понедельник, 26 марта 2012 г.

#5 - Три мифа о безопасности публичного облака

Очередной совсем непрофессиональный перевод. Перевести решил сам, ввиду того, что не нашел перевода среди авторов, чьи блоги я чту. Если уже переводилось - не обессудьте.

На конференции RSA в начале этого месяца, было две темы, которые, казалось, преобладали: мобильная и облачная безопасность. Чем больше будет появляться платформ для мобильных платежей и соответствующих приложений, тем больше уязвимостей появится в 2012 году. И недавний взлом Google Wallet это всего лишь первая весточка. Да и Cloud Security Alliance объявил о новых, специфичных инициативах.
Обсуждение безопасности облачных вычислений уже идет полным ходом, и на нее лишь был поставлен акцент в прошедшем мероприятии. До сих пор ходит много слухов, домыслов, спекуляций на тему: "а возможно ли вообще обеспечить настоящую безопасность для облачных вычислений?" Сегодня я бы хотел углубиться в обсуждение моей любимой темы: публичные облака. Вот три мифа о безопасности публичного облака.

Вы не сможете добиться соответствия установленных требований в облачной среде.

Многие не знают, но Payment Card Industry (PCI) приняла руководящие документы, которые непосредственно направлены на публичные облака. PCI-DSS 2.0 был написан с сильным акцентом на виртуальные среды. Здесь указаны и технологии и средства достижения целей, но вот только многие вендоры и компании до сих пор не хотят тратить деньги для их достижения. Поскольку публичные облака изначально являются виртуальной инфраструктурой, провайдеры публичных облаков находятся в уникальном положении, они обеспечивают соблюдение установленных требований. Осторожно проводя развертывание мероприятий в области безопасности и контролируя эти процессы для соответствия, например, PCI или HIPAA, даже не полностью соответствующий потребитель будет получать определенную выгоду. Соблюдение мер само по себе не обеспечит безопасность. Но возможность производить совместимые инфраструктурные решения является большим преимуществом. Главное в том, что все это - реализуемо!

Если одну компанию, находящуюся в этом облаке. взломали, то все остальные - уязвимы.

Несмотря на сложившееся впечатление, хостинг публичного облака это не то же самое, что виртуальный хостинг. В то время, как организации используют единые виртуальные политики инфраструктур, данных, сетей и устройств, все они могут быть разделены. Публичное облако можно настроить таким образом, чтобы весь внешний и внутриоблачный трафик шел в обход сети (поступал из вне). Это означает, что компании будут подвергаться тем же мерам регуляции в области безопасности и инспекциям, независимо от источника трафика. Например, если организация предоставляет коммерческие услуги на своем сайте, а другая организация, которая пользуется их услугами находится с первой в одном публичном облаке, клиентский трафик будет вынужден выйти из инфраструктуры и вернуться в нее, как если бы он был исходящим из Интернета. Полное логическое разделение возможно, и это необходимо для обеспечения безопасности, а также во исполнение большинства нормативных требований.

Облако не может быть столь же защищено, как выделенный сервер.
 
Согласно отчету "2011 Verizon Data Breach Investigation" чаще всего нарушается целостность управляемых изнутри инфраструктур. Это происходит потому, что управление таким типом инфраструктуры, как правило, менее сосредоточено на ежедневном обеспечении ​​безопасности, чем те, которые используют облака или виртуальные среды. Ежедневное обеспечение защиты это весьма важная характеристика для большинства отраслей. Если система была сконструирована и управляется должным образом, нет никаких доказательств того, что среда публичного облака намного менее безопасна, чем традиционный выделенный сервер. Беглый взгляд на статистику Google Search Volume Index показывает, что организации прекращают выделенные сред под облачные альтернативы. Среда публичного облака, как правило, построена и эксплуатируется компаниями, которые занимаются постоянным мониторингом и управлением инфраструктурой для достижения  целостности и уязвимости - постоянно работают над улучшением и обеспечением охраны окружающей среды. Cloud Security Alliance внедрил стандарты и процедуры, которые, если им следуют поставщики, может на самом деле обеспечить технологии облачных вычислений более высоким уровнем защиты в настоящее время, чем выделенные сервера.

Если мы что-то вынесли из конференции  RSA, так это то, что облачные технологии могут быть защищенными и они должны быть таковыми, это определяется потребностями роста в этой сфере. В этой связи, организациям не нужно бояться публичных облаков. Просто им нужно лучше понять их.

Комментариев нет:

Отправить комментарий