Облачные ИТ-системы выполняют важные функции практически в каждой современной отрасли. Компании, некоммерческие организации, правительства и даже образовательные учреждения используют облако для расширения охвата рынка, анализа производительности, управления человеческими ресурсами и предоставления улучшенных услуг. Естественно, эффективное управление безопасностью облачных вычислений необходимо для любой организации, которая хочет воспользоваться преимуществами распределенной ИТ-инфраструктуры.
Как и в любой области ИТ, облачные вычисления имеют уникальные проблемы безопасности. Хотя сама идея обеспечения безопасности данных в облаке долгое время считалась невозможным противоречием, широко распространенные отраслевые практики раскрывают многочисленные методы, обеспечивающие эффективную облачную безопасность. Как продемонстрировали коммерческие провайдеры облачных технологий, такие как Amazon AWS, поддерживая соответствие требованиям FedRAMP, эффективная облачная безопасность достижима и практична в реальном мире.
$config[code] not foundСоставление схемы эффективной стратегии безопасности
Ни один проект по информационной безопасности не может функционировать без твердого плана. Практики, связанные с облаком, должны варьироваться в зависимости от доменов и реализаций, которые они стремятся защитить.
Например, предположим, что местное правительственное учреждение вводит политику принести ваше собственное устройство или BYOD. Возможно, ему придется принять другие меры контроля, чем если бы он просто запретил своим сотрудникам доступ к сети организации с помощью их личных смартфонов, ноутбуков и планшетов. Аналогично, компании, которая хочет сделать свои данные более доступными для авторизованных пользователей путем их хранения в облаке, вероятно, потребуется предпринять другие шаги для мониторинга доступа, чем если бы она поддерживала свои собственные базы данных и физические серверы.
Это не означает, что, как полагают некоторые, успешное обеспечение безопасности облака менее вероятно, чем поддержание безопасности в частной локальной сети. Опыт показывает, что эффективность различных облачных мер безопасности зависит от того, насколько хорошо они придерживаются определенных проверенных методологий. Для облачных продуктов и услуг, в которых используются государственные данные и активы, эти передовые методы определены как часть Федеральной программы управления рисками и авторизацией или FedRAMP.
Что такое Федеральная программа управления рисками и авторизацией?
Федеральная программа управления рисками и авторизацией является официальным процессом, который федеральные агентства используют для оценки эффективности услуг и продуктов облачных вычислений. В его основе лежат стандарты, определенные Национальным институтом стандартов и технологий, или NIST, в различных специальных публикациях, или SP, и Федеральном стандарте обработки информации, или FIPS, документах. Эти стандарты направлены на эффективную облачную защиту.
Программа предоставляет рекомендации по многим распространенным задачам облачной безопасности. Это включает в себя надлежащую обработку инцидентов, использование криминалистических методов для расследования нарушений, планирование непредвиденных обстоятельств для поддержания доступности ресурсов и управление рисками. Программа также включает в себя протоколы аккредитации для сторонних организаций по аккредитации, или 3PAO, которые оценивают реализацию облачных вычислений в каждом конкретном случае. Соблюдение 3PAO-сертифицированного соответствия является верным признаком того, что ИТ-интегратор или поставщик готов хранить информацию в облаке.
Эффективные методы безопасности
Так как же компании защищают данные от коммерческих облачных провайдеров? Хотя существует бесчисленное множество важных методов, некоторые из них заслуживают упоминания здесь:
Проверка провайдера
Прочные рабочие отношения строятся на доверии, но эта добросовестность должна возникать где-то. Независимо от того, насколько хорошо зарекомендовал себя поставщик облачных услуг, важно, чтобы пользователи аутентифицировали свои правила соответствия и управления.
Государственные стандарты ИТ-безопасности обычно включают стратегии аудита и оценки. Проверка прошлых результатов работы вашего облачного провайдера - хороший способ выяснить, достойны ли они вашего будущего бизнеса. Лица, владеющие адресами электронной почты.gov и.mil, могут также получить доступ к пакетам безопасности FedRAMP, связанным с различными поставщиками, чтобы подтвердить свои требования о соответствии.
