Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

В чем риск облачных решений?

В чем риск облачных решений?

Технология облачных вычислений набирает сегодня популярность. Финансово облачные платформы выглядят очень привлекательно, да и других привлекательных сторон немало. Однако, передавать свои данные в «облако», т.е. непонятно куда и практически без гарантий их сохранности провайдером — кажется это весьма рискованная стратегия. Предлагаю взглянуть на проблемы с безопасностью облачных решений.

  • Небезопасные интерфейсы. Криптографическая защита — отличная вещь, однако ошибки в программах и нестойкие протоколы/ключи/пароли позволяют обойти даже самые надежные протоколы. Когда ваши данные отделены от всего интернета хлипким забором пользовательского интерфейса, его надежность начинает играть критическую роль.
  • Враждебные инсайдеры. Злоумышленник внутри компании, получивший неавторизованный доступ к ИТ-системам должен еще постараться сохранить и  вынести эти данные из компании. В облачном решении все уже вынесено — осталось только передать логин и пароль, и заказчик неавторизованного доступа может исследовать ваши данные так, как пожелает.
  • Уязвимости гипервизора. Безошибочного программного обеспечения не бывает. То, что пока гипервизоры не скомпрометированы багами, позволяющими получать неавторизованный доступ ко многим виртуальным машинам, не означает, что такие баги не будут обнаружены в ближайшем будущем. То же самое относится и к технологии мультитенанси столь популярной в SaaS решениях — одна ошибка программиста и ваши данные перемешались с данными вашего конкурента использующего тоже решение.
  • Утечка/потеря данных. Возможностей для потери данных в облаке множество — некорректные действия сотрудников сервиса, ошибки и недостатки систем резервного копирования, действия злоумышленников и т.д. Однако, публичные облачные провайдеры в своих SLA прописывают весьма ограниченный уровень своей ответственности в случае утери данных.
  • Компрометация аккаунтов и сервиса. Злоумышленнику для того, чтобы получить полноценный доступ к облачному сервису не придется атаковать хорошо защищенный периметр корпоративной сети. Вполне достаточно атаки на пользователя — с большой вероятностью сработает даже банальный фишинг в виде подмененного сайта или письма по электронной почте с требованием подтвердить пароль.  
  • Неизвестные риски. Фактор технологической новизны облачных вычислений также играет в минус. Пока нет большого опыта эксплуатации подобных решений — нет и типовых процедур обеспечения безопасности, да и далеко не все потенциальные риски реализовались в облачных решениях.

Дополнительные материалы

Комментарии (0)