Журнал о системах электронного документооборота (СЭД)
Платформы построения ECM

Облачные угрозы и "зонтики"

  1 комментариев Добавить в закладки

С переносом корпоративных систем в облачную инфраструктуру связаны определенные опасения: от нарушения конфиденциальности данных до их недоступности и потери. Эта статья – попытка разобраться, какие существуют угрозы при использовании модели SaaS, и как их минимизировать.

Сетевые атаки

Облачный сервис – бизнес-услуга, которая предоставляется заказчику через Интернет. Являясь публичной сетью, Интернет дает возможность получения доступа к этой услуге третьим лицам. С этим связана уязвимость облака для сетевых атак: вредоносных вирусных программ, перехвата реквизитов доступа, перебора паролей, подмены клиента и пр. Наибольшее распространение сегодня получают DDoS-атаки (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»), при которых страдает вся инфраструктура облака.

Сетевые атаки относятся к классу сложных многоуровневых угроз. Поскольку злоумышленники не стоят на месте в изобретении новых методов получения доступа к конфиденциальным данным, облачным провайдерам приходится выстраивать из знакомых элементов защиты сложные системы.

Для минимизации угроз провайдеры должны своевременно в плановом режиме производить обновления сервиса, клиентского приложения. Качественное и часто обновляемое антивирусное программное обеспечение поможет минимизировать риски проникновения вредоносных программ. Межсетевой экран (firewall, брандмауэр) применяется для контроля и фильтрации нежелательных сетевых пакетов (не подходящих под заданные в конфигурации категории). Брандмауэры являются крайне эффективным способом защиты от DDoS-атак, однако они применимы исключительно для защиты частных сетей.

Надежные технологии аутентификации пользователей позволяют предотвратить несанкционированное использование учетных записей посредством перехвата реквизитов доступа и перебора паролей. Для обеспечения более высокой надежности прибегают к таким средствам, как токены (аппаратные устройства для электронной идентификации пользователя) и сертификаты.

Утечка или потеря информации

Для предотвращения случайной потери данных у поставщика должны быть внедрены технологии резервного копирования. Иначе данные может случайно удалить сам провайдер, или они пострадают от какого-либо физического воздействия (например, пожара).

Для защиты данных при передаче применяется шифрование, при этом зашифрованные данные могут быть доступны только после аутентификации – даже в случае доступа через ненадежные узлы их не получится прочитать или изменить. Протоколы и алгоритмы SSL, AES, TLS, IPsec сегодня активно и широко применяются провайдерами.

DLP-системы (Data Leakage Prevention – предотвращение утечки данных) предназначены для контроля потоков передачи информации и блокировки нежелательных из них (включающих конфиденциальные сведения компании). Системы эффективны для борьбы с утечкой информации, однако они не получили сегодня большой популярности на рынке корпоративных SaaS-сервисов в силу известных причин: корпоративные заказчики весьма неохотно соглашаются на всесторонний мониторинг своих конфиденциальных данных со стороны провайдера ПО.

Угрозы инсайдеров

Под инсайдерскими мы будем понимать угрозы, исходящие как от сотрудников оператора, так и от представителей самого заказчика. И если второй вариант автоматически списывается на кадровые проблемы заказчика, то в первом причина кроется в отсутствии строгой политики безопасности и жесткой регламентации действий персонала провайдера, который в силу служебных обязанностей имеет расширенный доступ к информации клиентов.

Облачные провайдеры должны обеспечивать соблюдение жесткого регламента доступа к данным и организовать строгую систему контроля, уделяя при этом должное внимание к отбору персонала, который впоследствии будет обладать доступом к ключевым компонентам инфраструктуры.

Доступность облачного сервиса

Часто клиенты опасаются простоев по причине сбоя в работе облачных систем. Несмотря на возможные ошибки, облака позволяют организовать распределенную отказоустойчивую систему, стойкую к сбоям, находящуюся под постоянным контролем специалистов провайдера. Доступность подтверждается SLA (Service Level Agreement – соглашение об уровне обслуживания; документ, формулирующий права и обязанности двух или более сторон в виде договора оказания услуг).

SLA гарантирует определенный уровень оказания услуг с перечислением необходимых параметров, которые фиксируются несколько раз в течение дня: доступность услуги, время отклика сервиса, пропускная способность и пр. По итогам месяца готовится статистический отчет, в котором приводятся средние значения по всем параметрам. При отклонении от норм по результатам ежемесячного отчета поставщик выплачивает компенсацию.

***

Не все угрозы одинаково опасны для компаний разной направленности: что не представляет угрозы одним, то может быть смертельным для других. Стоит отметить, что, к примеру, для интернет-магазинов с внешней системой приёма платежей угрозы утечек и инсайда не столь критичны, но в то же время DDoS-атаки сайта длительностью в несколько дней могут привести к значительным финансовым потерям. При тех же условиях банк, хранящий резервные копии своих информационных систем в облаке, легко переживёт недельную DDoS-атаку, но угроза утечки или инсайда будет для него совсем некстати.

Несмотря на все имеющиеся опасения по поводу перехода на SaaS, следует сказать, что обеспечение безопасной и непрерывной работы является приоритетной задачей любого облачного провайдера. Это справедливо для IaaS-, PaaS- и SaaS-провайдеров, причем первые две группы провайдеров, как правило, обеспечивают безопасность на уровне инфраструктуры и платформы, отчитываясь перед SaaS-провайдерами, которые в свою очередь оказываются для заказчиков облачного ПО конечным и единственным гарантом качества. Поскольку в защиту своей ИТ-инфраструктуры провайдер вкладывает значительные финансовые средства, облако часто оказывается более контролируемой и безопасной средой, нежели собственная ИТ-инфраструктура предприятия.

 

Ещё материалы автора
Похожие записи
Комментарии (1)
Михаил Романов 02 июля 2015 г. 18:39  
Брандмауэры являются крайне эффективным способом защиты от DDoS-атак

А вы не могли бы пояснить, каким именно образом брэндмауер защищает от DDOS атак?

Облачные провайдеры должны обеспечивать соблюдение жесткого регламента доступа к данным и организовать строгую систему контроля, уделяя при этом должное внимание к отбору персонала, который впоследствии будет обладать доступом к ключевым компонентам инфраструктуры

И как вы предлагаете заказчику проверить, что поставщик соблюдает этот пункт? Поверить на слово?

Доступность подтверждается SLA

Это здорово, конечно, только беда в том, что доступность внешнего SAAS провайдера зависит не только от него, но и от поставщиков связи, которых в цепочке между клиентом и провайдером может оказаться добрый десяток. И у каждого свой SLA, который к SLA не имеет никакого отношения.

При отклонении от норм по результатам ежемесячного отчета поставщик выплачивает компенсацию

Ой, да ладно. Практически все SaaS поставщики в качестве компенсации предлагают возврат денег за услугу. Можно подумать, что это как-то заметно возместит потери при простое.

 

 

Сейчас обсуждают
Больше комментариев