Безопасность в публичном облаке

Почему публичные облачные решения безопаснее и надёжнее, чем локальная инфраструктура

В доверии к публичным облакам произошел перелом. В 2017 году информационная безопасность стала считаться главным преимуществом публичной облачной инфраструктуры перед локальной. Доля российских компаний, которые видят риски безопасности при миграции в облако, снизилась с 45% в 2014 году до 11% в 2017. Надежность публичных облачных сервисов также обгоняет in-house. Что поменялось?

Как появилось доверие к публичным облакам

Разработчики ранних облаков стремились в первую очередь реализовать бизнес-функционал в новой «облачной» парадигме масштабируемых онлайн-сервисов. Надёжность и безопасность оставались второстепенными вопросами, и это снизило доверие многих клиентов к ранним облакам.

По исследованию ENISA 2012 года при переходе в публичное облако возникали риски привязки к конкретному поставщику, раскрытия данных из-за неправильного обращения с ними, компрометации виртуальной инфраструктуры (включая потерю изоляции данных, доступ зловредного инсайдера), зависимости сервиса от доступа пользователя в интернет.

Преимущества облака для бизнеса

  • экономия на капитальных затратах и экспертизе,
  • предсказуемость и управляемость расходов,
  • легкое масштабирование,
  • прямое управление без посредников,
  • встроенные PaaS-сервисы, которые ускоряют разработку и старт проектов.

Примеры облачных инфраструктурных решений

  • Полная миграция данных и вычислений в облако для оптимизации бизнес-процессов и большей безопасности.
  • Бэкап данных в рамках гибридного облака.
  • Создание дублирующей инфраструктуры в облаке для балансировки и резервирования.
  • Временное усиление локальной инфраструктуры облачными мощностями в период пиковых нагрузок или временных проектов (чемпионат мира, сезон покупок).

Уже тогда было ясно, то эти риски характерны и для локальной ИТ-инфраструктуры, которая не страхует от её компрометации и недостаточной защиты данных. Привязка к поставщику присутствует и локально — просто перемещается на уровень выбора оборудования и софта. А качество связи в локальной инфраструктуре и публичном облаке уже сопоставимо — из-за роста роли удалённого доступа сотрудников и пространственной фрагментации инфраструктуры.

Сегодня публичные облака — зрелый подход, который заслуженно конкурирует с on-premises архитектурой ИТ-систем. Надёжность предоставления сервисов гарантируется в рамках SLA, часто с финансовыми гарантиями. Поэтому переход к облачной инфраструктуре — не просто оптимизация бизнес-процессов, но и выбор более безопасной и надёжной инфраструктуры.

В 2020 году публичные IaaS-облака будут на 60% реже становиться жертвами атаки, чем традиционные дата-центры.

Gartner, 2018

Того уровня безопасности, который обеспечивает грамотный провайдер, собственными силами добиться очень трудно.

Computerworld Россия, 2018

Готовы построить собственный ЦОД?

Даже если облако достаточно безопасно, не лучше ли всё равно построить собственный ЦОД?

Посмотрим на список мер, которые делают ЦОД достаточно надёжным.

ЦОД для надёжного предоставления бизнес-сервисов: чеклист

  • Защита

    • Внедрены ли в ЦОДе системы защиты от компьютерных атак: на физических узлах, виртуальных машинах, сетевые?
  • Реагирование

    • Есть ли центр кибербезопасности (SOC-центр)?
    • Реагируют ли его специалисты на инциденты в реальном времени?
    • Есть ли у них инструменты для мгновенного реагирования?
  • Управление уязвимостями

    • Поставлены ли процессы управления уязвимостями?
    • Отслеживаются ли подписки на новые уязвимости, соотносятся ли эти уязвимости с элементами ЦОДа?
    • Обновляется ли софт после выхода критических патчей? Обновляться должны не только средства информационной безопасности, но и обычный софт. Уязвимости любого приложения могут открыть ворота для атаки.
  • Контроль физического доступа

    • Контролируется ли физический доступ к серверам и каналам связи ЦОДа внутри доверенного периметра?
    • Внедрены ли системы СКУД, видеонаблюдение, ролевая модель доступа к системе управления, двойная аутентификация сотрудников, логирование?
  • Надежность

    • Соответствует ли доступность ЦОДа хотя бы уровню Tier III: резервирование питания, систем охлаждения, обслуживание ЦОДа без остановки?
    • Поддерживается ли хотя бы тройная репликация данных, геоизбыточность?
    • Резервируются ли каналы связи и провайдеры?
    • Проводится ли мониторинг инфраструктуры ЦОДа? Есть ли дежурство 24/7?
    • Заменяется ли устаревающее оборудование на новое?
    • Доступен ли ЦОД при отключении отдельных элементов? Проверяется ли это на учениях?

