Сприйняття проти Реальність
ІТ-фахівці часто сприймають хмару як небезпечну або менш безпечну, ніж те, що їхні програми та дані знаходяться у їхніх власних центрах обробки даних. Але сприйняття не обов’язково збігаються з реальністю.
Коли CA та Ponemon Institute замовили дослідження понад 900 ІТ-фахівців у травні 2010 року, вони виявили, що ІТ-практики вважали, що ризики безпеки в хмарі важче зменшити, зокрема захист фізичного розташування активів даних та обмеження доступу привілейованих користувачів до конфіденційні дані. Опитування показало, що ІТ-спеціалісти визнали, що мають неповні знання про те, які з їхніх обчислювальних ресурсів розгорнуті в хмарі, головним чином тому, що ці рішення приймаються кінцевими користувачами за межами будь-якої перевірки ІТ. Близько половини всіх респондентів визнають, що багато хмарних ресурсів не оцінюються на предмет безпеки перед розгортанням в їхніх організаціях.
Можливо, вся ця метушня більше пов’язана з небезпечними веб-додатками, ніж із самою хмарою. Багато з найпопулярніших засобів безпеки в Інтернеті, як-от міжсайтові сценарії та ін’єкція SQL, існували майже з тих пір, коли були винайдені веб-сервери, і чомусь вони досі заважають багатьом корпоративним установкам. За іронією долі, звіт Дерека Брінка з Aberdeen Group у травні 2010 року показує, що користувачі хмарних інструментів веб-безпеки працювали краще, ніж їхні локальні аналоги з меншою кількістю інцидентів зі зловмисним програмним забезпеченням.
Звичайно, існують більш-менш безпечні хмарні середовища, так само, як є більш-менш захищені локальні центри обробки даних. Альянс Cloud Security Alliance — це неприбуткова організація, створена для забезпечення безпеки серед постачальників хмарних обчислень. Альянс просуває найкращі методи безпеки та створює консенсус щодо окремих питань безпеки. Заснована два роки тому консорціумом постачальників та ІТ-менеджерів кінцевих користувачів, вона створила кілька робочих груп, наприклад ті, які зосереджені на роботі центрів обробки даних, eDiscovery та управлінні життєвим циклом.
Кожен, хто купує хмарні послуги, повинен шукати чіткі та переконливі відповіді на чотири запитання:
Як шифруються дані як під час використання, так і в стані спокою, коли вони зберігаються в хмарній інфраструктурі?
Чи є дрібні засоби контролю доступу?
Яка частина хмарної інфраструктури надлишкова?
Наскільки добре захищені веб-додатки?
Ми розглянемо кожен з них більш детально на наступних сторінках.