Дмитрий Хороших, Cisco
Вообще, после детального анализа ИТ-инфраструктуры заказчика, становится понятным, что для 20% систем, в первую очередь связанных с разработкой, тестированием и внедрением новых продуктов, вопросы безопасности вообще не актуальны. Таким образом, эти системы – первые кандидаты на перенос во внешний облачный ЦОД. Еще для 50% систем можно довольно просто сформулировать модель угроз и разработать комплекс мер по обеспечению ИБ. И только для 30% систем вынос во внешний ЦОД будет затруднителен. Хотя мне известны случаи, когда компании целиком выносили свои ИТ-ресурсы во внешнее облако и при этом полностью закрывали вопросы, связанные с безопасностью.
Игорь Сичкарь, SI BIS
Не секрет, что вопросы безопасности, связанные с внедрением облачных сервисов в организации, являются самым актуальными на сегодняшний день. Передавая функции хранения корпоративных данных и управления ими внешнему поставщику услуг, организация должна уделить внимание вопросам безопасности, конфиденциальности, защиты информации и соблюдения прав интеллектуальной собственности. Многих клиентов интересует, как обеспечивается безопасность данных и информационных систем в облаке.
Пользователям любой облачной службы важно понимать политику поставщика в отношении пользовательской информации. Поставщик должен использовать согласованную, надежную и прозрачную политику конфиденциальности, исходя из того что клиент является собственником своих данных. Так, заявление о конфиденциальности Microsoft Windows Intune содержит четкие положения о том, как происходит обращение с клиентскими данными и данными транзакций Windows Intune.
Как показывает практика, больше всего заказчики выражают беспокойство относительно защищенности данных, их неприкосновенности, а также отсутствия контроля. Компании, особенно малый и средний бизнес, называют эти факторы главными барьерами, препятствующими использованию облачных решений.
Андрей Довгань, Terrasoft
Сегодня можно уверенно говорить о росте доверия к SaaS-технологиям, хотя еще 4-5 лет ситуация была иная. Основным фактором, замедляющим рост рынка SaaS, является вопрос сохранности данных. Ситуация меняется, сейчас многие понимают, что все опасения беспочвенны. К тому же, на рынке есть облачные приложения, которые можно развернуть на площадке клиента. При таком подходе сохраняются все преимущества SaaS и данные физически находятся на сервере клиента.
Александр Ширманов, Veeam Software
Когда данные ограниченного доступа выносятся в облачную среду, значительно усложняется модель безопасности информации. Во-первых, сильно меняется модель злоумышленника. Если в частном облаке угрозу могут представлять только внутренние нарушители (сотрудники), так как корпоративный ЦОД с конфиденциальными данными обычно отключен от внешнего доступа, то в публичном облаке возникают внешние нарушители: персонал провайдера публичных услуг, нарушители “посередине” (между компанией и публичным облачным провайдером). Меняется и периметр безопасности. Теперь нужно защищать канал, а также продумывать и настраивать межсетевое экранирование, чтобы, например, нарушитель из числа персонала публичного ЦОДа, не мог получить доступ во внутрикорпоративную сеть через защищенный канал между компанией и публичным ЦОДом. Среди основных проблем надо назвать следующие:
2) Несанкционированный доступ персонала ЦОД практически невозможно выявить на стороне клиента ЦОД. Решение заключается только в шифровании данных, но тогда теряется возможность их обрабатывать на стороне провайдера.
Ольга Берестецкая, Yaware
Страхи заказчиков чаще всего формулируются такими словами «наши данные находятся не у нас»; «вы продадите нашу конфиденциальную информацию конкурентам».Первый страх решается резервным копированием, которое предоставляет провайдер облачного сервиса и предоставлением клиентам бесперебойного доступа к их данным.
Что же касается конкурентов, то чаще всего информацию конкурентам «сливают» сотрудники компании, вынося её на «флешке». А поставщик сервиса работает на свою репутацию, поэтому он предпринимает все возможные меры по защите информации. Поскольку эти страхи скорее мнимые, большое значение имеет имидж поставщика облачного сервиса, его надёжность в глазах клиентов.
АлексейШишлянников, АМИ
Многие компании уверены, что данные, находящиеся за рубежом, защищены надёжнее, чем те, что находятся в серверной. Вопросы доступа к информации, конечно, беспокоят клиентов. Однако следует понимать, что в профессионально спроектированных ЦОД и решениях, которые поставлены «на поток», применяются самые совершенные средства безопасности. На внедрение в частном облаке необходимо потратить намного больше средств.
В любом случае, преимущества «облачных» сервисов компенсируют связанные с ними риски. Экономия финансов на начальном этапе может с лихвой компенсировать и отодвинуть на второй план мифические риски, связанные с облаками.
Владимир Мельник, «Аплинк»
Как говорил Юджин Х. Спаффорд, один из крупнейших западных экспертов по исследованиям защищенности и безопасности информации: «По-настоящему безопасной можно считать лишь ту систему, котоpая выключена, замуpована в бетонный коpпус, запеpта в помещении со свинцовыми стенами и охpаняется вооpуженным каpаулом, — но и в этом случае сомнения не оставляют меня». Как в любом крылатом выражении здесь есть и доля шутки, и доля правды. Прежде всего, эксперт указывает на четыре основных источника нарушения безопасности.
2. Недостаточная аппаратная защита. Здесь так же следует заботиться как о дублировании носителей и различных средств обеспечения резервного копирования, так и разнообразных инструментах ограничения физической возможности доступа (как злоумышленников, так и стихий).
3. Недостаточная защита каналов передачи данных. Следует помнить и о том, что между информацией и ее потребителем находится некоторая среда, получить доступ через которую зачастую бывает проще, чем извлекать информацию из крайних точек.
