Восприятие Против. реальность
ИТ-специалисты часто считают облако небезопасным или даже менее безопасным, чем размещение их приложений и данных в собственных центрах обработки данных. Но восприятие не обязательно соответствует действительности.
Когда в мае 2010 года CA и Ponemon Institute заказали исследование с участием более 900 ИТ-специалистов, они обнаружили, что ИТ-специалисты считали, что в облаке сложнее сократить риски безопасности, в том числе защитить физическое расположение активов данных и ограничить доступ привилегированных пользователей к конфиденциальные данные. Опрос показал, что ИТ-персонал признал, что у них не было полной информации о том, какие из их вычислительных ресурсов развернуты в облаке, главным образом потому, что эти решения принимаются конечными пользователями без какой-либо проверки ИТ. Около половины всех респондентов признают, что многие облачные ресурсы не проверяются на безопасность перед развертыванием в их организациях.
Возможно, весь этот шум больше связан с небезопасными веб-приложениями, чем с самим облаком. Многие из лучших эксплойтов веб-безопасности, такие как межсайтовый скриптинг и SQL-инъекция, существуют практически с тех пор, как были изобретены веб-серверы, и по какой-то причине они до сих пор вызывают раздражение во многих корпоративных установках. По иронии судьбы, отчет Дерека Бринка из Aberdeen Group, опубликованный в мае 2010 года, показывает, что пользователи облачных инструментов веб-безопасности справились лучше, чем их локальные эквиваленты, с меньшим количеством инцидентов с вредоносным ПО.
Безусловно, есть более или менее безопасные облачные среды, как и более или менее безопасные локальные центры обработки данных. Cloud Security Alliance — это некоммерческая организация, созданная для обеспечения безопасности среди поставщиков облачных вычислений. Североатлантический союз продвигает передовые методы обеспечения безопасности и достигает консенсуса по конкретным вопросам безопасности. Основанная два года назад консорциумом поставщиков и ИТ-менеджеров конечных пользователей, она создала несколько рабочих групп, например, занимающихся операциями в центрах обработки данных, обнаружением электронных данных и управлением жизненным циклом.
Любой, кто покупает облачные услуги, должен искать четкие и убедительные ответы на четыре вопроса:
Как шифруются данные, используемые и хранящиеся в облачной инфраструктуре?
Предусмотрен ли детальный контроль доступа?
Какая часть облачной инфраструктуры избыточна?
Насколько хорошо защищены веб-приложения?
Мы рассмотрим каждый из них более подробно на следующих страницах.