8 шагов к безопасным облачным системам

Безопасность должна быть частью вашей облачной системы, а не ее надстройкой. Итак, что же является ключом к успешному и безопасному использованию облачных технологий? Фокусировка на задачах вашего бизнеса, а не на IТ-экспериментах.

Эксперты скажут, что фирма человека, который задается вопросом «как запустить безопасную облачную систему», опережает многие другие, просто благодаря наличию такого вопроса. Пришла пора рассматривать вопросы безопасности в самом начале развертывания облачной системы — еще на этапе ее планирования.

Используя облачную структуру, вы делите ее с большим числом людей, при этом у вас в руках очень немного инструментов, делающих возможность контролировать то, как люди будут использовать этот общественный ресурс. Существуют методы, позволяющие сделать систему безопасной изначально, вместо того чтобы полагаться на аттестаты безопасности, которые предлагает поставщик услуг облачных вычислений.

Обычно, даже в наши дни, о безопасности думают в самую последнюю очередь, как о не очень важном элементе, прикрепленном к уже готовой системе. Это причина, по которой на рынке появилось так много новых поставщиков систем безопасности, предлагающих предприятиям помощь в вопросах, связанных с перемещением конфиденциальной информации в облачные системы. Такие фирмы обычно предлагают использовать методы шифрования данных и управления идентификацией.

Облачные системы связаны как с рисками, характерными исключительно для таких систем, так и с инструментами, которые могут быть применены для управления ими. Используя облачную структуру, вы делите ее с большим числом людей, при этом у вас в руках очень немного инструментов, делающих возможность контролировать то, как люди будут использовать этот общественный ресурс. Существуют методы, позволяющие сделать систему безопасной изначально, вместо того чтобы полагаться на аттестаты безопасности, которые предлагает поставщик услуг облачных вычислений.

Шаг 1. Сегментируйте ваши данные, исходя из их важности

Лаборатория реактивного движения НАСА (NASA’S Jet Propulsion) Lab недавно начала собственные исследования облачных вычислений. Исследования проводились в сфере навигации среди данных с различным уровнем доступа и защищенности. Их команда отобразила исследования облачных систем в виде диаграммы, на которой нанесены различные наборы данных в соответствии с требованиями безопасности для каждого среза. Затем команда ЛРД начинала работать с информацией в соответствии с диаграммой — от общедоступных данных до секретных. Для примера, наименее защищенная информация может перейти в менее дорогой для поставщика облачных услуг сектор, менее безопасный для хранения. В рассматриваемом нами случае команда предприняла попытку изначально ограничить сервер облачной технологии в разделении информации на общедоступную и секретную — вся информация была помечена как секретная, чтобы было удобнее оценить риски безопасности на последующих этапах изучения системы.

Шаг 2. Определите, как много информации вы хотите защищать посредством аутсорсинга

Если вы изначально определите, какую часть данных вы хотите оставить на ваших ресурсах хранения и какая их часть уйдет в облачную систему, процесс организации сохранности данных будет организован значительно лучше, чем у других. Разумеется, в этом случае часть ответственности за уровень безопасности данных ложится на ваших сотрудников, которые непосредственно работают с вашими ресурсами.

Если в вашей фирме есть продвинутая команда по обеспечению безопасности — отлично, если нет — легко отдать эту задачу на аутсорсинг. Это деньги, которые действительно будут потрачены не зря. Оптимальным будет объединить эти два метода, включить в этот процесс сторонний аудит и ревизию кода.

В то время как многие угрозы остаются теми же, вне зависимости от того, где размещена информация организации, есть все основания полагать, что, отдавая конфиденциальную информацию на аутсорсинг в широко используемую и весьма абстрактную с точки зрения рядового пользователя инфраструктуру, мы повышаем наше волнение за ее сохранность. В подобных регулируемых средах, если вы не можете быть уверены, что доступ к вашей информации имеют только уполномоченные лица, вас определенно будут поджидать неприятности.