4. Человеческий фактор. Целенаправленное или случайное пренебрежение правилами и процедурами безопасности сводит на нет все усилия специалистов, её обеспечивающих.
Часть методов обеспечения безопасности, хорошо себя зарекомендовавших на уровне локальных сетей, без проблем переносится и в облако. Это касается, например, шифрования, резервного копирования. Часть методов, хорошо работавших ранее (например, создание внутреннего периметра безопасности, ограниченного локальной сетью и системой карточного доступа) требует доработки.
Александр Валентеенко, «Астерос»
Наиболее чувствительными являются в первую очередь финансовые учреждения и телеком-операторы, где обеспечение безопасности является ключевой нитью, идущей сквозь весь бизнес таких компаний. Безусловно, аспект неприкосновенности информации со стороны третьих лиц является основным фактором риска для такого заказчика. Однако следует заметить, что современные системы ИТ-безопасности настолько развиты, что слабым местом безопасности скорее может стать человеческий фактор собственного персонала, нежели недостатки облачной среды и возможные утечки информации через ИТ-системы.
Максим Захаренко, «Облакотека»
Ключевые риски, которыми оперируют противники облаков – утрата доступности данных (в том числе безвозвратно) и утрата конфиденциальности.
В реальной жизни данные теряются чаще всего в офисе при повсеместном пренебрежении резервным копированием. К этому добавляется риск выноса оборудования и случайности, связанные с эксплуатацией офиса (пожар, затопление, сбой при отключении электричества и пр.). Готов утверждать, что у провайдера, выполняющего резервное копирование, данный риск существенно ниже, чем при размещении ИТ в офисе.
Конфиденциальность информации в облаке также сохранить существенно проще, особенно если облако вне юрисдикции Украины. За информацией «приходят» именно в офис.
Андрей Бондаренко, «ЭС ЭНД ТИ УКРАИНА»
Дополнительно ситуация усугубляется и тем, что в настоящее время для клиента совершенно нет никакой гарантированной возможности оценить, насколько безопасна та или иная облачная технология. И чтобы изменить вышеупомянутые страхи, необходим либо жесткий «приказ идти в облако», либо положительная многолетняя история у провайдеров услуг. Но процент опасающихся все равно еще долгое время будет высоким.
Способна ли корпоративная культура заказчиков справиться с рисками, которые несет с собой новый подход к организации вычислений?
Александр Валентеенко, «Астерос»
Многие люди ежедневно сталкиваются с сервисами, работающими в «чужих облаках». Это, например, проведение транзакций на счету биллинговой системой банка с привлечением процессинга сторонней от банка организации. Ежедневно проводятся сотни миллиардов операций, которые организованы аналогично вычислениям в облаках. Сбой ИТ-инфраструктуры предприятия, которое экономит на модернизации ИТ, в разы более вероятен, нежели у облачного-провайдера, который строит свой бизнес на предоставлении подобных услуг. Выход из строя сервиса, размещенного в облаке у провайдера, допускает возможность потери данных, однако не потребует дополнительных инвестиций в ИТ для устранения и модернизации инфраструктуры. Кроме всего прочего, с провайдера можно потребовать компенсацию за простой в работе компании, чего не сделаешь с собственной службой ИТ.
Более того, облачный-провайдер, накапливая знания и опыт решения сбоев в работе ИТ, реплицирует знание на инфраструктуру всех клиентов, а значит, возникший сбой у одного клиента, позволит предупредить возникновение этой проблемы у остальных.
Компенсируют ли преимущества «облачных» сервисов связанные с ними риски? Данная бизнес-модель обеспечивает переход от CAPEX в OPEX, прогнозирование и прозрачный учет потребления информационных ресурсов, а также их предоставление по требованию. Кроме того, инфраструктура частного облака дает возможность минимизировать риски простоя, повысить качество обслуживания и при этом снизить TCO. Преимущества решений видны невооруженным глазом. Чтобы не попасть в «зависимость» от облачного провайдера, следует диверсифицировать провайдеров услуг, использовать гибридные облака или просто не отдавать весь свой бизнес в одни руки.
Алексей Шишлянников, АМИ
Предстоит еще немалая работа по изменению отношения украинских предприятий к облакам. Своим клиентам мы рекомендуем использовать весь спектр сервисов, предоставляемых в рамках пакетов Office 365. Это и почтовый сервис, сервис аудио-видеоконференций и вебинаров, сервис внутрикорпоративного портала, а также сервис управления проектами.
Также для управления инфраструктурой персональной техники нами предлагается сервис Microsoft Intune, который, по сути, предоставляет функционал System Center с возможностью управления не только компьютерами, но и мобильными устройствами пользователей.
Компания АМИ предоставляет сервис облачного 1С, портальные решения и решения для организации электронного документооборота и бизнес-аналитики. Также мы предлагаем сервис консолидации данных СКД собственного производства и ряд других.
Владимир Ткачев, VMware
В передовых ИТ-странах облачные технологии развиваются стремительно и на сегодняшний день разработан эффективный инструментарий минимизации возможных рисков. Страны Восточной Европы, конечно, отстают, ведь многие организации ещё только на пути к принятию решения о виртуализации ИТ-инфраструктуры. Использование публичных облаков пока также не очень широко распространено, что связано, в первую очередь, с недоверием к хранению данных «неизвестно где» и возможной неготовностью провайдеров публичных облачных сервисов «подписываться» деньгами под уровнем оказываемых услуг.
Андрей Бондаренко,«ЭС ЭНД ТИ УКРАИНА»
Подход грамотного провайдера услуг заключается в том, что для заказчика «внешне» практически ничего не меняется, как бы технологически сложно не был бы организован «новый подход к организации вычислений».