В Казахстане растет спрос на облака. По словам заместителя председателя правления по развитию стратегических проектов АО «Транстелеком» Газиза Доненбая, каждая третья крупная компания страны размещает в облаках свою инфраструктуру и использует облачные сервисы. Но, как отмечает эксперт, наиболее востребованными остаются такие сервисы, как аренда инфраструктуры (IaaS) и программного обеспечения (SaaS).
Предприятия республики с явным недоверием относятся к платформенным сервисам – тем, которые позволяют не только оптимизировать затраты на ИТ, но и революционировать работу с данными. Бизнес все еще относится к миграции в облака с опасением. Причина страхов – безопасность данных, которые сегодня для множества предприятий стали главным активом.
Кто отвечает за безопасность в облаке
Облачные провайдеры, которые постоянно выводят на рынок новые услуги, в разговорах об обеспечении безопасности ограничиваются рассказом о надежности своих дата-центров. И это не случайно. Дело в том, что обеспечение защиты данных и информационных систем, размещенных в public cloud, ответственны сами компании. И именно на их плечи ложится создание «оборонительных рубежей» при миграции в облако. Это серьезная проблема для любого предприятия. Но ее решение может стать дополнительным, и в некоторых случаях даже главным драйвером развития компании на новой, облачной платформе.
Менее 40% компаний считают, что их инвестиции в развитие облаков полностью оправдались. И дело здесь как в сложности облачных сред (отсутствие компетенций и персонала, применение гибридных и мультиоблачных решений, не всегда понятное распределение ответственности между провайдером и заказчиком), так и в новом подходе к обеспечению безопасности. Дело в том, что традиционные методы, подразумевающее строительство и поддержание в актуальном состоянии ИБ-систем, в облаках не работает. Не случайно 65% ИТ-директоров во всем мире называют угрозу данным главным риском перехода в облако.
Это объясняется высокой скоростью изменений в ИТ-ландшафте, которые происходят в облаке. Гибкость облака и практически мгновенная масштабируемость дают возможность радикального сокращения сроков запуска новых систем и сервисов, для которых требуются новые подходы к обеспечению безопасности.
Два принципа облачной безопасности
Для того, чтобы обеспечить безопасность облачных систем, необходимо придерживаться двух основополагающих принципов.
Первый – прозрачное управление облачными средами. Стремиться к нему необходимо ради того, чтобы постоянно контролировать работу систем, вовремя устранять ошибки и выявлять нештатные ситуации. Особенно актуально это в тех случаях, когда компания использует мультиоблачный подход, разворачивая часть сервисов в публичных облаках и оставляя свои ключевые системы в частном облаке.
Второй принцип – упреждение. Простая фиксация угроз и контроль за системой становятся недостаточными. Разработка политик и процедур безопасности, организация управления средствами ИБ, четкое определение порядка реагирования на угрозы, сотрудничество с провайдерами в части использования защитных систем – важнейшие задачи, которые должны решаться постоянно, а не единовременно.
Что необходимо сделать при миграции в облако
Достаточно просты и первоочередные действия, которые необходимо предпринять предприятию перед тем, как переносить свои системы в облако. Их можно осуществить пошагово, по мере миграции.
Уже на этапе развертывания облачной платформы ИТ-службы компании должны позаботиться о том, чтобы предусмотреть размещение на облачной платформе необходимых средств безопасности и определить политики доступа к сервисам. При этом стоит предварительно ознакомиться с теми решениями и подходами, которые предлагает сам провайдер. Нет, речь не идет о простом выборе готового решения. Предложение стоит внимательно проанализировать и усилить его дополнительными сервисами, арендуемыми у провайдера или подготовленными собственными силами.
И, тем не менее, в качестве основы стоит развернуть систему безопасности, предложенную поставщиком PaaS. Любой шаблон платформы, предлагаемый провайдером, уже содержит необходимый минимум мер безопасности, при помощи которых можно организовать сетевой доступ к системам и взаимодействие с коммуникациями ЦОД.
Дорожная карта
Облачные технологии переживают этап ускоренного развития. Нормой становится не просто переход в облако или виртуализация используемых мощностей, а развитие гибридных и мультиоблачных сред, когда бизнес использует для разного типа сервисов услуги нескольких провайдеров. Все это требует особенного внимания к разработке стратегии перехода в облака, которая позволит не только воспользоваться новыми преимуществами, но и обеспечить безопасность систем и данных.
При разработке стратегии перехода в облако бизнесу предстоит ответить на несколько важнейших вопросов, которые и определят пути дальнейшего технологического развития.
