Так ли плохи \"облака\" с точки зрения безопасности ?

Так ли плохи \"облака\" с точки зрения безопасности ?
Когда в среде ИТ-шников заходит разговор про облачные технологии, то многие указывают на вопросы безопасности как один из аспектов, который мешает активному переходу "в облака".  Еще бы, ведь контроль над инфраструктурой, приложениями и данными снижается или пропадает вовсе. Так что не удивительно, что опросы показывают вот такие результаты:

Но давайте попробуем взглянуть на это несколько иначе.  Когда мы говорим о крупном бизнесе, то конечно же переход к облачным технологиям действительно может потенциально увеличивать риски, связанные с передачей инфраструктуры, приложений и информации стороннему поставщику.  Но давайте оценим ситуацию с точки зрения малого и среднего бизнеса:

Риск нарушения доступности инфраструктуры, приложений, данных.

Малый и средний бизнес как правило очень ограничен в денежных ресурсах и поэтому не всегда закупает надежное оборудование, резервирует его, корректно обслуживает и не всегда обеспечивает его оперативную замену.  Если мы говорим про хорошего облачного провайдера, то эти вопросы для него жизненно важны и поэтому компания-клиент может рассчитывать на более высокий уровень доступности и регулярный бекап данных. Единственное о чем нужно беспокоится компании - наличие хорошего доступа в сеть Интернет, в крупных городах с этим нет проблем, но в целом по России все конечно по-разному.

Риск нарушения конфиденциальности со стороны работников облачного провайдера

Для малого бизнеса это редко является проблемой т.к. маловероятно, что облачный провайдер войдет в сговор с кем-то из конкурентов и передаст ему данные клиента. А малых бизнесов, которые обрабатывают действительно чувствительную/секретную информацию очень немного по сравнению с общей массой. Так что ничего страшного в том, что данные передаются сторонней организации нет. А при этом облачный провайдер с большой долей вероятности обладает более расширенными механизмами контроля доступа и надежнее способен обеспечить защиту от НСД (еще раз напоминаю что я веду речь о профессиональном провайдере, а не о какой-нибудь шаражке).

Риск хакерского взлома 

Малый и средний бизнес выделяет не очень много денег на информационную безопасность, редко обладает собственным штатом ИБ-спецов и поэтому уровень защищенности таких организаций как правило оставляет желать лучшего. Это хорошо если хотя бы антивирус установлен и обновлен, а то бывает и этого нет. Сервис-провайдер же наверняка регулярно проводит анализ защищенности своей инфраструктуры и обеспечивает оперативное обновление программного обеспечения, контроль за вносимыми изменениями, выявление попыток вторжения, антивирусную защиту и проч.

Риск форс-мажора

Сюда можно отнести и природные и техногенные явления и (актуально для России) приход товарищей в масках. Если бизнес выбрал крупного облачного провайдера мирового уровня, то он может рассчитывать и на наличие у этого провайдера резервных ЦОДов по всему миру (исключаем проблему со стихийными бедствиями) и на то, что "люди в масках", которые придут и заберут все компьютеры, во-первых ничего на них не найдут, а во-вторых не остановят бизнес, т.к. все системы продолжат функционировать и надо только получить доступ к сети Интренет.

И так можно сказать по всем прочим рискам, которые приходят на ум когда мы говорим о переходе на сторонний сервис. Поэтому для малого и среднего бизнеса переход на облачные технологии с точки зрения безопасности снимет больше рисков чем создаст.

P.S. Стоит еще конечно же упомянуть, что для малого и среднего бизнеса после перехода на облачный сервис возникает один серьезный риск - привязка к провайдеру. Именно отсутствие собственных ИТ/ИБ-специалистов создаст серьезный барьер при попытке сменить провайдера. И чем дольше бизнес будет пользоваться этим сервисом, тем сложнее будет потом "соскочить". Так что возможно в будущем появятся специализированные организации, которые будут оказывать помощь в миграции с одного провайдера на другого.
Alt text

Александр Бондаренко

Блог Александра Бондаренко