Поддерживать такие процессы локально имеет смысл только компаниям с большим ИТ-бюджетом и штатом экспертов.

Современный ЦОД
Современные ЦОДы по размаху и стоимости можно сравнить с египетскими пирамидами.

Минусы локальной ИТ-инфраструктуры

Если содержание собственного ЦОДа не является основным бизнесом вашей организации, то для вас выгоднее и безопаснее построить бизнес-процессы в облаке. В чём проблема с содержанием собственного ЦОДа?

Дорого. Выбирая локальный ЦОД, компания должна быть готова к тому, что нагрузка на ИТ-бюджет будет только расти — на фоне глобального роста количества данных, которые генерирует бизнес в любой отрасли.

Небезопасно. Раньше содержание данных «в периметре» считалось надёжным. Сегодня технологии атаки преодолевают защищённый периметр и даже «воздушный зазор», а защита требует всё большей экспертизы и высокотехнологичных решений.

Почему публичное облако надёжнее

Выбор публичного облака даёт компании доступ к лучшим практикам надёжности и безопасности, поскольку для облачных провайдеров это вопрос конкурентного преимущества. Провайдеры используют полноценные ЦОДы с новейшим оборудованием и софтом, в них поставлены процессы управления уязвимостями.

Провайдеры также разрешили вопросы, специфически связанные с предоставлением облачных сервисов:

  • Ресурсы разных компаний надежно изолированы друг от друга.
  • Многие провайдеры организуют внешний аудит безопасности, чтобы независимые организации подтвердили заявленные гарантии.
  • Для максимальной защиты облака поддерживают опцию шифрования данных: компания может отправлять данные в облако уже в зашифрованном виде, так что облако получает и хранит «бессмысленный набор байтов».
  • Технологии и процедуры, которые задействуют в публичных облаках, снижают влияние человеческого фактора за счет контроля доступа к инфраструктуре и высокой квалификации сотрудников.
  • Некоторые провайдеры имеют собственную тестовую лабораторию, которая дополнительно проверяет оборудование и таким образом гарантирует бесперебойность и максимальное качество услуг.
  • Крупные провайдеры имеют команду технической поддержки в режиме 24/7, которая решает возникающие проблемы клиентов в рамках SLA. Так что облако — это не только надежный ЦОД, но и всегда доступная команда экспертов, которая включена в стоимость услуг.
  • Многие провайдеры позволяют соблюдать требования регулятора о нахождении данных в России.

Если передача данных в облако ограничена

Даже если по правилам безопасности данные в исходном виде нельзя передавать в облако, всё равно есть способы получить преимущества облачной инфраструктуры.

Можно задействовать гибридную инфраструктуру и обрабатывать в облаке только данные, на которые нет ограничений, или обезличивать чувствительные данные перед передачей в облако. Такой подход позволит сэкономить, когда это возможно, и выполнить требования по обращению с данными.

Если в облаке планируется хранение данных, можно задействовать их шифрование на устройствах и в периметре организации перед передачей в облако. За пределами организации данные будут недоступны для чтения.

Человек за компьютером
Шифрование на стороне организации позволяет хранить в публичной облачной инфраструктуре данные, которые в открытом виде передавать в облако нельзя

Запомнить: как безопасно перейти в облако

  1. Выберите подходящего провайдера.
  2. Если вам нужна помощь в переходе к облачной инфраструктуре, выберите провайдера, который даёт такую поддержку. Провайдер поможет спланировать миграцию, выполнить тестирование, проведёт вас через миграцию без даунтайма, поможет перевести данные из другого облака, портировать приложения.
  3. Облако должно обеспечить вам нужный режим управляемости. Например, можно выбрать облако, которое позволяет вашим инженерам быстро управлять облачной инфраструктурой через интернет без аккаунт-менеджера и других посредников.
  4. Провайдер должен обеспечивать удобный для вас режим поддержки. Удобно иметь дело с поддержкой в режиме 24/7 на русском языке, с русскоязычной документацией.
  • Узнайте больше об облаке Mail.Ru Cloud Solutions

    Узнать больше
  • Проконсультируйтесь о миграции в облако у специалистов Mail.Ru