Как гарантировать конфиденциальность данных, приватность, и в целом безопасность размещаемой в облаке информации? Если ваша компания решила перенести инфраструктуру в облачные сервисы, надо обратить внимание на несколько ключевых аспектов. Директор направления облачных решений EdgeЦентр Сергей Сжёнов объясняет, что нужно знать при миграции в облако, и на что обращать внимание, чтобы защитить свои данные.
Конфиденциальность данных
В облачных сервисах данные хранятся на серверах провайдера, а не на корпоративном или личном устройстве. Следовательно, они подвержены риску взлома или утечки (особенно если это ценные для злоумышленников базы данных). Но для провайдера логично следить за безопасностью и инвестировать в нее, потому что это ключевой параметр для всех клиентов.
Законодательство
Обратите внимание на законодательство в области защиты данных в тех странах, где размещены серверы. Юрисдикция может влиять на то, как данные хранятся и обрабатываются. Если данные хранятся в стране, где законы в области защиты данных слабые или отсутствуют, они более уязвимы. Провайдер должен заранее рассказать клиенту о географии дата-центров, где планирует разместить ваши данные.
Контроль над данными
Пользователи облачных технологий должны понимать, как их данные используются и кем, и иметь возможность контролировать их использование. Это включает в себя возможность удаления или переноса данных, а также возможность управления тем, кто имеет доступ к ним, и оперативно удалять ненужные учетные записи. Для этого прописываются разнообразные протоколы (например, максимальное число одновременных обращений к данным) и уровни прав доступа.
Шифрование данных
Качественные облачные сервисы используют надежные механизмы шифрования и защиты данных для предотвращения несанкционированного доступа. Это может быть использование сложных паролей, многофакторной аутентификации и других регулярно обновляемых технологий защиты.
Совместное использование ресурсов
Многопользовательские «облака» предполагают совместное использование ресурсов между множеством клиентов. Клиент должен быть уверен, что его данные изолированы от других — то есть, что общее облако это не общежитие, а элитный дом с хорошо закрывающимися апартаментами.
Тут важно понимать, что у облачных сервисов нет как такового «периметра», который защищают традиционные системы айти-безопасности. Облачные среды взаимосвязаны. Интерфейс API может стать слабым местом системы, и основные риски тут — кража учетных записей и фишинг. Но этот риск не повышается при миграции данных с собственных серверов в облако. В целом, обеспечение безопасности должно быть изначально встроено в конструкцию облачного сервиса (security by design). То есть мы говорим о проактивном, а не реактивном подходе.
Противостояние атакам
DDoS-атаки могут замедлить или полностью остановить работу инфраструктуры. От самого факта атак никто не застрахован, просто у провайдера должны быть возможности им противостоять. Разумеется, техподдержка и реакция на атаки должна быть активна 24 часа в сутки. Приведу пример из нашей практики:
У сайта онлайн-энциклопедии «Руниверсалис» через несколько дней после раскрутки на старте проекта (август 2022 года) резко выросла посещаемость. Одновременно с этим произошла «активность, похожая на DDoS-атаку», как сообщил хостер. Арендуемые серверы не справились с нагрузкой, и сайт оказался недоступен, не помогло и подключение сторонней защиты. Мы перенесли сайт на более мощные серверы в своем облаке, подключили CDN (сеть распределения контента). Через несколько дней последовало еще несколько крупных DDoS-атак, последняя по мощности превосходила первую в 20 раз. Защита EdgeЦентр отразила все атаки, они никак не сказывались на работе сайта и были заметны только по отчетам.
Ответственность за безопасность
Разделение ответственности за безопасность между провайдером и клиентом будет зависеть от типа услуги (Iaas, PaaS). Всегда на стороне клиента остается ответственность за обучение своих ИТ-специалистов особенностям функционирования сервисов, а сотрудников — правилам безопасного обращения с данными. Компаниям, в идеале вместе с провайдером, рекомендуется создать корпоративные правила информационной безопасности, и запланировать тренинги, обязательные для прохождения тем, кто пользуется облаком. Со стороны клиента правильно стремиться закрыть весь комплекс потребностей — инфраструктуру, ускорение и защиту сайта или данных — у одного вендора.
Человеческий фактор в безопасности данных
Говоря об ответственности за безопасность данных, надо отметить, как важен человеческий фактор. Роскомнадзор регулярно сообщает об утечках персональных данных (1, 2), но риски эти связаны далеко не только с целенаправленными хакерскими атаками, но и с небрежностью или ошибками со стороны сотрудников на стороне клиента. Лучше допускать сотрудников к использованию «облака» только после инструктажа силами своего ИТ-отдела. Надо обязательно обучить сотрудников методам безопасного сетевого соединения для подключения к облачным сервисам, базовому шифрованию файлов, порекомендовать перейти на работу с документацией в облаке без переноса их на локальное устройство.
Надежный провайдер
Важно использовать надежные облачные платформы. Но что значит «надежный» и как его определить:
- Количество постоянных клиентов у провайдера — особенно таких, чьи бизнес-задачи схожи с вашими.
- Сертификации дата-центров и квалификации специалистов провайдера.
- Характеристики облака.
- Протоколы коммуникации и безопасности.
- Какие условия SLA (соглашение об уровне сервиса) предлагает провайдер. SLA гарантирует уровень ключевых параметров предоставляемой услуги.
Важным параметром является ожидаемое время бесперебойной работы инфраструктуры. «SLA 99.95%» означает, что провайдер гарантирует беспроблемное — без простоев, зависаний и неполадок — пользование облаком в 99,95% времени.
Так или иначе, преимущества облачных технологий — удобство, резкое расширение возможностей, гибкость, экономия — намного перевешивают риски безопасности. Иначе облаками не пользовались банковские структуры, максимально чувствительные к нарушениям конфиденциальности данных, и торговые площадки с огромным количеством финансовых транзакций.