Облачные вычисления: мифы против реалий

21 мая 2018

Развеем некоторые из них и избавим вас от необоснованных страхов.

Когда хакеры взломали систему Equifax, они завладели персональными данными 143 миллионов человек. В мгновение ока личности людей, количеством почти в половину населения США, были украдены для корыстных целей у одного из трех крупнейших в мире кредитных бюро.

Несколько ключевых руководителей Equifax подали в отставку, но последствия того взлома все еще оказывают свое влияние. Хакерам удалось получить полный доступ к сайту системы, так как ее фреймворк с открытым исходным кодом Apache Struts не был своевременно обновлен и содержал ошибки.

Сервис размещался в корпоративном центре обработки данных, а не в виртуальной инфраструктуре облачного провайдера. Чем больше таких инцидентов происходит, тем чаще возникают сомнения: а так ли безопасно локальное размещение вычислительных ресурсов и хранилищ данных, не стоит ли выбрать поставщика облачных услуг?

Миф о проблемах с защитой данных в облачных средах ничем необоснован. Реальность такова, что, если принимать определенные меры предосторожности, данные в облаке оказываются защищены значительно надежнее, чем хранящиеся в локальных ЦОДах.

Миф 1. Ваш локальный дата-центр более безопасный

Заместитель технического редактора New York Times Квентин Харди отметил, что данные, размещенные у облачного провайдера, находятся в большей безопасности, чем хранящиеся в традиционном локальном дата-центре. Харди отметил, что множество высококвалифицированных инженеров во всем мире работают над тем, чтобы современные IaaS-платформы были практически неуязвимы для атак злоумышленников.

Эксперт по облачным технологиям TechTarget Дэвид Линтикум также приводит аргументы в пользу безопасности облака. Он уверен, что надо быть значительно осторожнее, выкладывая данные на собственные серверы, ведь анализ традиционных и облачных экосистем показал, что последние имеют лучшую безопасность, чем первые.

Возможно, самым веским доводом в пользу облака будет отчет Gartner, согласно которому облако, построенное с помощью современных и надежных инструментов, является более безопасным, чем устаревший центр обработки данных. Аналитики предположили, что к 2020 году количество нарушений безопасности IaaS-сред будет на 60% меньше, чем традиционных дата-центров.

Миф 2. Государственные органы против облачных технологий

Напротив, государство в большей степени стало поощрять использование облачных вычислений, как и других современных технологий. Это касается как мировой практики, так и российской. Например, Совет по стандартам безопасности данных индустрии платежных карт (PCI Security Standards Council) выпустил руководство по использованию облачных технологий.

Глава правительства России Дмитрий Медведев на совещании о государственной инфраструктуре облачных технологий также выступил в их поддержку и предложил расширить применения облачных технологий, как это происходит во всем мире.

Миф 3. Поставщик облачных услуг не отвечает за безопасность

Соглашение, которое заключается между поставщиком облачных услуг и клиентом, строго регламентирует ответственность за безопасность. Все требования к безопасности, а также к условиям эксплуатации, управлению и отчетности должны быть четко определены и согласованы до момента подписания договора.

Миф 4. Облака и виртуализация — враг соответствия стандартам безопасности

Основа облака — это виртуальные машины. Выполнение требований руководства по виртуализации PCI DSS обеспечивает полное соответствие стандарту.

Например, выполняя данные требования, важно уделить повышенное внимание гипервизору, так как он является ядром среды виртуализации и в первую очередь подвергается атаке. Также надо быть осторожнее при одновременном использовании виртуальных машин с разным уровнем безопасности, так как злоумышленник может с легкостью получить доступ к наиболее уязвимым машинам, а с их помощью — к тем, которые содержат критичные данные.

Использование услуг поставщиков типа PCI DSS Managed Services Provider позволит закрыть вопросы безопасности виртуальной инфраструктуры в облаке на максимально возможном уровне и передать ответственность PCI DSS хостинг-провайдеру.

Миф 5. Облако — это просто

Нет, это не так. Облачные вычисления действительно обеспечивают наивысший уровень безопасности, но чтобы добиться такого результата, надо тщательно проверить работу поставщика облачных услуг. Изучить реализованные им облачные проекты, отзывы действующих клиентов, компетенцию специалистов, используемые технологии виртуализации, шифрования и резервного копирования, а также организацию рабочих процессов, гарантии предоставления услуг, ответственность за нарушение SLA и другие требования.

Сегодня Cloud используется в совместимых настройках для повышения безопасности — в соответствии с идеей лидеров мысли, что эта технология готова для любой организации.

Заключение

Облачные технологии предоставляют наивысший уровень безопасности, их выбирают корпоративные клиенты, в том числе и компании финансового сектора, предъявляющие самые строгие требования к безопасности хранения и обработки данных.

Системы хранения данных в Алматы

Источник: profit.kz