Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Информационная безопасность Безопасность технологии In-The-Cloud: достаточно ли она надежна для вашего бизнеса? RSS

Безопасность технологии In-The-Cloud: достаточно ли она надежна для вашего бизнеса?

Текущий рейтинг: 4.83 (проголосовало 6)
 Посетителей: 3173 | Просмотров: 5625 (сегодня 0)  Шрифт: - +

Сейчас куда ни глянь, везде присутствует «Облако». Microsoft, IBM, Amazon, Google, Adobe – все они стремятся полностью реализовать преимущества «облачных» вычислений, которые привлекли бы бизнес. Но перед тем как перенести все приложения и данные «куда-то там», неплохо бы поинтересоваться различными аспектами, касающимися безопасности.

Являются ли проблемы с безопасностью единственными препятствиями, мешающими перейти на «облачные» вычисления?

На конференции RSA в апреле 2009 в Сан-Франциско безопасность «облака» (и ее недостаточность) была одной из основных тем обсуждений. Генеральный директор CISCO Джон Чемберс назвал его «ночным кошмаром в плане безопасности». Подробнее ознакомиться можно здесь. При всем при этом компании Microsoft, IBM, Google и Amazon проталкивают свои «облачные» решения, и получаемая экономия (особенно что касается невероятно низкого порога вхождения) выглядит очень привлекательно для бизнеса, борющегося за снижение затрат на IT в условиях жесткой экономии.

Читательские отзывы, полученные мной после статей по «облачным» вычислениям, написанных для WXPnews и VistaNews, показывают, что безопасность волнует многих, и что она вполне может быть самым серьезным ограничением, мешающим распространению этой технологии. Даже признавая преимущества аутсорсинга своей IT-инфраструктуры полностью или частично провайдерам служб «облачных» вычислений, многие технические специалисты серьезно обеспокоены потерей контроля, происходящей при передаче критических приложений и важных данных «непонятно куда» вместо содержания их на собственных серверах.

Компании, подпадающие под контроль регулирующих органов за соблюдением нормативно-правовой базы, должны быть особенно осторожны при передаче данных «облаку». В статье от 8 апреля 2009 для cloudsecurity.org Крег Болдинг (Craig Balding) перечисляет многочисленные проблемы, касающиеся недавнего исследования служб Amazon Web Services (AWS) в качестве решения, совместимого с HIPAA.

Один из аргументов, приводимых специалистами, осторожно относящимися к «облакам»: это старая идея с новым именем. Они вспоминают кутерьму вокруг провайдеров Application Service Providers (ASP) в конце 1990-х и начале 2000-х. Идея не сработала, ушла и через несколько лет возникла снова под названием SaaS, тоже не слишком удачно. На этот раз выбрано не только нужное имя, но еще и нужное время; всемирный спад экономики заставил компании выискивать способы сокращения затрат. И что в таком случае может быть лучше уменьшения затрат на персонал путем сокращения IT-отделов и срезания расходов на дорогую аппаратуру и серверное ПО?

Но при этом есть много причин, по которым компании пока еще не доверяют «облачным» вычислениям. Одна из таких причин – «Облако» охватывает широкий спектр технологий: хранение через Web, онлайновые приложения, виртуализация и так далее. «Облачные» службы обычно делятся на три категории: Software as a Service (SaaS) (Приложения как службы), Platform as a Service (PaaS)(Платформа как служба) и Infrastructure as a Service (IaaS)(Инфраструктура как служба). Вне зависимости от категории, у всех «облачных» служб есть общая черта: зависимость от Интернета или, в случае внутренних или частных «облаков», от LAN или корпоративной WAN. Без сети «облако» не возможно. Это означает, что, наряду с проблемами безопасности, встает еще и проблема надежности.

Проблемы, касающиеся безопасности «облачных» вычислений

Прозрачность «облака» - то, что привлекает компании, и одновременно служит источником их недоверия. Тут важно то, что компании могут сфокусироваться на собственном бизнесе, не обращая внимания на проблемы с IT. Задача в том, чтобы получить результат без необходимости знать, как на самом деле все это работает. Но если вы не знаете, как оно работает, как вы можете быть уверены в безопасности?

Самые большие опасения у большинства компаний вызывает именно недостаток контроля. Вы даже можете не узнать, как физически хранятся ваши данные, и не узнать, как обеспечивается безопасность там, где обрабатываются данные. Шифруется ли хранимая информация? Если да, то какой метод шифрования используется? Передаются ли данные по зашифрованному соединению? Как происходит управление ключами шифрования? И кто, конкретно, имеет доступ к вашей информации?

Традиционная модель безопасности предприятия напрямую зависит от ограждения сети брандмауэрами и шлюзами по периметру сети. У «облака» никакого периметра нет, и соглашения об использовании некоторых провайдеров (к примеру, для служб Amazon EC2) напрямую запрещают сканирование на наличие уязвимостей. Более подробную информацию об уязвимостях в «облаке» Amazon’а можно найти в статье Джорджа Риза (George Reese) Key Security Issues for the Amazon Cloud.

Согласно исследованиям Gartner Group, волнующие компании проблемы включают в себя не только размещение данных и используемые на разных уровнях типы шифрования, но и протокол провайдера (ответные меры и восстановление), предпринимаемый при нарушении безопасности, ожидаемые меры по поддержке, а также насколько хорошо обеспечивается безопасность «облака» с точки зрения нормативно-правовой базы.

