Безопасность

Конфиденциальность должна обеспечиваться по всей цепочке, включая поставщика «облачного» решения, потребителя и связывающих их коммуникаций.

Задача поставщика — обеспечить как физическую, так и программную неприкосновенность данных от посягательств третьих лиц. Не случайно «облачные» дата-центры как правило проектируются с опорой на самые современные стандарты безопасности (включая вопросы шифрования, а также упомянутые средства антивирусной защиты и защиты от хакерских атак).^[1]

Потребитель должен ввести в действие «на своей территории» соответствующие политики и процедуры, исключающие передачу прав доступа к информации третьим лицам. В этом смысле объективные преимущества «облаков» не следует смешивать с избавлением заказчика от каких бы то ни было усилий по обеспечению безопасности собственного информационного периметра.

Решение задач обеспечения безопасности включает в себя традиционные и широко известные решения, хотя и содержит ряд специфических решений, которые в процессе выполнения традиционных задач должны быть оптимизированы для экономии производительности виртуальной среды, добавляя безопасность.

Серьезные сбои в работе оборудования даже у крупных поставщиков «облачных» услуг уже происходят. В мировой практике «облачных» вычислений известны случаи, когда потребитель в течение длительного времени не мог получить доступ к приложениям. А банальное «отключение Интернета» по вине провайдера (не обязательно — провайдера, непосредственно обслуживающего заказчика, виноват может оказаться и магистральный оператор) может сделать работу с «облачными» ресурсами невозможной в принципе.

Очевидно, что перед началом проектов, связанных с выносом тех или иных ИТ-сервисов в «облака», заказчикам следует оценить подобные риски, провести тщательную инвентаризацию приложений (зафиксировав список критически важных для бизнеса), и только затем принимать решения о том, как выстраивать свое «облачное» ИТ-будущее.

Альтернативный интернет-провайдер, находящийся в «горячем резерве», альтернативный поставщик «облачного» решения, прозрачное управление поддержанием архивных копий данных, страхование, жесткие условия ответственности в соглашениях с поставщиками — обязательные элементы безопасности в «облаках».

Задачи обеспечения целостности информации в случае применения отдельных «облачных» приложений, можно решить — благодаря современным архитектурам баз данных, системам резервного копирования, алгоритмам проверки целостности и другим индустриальным решениям. Но и это еще не все. Новые проблемы могут возникнуть в случае, когда речь идет об интеграции нескольких «облачных» приложений от разных поставщиков.

Безопасность в «облаках»

В ближайшем будущем для компаний, нуждающихся в безопасной виртуальной среде, единственным выходом останется создание частной облачной системы, заявили аналитики IDC на проходящей в ноябре 2011 года в Лондоне конференции Virtualisation and Cloud Security Conference. Дело в том, что частные облака, в отличие от публичных или гибридных систем, больше всего похожи на виртуализованные инфраструктуры, которые ИТ-отделы крупных корпораций уже научились реализовывать и над которыми они могут сохранять полный контроль. Недостатки защиты информации в публичных облачных системах представляют серьезную проблему. Большинство инцидентов со взломом происходит именно в публичных облаках, подчеркнул аналитик.

Виртуализация может быть безопасной и соответствующей нормативным требованиям защиты информации, полагают в IDC. Тем не менее, запросы клиентов в сфере безопасности пока еще часто опережают возможности поставщиков. На сегодняшний день, например, в облаках невозможно реализовать сквозное шифрование.

В IDC призвал участников конференции в большей степени уделять внимание частным, а не публичным облачным системам.