Переход к облачным вычислениям в последнее время все чаще рассматривается как вариант оптимизации ит-инфраструктуры. Однако многие компании опасаются, что при подобном переходе будет создана прямая угроза безопасности конфиденциальных данных, как с точки зрения их целостности, так и с точки зрения защищенности . Опасения вызывают технологические аспекты (непонятен уровень потенциальной угрозы, отсутствуют общепринятые стандарты информационной безопасности, статистика по инцидентам недостаточно информативна, не работают классические методы защиты), юридические аспекты (область ответственности размыта, поскольку речь идет об инфраструктуре, динамически меняющей свой размер, структуру и периметр), а также психологические аспекты (ит-аутсорсинг в России в целом пока еще не стал привычным общепринятым явлением).

Однако по факту получается, что при переходе к облачным вычислениям компании могут не только не понизить, но и повысить свой уровень безопасности, поскольку провайдеры, предоставляющие ит-услуги в данной сфере, уделяют особое внимание вопросам защиты данных и, соответственно, вкладывают немалые средства для разработки эффективной и надежной системы защиты. Зачастую на вопросах безопасности полностью базируется маркетинговая политика провайдера, для которого потеря репутации надежного партнера чревата полным крахом и уходом с рынка. Однако при выборе провайдер необходимо четко понимать, каким именно требованиям в области безопасности должна соответствовать предоставляемая им платформа.

Основные составляющие безопасности платформы облачных вычислений

1. Сохранность хранимой информации. Оптимальной защитой конфиденциальных данных, находящихся в хранилище, является использование различных технологий шифрования. Чтобы предотвратить попытки несанкционированного доступа, провайдеры должны шифровать данные от клиентов, хранящиеся на их серверах. Если же данные становятся ненужными, провайдеры должны обеспечивать их безвозвратное удаление.
2. Защита информации в процессе ее передачи. Зашифрована должна быть и передаваемая информация, доступ к которой можно получить лишь после процедуры аутентификации. Подобные меры выступают гарантией того, что данные не будут изменены или прочитаны неуполномоченными на то лицами. В этой области существует масса разработанных протоколов и алгоритмов с высокой степенью надежности, поэтому провайдерам нет необходимости изобретать что-то свое.
3. Аутентификация. Самый распространенный способ аутентификации – парольная защита. Однако с целью обеспечения более высокой надежности многие провайдеры предлагают воспользоваться токенами или сертификатами. Также целесообразным будет обеспечить взаимодействие провайдера с системой аутентификации пользователей клиента, чтобы информация о списке авторизованных пользователей с указанием их полномочий обновлялась в онлайн-режиме.
4. Изоляция пользователей. Для отделения приложений и данных одного клиента от остальных, оптимальным будет использование каждым клиентом своей виртуальной машины и своей виртуальной сети. Вариант, когда данные всех клиентов размещаются в единой программной среде и изолируются друг от друга путем изменений в коде, не обеспечивает должного уровня надежности, поскольку код может содержать ошибку или брешь, в результате чего данные одного клиента смогут увидеть другие.
5. Оформление нормативно-правовых вопросов. Провайдер должны строго следовать прописанным правилами и придерживаться четкой стратегии в правовой сфере. Особенно это относится к вопросам экспорта данных и обеспечения их безопасности, сохранности, а также к вопросам раскрытия информации.
6. Реакция на инциденты. В случае возникновения непредвиденных обстоятельств провайдеры должны придерживаться априори задокументированных правил, выявляя инциденты, минимизируя их последствия и уведомляя пользователей о текущем положении дел.

При работе в «облаках» не стоит упускать из виду и регулярное обслуживание компьютеров, поскольку именно конечные пользовательские станции становятся наиболее уязвимы, когда большая часть вопросов обеспечения безопасности переходит к провайдеру. Платформы облачных вычислений в силу значительных ресурсов, профессиональной экспертизы и концентрации возможностей зачастую защищены надежнее, нежели отдельная корпоративная ит-система. Поэтому при переходе к облачным вычислениям стоит уделять особое внимание защите endpoint-компьютеров.