Статьи

Думали ли вы об облачной безопасности?

Cloud Security: Введение

Облако, все участвуют в гонках, блоги и форумы — это гудение — и это уже давно. Лично я чувствую, что облачные вычисления не обязательно являются новыми. Это достаточно новый взгляд на то, как мы проектируем, разворачиваем и управляем приложениями и вычислительными сервисами, и он стоит того, чтобы его взволновать. Обладая таким большим волнением, облачной безопасности, как правило, придают меньшее значение, чем она того заслуживает.

Рассмотрим следующие факты об облаке:
Недавнее исследование , проведенное Лондонской школой экономики и подписанное Microsoft на основе Forbes.com, показывает, что рост облачных рабочих мест в секторе смартфонов должен вырасти на 349%.
В зависимости от того, какую оценку вы считаете , к 2014 году выручка от услуг облачных вычислений составит от 118,7 до 148,8 млрд долларов.
Спектр IEEE сообщает, что к 2014 году прогнозируется, что около миллиарда человек подпишутся на мобильные облачные приложения.

Эти огромные цифры показывают большой интерес и волнение людей вокруг облачных вычислений. Когда мы храним нашу информацию у поставщиков облачных сервисов, таких как Rackspace, Google, Microsoft, Dell, Apple, Amazon и множество других, или в качестве бизнеса, на карту может быть поставлено много. Это касается многих вещей, включая нашу конфиденциальность и наших клиентов. Таким образом, нашей первоочередной задачей является рассмотрение инициатив и методов обеспечения безопасности, призванных сделать облачные вычисления такими же безопасными, как и любое другое технологическое решение. Важно, чтобы мы проявили должную осмотрительность, чтобы мы были максимально подготовлены к потенциальным недостаткам и могли максимизировать преимущества.

В этой статье мы обсуждаем и поднимаем несколько вопросов для вашего рассмотрения. Некоторые вопросы, о которых вы, возможно, уже думали и обсуждали, некоторые — нет. Эти вопросы призваны помочь вам убедиться, что вы внимательно изучили последствия, юридические требования и другие проблемы облачной безопасности.

Каковы юридические обязанности?

В зависимости от географического местоположения поставщика, к поставщику будет применяться ряд юридических требований и обязанностей. Вот некоторые из этих законов:
Закон Сарбейнса – Оксли .
Закон Грэмма-Лича-Блили .
Соответствие PCI (индустрии платежных карт) .

Кроме того, тип данных, которые хранятся, может быть предметом еще большего законодательства, такого как HIPPA . Поэтому, прежде чем заключать договор с провайдером, проверяли ли вы, что они соблюдают соответствующее законодательство?

Вы полностью знакомы с соответствующими действиями, касающимися вашего бизнеса и вашей информации? Вы уделили время, чтобы принять их во внимание в процессе комплексной проверки с вашими поставщиками?

Что произойдет, если провайдер обанкротится?

Я не считаю, что такие компании, как Apple, Google и Amazon могут обанкротиться. Но в последние годы мировой финансовый кризис и его последствия обрушили старые и уважаемые компании. В случае необходимости вы должны учесть план по покрытию ваших данных и стратегию миграции другому поставщику. Вы уверены, что прошли процедуру восстановления данных, чтобы убедиться, что в этом случае вы будете иметь непрерывное обслуживание и сможете продолжать придерживаться заявленных вами соглашений об уровне обслуживания?

Насколько безопасны ЦОД?

Этот вопрос не является чем-то новым для облачных вычислений, и мы все его рассматриваем. Но это стоит повторить. Какие меры безопасности применяет ваш провайдер для защиты центров обработки данных и информации в них? Есть ли у поставщика хорошие процедуры обнаружения вторжений? Каковы функции и политики безопасности сетевого уровня?

Тогда есть вопрос персонала. Какие проверки они имеют для своих сотрудников? Защищены ли данные так, что сотрудники не могут вывести их с сайта? Существуют ли подходящие средства контроля доступа, чтобы только соответствующим образом уполномоченный персонал имел доступ к соответствующим данным? Рассматривали ли они ролевый, обязательный или дискреционный контроль доступа?

Какая регистрация ведется? Когда информация доступна, есть ли запись о ней? Одно дело — быть в состоянии восстановиться после взлома системы безопасности, но важно знать, что произошло, кем и когда нужно, чтобы это никогда не повторилось.

Хорошо ли обучен персонал? Независимо от того, есть ли у вас лучшие меры безопасности, если персонал способен их обойти, их эффективность практически ничтожна. Подумайте о недавнем нарушении безопасности Apple iCloud учетной записи Мэта Хонана, которая подожгла блоги и Twitter. А как насчет подобного нарушения безопасности, которое произошло с Amazon или GoDaddy ?

Насколько безопасны ваши веб-приложения?

Все очень хорошо и хорошо рассмотреть предыдущие вопросы о безопасности продавца, но как насчет того, чтобы выглядеть ближе к дому? В процессе перемещения приложений в облако мы остановились, чтобы рассмотреть, насколько они безопасны? Если у нас круглая, 12-дюймовая стена толщиной, но если оставить заднюю дверь открытой, мы вряд ли сможем пожаловаться, если и когда она будет использована для получения доступа к нашим данным.

Согласно статье 2011 года о Неделе безопасности , более 75% атак происходит через веб-приложения. Согласно другой статье 2011 года , от Cloud Security Alliance:

… Только 18% бюджетов ИТ-безопасности было выделено для устранения угрозы, создаваемой небезопасными веб-приложениями, в то время как 43% бюджетов ИТ-безопасности были выделены для безопасности сети и хоста.

Ваша компания серьезно относится к безопасности приложений? Вы потратили достаточный бюджет на обеспечение устойчивости ваших приложений к различным доступным векторам атак, таким как межсайтовый скриптинг (XSS), подделка межсайтовых запросов (CSRF / XSRF) и атаки SQL-инъекцией?

Консорциум PHP Security , среди прочего, предоставляет надежное руководство по защите ваших веб-приложений. Ваша команда разработчиков серьезно относится к безопасности? Если вы передаете на аутсорсинг, предусмотрели ли вы, что безопасность является обязательным в создаваемых приложениях?

Вывод

Это лишь некоторые из вопросов, которые мы должны рассмотреть, и я надеюсь, что они не отпугнули вас, но помогли вам помнить о безопасности облака. Я искренне верю, что облачные вычисления могут и должны стать отличным шагом вперед и принесут с собой массу преимуществ, от которых мы все сможем добиться успеха. Но мы должны сделать нашу должную осмотрительность. Какие меры вы принимаете для обеспечения безопасности и непрерывности вашего бизнеса в облаке?

Дальнейшее чтение

Я предоставил следующие ссылки, если вы хотите узнать больше о влиянии безопасности в облаке.
Стратегия бизнеса облачных вычислений генерального директора Rackspace
Облачные вычисления: правовые и нормативные вопросы
Краткое изложение правила конфиденциальности HIPAA
Переезд в облако? Возьмите безопасность вашего приложения с собой
Облачные вычисления стимулируют рост мобильных данных
Правовое облако: имейте свой путь
Безопасность облачных вычислений