27 декабря 2022 г.
Облачная миграция — один из главных компонентов практически любой ИТ-стратегии бизнеса и госструктур. Однако восприятие этого процесса все еще не лишено «страшилок» для бизнеса, корни которых — в незнании устройства и возможностей современных технологий.
Заблуждение № 1: «Облако = утечка данных»
Обоснование таково: «Облачные провайдеры размещают в едином цифровом пространстве данные и приложения множества клиентов, поэтому им трудно отслеживать все потоки и организационные процессы. Следовательно, риски утечек растут».
На самом деле — все ровно наоборот. Поскольку работа с данными и ИТ-системами клиентов — основа бизнес-модели облачных провайдеров, они уделяют всем моментам, связанным с доступом к данным и системам повышенное внимание. Как на уровне организации бизнес-процессов (зоны ответственности, распределение ролей сотрудников и т. д.), так и на уровне ИБ-инструментов, защищающих облачный периметр, задействуется самый передовой арсенал решений.
Облачные провайдеры могут позволить себе лучшие средства защиты данных, инструменты резервного копирования, ресурсы для дублирования мощностей на случаи аварий и сбоев, не говоря уже о физической защите доступа.
Машинный зал в дата-центре провайдера — неприступная крепость, с системами автоматического контроля доступа, видеонаблюдением, пожаротушения, контроля температуры, влажности, давления и даже загрязнения пространства.
Бизнесу в большинстве случаев обеспечить сопоставимый уровень качества поддержки ИТ-инфраструктуре в собственной серверной просто не под силу.
И утечки в последнее время чаще происходят как раз из собственной ИТ-инфраструктуры компаний.
Заблуждение № 2: «ИБ-вопросы лучше решать самостоятельно»
Во многом это логическое продолжение первого пункта — здесь также царит уверенность в том, что инструменты обеспечения кибербезопасности и сам подход к данной области лучше не доверять сторонним организациям.
Однако на практике это совсем не так: как раз бизнесу в сложившихся условиях дефицита кадров и ИБ-решений гораздо сложнее выстроить эффективный процесс обеспечения безопасности цифровых ресурсов.
Другая проблема: часто в компаниях при самостоятельном решении ИБ-задач недостаточно внимания уделяется документации.
Плохо составлены инструкции, в договорах с подрядчиками опускаются ключевые моменты, размыта ответственность сотрудников и т. д. То есть, реализуется довольно формальный подход, когда элементарные правила кибербезопасности в итоге не соблюдаются, что чревато очень большими проблемами при первом же серьезном инциденте.
В облаке ИБ-составляющая «вшита» в саму платформу, на которой провайдер предоставляет свои услуги. Опять же, поскольку размещение систем и данных клиента — основной бизнес для таких компаний, ИБ-аспекты реализованы на высшем уровне.
Ответственность сторон прописана в договоре, заключаются все необходимые соглашения о конфиденциальности данных, прописывается ответственность в случае всех возможных сценариев, которые могут реализоваться при наступлении тех или иных ИБ-инцидентов.
Провайдеры несут прямую финансовую и репутационную ответственность за данные клиентов, непрерывность работы их ИТ-систем и поэтому ставят ИБ-компонент работы облаков на первое место.
Провайдеры следят за обновлениями ИБ-решений, программных и аппаратных, вкладываются в обучение сотрудников, совершенствуют процессы отработки инцидентов через постоянные тренинги и учения.
Большинство компаний просто не могут уделять ИБ такое внимание в силу фокуса на других задачах.
Заблуждение № 3: «Своей серверной проще управлять и настраивать „под себя“»
Может быть и так, но «проще» не значит «лучше», особенно в случае такого сложного и важного объекта как машинный зал с оборудованием, на котором размещены критически важные для бизнеса ИТ-системы.
Здесь легко впасть в классическую ошибку инженера — «оптимизировать изначально неэффективное решение или формат исполнения системы».
По большому счету, сопоставимый с облачным уровень эффективности и безопасности можно достичь только построив свой собственный дата-центр, что под силу только очень большим компаниям, которые могут позволить себе такую роскошь.
В остальных случаях никакая серверная, даже самая «передовая» на первый взгляд, с уровнем защиты данных и систем в облаке провайдера не сравнится.
Подконтрольность физического пространства лично вам и вашим сотрудникам никак на непрерывность работы ИТ-систем не влияет, поскольку подорвать ее можно далеко не только через нарушение физического доступа к оборудованию.
Что касается различных настроек и управления параметрами ИТ-инфраструктуры, то в облаке реализована полная свобода в этом отношении.
Любой критически важный параметр масштабируется, можно подобрать необходимый стек технологий и инструментов под поставленную задачу.
Причем в облаке сделать это даже проще — у провайдеров больше возможностей по приобретению лицензий на различные программные решения, больше запасы «железа» и сетевых решений.
Совокупный уровень компетенций облачного провайдера в требуемом стеке технологий почти всегда будет выше, чем у заказчика, ввиду специализации.
Это обстоятельство не только ускоряет процесс тестирования и запуска новых решений, но и минимизирует простой в случае реакции на ошибки.
Заблуждение № 4. «ПДн в облаках защищены слабее»
Многие компании сегодня имеют дело с так называемой «информацией ограниченного доступа», под которой чаще всего подразумеваются персональные данные (ПДн).
Для полного удовлетворения требованиям законодательства к таким процедурам необходимо обеспечить соответствие на нескольких уровнях — не только на техническом (специальный защищенный и аттестованный ИТ-периметр, в котором циркулируют ПДн), но также на организационном и документальном.
И это нетривиальная задача в силу своей комплексности: необходимо соблюдать координацию между техническим и документальным уровнем, например.
Особенно критичной роль ошибки здесь становится на фоне ужесточения ответственности за утечки ПДн (введение оборотных штрафов за подобные нарушения).
Опять-таки провайдерам проще обеспечить централизованный подход к решению проблемы. Организовать предоставление услуги соответствия законодательству по ПДн «под ключ» они могут путем обучения персонала, развертывания защищенного ИТ-периметра с использованием сертифицированных средств.
Для подавляющего большинства компаний это практически невыполнимая задача.
Заблуждение № 5: «Защитим данные сами, в облаке просто купим мощности»
Это и раньше был не самый лучший выбор ввиду многих причин: хотя бы из-за того, что при таком подходе возрастает риск несогласованности работы между штатом компании-клиента и специалистами облачного провайдера.
А сегодня выбор такого пути в отношении ИБ-задач нецелесообразен вдвойне: поставка необходимых инструментов защиты существенно усложнилась. Вместе с этапами разработки документации и непосредственно внедрения на задачу может уйти до года и даже больше.
И зачем самостоятельность такой ценой, если в большинстве облаков ИБ-решения доступны практически мгновенно, по модели «как услуга»?
Заключение
Словом, очень многие опасения и общие подходы к облачной миграции в современных условиях значительно устарели.
Придерживаться их в стратегии дальнейшего ИТ-развития компании означает подвергать себя риску неправильного решения с последующим отставанием от трендов отрасли и конкурентов.
Реальных ситуаций, которые могут воспрепятствовать использованию облаков из-за вопросов безопасности, совсем немного. Почти все они связаны со сценариями обработки чувствительных госданных, работой КИИ или автоматизированных систем технологических процессов.
Да и в этих областях прогресс идет: каждый год появляются новые подходы и технологии, которые могут выполнить требования по защите даже крайне чувствительных данных в облаках.
Источник: Алексей Залецкий, эксперт в области информационной безопасности компании CorpSoft24