Представьте, что вы являетесь владельцем совершенно нового приложения или программы, созданной на основе одной из самых распространенных и популярных облачных технологий в мире, и вы с радостью предоставите своему провайдеру повседневное обслуживание и безопасность.
Появление облачных провайдеров с полным набором услуг облегчает вашу работу, но может быть (должен) быть один вопрос, который все еще беспокоит вас: насколько безопасны мои данные в облаке и кто отвечает за их защиту?
Если произойдет инцидент, связанный с безопасностью, кто будет нести ответственность за устранение последствий? В большинстве случаев ответом является вы, а не ваш поставщик облачных услуг (CSP), как некоторые могут подумать.
Первая и самая важная концепция, которую нужно понять, заключается в том, что для облачных систем ответственность распределяется между вами — как владельцем вашего приложения — и CSP, которому принадлежит часть технологий, находящихся под ним. В зависимости от модели сотрудничества (IaaS, PaaS или SaaS), вы, как владелец приложения и поставщик облачных услуг, будете распределять зоны ответственности по-разному. В любом случае вы должны понимать, как данные защищены, даже на уровнях за пределами вашего личного участия.
Хорошей новостью является то, что большинство CSP хорошо разбираются в безопасности, но это не значит, что вы не должны спрашивать их, что на самом деле было сделано для уменьшения угроз. Сосредоточьте свои вопросы на этих четырех областях:
1. Каким нормативным требованиям соответствует ваш CSP?
Если вы работаете в строго регламентированной области, такой как здравоохранение или финансы, вы, возможно, уже знаете все сертификаты, которые есть у вашего CSP, так как они могут понадобиться вам как часть вашего собственного аудита приложений. Но даже если вам не нужно проходить сертификацию самостоятельно, запросить информацию о доступных сертификатах у вашего CSP — очень хорошая идея.
Наиболее ориентировочные сертификаты, которые я рекомендую искать, — это сертификаты управления сервисной организацией (запрос о так называемых SOC 2 или SOC 3 ). Хотя SOC 3 будет общедоступной сводкой элементов управления безопасностью, отчет SOC 2, который содержит подробности, обычно может запрашиваться по требованию.
2. Есть ли у них вопросники и сертификаты от Cloud Security Alliance?
CSA — это некоммерческая организация, цель которой — поощрять и пропагандировать лучшие практики обеспечения безопасности в облачных вычислениях. Анкета Инициативы по оценке консенсуса CSA содержит набор вопросов, которые CSA ожидает от потребителя облачных вычислений и / или аудитора облачных услуг от поставщика облачных услуг. В нем содержится ряд вопросов безопасности, управления и обработки, которые затем можно использовать для широкого круга задач, включая выбор поставщика облачных услуг и оценку безопасности. Поскольку одной из целей CSA является информирование потребителей облачных технологий о безопасности в облаке, я также настоятельно рекомендую вам заполнить их вопросник самостоятельно в качестве контрольного списка, чтобы обеспечить эффективную защиту ваших активов.
3. Каковы их рекомендации по контролю безопасности, чтобы охватить вашу зону ответственности?
Как часть облачных сервисов, предоставляемых CSP, обычно существует ряд рекомендаций, которым вы можете следовать для безопасного и наиболее эффективного использования их сервисов. Я настоятельно рекомендую просмотреть их. При построении архитектуры безопасности вашего приложения учитывайте все доступные механизмы. В этой области также целесообразно упомянуть продукты Security as a Service, которые могут поставляться сторонними компаниями через CSP marketplace. Обычно такие сервисы предоставляют очень полезный и экономически эффективный способ добавления дополнительных уровней безопасности для вашего приложения, если это требуется вашими требованиями безопасности.
4. Какова их политика в отношении сторонних тестов на проникновение и процессов реагирования на инциденты?
CSP должен быть открыт для ваших инициатив по проведению тестирования на проникновение или любого другого типа тестирования безопасности (некоторые подробности о типах тестирования можно найти здесь ) в качестве одного из механизмов проверки безопасности вашего приложения на заключительных этапах его развитие. Это также может служить косвенным показателем уверенности ПСУ в своих мерах безопасности. При планировании реагирования на инциденты стоит сопоставить, какую информацию можно запросить у вашего CSP, и как они могут поддержать вас в этом процессе.
Некоторые ключевые выносы
-
Ответственность за уровень безопасности облачного приложения распределяется между CSP и владельцем приложения. Тем не менее, владелец приложения является главным ответственным, поэтому владелец приложения должен знать обо всех мерах безопасности, принятых внутри компании, а также CSP.
-
При проверке практики безопасности, используемой CSP, имеющиеся нормативные положения могут быть наиболее эффективным способом получить представление о том, каковы эти методы безопасности и как они выполняются. Ищите сертификаты, такие как SOC 2, SOC 3 и CSA.
-
Убедитесь, что вы используете все доступные механизмы, предоставляемые вашим CSP для защиты вашего приложения, и что вы используете рекомендуемые рекомендации для достижения целей безопасности.
-
Уточните свою стратегию обработки инцидентов безопасности, прежде чем они произойдут. Проверьте, как ваш CSP может помочь вам в расследовании инцидентов.
И последнее, но не менее важное: не стесняйтесь обращаться к своему CSP, если у вас есть какие-либо сомнения по поводу безопасности ваших облачных приложений. Даже если вы несете ответственность за безопасность, хороший CSP будет рад поддержать вас в сложном процессе создания действительно безопасного облачного приложения.