А в то время как поставщики облачных сервисов начинают осознавать, что наличие надежной системы безопасности — это хороший способ отличиться от прочих поставщиков, поскольку большинство из них и не задумываются о том, чтобы действительно защищать информацию, размещенную на их сервисах от неавторизованного доступа. Для разрешения подобных ситуаций необходимо наладить диалог и понимание между поставщиком облачных услуг и отделом вашей фирмы, который отвечает за управление рисками.

Шаг 3. Составьте короткий список облачных поставщиков для оценки

Стоит оценивать поставщиков, исходя из общей точки зрения на их возможности, с оговоркой, что чем глубже отдел управления рисками попытается узнать инфраструктуру проверяемого поставщика, тем большую ответственность он может взять на себя перед вами. И в то же время, если облачный поставщик не сможет предоставить соразмерного с потребностями вашей фирмы уровня масштабирования, проблемы с безопасностью информации возникнут вне зависимости от изначальных обещаний поставщика.

 облако

Альянс облачной безопасности проявил инициативу по созданию Реестра безопасности и доверия АОБ, нацеленного на то, чтобы стать свободным, общедоступным реестром, в который бы заносились отметки контроля безопасности, обеспечиваемого различными предложениями по облачным вычислениям.

Шаг 4. Напишите подробную характеристику провайдера (ГТХП)

Вот четыре основных критерия, характеризующие поставщиков:

  • безопасность: уверенность, что поставщик и субподрядчики будут соблюдать все применимые законы;
  • компенсация: как поставщик и его субподрядчики возместят фирме урон в случае утечек информации;
  • ответственность: ответственность поставщика в том, чтобы уведомить компанию об утечке информации и покрыть расходы по обозримым утечкам, согласно соответствующим законам, включая возможные претензии третьих сторон, возникающие вследствие утечки;
  • аудит: поставщикам, услуги которых относятся к наиболее подверженным рискам, необходимо проводить и оплачивать сторонние аудиторские проверки.

С помощью этого процесса вы сможете опознать поставщиков услуги, которые создают слишком много рисков.

Шаг 5. Согласование контракта и особых условий

Язык стандартного контракта и согласований об уровне обслуживания должен быть конкретным при описании ваших требований к безопасности.

Имеет смысл научиться гнуть свою линию в переговорах с поставщиками, когда речь заходит о праве на собственность информации вплоть до того, что при разрыве отношений с поставщиком фирма получает все свои данные назад, даже если эти данные потребуется доставлять на дисках.

Шаг 6. Отслеживайте показатели программы управления рисками поставщика и наблюдайте за результатами аудитов фирм, поддерживающих его

Ряд фирм создали процесс, посвященный текущей оценке поставщиков. Они (фирмы) также должны заключать контракты со сторонними аудиторами, чтобы воспользоваться их услугами, как только потребуется.

Шаг 7. Запустите прототип с образами данных

Безопасность идет рука об руку с доступностью и надежностью. Функции безопасности, такие как сканирование, могут сами по себе снижать производительность — убедитесь в том, что все системы безопасности на месте и работают во время тестов. Ваша система должна пережить плохую производительность в любой момент, когда некий процесс может вызвать ее сбой или зависание. Вы должны обладать возможностью выхода из этих ошибок системы. Но выход из них может вызвать появление проблем в системе безопасности.

Хотя риск взлома присутствует всегда, реальный риск при передаче любой функции на аутсорсинг — будь то облачный сервис или нет — заключается в понимании уровня контроля, который был потерян, и к каким это может привести последствиям.

Шаг 8. Выполнение тестирования на проникновение

На этой заключительной стадии организация задействует своих внутренних экспертов или информационных консультантов, чтобы они произвели взлом системы, используя общедоступные инструменты. Эти консультанты также могут быть полезны в области устранения системных уязвимостей, которые они найдут.

По материалам www.esecurityplanet.com