Шість питань щодо забезпечення хмарної безпеки, які необхідно вирішити організаціям

Для багатьох організацій занепокоєння з приводу безпеки хмарної інфраструктури є однією з основних причин, чому вони не настільки охоче запроваджують хмарні технології. Наскільки виправдано це занепокоєння?



З кожним днем ІТ-підрозділам доводиться стикатися з все більшим числом загроз, дбати про дотримання численних законодавчих норм, забезпечувати захист все більших обсягів даних. А враховуючи також те, що співробітники компаній нерідко з власної ініціативи починають використовувати хмарні технології, кількість запитів на адресу ІТ-підрозділів буде збільшуватися, як буде рости і кількість проектів, які їм належить підтримувати.

У той же час, немає сумнівів, що хмарні технології несуть з собою великі переваги, наприклад, вони допоможуть вашій організації:

  • швидше виводити на ринок нові продукти і послуги
  • знижувати витрати на зберігання даних і відповідну інфраструктуру
  • забезпечувати доступ до бізнес-програм та інформації в будь-який час, з будь-якої точки і з будь-якого пристрою
  • швидше обробляти, аналізувати та використовувати дані
Звичайно ж, хмара допомагає справлятися зі зростаючими обсягами даних, що генеруються в сучасному взаємопов'язаному і високо-конкурентному цифровому світі. Але що, якщо ВАШІ персональні дані виявляться в публічному хмарі, яке вами НЕ КОНТРОЛЮЄТЬСЯ?

Гарна новина полягає в тому, що вам не доведеться відмовлятися від нових або вже реалізуються хмарних ініціатив, все, що для цього потрібно – це переконатися, що у вашої команди є план дій, який допоможе усунути приводи для занепокоєння щодо безпеки хмарних інфраструктур і відповісти на наступні питання:

1. Як показати, що ми контролюємо дані в хмарі і дотримуємося регуляторні вимоги?
Для забезпечення нормативно-правового відповідності організаціям необхідно централізовано, комплексно і ефективно відслідковувати будь-які дії з регламентируемыми даними – навіть якщо ці дані розміщуються в хмарних середовищах. Зокрема, це вимагає наявності платформи для управління аутентифікацією, яка дозволила б вашої компанії централізовано встановлювати політики та контролювати їх дотримання як всередині власної інфраструктури, так і щодо хмарних додатків і сервісів.

Крім того, організації повинні розташовувати централізованим і ефективним інструментом для управління шифруванням і ключами шифрування в масштабах всієї компанії. Це дозволяє оптимізувати процеси управління доступом до критично важливої інформації, де б вона не перебувала, а також спростити процеси відповідного аудиту.

2. Яким чином можна нівелювати ризики, пов'язані із зберіганням конфіденційних даних в хмарі і з незалежністю цих даних?
Ми рекомендуємо обговорити це конкретне питання з вашим юридичним відділом. Важливо розуміти, що в багатьох країнах і регіонах можуть діяти свої специфічні регуляторні вимоги, що регламентують, де може і де може розміщуватися «чутлива» інформація. Наприклад, перед тим, як федеральний урядовий орган у США зможе перенести чутливу інформацію в хмару, він повинен забезпечити гарантії того, що постачальник хмарних сервісів не буде зберігати або керувати цими даними за межами країни.

Аналогічним чином в ряді європейських країн постачальники послуг охорони здоров'я не зможуть скористатися сервісами постачальника хмарних послуг для зберігання даних про пацієнтів, якщо все обладнання цього постачальника не знаходиться виключно на території цієї конкретної країни. В Росії також існує вимога зберігання конфіденційної інформації користувачів на серверах, розташованих всередині країни.

3. Як не допустити того, щоб у адміністраторів хмарної інфраструктури та інших її користувачів з'явився доступ до наших чутливим даними?
У вашої організації повинен бути спосіб захистити себе від загроз, що виходять зсередини компаній, і мінімізувати ризики, пов'язані зі злим умислом адміністраторів. Саме на вас лежить відповідальність за те, щоб переконатися, що навіть при роботі з розрахованими на багато публічними хмарними окружениями ваша команда має в своєму розпорядженні достатніми інструментами і правами для захисту чутливих даних, щоб не допустити зловживань з боку адміністраторів постачальників хмарних послуг.

Те ж саме відноситься і до випадків, коли хмарні сервіси використовуються для розміщення інфраструктури SaaS додатків. Крім того, вам слід забезпечити розподіл обов'язків, щоб важливі адміністративні завдання, такі як внесення змін до політики або експорт ключів, виконувалися різними адміністраторами.

За даними нашого опитування ІТ-фахівців у низці провідних світових компаній з питань безпеки даних, розміщених у хмарі:



4. Як проконтролювати, до яких даними забезпечується доступ у випадку судового запиту?
У цьому випадку дуже важливо знати, що саме відбувається, і розуміти, до яких даними забезпечується доступ. Якщо судовий запит адресований постачальнику хмарних послуг, і ваші ключі шифрування контролюються не вами, то постачальник буде змушений передати ключі шифрування ініціатору запиту, будь то урядовий орган чи якась інша структура. Більш того, запит може бути організований таким чином, що постачальник послуг навіть не зможе поставити вас до відома.

Якщо ви контролюєте процес шифрування в хмарі і володієте відповідними ключами шифрування, вас або вашу компанію так чи інакше можуть змусити передати ключі ініціатору запиту, але у всякому разі ви будете знати про це, і у вас буде можливість відповідним чином відреагувати.

5. Як гарантувати, що при необхідності ваші дані будуть надійно видалені з хмари?
У разі, коли ви відмовляєтеся від послуг одного постачальника і хочете перейти до іншого, або якщо ви просто хочете видалити свої дані з хмари, ви повинні чітко розуміти, які процедури постачальника щодо видалення даних. Деякі постачальники хмарних сервісів можуть зберігати дані своїх замовників до тих пір, поки не будуть сплачені всі виставлені рахунки при розірванні договору.

Крім того, необхідно проконтролювати належне видалення примірників і образів віртуальних машин, які можуть містити чутливу інформацію. Постарайтеся передбачити чіткий план відходу від постачальника, який дозволив би вам бути впевненими в тому, що ніякі ваші дані не залишилися в хмарі.

6. Яким чином забезпечити централізацію безпеки даних в різних середовищах?
Якщо ваша організація здійснює впровадження відокремлених проектів для виконання різних регуляторних вимог, забезпечення вимог до захисту даних в окремих бізнес-підрозділах або для усунення порушень в системі безпеки, то ви не самотні.

У цьому випадку важливо реалізувати централізований, уніфікований підхід до забезпечення безпеки даних в хмарному і локальному оточеннях. Це дозволить не тільки зміцнити рівень безпеки вашої організації, але і допоможе знизити витрати і підвищити гнучкість бізнесу.


чи Існують відповіді на ці питання у вашій організації, і що ви вважаєте основним стримуючим фактором, який перешкоджає вашої організації в переході до хмари? Поділіться своїми міркуваннями в коментарях.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.