Максим Захаренко, генеральный директор компании «Облакотека», написал про отличия в безопасности облачных систем и собственных ИТ-инфраструктур компаний. Кто победил – несложно догадаться.
Мифы об информационной безопасности
Наша жизнь полна мифов. Один из них связан со «слишком быстрым» проникновением облачных технологий в ИТ-инфраструктуры компаний и других организаций. Он формулируется так: «Облако – это же небезопасно», или «Как можно передать критически важные данные куда-то вне офиса компании»… При этом почему-то не принято одновременно задаваться вопросом: «А ваш офис — это безопасно?». Есть вопрос еще лучше – вопрос, который почти никто не задает себе: «Безопасно – это как? Что такое безопасность?».
Руководитель обычно ничего не понимает в информационной безопасности. Максимум – у него есть мнение о 2-3 угрозах (чтобы «1С»-ку не вынесли, чтобы «не сломали»), которые в общем виде беспокоят лично его. Для всего остального у него есть специалист (штатный или приходящий), который, наверное, все уже настроил. В результате руководитель уверен, что у него система безопасна. Но при этом 10-15% ноутбуков в компании были поражены, например, вирусом-шифровальщиком и продолжают поражаться.
Все дело в том, что в массе своей люди мыслят устоявшимися шаблонами, навязанными внешней средой и предыдущим опытом.
Стоит сервер под столом (физически рядом) – значит, он в безопасности. Не произошло взлома системы – значит, вас обслуживает хороший специалист.
Облачно с прояснениями: как банку использовать новые технологииТолько это раньше, ломая компьютеры, стирали жесткий диск. А теперь незаметно включают в бот-сеть, которая участвует в атаках на другие системы, или настраивают регулярное чтение ваших конфиденциальных данных. Причем работают так, что никто в компании годами может не знать о вторжении и удивляться, как конкуренты могут быть готовы к вашим новинкам. Ну и шифруют, конечно, – вымогают денежку.
Радует только, что шаблоны мышления меняются со временем. Хороший пример – банки. После кризиса 1998 г., когда рухнула банковская система вместе со средствами как физических, так и юридических лиц, все деньги лежали исключительно в банке под матрасом. Но с тех пор прошло некоторое время, сказалось долгое отсутствие существенных проблем с финансовыми учреждениями. Внедрение системы страхования вкладов фактически решило вопрос сбережений, стало принято хранить деньги в банках-учреждениях. Этот процесс не меняется даже во время текущего кризиса и болезненной чистки банковской системы. Никто не атакует банкоматы, стало принято доверять деньги банкам.
Реальная информационная безопасность
У реальной информационной безопасности есть два неприятных свойства:
- Безопасность – это не разовое мероприятие, а постоянный процесс;
- Безопасность – это всегда неудобно.
В связи с этим реально налаженных механизмов обеспечения информационной безопасности практически не встречается, иначе «невозможно работать».
Чем длиннее и сложнее требования к паролям, тем чаще они наклеены стикерами на мониторе.
Надо делать профилактику, регулярное антивирусное сканирование, но люди забывают. Плюс в это время все ужасно тормозит, работник думает: «Отложу на потом…». «Откройте доступ к запрещенному типу сайтов – мне нужно по работе!». «У меня почти ничего не ноуте нет… ой, пропали все шаблоны».
Можно сколько угодно бороться с угрозами на уровне периметра, но с человеком бороться очень сложно. Именно обычный пользователь (или пользователь-руководитель) рано или поздно откроет «ящик Пандоры» с вирусами, потому что… ему нужен доступ извне к своим документам в офисе.
Кроме того, данные в традиционной ИТ-инфраструктуре разбросаны по множеству устройств, как серверных, так и клиентских. Пытаться их защитить в таком зоопарке весьма затруднительно.
Добавляя ко всему перечисленному стоимость внедрения средств защиты и расходы на поддержку и мониторинг (и учитывая вероятностный характер нарушения безопасности), приходим к простому факту:
В традиционной ИТ-инфраструктуре, размещенной в офисе, информационной безопасности реально НЕТ.
То есть, конечно, эту информационную безопасность наладить можно (фантазия), но никто не наладил (реальность).
Безопасность в облаке и в офисе
В принципе, 100% безопасности не бывает, можно только более или менее успешно выявлять и бороться с потенциальными угрозами. Сравним, какие уровни безопасности и какими силами можно обеспечить в офисе, а какие – в облаке.
Безопасность начинается с физического уровня, а именно – с качества различных инженерных систем и возможности физического проникновения. Мы обычно сравниваем аппаратную комнату в офисном центре, запирающийся на «английский» замок, с ЦОДами уровня Tier III, где, как иллюстрация, обязательна система защиты от протечек, не говоря уже о системе видеонаблюдений, СКУД и т.д.
