Журнал о системах электронного документооборота (СЭД)
Платформы построения ECM

Облачные угрозы и "зонтики"

  1 комментариев Добавить в закладки

С переносом корпоративных систем в облачную инфраструктуру связаны определенные опасения: от нарушения конфиденциальности данных до их недоступности и потери. Эта статья – попытка разобраться, какие существуют угрозы при использовании модели SaaS, и как их минимизировать.

Сетевые атаки

Облачный сервис – бизнес-услуга, которая предоставляется заказчику через Интернет. Являясь публичной сетью, Интернет дает возможность получения доступа к этой услуге третьим лицам. С этим связана уязвимость облака для сетевых атак: вредоносных вирусных программ, перехвата реквизитов доступа, перебора паролей, подмены клиента и пр. Наибольшее распространение сегодня получают DDoS-атаки (Distributed Denial of Service – распределенная атака типа «отказ в обслуживании»), при которых страдает вся инфраструктура облака.

Сетевые атаки относятся к классу сложных многоуровневых угроз. Поскольку злоумышленники не стоят на месте в изобретении новых методов получения доступа к конфиденциальным данным, облачным провайдерам приходится выстраивать из знакомых элементов защиты сложные системы.

Для минимизации угроз провайдеры должны своевременно в плановом режиме производить обновления сервиса, клиентского приложения. Качественное и часто обновляемое антивирусное программное обеспечение поможет минимизировать риски проникновения вредоносных программ. Межсетевой экран (firewall, брандмауэр) применяется для контроля и фильтрации нежелательных сетевых пакетов (не подходящих под заданные в конфигурации категории). Брандмауэры являются крайне эффективным способом защиты от DDoS-атак, однако они применимы исключительно для защиты частных сетей.

Надежные технологии аутентификации пользователей позволяют предотвратить несанкционированное использование учетных записей посредством перехвата реквизитов доступа и перебора паролей. Для обеспечения более высокой надежности прибегают к таким средствам, как токены (аппаратные устройства для электронной идентификации пользователя) и сертификаты.

Утечка или потеря информации

Для предотвращения случайной потери данных у поставщика должны быть внедрены технологии резервного копирования. Иначе данные может случайно удалить сам провайдер, или они пострадают от какого-либо физического воздействия (например, пожара).

Для защиты данных при передаче применяется шифрование, при этом зашифрованные данные могут быть доступны только после аутентификации – даже в случае доступа через ненадежные узлы их не получится прочитать или изменить. Протоколы и алгоритмы SSL, AES, TLS, IPsec сегодня активно и широко применяются провайдерами.

DLP-системы (Data Leakage Prevention – предотвращение утечки данных) предназначены для контроля потоков передачи информации и блокировки нежелательных из них (включающих конфиденциальные сведения компании). Системы эффективны для борьбы с утечкой информации, однако они не получили сегодня большой популярности на рынке корпоративных SaaS-сервисов в силу известных причин: корпоративные заказчики весьма неохотно соглашаются на всесторонний мониторинг своих конфиденциальных данных со стороны провайдера ПО.

Угрозы инсайдеров

Под инсайдерскими мы будем понимать угрозы, исходящие как от сотрудников оператора, так и от представителей самого заказчика. И если второй вариант автоматически списывается на кадровые проблемы заказчика, то в первом причина кроется в отсутствии строгой политики безопасности и жесткой регламентации действий персонала провайдера, который в силу служебных обязанностей имеет расширенный доступ к информации клиентов.

Облачные провайдеры должны обеспечивать соблюдение жесткого регламента доступа к данным и организовать строгую систему контроля, уделяя при этом должное внимание к отбору персонала, который впоследствии будет обладать доступом к ключевым компонентам инфраструктуры.

Доступность облачного сервиса

Часто клиенты опасаются простоев по причине сбоя в работе облачных систем. Несмотря на возможные ошибки, облака позволяют организовать распределенную отказоустойчивую систему, стойкую к сбоям, находящуюся под постоянным контролем специалистов провайдера. Доступность подтверждается SLA (Service Level Agreement – соглашение об уровне обслуживания; документ, формулирующий права и обязанности двух или более сторон в виде договора оказания услуг).

SLA гарантирует определенный уровень оказания услуг с перечислением необходимых параметров, которые фиксируются несколько раз в течение дня: доступность услуги, время отклика сервиса, пропускная способность и пр. По итогам месяца готовится статистический отчет, в котором приводятся средние значения по всем параметрам. При отклонении от норм по результатам ежемесячного отчета поставщик выплачивает компенсацию.

