Облака избавят от рисков
Что вам может дать переход на облачную инфраструктуру, и почему не нужно его бояться
Переход к облачной инфраструктуре почти всегда порождает споры внутри компании. За переход обычно выступает финансовый директор. С его точки зрения облака – это снижение капитальных затрат (и возможность для снижения налогооблагаемой базы), более прогнозируемые, чем ранее, затраты на ИТ (которые от периода к периоду будут плюс-минус одинаковыми), а также договор об уровне предоставления услуги, по условиям которого с поставщика сервиса можно получить неустойку за какие-либо проблемы с этим сервисом. Против, как правило, выступают ИТ-директора, для которых главный аргумент – безопасность. Из волнует, не получит ли к данным в облаке доступ третья сторона, действительно ли облако обеспечивает удовлетворительный уровень защиты (особенно если говорить о данных, защита которых регламентируется законодательством), и всегда ли будут иметь доступ к данным, размещенным в облаке, сами сотрудники компании.
По мнению руководителя группы регионального развития департамента облачных технологий компании Softline Владимира Егорычева, обычно причиной этих сомнений является недостаток информации у потенциального клиента. «Очень часто опасения заказчика связаны с непрозрачностью предлагаемого решения, - говорит Владимир Егорычев. – Действительно, клиент рассматривает облачного провайдера с точки зрения надёжности, безопасности и экономической эффективности. Если поставщик способен грамотно донести информацию о том, что облако не просто очередная «модная» услуга, а реально работающий эффективный сервис, отношение заказчика меняется кардинально. В нашей практике есть примеры, когда опасения заказчиков пропадали после посещения центра обработки данных или в ходе реализации пилотных проектов».
Как защищаются данные в облаке
Немного подробнее о средствах защиты, которые используются облачными провайдерами для того, чтобы обеспечить сохранность информации заказчика. Структурно подход к защите информации в облаке ничем не отличается от защиты информации, обрабатываемой в собственном дата-центре. Что учитывается в первую очередь:
-
сетевая безопасность, в том числе, защита от таргетированных атак;
-
защита веб-ресурсов;
-
защита виртуальной инфраструктуры;
-
защита от несанкционированного доступа;
-
средства управления правами доступа в том числе привилегированных пользователей;
-
защита от внутренних угроз и утечки конфиденциальной информации
-
защита от вредоносного кода;
-
криптографическая защита информации;
-
системы резервного копирования и восстановления;
-
система мониторинга и корреляции событий ИБ;
-
системы анализа защищенности
-
организационные меры и работа с персоналом по осведомленности об угрозах ИБ.
«По моим наблюдениям, основные опасения ИТ-директоров связаны с тем что данные находятся вне ИТ-периметра компании, а где-то далеко – пусть в очень хорошо защищенном, но все же чужом дата-центре, куда имеют доступ какие-то непонятные люди. Однако есть и другая сторона вопроса. Очень часто далеко не все аспекты кибербезопасности заказчик имеет возможность реализовать в дата-центре своей организации. Здесь встает вопрос ограниченности бюджета на ИТ и ИБ, а также вопрос квалификации специалистов заказчика. Зачастую именно этот фактор и помогает заказчику принять решение в пользу облачной инфраструктуры», - говорит Артем Невмируха, руководитель направления информационной безопасности по Сибирскому федеральному округу группы компаний Softline.
Юридическая составляющая договорных отношений между провайдером и заказчиком, финансовая ответственность, соглашение об уровне предоставления услуги, забота о репутации – это причины, которые заставляют ответственного провайдера серьезно подойти к вопросу защиты информации и доступности сервисов. Размещая в облаке даже небольшой сервис, который не является бизнес-критичным, заказчик получаете тот же спектр средств защиты, что и для самых критичных ресурсов. «Облачные провайдеры с действительно качественными услугами всецело беспокоятся о защите и доступности данных и инфраструктуры, в которой эти данные обрабатываются. Для них нет «некритичных» сервисов и «второстепенных» клиентов, и в этом их преимущество с точки зрения заказчика – он всегда и для любых задач получает сервис высокого уровня», - добавляет Артем Невмируха.