Понятно, что доступность ИТ-инфраструктуры внутри офиса выше, чем из офиса в облако, но кто сейчас работает только в офисе? Как минимум, пути коммуникации, особенно электронная почта, должны быть доступны отовсюду, и здесь ЦОД с его качеством каналов, конечно, вне конкуренции.
10 мифов про облачные технологииРынок средств защиты (оборудование и программное обеспечение) устроен так, что для предотвращения серьезных атак используется дорогое оборудование. В недорогих моделях многих функций защиты просто нет, поэтому от некоторых угроз небольшая компания защититься в принципе не может – приобрести защиту будет слишком дорого. Если система находится в облаке, то, как минимум, закупка меняется на аренду (более доступные ежемесячные платежи). Чаще всего средства защиты используются в общем режиме, когда одно устройство обслуживает десятки, а то и сотни облачных инфраструктур клиентов. Таким образом, чтобы использовать все безграничные возможности устройства за 30 тысяч у.е., конечный клиент платит доступные 30 тысяч/30 месяцев/100 клиентов = 10 у.е. в месяц.
То же самое касается и квалификации сотрудников (офицеров безопасности). Во многих, особенно небольших, компаниях нет отдельных специалистов по безопасности, эта функция возложена на штатных или приходящих ИТ-специалистов, и у руководителя нет возможности даже провести аудит, чтобы разобраться, что у него происходит. Он либо не знает о такой возможности, либо это дорого. В ЦОДе же работает несколько дорогих разноплановых специалистов, каждый из которых также обслуживает сотни клиентов, и их опыт становится вполне доступным для любого клиента. Плюс очередная облачная инфраструктура размещается в типизированном безопасном окружении, то есть, часть функций безопасности просто автоматически применяются при размещении в облаке.
Есть еще один важный момент – информация о безопасности. В офисах обычно нет не только документации, но и любой информации, как и что устроено. Все сосредоточено в головах специалистов. При размещении ИТ в облаке, как правило, многое описано в SLA, NDA и других документах. Клиент будет как минимум информирован об устройстве системы безопасности и границах зон ответственности.
В облаке работает система резервного копирования. Она может быть встроена в базовые тарифы, а может быть опцией, но всегда из описаний и документов понятно, что она делает и по какому принципу работает, как обеспечивается доступ к резервным копиям и т.д. Причем, поскольку система обслуживает сотни или тысячи клиентов, она функционирует именно как система с мониторингом и контролем работоспособности и производительности, дающая гарантию наличия резервных копий. В офисах часто есть система резервирования, но постоянного контроля за ней нет.
Зашифровать смартфон и ноутбук: пошаговая инструкцияИ остается только конфиденциальность. Для начала: у облачного провайдера часто нет доступа к гостевым операционным системам клиента, но даже если он есть, то описан он в различных административных документах (соглашение о конфиденциальности, политика информационной безопасности и т.д.), то есть регламентирован. Провайдер – юридическое лицо, с него можно взыскать существенную сумму ущерба, поэтому провайдер строит надежные схемы. Со своим сотрудником у компании тоже, на самом деле, договор, только трудовой. Что там написано? Какую он реально несет ответственность и что может возместить? Если же специалист приходящий, то чем это отличается от провайдера? Доступ к данным есть у «чужого» человека, вопрос только – как это регламентировано.
Кстати, поскольку все данные сосредоточены в облаке компактно, то можно применить систему DLP для контроля утечек и точно знать, кто, что и куда отправлял, что невозможно сделать в офисе с данными, разбросанными по ноутбукам сотрудников. Также при размещении в облаке не всегда известно о самом факте существования тех или иных данных.
Мы провели неглубокий анализ ситуации с информационной безопасностью в офисе и в облаке, но даже навскидку видно, что структурированная и упорядоченная эксплуатация облачных инфраструктур, где часть безопасности обеспечивается «сама», без усилий клиента, почти по всем параметрам надежнее и безопаснее, чем реальная ситуация с информационной безопасностью традиционной ИТ в офисе.
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- 1 Плюсы и минусы мультиоблачной инфраструктуры
- 2 От вешалки до кассы: как видеоаналитика помогает фэшн-ритейлу оптимизировать подход к работе с покупателями
- 3 Размещение в облаке в формате единого окна: как работает комплексный инфраструктурный партнер
- 4 Как франчайзи могут улучшить клиентский сервис с помощью видеонаблюдения Ivideon
- 5 Одна дополнительная услуга — плюс 100 млн рублей в год: как телеком-компании зарабатывать больше
ВОЗМОЖНОСТИ
20 апреля 2024
21 апреля 2024
21 апреля 2024
21 апреля 2024
22 апреля 2024