Убедиться в безопасности информации в ваших собственных системах и сетях - уже довольно сложно. Защитники "облака" утверждают, что передача безопасности ваших данных в руки экспертов (крупных имен типа IBM, Microsoft, Google и Amazon) даст лучшую защиту, чем работа с нанятыми или обученными собственными экспертами. Однако крупные имена - это еще и крупные цели. Да и каждый, кто хотя-либо раз пробовал разговаривать с настоящими живыми людьми в бюрократической системе, с людьми, которых ваши проблемы и принимаемые по ним решения не слишком волнуют, понимает, что размер далеко не всегда означает лучшее качество.

Еще одна проблема заключается в том, что большое «облако» заключает в себе привлекательную цель для хакеров и прочих злоумышленников. Большинство экспертов считают, что важной причиной более высокой частоты атак на систему Windows по сравнению с Linux или Mac OS является более широкая распространенность этой операционной системы: хакер, охотящийся на Windows, сможет поразить больше систем. Аналогично, хакер, атакующий большое «облако» системы провайдера, сможет заполучить больший объем данных или проследить за большим числом операций организации.

Недостаток стандартов вызывает сложности

Одной из крупнейших проблем является то, что, хотя каждый провайдер принимает серьезные меры по защите данных, хранимых на его серверах, все еще не существует общемировых признанных стандартов в области безопасности «облака». Некоторые группы (к примеру, группа специалистов на форуме Jericho Forum) разрабатывают основные принципы для дальнейшего развития стандартов, а также работают над рекомендациями компаниям по вопросу задач, которые они могут спокойно передоверить «облаку». Эти рекомендации основываются на стандартизованной и легкой в применении модели классификации данных, соответствующих стандартах доверительных уровней управления и стандартизованных метаданных, что позволяет указывать уровень безопасности для каждого элемента данных. Об этом вы можете прочитать подробнее в работе под названием Cloud Cube Model: Selecting Cloud Formations for Secure Collaboration, которую можно загрузить в формате PDF.

Национальный Институт Стандартов и Технологий (NIST) и Международная Организация по Стандартизации (ISO) также работают над стандартами защиты «облачных» данных. Однако существование множества стандартов само по себе может все усложнить, хотя, конечно, все-таки приятнее знать, что твой провайдер придерживается хоть каких-нибудь стандартов.

Каково же решение?

«Облачные» вычисления все еще находятся в зачаточном состоянии, но преимущество заключается в том, что (не как в случае с разработкой компьютерных операционных систем и приложений) с проблемами безопасности считаются, а механизмы защиты включаются с самого начала. В марте некоторые компании, включая eBay, Intuit, DuPont и ING сформировали группу под названием Cloud Security Alliance (Альянс по «облачной» безопасности) с целью распространения лучших практик защиты «облачной» среды. Подробности об этой организации можно найти здесь. Их официальный доклад, Security Guidance for Critical Areas of Focus in Cloud Computing (Руководство по безопасности для критических областей с точки зрения «облачных» вычислений), дает хороший обзор моделей «облачных» вычислений и их характеристик, а также рассматривает «облачные» службы с точки зрения управления рисками, юридических обстоятельств, открытий в области электроники, аудита соответствия, преемственности бизнеса, восстановления после аварий, безопасности приложений, управления ключами шифрования, управления доступом, хранения, виртуализации и т.д..

В то же время, группа технических компаний, включая IBM, AT&T, Cisco, Sun, EMC и AMD, подписала документ, озаглавленный Open Cloud Manifesto (Манифест открытого «облака»), поддерживающий сохранение служб «облачных» вычислений настолько открытыми, насколько это возможно. Это будет означать более глубокую взаимосвязанность между провайдерами. В этом документе безопасности посвящен отдельный раздел, в котором указывается на дискомфорт, испытываемый различными организациями по поводу хранения их данных и приложений в системах, которые они не контролируют, и утверждается, в частности, что «последовательность в области технологий аутентификации, управления идентификацией, соответствия и доступа становится все более важной». Документ целиком можно прочитать здесь.

По мере развития, адаптации и все большего соответствия ожиданиям потребителей стандартов безопасности, будут решаться многие проблемы, связанные с «облачными» вычислениями. Тем временем, организациям не стоит обязательно откладывать использование «облачных» служб, но они должны внимательно проанализировать свои стратегии перехода на «облачность» и ничего не принимать на веру. Задавайте вопросы провайдерам и будьте благоразумны при выборе делегируемых «облаку» задач. Вероятно, самым важным выводом из нашего обсуждения (и многих других обсуждений данной темы) является то, что в области «облачных» вычислений не нужно принимать решения типа «все или ничего». Замечательно, если можно использовать «облачные» вычисления для некоторых задач, но не для всех. Умные «облачные» провайдеры это поймут и предложат некий список своих услуг, в котором будет указано, какие услуги подходят для менее чувствительных к вопросам безопасности приложений и данных, а какие услуги можно подключить при желании позднее.

Автор: Деб Шиндер  •  Иcточник: winsecurity.ru  •  Опубликована: 25.05.2009
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.