Все законно
Еще один важный аспект – насколько облачный сервис, предлагаемый вам провайдером, соответствует требованиям регуляторов. Один из актуальных вопросов – насколько правильно с точки зрения законов организации оперируют персональными данными. В большинстве стран это прежде всего вопросы политик и процедур: как собирать, кому передавать, кто имеет доступ и так далее. В российском законодательстве также есть требования к использованию определённых технологий и средств защиты, а также наличия сертификации таких средств российскими регуляторами в области защиты информации.
При этом все требования не зависят от того, в облаке расположены данные или нет. Более того, для многих организаций, перенос персональных данных в облако облегчает вопрос соответствия требованиям, потому что крупные облачные провайдеры уже внедрили необходимые средства защиты у себя, а также предлагают специальные сервисы, в рамках которых учтены все законодательные новации, связанные с персональными данными.
Выбирайте правильно
Принимая решение о передаче своих сервисов и информационных ресурсов в облачную инфраструктуру, всегда необходимо тщательно анализировать риски, оценивать финансовую и юридическую составляющую и максимально скрупулезно выбирать поставщика.
Найти провайдера не составляет проблемы. В Новосибирске сейчас представлено более десяти облачных провайдеров из числа региональных или федеральных компаний. Вот некоторые рекомендации о том, как оценить степень надежности на этапе выбора провайдера:
-
Не поленитесь изучить информацию о компании в открытых источниках и обратите внимание на оценки качества сервиса и уровня SLA (Service Level Agreement – соглашение об уровне обслуживания).
-
Узнайте как можно больше информации об опыте провайдера и стабильности его сервисов, а также о качестве работы техподдержки.
-
Важно, чем, помимо облаков занимается потенциальный провайдер – если облачные решения – это его основной бизнес, то риски выше. Компании, занимающиеся, помимо данной деятельности, другими направлениями ИТ (поставка софта, услуг, оборудования), как правило, занимают более устойчивое положение, имея возможность развивать то или иное направление в зависимости от потребностей рынка.
-
Посетите ЦОД, посмотрите своими глазами на оборудование, поинтересуйтесь опытом и сертификацией инженерной группы.
-
Выясните, есть ли у провайдера опыт и собственная команда инженеров для выполнения инфраструктурных проектов. Факт наличия такой команды будет преимуществом и поможет, скажем, в разработке проекта по миграции ИТ-систем в облако.
-
Соберите информацию о компетенциях специалистов компании-провайдера в области информационной безопасности.
-
Плюсом будет наличие региональной площадки у провайдера - так данные заказчика будут «приземлены» в домашнем регионе.
В том случае, если провайдер обладает большей частью перечисленных выше компетенций – можно отбросить сомнения относительно безопасности данных и устойчивости сервиса.
«Защищенное облако» Softline
У компании Softline есть услуга защищенного облака, которая отвечает требованиям законодательства, регламентирующего работу с персональными данными. «Защищенное облако Softline» построено на проверенной масштабируемой платформе FlexPod, которая состоит из вычислительного кластера и сетевого оборудования Cisco, системы хранения данных NetApp. Для размещения информационных систем общедоступных персональных данных Softline предлагает публичное облако.
«Благодаря услуге «Защищенное облако Softline» мы обеспечим нашим клиентам оптимальные условия работы с облачными сервисами. Передав заботу по обеспечению кибербезопасности сервисов провайдеру, компании не только снизят риски при прохождении проверок регулятором, но и высвободят внутренние ресурсы ИТ-подразделения для важных бизнесу задач», – говорит Динар Гарипов, руководитель направления развития бизнеса департамента облачных технологий компании Softline. У каждой компании свои представления о критичности приложений и безопасности данных. Для одной организации наличие двух дата-центров в одном городе кажется недостаточно надёжным, а другая держит единственный сервер с 1С под столом генерального директора, считая, что таким образом достигается максимальная безопасность. Использование облачных сервисов позволяет реализовать множество уровней надёжности: например, по умолчанию, в облаке Softline реализована отказоустойчивость на уровне оборудования, т.е. если какой-либо диск выйдет из строя, то клиенты этого не заметят. Если этого недостаточно, то можно организовать резервирование данных в удалённый дата-центр (их у компании четыре). Если и этого мало, то можно реплицировать всю ИТ-систему в другой ЦОД, т.е. если сервис по какой-то причине перестанет работать на основной площадке, вторая незамедлительно её заменит.