Сегодня «облачные вычисления» (cloud computing) — вероятно, одна из самых популярных тем в СМИ в области ИТ, причем в основном перечисляются их очевидные преимущества. Однако пора пристальнее приглядеться и к угрозам этой схемы использования ПО. Исследование, проведенное ENISA (European Network and Information Security Agency), — европейским агентством, специализирующимся на вопросах сетевой и информационной безопасности, дало не слишком утешительные выводы. Согласно ему, пользователи сервисов вычислений «в облаке» сталкиваются с самыми разными проблемами, в числе которых потеря контроля над данными, трудности с выполнением нормативных требований и дополнительные юридические риски при передаче данных другой организации.
Специалисты ENISA выделили именно эти проблемы, поскольку они имеют самые серьезные последствия и чаще других возникают у организаций, использующих данные сервисы.
В ENISA проанализировали активы, которые предприятия подвергают риску при обращении к модели cloud computing (в том числе пользовательские данные и собственная репутация); уязвимые места в облачных сервисах; риски, которым эти уязвимые места подвергаются и вероятность возникновения этих рисков.
При переходе на облачный сервис компании фактически вынуждены передать провайдеру известную степень контроля и над собственной ИТ-инфраструктурой, что может негативно сказаться на уровне безопасности. Например, хотя по условиям контракта провайдеру может быть не передано сканирование портов, оценка уязвимости или проведение глубокого тестирования, но ответственность за эти вопросы может остаться неурегулированной. В результате, как отмечается в отчете ENISA, в обеспечении безопасности остаются значительные пробелы. Серьезные проблемы могут возникнуть и в связи с выполнением нормативных требований (если провайдер не предоставляет необходимых уровней сертификации или схема сертификации не адаптирована к «облачным» сервисам).
Одно из преимуществ облачных сервисов — возможность хранить данные в разных местах, что позволяет существенно сэкономить время в случае, если в одном из центров обработки данных произойдет сбой. Однако это же может привести и к серьезным рискам (например, если ЦОДы расположены в странах, где ответственность за сохранность данных законодательно должным образом не урегулирована). Не меньшее беспокойство вызывают также сбой в механизмах, отделяющих данные разных компаний друг от друга, возможность доступа хакеров к интерфейсам управления, некорректное удаление данных и злонамеренные действия самих сотрудников.
Для того чтобы минимизировать перечисленные риски, в отчете приводится список вопросов, которые компании следует задать потенциальным провайдерам «облачных» сервисов. Например, каким образом провайдер гарантирует, что пользовательские ресурсы полностью изолированы, какие меры предпринимаются для того, чтобы гарантировать выполнение уровней обслуживания, требуемых третьими сторонами, и т. д.
Как утверждается в отчете ENISA, грамотно составленный контракт позволяет минимизировать риски. Компании должны уделять особое внимание своим правам и обязанностям, связанным с передачей данных, доступом к данным на законных основаниях и уведомлениям об изъянах в системе безопасности.
Однако в отчете ENISA имеется и некоторый позитив. В нем также говорится о том, что «облачные» сервисы позволяют организовать более надежную, масштабируемую и экономически эффективную защиту от некоторых видов атак, например, — против распределенных атак на отказ в обслуживании.