Безопасность в облаке: стоит ли бояться и кого?

Подробный материал Александра Кузьмина

Код ИБ

Сегодня поговорим с вами о безопасности в облаке. Стоит ли бояться и кого?

Благодарим за информацию Александра Кузьмина, коммерческого директора RTCloud. Александр разложил нам по полочкам: каких угроз опасаются, СЗИ для облаков, шифрование данных в облаках и как выбрать облачного провайдера и не прогадать.

Угроз, которых опасаются, конечно, много, но вот некоторые из них:

 Нельзя хранить персональные данные в облаке (ФЗ 152)?

 Данные могут похитить при передаче?

 Данные могут похитить злоумышленники, благодаря уязвимости или наличию НДВ в облаке?

 Данные могут изъять силовые структуры?

 Данные могут похитить сотрудники провайдера?

ФЗ 152 не выделяет понятие «облако», но требует применения технических средств защиты, существуют сертифицированные ФСТЭК средства технической защиты информации в виртуализированных средах = облаках. 
Для защиты каналов – криптошлюзы или программные решения.

Например, vGate – сертифицированное средство защиты информации для платформ VMware vSphere и Microsoft Hyper-v. Предназначен для приведения защиты среды виртуализации в соответствие требованиям российского законодательства и для усиленного контроля доступа к управлению системой виртуализации.


https://www.securitycode.ru/products/vgate/

Возможны две модели взаимодействия с провайдером:


• Провайдер не обрабатывает ПДн в облаке. Это характеризуется меньшей вовлеченностью поставщика, уменьшением количества нарушителей, возможностью применения средств защиты потребителя.

• Совместная обработка ПДн характеризуется удовлетворением требованиям закона, выходом за рамки сервиса IaaS и тем, что не все провайдеры к ней готовы.

Облака дают нам:


• Снижение стоимости

• Гибкость, масштабируемость, эластичность

• Быстроту развёртывания и выделения необходимых ресурсов (Time to Market)

• Доступность, надёжность

• Перевод капзатрат в операционные

Облачные технологии уже давно являются зрелыми технологиями, на них опираются крупные клиенты, применяют из в бизнесе и активно используют.

Как же выбрать провайдера?

Совет первый: смотрите на платформу. Какая используется система виртуализации? Какая общая архитектура и где провайдер хранит данные?

Второй: какие ЦОД он использует. Обратите внимание на надёжность инженерных систем, в идеале сертификаты, на требования безопасности и наличие альтернативных операторов связи, физические трассы.

География – тоже важный момент. Где провайдер расположен и его коннективность.

Ну, и соответственно, цена.

Рекомендуем обращать внимание на производительность, задвайте вопросы. Сравнивайте только в одних единицах. Для однопоточных приложений (1С) выбирайте большую частоту. 

На тип хранилища тоже рекомендуем смотреть: какой тип СХД используется, тип дисков и уровень RAID. Верьте не названиям, а цифрам. Измеряйте IOPs, обратите внимание на SLA – есть ли он вообще у оператора.

В вопросах требований к сети позаботьтесь о скорости (с обоих сторон!), коннективности, надежности и резервировании. L2 VLAN – в большинстве случаев хорошая идея. Но не отменяет целесообразности резервирования.

Ну, и перед тем как переходить, рекомендуем подготовиться и протестировать. Спланируйте предварительный план перехода в облако, сформулируйте тест и критерии оценки, выделите экспериментальную зону (не забудьте об этапности, ни в коем случае не всё сразу).