110 просмотров

Как обеспечить безопасность данных в облаке

Мирас Касымов
директор по развитию Accenture в Казахстане

В Казахстане растет спрос на облака. По словам заместителя председателя правления по развитию стратегических проектов АО «Транстелеком» Газиза Доненбая, каждая третья крупная компания страны размещает в облаках свою инфраструктуру и использует облачные сервисы. Но, как отмечает эксперт, наиболее востребованными остаются такие сервисы, как аренда инфраструктуры (IaaS) и программного обеспечения (SaaS).

Предприятия республики с явным недоверием относятся к платформенным сервисам – тем, которые позволяют не только оптимизировать затраты на ИТ, но и революционировать работу с данными. Бизнес все еще относится к миграции в облака с опасением. Причина страхов – безопасность данных, которые сегодня для множества предприятий стали главным активом.

Кто отвечает за безопасность в облаке

Облачные провайдеры, которые постоянно выводят на рынок новые услуги, в разговорах об обеспечении безопасности ограничиваются рассказом о надежности своих дата-центров. И это не случайно. Дело в том, что обеспечение защиты данных и информационных систем, размещенных в public cloud, ответственны сами компании. И именно на их плечи ложится создание «оборонительных рубежей» при миграции в облако. Это серьезная проблема для любого предприятия. Но ее решение может стать дополнительным, и в некоторых случаях даже главным драйвером развития компании на новой, облачной платформе.

Менее 40% компаний считают, что их инвестиции в развитие облаков полностью оправдались. И дело здесь как в сложности облачных сред (отсутствие компетенций и персонала, применение гибридных и мультиоблачных решений, не всегда понятное распределение ответственности между провайдером и заказчиком), так и в новом подходе к обеспечению безопасности. Дело в том, что традиционные методы, подразумевающее строительство и поддержание в актуальном состоянии ИБ-систем, в облаках не работает. Не случайно 65% ИТ-директоров во всем мире называют угрозу данным главным риском перехода в облако.

Это объясняется высокой скоростью изменений в ИТ-ландшафте, которые происходят в облаке. Гибкость облака и практически мгновенная масштабируемость дают возможность радикального сокращения сроков запуска новых систем и сервисов, для которых требуются новые подходы к обеспечению безопасности. 

Два принципа облачной безопасности

Для того, чтобы обеспечить безопасность облачных систем, необходимо придерживаться двух основополагающих принципов.
 
Первый – прозрачное управление облачными средами. Стремиться к нему необходимо ради того, чтобы постоянно контролировать работу систем, вовремя устранять ошибки и выявлять нештатные ситуации. Особенно актуально это в тех случаях, когда компания использует мультиоблачный подход, разворачивая часть сервисов в публичных облаках и оставляя свои ключевые системы в частном облаке. 

Второй принцип – упреждение. Простая фиксация угроз и контроль за системой становятся недостаточными. Разработка политик и процедур безопасности, организация управления средствами ИБ, четкое определение порядка реагирования на угрозы, сотрудничество с провайдерами в части использования защитных систем – важнейшие задачи, которые должны решаться постоянно, а не единовременно.

Что необходимо сделать при миграции в облако

Достаточно просты и первоочередные действия, которые необходимо предпринять предприятию перед тем, как переносить свои системы в облако. Их можно осуществить пошагово, по мере миграции.

Уже на этапе развертывания облачной платформы ИТ-службы компании должны позаботиться о том, чтобы предусмотреть размещение на облачной платформе необходимых средств безопасности и определить политики доступа к сервисам. При этом стоит предварительно ознакомиться с теми решениями и подходами, которые предлагает сам провайдер. Нет, речь не идет о простом выборе готового решения. Предложение стоит внимательно проанализировать и усилить его дополнительными сервисами, арендуемыми у провайдера или подготовленными собственными силами.

И, тем не менее, в качестве основы стоит развернуть систему безопасности, предложенную поставщиком PaaS. Любой шаблон платформы, предлагаемый провайдером, уже содержит необходимый минимум мер безопасности, при помощи которых можно организовать сетевой доступ к системам и взаимодействие с коммуникациями ЦОД.

Дорожная карта

Облачные технологии переживают этап ускоренного развития. Нормой становится не просто переход в облако или виртуализация используемых мощностей, а развитию гибридных и мультиоблачных сред, когда бизнес использует для разного типа сервисов услуги нескольких провайдеров. Все это требует особенного внимания к разработке стратегии перехода в облака, которая позволит не только воспользоваться новыми преимуществами, но и обеспечить безопасность систем и данных.

При разработке стратегии перехода в облако бизнесу предстоит ответить на несколько важнейших вопросов, которые и определят пути дальнейшего технологического развития.