Первый из них - выбор между арендой готового облачного решения у провайдера и разработкой собственного. Казалось бы, с точки зрения экономики выбор очевиден: арендовать облачные мощности гораздо дешевле и проще, чем строить private cloud. На самом деле вариант с арендой не так прост. Не только поставщик услуг должен соответствовать потребностям заказчика. Сама компания в не меньшей степени должна быть готова использовать услуги провайдера, чтобы добиться максимальной эффективности и оправдать свои инвестиции.
Второй вопрос – выбор модели облачных услуг или провайдера в соответствии с потребностями. И важнейшим аспектом, который необходимо учитывать, отвечая на этот вопрос, является способность поставщика услуг обеспечить необходимый уровень безопасности систем. При этом речь идет не только о надежности дата-центра, используемого провайдером, но и о функциональности его систем безопасности.
Ответ на третий вопрос потребует серьезного анализа собственных компетенций компании. А насколько эффективно сам бизнес защищает собственные данные? Эффективно ли реагирует он на угрозы целостности данных? И, в конце концов, дает ли хранение ценнейших баз данных в собственном ЦОД гарантию их неприкосновенности и конфиденциальности? Строгий аудит собственных систем ИБ и компетенций продемонстрирует реальный уровень безопасности. И чаще всего он будет значительно уступать тому, который может предложить облачный провайдер.
Четвертый вопрос подразумевает понимание перспектив развития компании. Важнейшее преимущество облака – простая масштабируемость систем, которая позволит содержать мощности, необходимые бизнесу «здесь и сейчас». Но насколько готовы к масштабированию системы безопасности, используемые компанией? Надежно ли будут защищены те системы, которые будут вводиться в строй по мере развития компании? И не станут ли они «отрытой дверью» для киберпреступников?
Многие из этих вопросов можно назвать риторическими. Действительно, даже сама их постановка показывает, что защита данных собственными силами для подавляющего большинства компаний – сложнейшая задача. Ее решение требует не только необходимых мощностей, но и компетенций. И в той, и в другой области облачные провайдеры имеют неоспоримые преимущества перед компаниями.
И, тем не менее, даже самые строгие сервисные соглашения и самые серьезные компетенции провайдера не могут служить полной гарантией безопасности в облаке. Ее обеспечение всегда – общая задача поставщика услуг и заказчика. И организовать безопасность, чтобы сохранить самый ценный актив цифровой эпохи, необходимо в момент переезда в облако....
В Казахстане растет спрос на облака. По словам заместителя председателя правления по развитию стратегических проектов АО «Транстелеком» Газиза Доненбая, каждая третья крупная компания страны размещает в облаках свою инфраструктуру и использует облачные сервисы. Но, как отмечает эксперт, наиболее востребованными остаются такие сервисы, как аренда инфраструктуры (IaaS) и программного обеспечения (SaaS).
Предприятия республики с явным недоверием относятся к платформенным сервисам – тем, которые позволяют не только оптимизировать затраты на ИТ, но и революционировать работу с данными. Бизнес все еще относится к миграции в облака с опасением. Причина страхов – безопасность данных, которые сегодня для множества предприятий стали главным активом.
Кто отвечает за безопасность в облаке
Облачные провайдеры, которые постоянно выводят на рынок новые услуги, в разговорах об обеспечении безопасности ограничиваются рассказом о надежности своих дата-центров. И это не случайно. Дело в том, что обеспечение защиты данных и информационных систем, размещенных в public cloud, ответственны сами компании. И именно на их плечи ложится создание «оборонительных рубежей» при миграции в облако. Это серьезная проблема для любого предприятия. Но ее решение может стать дополнительным, и в некоторых случаях даже главным драйвером развития компании на новой, облачной платформе.
Менее 40% компаний считают, что их инвестиции в развитие облаков полностью оправдались. И дело здесь как в сложности облачных сред (отсутствие компетенций и персонала, применение гибридных и мультиоблачных решений, не всегда понятное распределение ответственности между провайдером и заказчиком), так и в новом подходе к обеспечению безопасности. Дело в том, что традиционные методы, подразумевающее строительство и поддержание в актуальном состоянии ИБ-систем, в облаках не работает. Не случайно 65% ИТ-директоров во всем мире называют угрозу данным главным риском перехода в облако.
Это объясняется высокой скоростью изменений в ИТ-ландшафте, которые происходят в облаке. Гибкость облака и практически мгновенная масштабируемость дают возможность радикального сокращения сроков запуска новых систем и сервисов, для которых требуются новые подходы к обеспечению безопасности.
Два принципа облачной безопасности
Для того, чтобы обеспечить безопасность облачных систем, необходимо придерживаться двух основополагающих принципов.