***

Не все угрозы одинаково опасны для компаний разной направленности: что не представляет угрозы одним, то может быть смертельным для других. Стоит отметить, что, к примеру, для интернет-магазинов с внешней системой приёма платежей угрозы утечек и инсайда не столь критичны, но в то же время DDoS-атаки сайта длительностью в несколько дней могут привести к значительным финансовым потерям. При тех же условиях банк, хранящий резервные копии своих информационных систем в облаке, легко переживёт недельную DDoS-атаку, но угроза утечки или инсайда будет для него совсем некстати.

Несмотря на все имеющиеся опасения по поводу перехода на SaaS, следует сказать, что обеспечение безопасной и непрерывной работы является приоритетной задачей любого облачного провайдера. Это справедливо для IaaS-, PaaS- и SaaS-провайдеров, причем первые две группы провайдеров, как правило, обеспечивают безопасность на уровне инфраструктуры и платформы, отчитываясь перед SaaS-провайдерами, которые в свою очередь оказываются для заказчиков облачного ПО конечным и единственным гарантом качества. Поскольку в защиту своей ИТ-инфраструктуры провайдер вкладывает значительные финансовые средства, облако часто оказывается более контролируемой и безопасной средой, нежели собственная ИТ-инфраструктура предприятия.

 

Ещё материалы автора
Похожие записи
Комментарии (1)
Михаил Романов 02 июля 2015 г. 18:39  
Брандмауэры являются крайне эффективным способом защиты от DDoS-атак

А вы не могли бы пояснить, каким именно образом брэндмауер защищает от DDOS атак?

Облачные провайдеры должны обеспечивать соблюдение жесткого регламента доступа к данным и организовать строгую систему контроля, уделяя при этом должное внимание к отбору персонала, который впоследствии будет обладать доступом к ключевым компонентам инфраструктуры

И как вы предлагаете заказчику проверить, что поставщик соблюдает этот пункт? Поверить на слово?

Доступность подтверждается SLA

Это здорово, конечно, только беда в том, что доступность внешнего SAAS провайдера зависит не только от него, но и от поставщиков связи, которых в цепочке между клиентом и провайдером может оказаться добрый десяток. И у каждого свой SLA, который к SLA не имеет никакого отношения.

При отклонении от норм по результатам ежемесячного отчета поставщик выплачивает компенсацию

Ой, да ладно. Практически все SaaS поставщики в качестве компенсации предлагают возврат денег за услугу. Можно подумать, что это как-то заметно возместит потери при простое.

 

 

Сейчас обсуждают
Роман Гудков 17 января 2017 г. 10:10  
Недостающие документы, необходимые для заключения договора, можно представить в электронной форме, прибегнув к помощи нотариуса.

Ульяна, а можно ли таким образом оформить карточку с образцами подписей? Или в карточке должна быть только собственноручная "живая" подпись? 

Вадим Майшев 16 января 2017 г. 11:27  

Не особо авторы/журналисты утруждают себя использовать правильные термины: тут и "стоимость ЭЦП" - ЭЦП уж 5 лет по закону нет, да и ЭЦП "не продается" (УЦ продают сертификаты).

Никто еще не видел в природе живьем простую электронную подпись, а будто бы только она "устраняет ограничения на использование документов, выдаваемых органами и организациями в электронной форме" :-)

А проблема в том, что граждане вынуждены оформлять дорогостоящую электронно-цифровую подпись, чтобы обжаловать постановления в электронном виде.

Кто решил, что она дорогостоящая? В сравнении с чем? В государстве нет ничего бесплатного! Давно были у нотариуса/врача/... или оплачивали пошлины за "услуги" государства, живущего на деньги налогоплательщиков? И никто (пока) не запрещает использовать неэлектронные варианты взаимодействия!

Александр Валеев 16 января 2017 г. 08:22  
«Большинство услуг и сервисов на портале требуют только простой электронной подписи, однако некоторые услуги, действительно, нужно подписывать квалифицированной электронной подписью. На сегодняшний день это необходимая технология, и она продолжит действовать», — заявил замглавы Минкомсвязи России Алексей Козырев. На сайте Минкомсвязи приведен весь список госуслуг, для которых нужна ЭЦП (XLSX,  187,5 КБ).

Многие опубликовали новость о госуслугах. Но о том, понадобится ли еще КЭП, только здесь. Спасибо

Больше комментариев