Принимайте активную роль
Несмотря на то, что такие сервисы, как Amazon AWS и Microsoft Azure, заявляют о своей приверженности установленным стандартам, для комплексной облачной безопасности требуется участие нескольких сторон. В зависимости от приобретенного вами пакета облачных услуг вам, возможно, придется руководить реализацией определенных ключевых функций вашим провайдером или посоветовать им, что они должны следовать определенным процедурам безопасности.
Например, если вы являетесь производителем медицинского оборудования, такие законы, как Закон о мобильности и подотчетности медицинского страхования или HIPAA, могут предписывать вам предпринять дополнительные шаги для защиты данных о здоровье потребителя. Эти требования часто существуют независимо от того, что ваш провайдер должен сделать, чтобы получить сертификат Федеральной программы управления рисками и авторизацией.
Как минимум, вы будете нести единоличную ответственность за поддержание мер безопасности, которые охватывают взаимодействие вашей организации с облачными системами. Например, вам необходимо установить безопасные политики паролей для ваших сотрудников и клиентов. Бросок мяча может поставить под угрозу даже самую эффективную реализацию облачной безопасности, поэтому возьмите на себя ответственность сейчас.
То, что вы делаете со своими облачными сервисами, в конечном итоге влияет на эффективность их функций безопасности. Ваши сотрудники могут по соображениям удобства заниматься теневыми ИТ-операциями, такими как обмен документами через Skype или Gmail, но эти, казалось бы, безобидные действия могут помешать вашим тщательно продуманным планам защиты облачных сред. Помимо обучения персонала правильному использованию авторизованных сервисов, вам необходимо научить их, как избежать ловушек, связанных с неофициальными потоками данных.
Понять условия вашего облачного сервиса для управления рисками
Размещение ваших данных в облаке не обязательно дает вам те же льготы, которые вы изначально имеете при самостоятельном хранении. Некоторые провайдеры сохраняют за собой право отслеживать ваш контент, чтобы они могли показывать рекламу или анализировать использование вами своих продуктов. Другим может понадобиться доступ к вашей информации в процессе оказания технической поддержки.
В некоторых случаях раскрытие данных не является большой проблемой. Однако, когда вы имеете дело с личной информацией потребителей или данными о платежах, легко увидеть, как доступ третьих сторон может спровоцировать катастрофу.
Может быть невозможно полностью запретить любой доступ к удаленной системе или базе данных. Тем не менее, работа с поставщиками, которые публикуют записи аудита и журналы доступа к системе, позволяет вам быть уверенным в том, что ваши данные надежно поддерживаются. Такое знание имеет большое значение для оказания помощи субъектам в смягчении негативных последствий любых нарушений, которые происходят.
Никогда не предполагайте, что безопасность - это одноразовое дело
Самые умные люди регулярно меняют свои личные пароли. Разве вы не должны быть столь же прилежны к облачной ИТ-безопасности?
Независимо от того, как часто стратегия соответствия вашего поставщика требует проведения самопроверки, вам необходимо определить или принять собственный набор стандартов для регулярных оценок. Если вы также связаны с требованиями соответствия, вам следует принять строгий режим, который гарантирует, что вы сможете выполнять свои обязательства, даже если ваш облачный провайдер не сможет это сделать последовательно.
Создание реализаций облачной безопасности, которые работают
Эффективная облачная безопасность - это не какой-то мистический город, который навсегда останется за горизонтом. Как хорошо отлаженный процесс, он доступен для большинства пользователей и поставщиков ИТ-услуг независимо от того, каким стандартам они соответствуют.
Приспосабливая методы, описанные в этой статье, к вашим целям, можно достичь и поддерживать стандарты безопасности, которые обеспечивают безопасность ваших данных, без существенного увеличения эксплуатационных накладных расходов.
Изображение: SpinSys
1 комментарий ▼