среда, 27 июня 2012 г.

Так ли плохи "облака" с точки зрения безопасности ?

Когда в среде ИТ-шников заходит разговор про облачные технологии, то многие указывают на вопросы безопасности как один из аспектов, который мешает активному переходу "в облака".  Еще бы, ведь контроль над инфраструктурой, приложениями и данными снижается или пропадает вовсе. Так что не удивительно, что опросы показывают вот такие результаты:

Но давайте попробуем взглянуть на это несколько иначе.  Когда мы говорим о крупном бизнесе, то конечно же переход к облачным технологиям действительно может потенциально увеличивать риски, связанные с передачей инфраструктуры, приложений и информации стороннему поставщику.  Но давайте оценим ситуацию с точки зрения малого и среднего бизнеса:

Риск нарушения доступности инфраструктуры, приложений, данных.

Малый и средний бизнес как правило очень ограничен в денежных ресурсах и поэтому не всегда закупает надежное оборудование, резервирует его, корректно обслуживает и не всегда обеспечивает его оперативную замену.  Если мы говорим про хорошего облачного провайдера, то эти вопросы для него жизненно важны и поэтому компания-клиент может рассчитывать на более высокий уровень доступности и регулярный бекап данных. Единственное о чем нужно беспокоится компании - наличие хорошего доступа в сеть Интернет, в крупных городах с этим нет проблем, но в целом по России все конечно по-разному.

Риск нарушения конфиденциальности со стороны работников облачного провайдера

Для малого бизнеса это редко является проблемой т.к. маловероятно, что облачный провайдер войдет в сговор с кем-то из конкурентов и передаст ему данные клиента. А малых бизнесов, которые обрабатывают действительно чувствительную/секретную информацию очень немного по сравнению с общей массой. Так что ничего страшного в том, что данные передаются сторонней организации нет. А при этом облачный провайдер с большой долей вероятности обладает более расширенными механизмами контроля доступа и надежнее способен обеспечить защиту от НСД (еще раз напоминаю что я веду речь о профессиональном провайдере, а не о какой-нибудь шаражке).

Риск хакерского взлома 

Малый и средний бизнес выделяет не очень много денег на информационную безопасность, редко обладает собственным штатом ИБ-спецов и поэтому уровень защищенности таких организаций как правило оставляет желать лучшего. Это хорошо если хотя бы антивирус установлен и обновлен, а то бывает и этого нет. Сервис-провайдер же наверняка регулярно проводит анализ защищенности своей инфраструктуры и обеспечивает оперативное обновление программного обеспечения, контроль за вносимыми изменениями, выявление попыток вторжения, антивирусную защиту и проч.

Риск форс-мажора

Сюда можно отнести и природные и техногенные явления и (актуально для России) приход товарищей в масках. Если бизнес выбрал крупного облачного провайдера мирового уровня, то он может рассчитывать и на наличие у этого провайдера резервных ЦОДов по всему миру (исключаем проблему со стихийными бедствиями) и на то, что "люди в масках", которые придут и заберут все компьютеры, во-первых ничего на них не найдут, а во-вторых не остановят бизнес, т.к. все системы продолжат функционировать и надо только получить доступ к сети Интренет.

И так можно сказать по всем прочим рискам, которые приходят на ум когда мы говорим о переходе на сторонний сервис. Поэтому для малого и среднего бизнеса переход на облачные технологии с точки зрения безопасности снимет больше рисков чем создаст.

P.S. Стоит еще конечно же упомянуть, что для малого и среднего бизнеса после перехода на облачный сервис возникает один серьезный риск - привязка к провайдеру. Именно отсутствие собственных ИТ/ИБ-специалистов создаст серьезный барьер при попытке сменить провайдера. И чем дольше бизнес будет пользоваться этим сервисом, тем сложнее будет потом "соскочить". Так что возможно в будущем появятся специализированные организации, которые будут оказывать помощь в миграции с одного провайдера на другого.

5 комментариев:

  1. Саш, что за источник данных по опросу?

    ОтветитьУдалить
  2. С облаками, как в прочем и со всеми другими IT новинками, в России есть ровно одна проблема с точки зрения безопасности: защищенность на уровне требований законов. Пока наша нормативка пишется под офисный компьютер с установленным офисом от Microsoft, четко выявленным периметром и слабым информационным обменом с партнерами, требования закона будут угрозой ИБ номер 1, по крайней мере, для меня.

    ОтветитьУдалить
  3. Есть ещё такой риск что страна в которой находится облачный провайдер - повелит закрыть доступ в Россию. (как сейчас между сша и ираном)
    Так-же могут заблокировать доступ из-за SOPA или ещё какого-то иностранного законодательства.

    ОтветитьУдалить
  4. Ага, ну тогда идем с лозунгом "используйте облака только отечественных производителей" или еще лучше "используйте облака, сертифицированные ФСТЭК/ФСБ) :)))

    ОтветитьУдалить