистов над функционированием облака.
В рамках обеспечения безопасности данных клиента в облаке провайдер решает такие задачи:
- обеспечение безопасного обмена данными между клиентом-компанией и облаком (чаще всего используются протоколы IPSec, PPTP, L2TP);
- защита процесса аутентификации пользователя в облачной среде (достигается благодаря паролированию, использованию сертификатов или токенов);
- разделение данных различных клиентов (каждому клиенту выделяются отдельные виртуальные машины и виртуальные сети).
Для многих малых и средних компаний обеспечение столь высокого уровня защищенности в классической ИТ-инфраструктуре абсолютно невозможно в силу отсутствия необходимых средств и ИТ-специалистов должного уровня. А провайдер тучных сервисов предлагает всё это в стандартном наборе услуг.
Миф №2. Каждый хакер мечтает взломать облако, а каждый вирус проникнуть в него
Интересен тот факт, что наиболее опасным источником угроз для ИТ-систем и данных компании являются вовсе не хакеры или вредоносное ПО, а собственные сотрудники компании. Причем вред может быть как невольным (ошибка, невнимательность, недостаток знаний), так и целенаправленным – действия инсайдеров по продаже информации конкурентам, выносу баз данных, ноу-хау и т. п.
Исследование CSI за 2010-2011 год подтверждает это: с вредоносными действиями инсайдеров столкнулись 25% респондентов, с DoS-атаками – только 17%. А неавторизированный доступ (13% респондентов) инсайдерами набрал больше, чем проникновение третьими лицами (11%).
Эти данные выглядят понятными и логичными, так как сегодня существует множество программных и аппаратных комплексов для обеспечения защиты от вредоносных программ, атак на DNS и т. д. Получается, что специалисты по ИТ-безопасности выработали механизмы борьбы с внешними угрозами, но внутренняя безопасность пока в подавляющем большинстве компаний имеет уязвимости.
Надёжный тучный провайдер не только успешно обеспечивает защиту от различных атак на свои сервера, но и помогает усилить внутреннюю безопасность компании:
- храня важную коммерческую информацию в облаке, сотрудники никогда не потеряют её вместе со своим мобильным устройством (ноутбуком, USB-флешкой, телефоном), соответственно данные не могут быть использованы злоумышленниками;
- облачная ИТ-инфраструктура позволяет с меньшими затратами организовать контроль за движением информации внутри организации (политики доступа, протоколирование загрузки данных, ограничения использования USB-портов и т. д.), в результате минимизируется риск выноса коммерческой информации за пределы офиса.
Таким образом, залог безопасности ИТ-инфраструктуры и данных в облаке – это правильно выбранный провайдер и продуманная внутренняя политика ИТ-безопасности.