Первый – прозрачное управление облачными средами. Стремиться к нему необходимо ради того, чтобы постоянно контролировать работу систем, вовремя устранять ошибки и выявлять нештатные ситуации. Особенно актуально это в тех случаях, когда компания использует мультиоблачный подход, разворачивая часть сервисов в публичных облаках и оставляя свои ключевые системы в частном облаке.
Второй принцип – упреждение. Простая фиксация угроз и контроль за системой становятся недостаточными. Разработка политик и процедур безопасности, организация управления средствами ИБ, четкое определение порядка реагирования на угрозы, сотрудничество с провайдерами в части использования защитных систем – важнейшие задачи, которые должны решаться постоянно, а не единовременно.
Что необходимо сделать при миграции в облако
Достаточно просты и первоочередные действия, которые необходимо предпринять предприятию перед тем, как переносить свои системы в облако. Их можно осуществить пошагово, по мере миграции.
Уже на этапе развертывания облачной платформы ИТ-службы компании должны позаботиться о том, чтобы предусмотреть размещение на облачной платформе необходимых средств безопасности и определить политики доступа к сервисам. При этом стоит предварительно ознакомиться с теми решениями и подходами, которые предлагает сам провайдер. Нет, речь не идет о простом выборе готового решения. Предложение стоит внимательно проанализировать и усилить его дополнительными сервисами, арендуемыми у провайдера или подготовленными собственными силами.
И, тем не менее, в качестве основы стоит развернуть систему безопасности, предложенную поставщиком PaaS. Любой шаблон платформы, предлагаемый провайдером, уже содержит необходимый минимум мер безопасности, при помощи которых можно организовать сетевой доступ к системам и взаимодействие с коммуникациями ЦОД.
Дорожная карта
Облачные технологии переживают этап ускоренного развития. Нормой становится не просто переход в облако или виртуализация используемых мощностей, а развитие гибридных и мультиоблачных сред, когда бизнес использует для разного типа сервисов услуги нескольких провайдеров. Все это требует особенного внимания к разработке стратегии перехода в облака, которая позволит не только воспользоваться новыми преимуществами, но и обеспечить безопасность систем и данных.
При разработке стратегии перехода в облако бизнесу предстоит ответить на несколько важнейших вопросов, которые и определят пути дальнейшего технологического развития.
Первый из них - выбор между арендой готового облачного решения у провайдера и разработкой собственного. Казалось бы, с точки зрения экономики выбор очевиден: арендовать облачные мощности гораздо дешевле и проще, чем строить private cloud. На самом деле вариант с арендой не так прост. Не только поставщик услуг должен соответствовать потребностям заказчика. Сама компания в не меньшей степени должна быть готова использовать услуги провайдера, чтобы добиться максимальной эффективности и оправдать свои инвестиции.
Второй вопрос – выбор модели облачных услуг или провайдера в соответствии с потребностями. И важнейшим аспектом, который необходимо учитывать, отвечая на этот вопрос, является способность поставщика услуг обеспечить необходимый уровень безопасности систем. При этом речь идет не только о надежности дата-центра, используемого провайдером, но и о функциональности его систем безопасности.
Ответ на третий вопрос потребует серьезного анализа собственных компетенций компании. А насколько эффективно сам бизнес защищает собственные данные? Эффективно ли реагирует он на угрозы целостности данных? И, в конце концов, дает ли хранение ценнейших баз данных в собственном ЦОД гарантию их неприкосновенности и конфиденциальности? Строгий аудит собственных систем ИБ и компетенций продемонстрирует реальный уровень безопасности. И чаще всего он будет значительно уступать тому, который может предложить облачный провайдер.
Четвертый вопрос подразумевает понимание перспектив развития компании. Важнейшее преимущество облака – простая масштабируемость систем, которая позволит содержать мощности, необходимые бизнесу «здесь и сейчас». Но насколько готовы к масштабированию системы безопасности, используемые компанией? Надежно ли будут защищены те системы, которые будут вводиться в строй по мере развития компании? И не станут ли они «отрытой дверью» для киберпреступников?
Многие из этих вопросов можно назвать риторическими. Действительно, даже сама их постановка показывает, что защита данных собственными силами для подавляющего большинства компаний – сложнейшая задача. Ее решение требует не только необходимых мощностей, но и компетенций. И в той, и в другой области облачные провайдеры имеют неоспоримые преимущества перед компаниями.
И, тем не менее, даже самые строгие сервисные соглашения и самые серьезные компетенции провайдера не могут служить полной гарантией безопасности в облаке. Ее обеспечение всегда – общая задача поставщика услуг и заказчика. И организовать безопасность, чтобы сохранить самый ценный актив цифровой эпохи, необходимо в момент переезда в облако....
Комментарии
Чтобы оставить комментарий зарегистрируйтесь или войдите
Авторизация через