Заоблачная надежность

Пять мифов об облаке, которые пора забыть

Согласно отчетам международной компании Cloud Security Alliance, многие пользователи не готовы работать в облаке из-за боязни потери данных, взлома и похищения привязанных аккаунтов. Между тем именно в облаке, а не на сервере собственного хостинга информация защищена лучше, а уровень отказоустойчивости — выше. Представляем вам пять самых распространенных мифов об облаке, которые мы с легкостью развенчаем.

Пароль могут похитить, а аккаунт — взломать.

Миф 1. Облачная система никак не защищена от утечки конфиденциальных данных. Это типичная отговорка нерадивого сотрудника, раздающего свои идентификационные данные, задающего один и тот же пароль на все, от почтового ящика до интернет-банка, а также записывающего пароли на визитках. Что ж, облако в данном случае действительно бессильно. Злоумышленник может и перехватить, и подделать, и исказить данные. Однако практика показывает: все это «лечится» на уровне пользователя — введением болезненных штрафов за раздачу регистрационных данных коллегам и использование слишком лаконичных паролей.

В облачных решениях компании SAP (ведущего поставщика программного обеспечения и облачных технологий в мире) реализована многоуровневая система защиты информации, в том числе безопасность на уровне приложения: защита от внутренних угроз, блокировка опасных плагинов, защита от phishing и pharming, разделение обязанностей, ролевая модель, защита от неправильных логинов.

Множественная аренда облака открывает доступ для взлома.

Миф 2. База данных облака с множественной арендой неизбежно ведет к тому, что изъян в приложении одного клиента открывает взломщикам доступ к данным не только этого клиента, но и всех остальных пользователей облака. В России физическое изъятие серверов — дело, к сожалению, обычное. Впрочем, это скорее проблема кустарей от IT — различных небольших фирм, продающих «дырявые» облака. Серьезный же поставщик в числе приоритетов всегда указывает полное соответствие местному законодательству, что позволяет избежать конфликтов с правоохранительными органами (по поводу защиты персональных данных, например). Любая солидная корпорация не только не подает силовикам поводов для претензий, но и обеспечивает физическую защиту дата-центра, куда и ее собственному сотруднику попасть не так-то просто. Достойные доверия SaaS-корпорации не держат всю информацию на одном сервере и организовывают шифровку трафика (https-протоколы с использованием SSL-сертификатов), что не позволяет его перехватить. Так, компания SAP обеспечивает физическую безопасность своих дата-центров в соответствии с промышленными стандартами третьего (Tier III+, время простоя за год — 1,6 часа, коэффициент отказоустойчивости 99,982 процента) и четвертого уровней безопасности (Tier IV, время простоя за год — 0,4 часа, коэффициент отказоустойчивости 99,995 процента). Так что пороха взломщикам хватит разве что на похищение базы почтовых адресов, куда даже в самом патовом случае придет только лишняя порция спама, который без труда отфильтрует офисная система защиты.

Потеря данных в случае форс-мажора.

Миф 3. Данные в облаке могут пропасть в результате пожара, потопа, революции, самума и так далее. И ни одна SaaS-корпорация не может предотвратить такой апокалипсис. Этот миф легко опровергнуть, поскольку в правильном облаке всегда имеется возможность резервного копирования (ежедневно, автоматически, не менее двух раз за сутки), а сами базы надежно хранятся (смотри пункт выше). Так что одного звонка в техподдержку будет достаточно, чтобы восстановить утраченное. Куда больше проблем может возникнуть, если пользователь, надежно шифрующий свои данные до выгрузки в облако, вдруг потеряет шифровальный ключ. Разумеется, голословным заявлениям при выборе поставщика доверять нельзя. Практики по мониторингу, управлению инцидентами и рисками, резервному копированию и операционной работе должны быть подтверждены соответствующими документами (сертификацией по ISO 27001, ISAE3402/SSAE16-SOC 1 Type II и/или SOC 2 Type II (SAP).

Облако — это медленно и дорого.

Миф 4. Облачные сервисы работают крайне медленно, да и платить каждый месяц за содержание облака не хочется. Облачная медлительность может быть связана только с некачественным интернетом и громоздкими требованиями к обработке конфиденциальной информации. В первом случае проблема решается правильным выбором интернет-провайдера, во втором — правильным выбором поставщика облака.

Приведем реальный пример, демонстрирующий высокую скорость работы с конфиденциальной информацией клиента в полном соответствии с локальным законодательством. Речь идет о внедрении решений SAP в рамках проекта Echtzeit. Parkinformationssysteme GmbH. Применение облачных технологий в условиях густонаселенного города и плотного автотрафика позволило в разы сократить время поиска свободного места для парковки. Возвращаясь к вопросу о цене: опросы, проведенные компанией SAP в 2017 году, показывают, что финансовый барьер как препятствие для внедрения облачных услуг в России и СНГ у среднего бизнеса отсутствует совсем, у малых предприятий воспринимается как препятствие лишь в 0,9 процента случаев и у крупных — в 2,9 процента. Что до европейского опыта, то страховая компания Ageas, которая работает с 1824 года и входит в топ-20 по Европе именно благодаря цифровой трансформации, куда входит в том числе и переход на облачные решения, смогла зафиксировать снижение годовых затрат в первые пять лет на 20 процентов. Ну а потом, можно всегда прекратить платить за пользование сервисом, предварительно выгрузив всю информацию с него на диск или в локальную систему хранения данных.

Обиженные системщики.

Миф 5. Всегда есть человеческий фактор. А что, если кто-то из ответственных лиц, работающих в организации — поставщике облачных услуг, захочет навредить своей компании и клиентам, попросту слить данные в прямом смысле на улицу? Человеческий фактор, особенно в России, в самом деле часто становится причиной многих проблем. Именно поэтому в среде IaaS, PaaS или SaaS серьезнейшее внимание уделяется подбору персонала, а также организации многоступенчатого доступа к информации. Однако любой отбор, любое шифрование на стороне поставщика облачных услуг не спасут от злодеев-инсайдеров на стороне заказчика. Так что перед тем, как уйти в облако, заказчику необходимо провести обширную, тщательную проверку своих внутренних систем, чтобы выявить все возможные риски.

Фундаментом для облачных решений выступает, прежде всего, доверие к поставщику, которое завоевывается практикой, соответствием международным стандартам и следованием локальным законам.

Источник https://lenta.ru