В рубрику "Спецпроект: SaaS" | К списку рубрик | К списку авторов | К списку публикаций
Модель SaaS имеет ряд несомненных преимуществ по сравнению с развитием и обслуживанием собственной инфраструктуры. Во-первых, это экономически выгодно. Во-вторых, вы отдаете часть функций IT-департамента на аутсорсинг, в результате чего появляется возможность освободить ресурсы для бизнес-задач. В-третьих, происходит сокращение сроков реализации новых IT-проектов. Но тем не менее у этого подхода, конечно же, могут быть и есть свои недостатки. Обычно при переходе к модели SaaS потенциальных потребителей одолевают некоторые сомнения (см. рис. 1).
На первом месте стоит обеспечение информационной безопасности. Существует мнение, что облака менее безопасны, чем собственная инфраструктура. Однако, на мой взгляд, подобное сравнение допустимо лишь при рассмотрении конкретного случая, когда есть полная информация о предложении вендора/поставщика.
Если у компании собственная инфраструктура, то весь контроль осуществляется непосредственно собственными силами: известно, где расположен ресурс, на каких серверах он хранится, можно выполнять резервное копирование, администраторы компании контролируют доступ и отвечают за работоспособность, специалисты ИБ-департамента проводят аудит и мониторинг. В облаках же одни сплошные вопросы:
Эту информацию может предоставить нам поставщик облачных услуг, но бывает и так, что он сам не обладает подобной информацией, так как его сервис технически может позволять данным постоянно мигрировать с сервера на сервер.
Таким образом, вырисовывается определенный круг вопросов по обеспечению безопасности в облаке, которые задают крупные компании с уже выстроенным процессом обеспечения информационной безопасности (более мелкие компании, как правило, отдают такие вопросы на откуп профессионалам). Соответственно основная проблема, возникающая при передаче части своей собственной инфраструктуры поставщику облачных услуг, – это потеря контроля.
Существует классификация различных типов облачных услуг. На рис. 2 показано, над какими элементами заказчик теряет контроль при переходе на облако.
Если в компании своя инфраструктура, то существует возможность самостоятельно осуществлять контроль практически над всем, кроме сети, так как существует зависимость от оператора связи. Если же используется модель SaaS, то заказчик практически ничего не контролирует полностью: он может редактировать свои данные, применять их в работе, но храниться они будут как офисные приложения, и доступ к ним будет иметь SaaS-провайдер.
Процесс обеспечения информационной безопасности в облаке во многом похож на обеспечение ИБ своей инфраструктуры. Но есть и специфика.
При переходе на облако возникают технические сложности: виртуализация и синхронизация данных размывают периметр, вычислительные ресурсы поставщика облачных услуг разделяются между всеми клиентами, в результате заказчик может быть зависим от других клиентов, например в тех случаях, когда речь идет о нарушениях закона (во время проведения следственных действий правоохранительные органы могут, например, изъять сервер, на котором хранятся данные разных клиентов). В связи с этим возникают вопросы законодательного регулирования той страны, где расположены эти ресурсы.
Если вышеназванные проблемы вас не останавливают (как сегодня они не останавливают многих – еще в 2009 г. 3% всего ПО в мире продавалось по модели SaaS), то, для того чтобы оценить уровень информационной безопасности провайдера облачных услуг, прежде всего необходимо:
Кроме того, важно знать об особенностях управления уязвимостями (частота сканирования сети и приложений, возможность внешнего сканирования сети провайдера, процесс устранения уязвимостей) и идентификацией (возможность интеграции с каталогом учетных записей, их защита и управление, поддержка SSO, федеративной системы аутентификации и ролевой модели доступа).
Провайдер должен предоставить информацию заказчику и о гарантированном уровне доступности (SLA), мерах обеспечения доступности, использующихся для защиты от угроз и ошибок. Клиент должен знать о резервном операторе связи и обеспечении защиты от DDoS-атак, плане действия во время простоя и пиковых нагрузках, а также о возможностях провайдера справляться с ними.
Помимо этого, вам необходимо знать о том, каким локальным нормативным требованиям подчиняется провайдер и проходил ли он внешний аудит соответствия (ISO 27001, PCI DSS, SAS 70), а также имеет ли он аттестацию ФСТЭК.
В заключение отмечу основные критерии выбора cloud-провайдера:
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2011