Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Безопасные облака. Как оценивать?

Безопасные облака. Как оценивать?

То, что при передаче части задач облачным вычислениям компания не избавляется от угроз, мы уже выяснили. Какие же организационные шаги можно предпринять, что бы снизить риск в сфере ИТ-безопасности при использовании облаков? Один из первых шагов — оценка подхода к обеспечению безопасности ваших данных той компанией, которая готова предоставить вам свои услуги.

Давайте составим небольшой опросник и определим первоочередные вопросы-требования, необходимые для гарантии, что выбранный вами сервис-провайдер облачных технологий с должным уважением относится к вопросам информационной безопасности.

1. Передача данных от вас к провайдеру (и обратно). Первый вопрос к сервис-провайдеру — каким образом обеспечивается сохранность и безопасность ваших данных на этом этапе. Шифрование давно стало хорошим тоном при передаче информации, исключая возможность компрометации даже при прохождении данных через ненадёжные узлы сети. Готов ли провайдер обеспечить защиту ваших данных на самом рискованном участке работы с информацией?

2. Доступ пользователей к данным. Доступ с парольной защитой — уже хорошо, однако использование дополнительных степеней защиты вроде аппаратных ключей (токенов) и сертификатов ещё лучше. Не стоит так же забывать и о разграничении прав пользователей. А если ваш провайдер имеет возможность работы с такими стандартами как LDAP и SAML — значит он действительно заинтересован в обеспечении защиты вашей информации от несанкционированного доступа.

3. Безопасность данных при хранении. Однозначное требование при хранении данных, если хотите обеспечить их сохранность от компрометации — шифрование. Второе необходимое правило — гарантированно ненужные более данные должны по-возможности немедленно (и безвозвратно) удаляться.

4. Разделение клиентов, их областей данных и приложений. Вы должны быть уверены, что ваши данные и приложения надёжно изолированы от других клиентов провайдера. Надёжные технологии изоляции клиентов уже давно отработаны — это виртуальные машины (VM) и виртуальные сети, создаваемые на основе различных технологий (VLAN, VPLS,VPN).

5. Организационные вопросы обеспечения безопасности. Какая документация существует у провайдера по вопросам обеспечения информационной безопасности и защиты данных клиентов, насколько точно провайдер придерживается уже существующих норм, регламентов и правил обеспечения безопасности технологии облачных вычислений — вопросы далеко не праздные.

6. Как частный случай п.5 — порядок реакции на возникающие инциденты, приведшие (или дающие возможность) к компрометации данных клиента. Ведётся ли документирование данных инцидентов, приняты ли меры для минимизации риска из возникновения, в обязательном ли порядке оповещаются клиенты и насколько быстро будет произведено оповещение в случае (вероятности) возникновения происшествия.

7. Контроль клиентом качества обеспечения безопасности своих данных. Каким образом провайдер даёт возможность клиенту оценить качество предоставляемых услуг в области безопасности. Будут ли это статические отчётные данные или провайдер готов установить на своём сервере специализированное ПО (trusted monitor) для контроля пользователя за соответствием заявленных и реально выполняемых провайдером действий и мероприятий.

Ну и напоследок —  SLA, естественно, никто не отменял, однако хорошо аргументированный ответ сервис-провайдера хотя бы на эти семь вышеперечисленных пунктов-вопросов станет дополнительным гарантом спокойствия за сохранность данных и качество оказываемых вашей компании услуг.

Дополнительные материалы

Комментарии (1)

  • Аватар

    Ларькин Денис Юрьевич [Vasy911], 09 июля 2011, 23:21

    0
    4. Разделение клиентов, их областей данных и приложений. Вы должны быть уверены, что ваши данные и приложения надёжно изолированы от других клиентов провайдера. Надёжные технологии изоляции клиентов уже давно отработаны — это виртуальные машины (VM)

    Опасное заблуждение - есть атаки на гипервизор, может быть атака на SAN где хранится VM, может быть получена не правомерная копия или снимок виртуальной машины.

    А так в общем вопросы правильные, но ведь мы разумные люди и понимаем, что крупный провайдер врядли пойдет на изменение своего договора если вы клиент из малого и среднего бизнеса.