Как защитить данные в облаках

Итак, вы решили разместить данные в облаках, прочитали немало статей о том, как это быстро, удобно и экономически выгодно, но вас сдерживают некоторые опасения по поводу безопасности ваших данных. Действительно ли облачный провайдер сможет защитить ваши данные, не станут ли они случайно доступны соседу по облаку или злоумышленнику, который специально нацелен их украсть? Хорошо, если вы достаточно подкованы в области информационной безопасности, знаете все методы защиты и можете удостовериться, что они внедрены у вашего провайдера. Если это не так, то сегодня я попробую в двух словах рассказать, как провести подобную проверку.

С чего начать?

Постарайтесь познакомиться со службой информационной безопасности провайдера.Какие бы шикарные технологии нам ни предлагал рынок, ими еще нужно уметь пользоваться – не только внедрять, но и эффективно эксплуатировать.

Если мы говорим об инструментах информационной безопасности, то ответственной за нее в компании должна быть соответствующая служба. Проверьте, есть ли у вашего партнера служба информационной безопасности, и если есть, то обязательно попросите провести для вас очную встречу с ее специалистами.

О чем спрашивать?

Сферу информационной безопасности можно условно поделить на несколько зон.

1. Физическая безопасность оборудования

Многие ассоциируют облака с чем-то, не имеющим никаких географических координат. На самом деле пока это не совсем так. Сейчас все облачные провайдеры размещают оборудование для оказания услуг в ЦОДах. Таких ЦОДов может быть несколько, они могут принадлежать самому провайдеру или сдаваться по договору аренды. В ЦОДах должны быть предприняты все необходимые меры, препятствующие физическому доступу злоумышленников к оборудованию. Например,

система разграничения и контроля доступа разрешает проход в ЦОД исключительно по предварительной записи с проверкой документов, к стойкам допускается только персонал с постоянными пропусками. Механические замки или замки с биометрией ограничивают доступ к оборудованию в стойках. Камеры системы видеонаблюдения расположены так, чтобы охватить все зоны машинного зала. Копии видеозаписей должны храниться 2-3 недели для возможного расследования инцидента.

2. Безопасность каналов связи и доступа из сети Интернет

У облачного провайдера обычно очень много заказчиков. Все они пользуются его услугами через Интернет. Представьте себе облако в виде многоквартирного дома. В нем огромное количество жильцов, которые должны беспрепятственно проходить к себе домой, но при этом никто из них не хочет, чтобы в подъезд попадали сомнительные личности, которые могут намусорить или разрисовать стены. В облаке аналог двери с домофоном – это пограничное сетевое оборудование безопасности. Функции этого оборудования позволяют пропускать внутрь облака только его «жильцов», контролируя попытки незаконного проникновения. А роль консьержа играет оборудование защиты от DDoS-атак, которые при успешном проведении могут создать такой трафик на пограничное оборудование, что оно не будет справляться со своим функционалом и полностью заблокирует «двери» в облако для всех. Защита от DDoS-атак помогает фильтровать настоящих пользователей от созданных с целью навредить и блокирует запросы последних.

3. Защита внутри облака (защита системы виртуализации)

Еще одна критичная зона с точки зрения информационной безопасности – это система виртуализации. Если продолжить сравнение с многоквартирным домом, система виртуализации – это подъезд с холлом на каждом этаже, из которого пользователи-жильцы попадают в свои квартиры-виртуальные серверы. Есть специальные средства, ограничивающие доступ из одной сети внутри облака в другую, доступ одного заказчика – к соседним. Этот уровень защиты называется защитой среды виртуализации, и он должен быть реализован у облачного провайдера, которого вы выбрали.

4. Безопасность самих виртуальных машин

Все предыдущие меры безопасности прекрасно справляются с возложенными на них функциями только в том случае, если вы сами не проявляете халатность, то есть если вы позаботились о надежности входной двери в свою квартиру и не приглашаете к себе подозрительных гостей. При покупке сервиса SaaS или PaaS у вашего партнера необходимо уточнить,

какие средства защиты информации используются на уровне гостевой операционной системы – антивирус, средство контроля доступа, пароль администратора. При заказе обычной инфраструктуры не забывайте, что защита самой виртуальной машины находится в вашей зоне ответственности.

5. Контроль действий администраторов

Есть такие системы – системы контроля привилегированных пользователей, – которые позволяют сотрудникам службы информационной безопасности контролировать действия системных администраторов и ограничивать их в каких-то опрометчивых действиях с точки зрения информационной безопасности. Спросите у вашего партнера, использует ли он такие системы, и если нет, то как организовано выполнение функций подобных систем.

Верить ли на слово?

Как говорится, доверяй, но проверяй. Вот и здесь я советую проверить всё, что вам расскажут. Попросите показать сертификаты безопасности на оборудование и программное обеспечение, о котором вам рассказывали. Проверьте наличие аттестатов соответствия инфраструктуры требованиям безопасности. Внимательно изучите процесс отработки инцидентов информационной безопасности и регламент парольной политики.

В заключение отмечу, что обеспечение информационной безопасности, увы, не дешевое удовольствие. Если хотите со стопроцентной гарантией защитить данные от кражи, то отключите компьютер от сети и держите его в сейфе. Здесь каждый совершает свой собственный выбор, исходя из окружающей его действительности – жить ли в лесной избушке на свежем воздухе, в военном городке закрытого типа, не отмеченном на карте, или в многоквартирном доме с домофоном, консьержем и шлагбаумом при въезде во двор.

Автор: Олег Коновалов – руководитель отдела облачных сервисов ООО "ОНЛАНТА"
Источник: http://www.it-weekly.ru/it-news/security/137376.html