Первый из них: выбор между арендой готового облачного решения у провайдера и разработкой собственного. Казалось бы, с точки зрения экономики выбор очевиден: арендовать облачные мощности гораздо дешевле и проще, чем строить private cloud. На самом деле вариант с арендой не так прост. Не только поставщик услуг должен соответствовать потребностям заказчика. Сама компания в не меньшей степени должна быть готова использовать услуги провайдера, чтобы добиться максимальной эффективности и оправдать свои инвестиции. 

Второй вопрос – выбор модели облачных услуг или провайдера в соответствии с потребностями. И важнейшим аспектом, который необходимо учитывать, отвечая на этот вопрос, является способность поставщика услуг обеспечить необходимый уровень безопасности систем. При этом речь идет не только о надежности дата-центра, используемого провайдером, но и о функциональности его систем безопасности. 

Ответ на третий вопрос потребует серьезного анализа собственных компетенций компании.  А насколько эффективно сам бизнес защищает собственные данные? Эффективно ли реагирует он на угрозы целостности данных? И, в конце концов, дает ли хранение ценнейших баз данных в собственном ЦОД гарантию их неприкосновенности и конфиденциальности? Строгий аудит собственных систем ИБ и компетенций продемонстрирует реальный уровень безопасности. И чаще всего он будет значительно уступать тому, который может предложить облачный провайдер.

Четвертый вопрос подразумевает понимание перспектив развития компании. Важнейшее преимущество облака – простая масштабируемость систем, которая позволит содержать мощности, необходимые бизнесу «здесь и сейчас». Но насколько готовы к масштабированию системы безопасности, используемые компанией. Надежно ли будут защищены те системы, которые будут вводиться в строй по мере развития компании? И не станут ли они «отрытой дверью» для киберпреступников?

Многие из этих вопросов можно назвать риторическими. Действительно, даже сама их постановка показывает, что защита данных собственными силами для подавляющего большинства компаний – сложнейшая задача. Ее решение требует не только необходимых мощностей, но и компетенций. И в той, и в другой области облачные провайдеры имеют неоспоримые преимущества перед компаниями. 

И, тем не менее, даже самые строгие сервисные соглашения и самые серьезные компетенции провайдера не могут служить полной гарантией безопасности в облаке. Ее обеспечение всегда – общая задача поставщика услуг и заказчика. И организовать безопасность, чтобы сохранить самый ценный актив цифровой эпохи необходимо в момент переезда в облако.

Дарига Токпаева

Как снизить затраты компании путем оптимизации документооборота и текущих бизнес-процессов

Мы хотим поделиться своим опытом по оптимизации текущего документооборота и бизнес-процессов в области кадрового администрирования, закупок, а также поставок товаров компании. Мы разработали варианты оптимизации и автоматизации процессов, которые позволяют существенно сократить количество внутренних документов, текущих процедур для сотрудников компании по подписанию этих документов и, соответственно, снизить нагрузку на персонал компании, высвобождая его возможности для реализации других проектов.


Елдар Шакенов

Как инвестору защититься от инфляции

В финансовых кругах много говорят об инфляции. Федеральная резервная система (ФРС) хочет стимулировать умеренный рост инфляции и удерживает процентные ставки на низком уровне до тех пор, пока это не произойдет. В это время инвесторы ожидают, что отложенный спрос, связанный с пандемическим образом жизни, может вызвать внезапный рост расходов, когда COVID-19 будет взят под контроль. Этот приток денег в экономику вызовет рост цен, что потенциально может привести к инфляции выше целевого показателя ФРС, составляющего чуть более 2%.


Рита Оразымбетова

Зачем нужен новый административно-правовой кодекс?

Принятие нового Административного процедурно-процессуального Кодекса Республики Казахстан (далее АППК), который вводится в действие с 1 июля 2021 года. АППК - первый опыт кодификации и систематизации норм, регулирующих деятельность административных органов государства.


Ернар Накисбеков

Банк как IT-компания: как и почему банки изменились за последние 10 лет

Процессы цифровой трансформации банковского сектора существенно ускорились в период пандемии 2020 года. Основным вызовом было обеспечение непрерывности работы бизнеса. Отсутствие возможности физического взаимодействия с клиентами в течение длительного периода времени «подсветило» все слепые зоны: так называемые end-to-end онлайн-процессы оказывались неустойчивыми из-за большой зависимости от физического вмешательства сотрудников во внутреннее наполнение.


Дмитрий Нехаев

Как работают технологии компьютерного зрения и какие задачи они решают

Применение компьютерного зрения становится востребованными в разных сферах – оплата по биометрии лица в ритейле или общественном транспорте, городское видеонаблюдение, системы контроля доступа на социально значимых и промышленных объектах, анализ состояния водителей, определение средств индивидуальной защиты на производстве, банковские и государственные сервисы.