- •Оглавление
- •Введение
- •История и ключевые факторы развития
- •Определение облачных вычислений
- •Модели облачных служб
- •Модели развёртывания
- •Основные свойства
- •Достоинства и недостатки облачных вычислений
- •Референтная архитектура
- •Соглашение об уровне сервиса
- •Методы и средства защиты в облачных вычислениях
- •Безопасность облачных моделей
- •Аудит безопасности
- •Расследование инцидентов и криминалистика в облачных вычислениях
- •Модель угроз
- •Юридическая база
- •Взаимоотношения между сторонами
- •1. Сохранность хранимых данных. Как сервис-провайдер обеспечивает сохранность хранимых данных?
- •2. Защита данных при передаче. Как провадйер обеспечивает сохранность данных при их передаче (внутри облака и на пути от/к облаку)?
- •3. Аутентификация. Как провайдер узнает подлинность клиента?
- •4. Изоляция пользователей. Каким образом данные и приложения одного клиента отделены от данных и приложений других клиентов?
- •5. Нормативно-правовые вопросы. Насколько провайдер следует законам и правилам, применимым к сфере облачных вычислений?
- •6. Реакция на происшествия. Как провайдер реагирует на происшествия, и насколько могут быть вовлечены его клиенты в инцидент?
- •Международные и отечественные стандарты
- •Территориальная принадлежность данных
- •Государственные стандарты
- •Средства обеспечения защиты в облачных технологиях.
- •Практическая часть
- •Литература
5. Нормативно-правовые вопросы. Насколько провайдер следует законам и правилам, применимым к сфере облачных вычислений?
В зависимости от юрисдикции, законы, правила и какие-то особые положения могут различаться. Например, они могут запрещать экспорт данных, требовать использования строго определенных мер защиты, наличия совместимости с определенными стандартами и наличия возможности аудита. В конечном счете, они могут требовать, чтобы в случае необходимости доступ к информации смогли иметь государственные ведомства и судебные инстанции. Небрежное отношение провайдера к этим моментам может привести его клиентов к существенным расходам, обусловленными правовыми последствиями.
Провайдер обязан следовать жестким правилам и придерживаться единой стратегии в правовой и регулятивной сферах. Это касается безопасности пользовательских данных, их экспорта, соответствия стандартам, аудита, сохранности и удаления данных, а также раскрытия информации (последнее особенно актуально, когда на одном физическом сервере может храниться информация нескольких клиентов). Чтобы это выяснить, клиентам настоятельно рекомендуется обратиться за помощью к специалистам, которые изучат данный вопрос досконально.
6. Реакция на происшествия. Как провайдер реагирует на происшествия, и насколько могут быть вовлечены его клиенты в инцидент?
Иногда не все идет по плану. Поэтому провайдер услуг обязан придерживаться конкретных правил поведения в случае возникновения непредвиденных обстоятельств. Эти правила должны быть задокументированы. Провайдеры обязательно должны заниматься выявлением инцидентов и минимизировать их последствия, информируя пользователей о текущей ситуации. В идеале им следует регулярно снабжать клиентов информацией с максимальной детализацией по проблеме. Кроме того, клиенты сами должны оценивать вероятность возникновения проблем, связанных с безопасностью, и предпринимать необходимые меры.
Международные и отечественные стандарты
Эволюция облачных технологий опережает деятельность по созданию и модификации необходимых отраслевых стандартов, многие из которых не обновлялись уже много лет. Поэтому законотворчество в сфере облачных технологий — один из важнейших шагов к обеспечению безопасности.
IEEE
IEEE, одна из крупнейших организаций по разработке стандартов, объявила о запуске специального проекта в области облачных технологий Cloud Computing Initiative. Это первая инициатива по стандартизации облачных технологий, выдвинутая на международном уровне - до сегодняшнего дня стандартами в сфере облачных вычислений занимались преимущественно отраслевые консорциумы. В настоящее время инициатива включает в себя 2 проекта: IEEE P2301(tm), “Черновое руководство по обеспечению портативности и интероперабельности профилей облачных технологий”, и IEEE P2302(tm) – “Черновой стандарт по обеспечению интероперабельности и распределенного взаимодействия (Federation) облачных систем”.
В рамках Ассоциации по разработке стандартов IEEE создано 2 новых рабочих группы для работы над проектами IEEE P2301 и IEEE P2302 соответственно. IEEE P2301 будет содержать профили существующих и находящихся в разработке стандартов в области приложений, переносимости, управления и интерфейсов обеспечения интероперабельности, а также файловых форматов и соглашений в области эксплуатации. Информация в документе будет логически структурирована в соответствии с различными группами целевой аудитории: вендоры, поставщики услуг и другие заинтересованные участники рынка. Ожидается, что по завершении стандарт можно будет использовать при закупке, разработке, построении и использовании облачных продуктов и сервисов, основанных на стандартных технологиях.
В стандарте IEEE P2302 будет описана базовая топология, протоколы, функциональность и методы управления, необходимые для взаимодействия различных облачных структур (например, для взаимодействия приватного облака и публичного, такого, как EC2). Этот стандарт позволит поставщикам облачных продуктов и услуг извлечь экономические преимущества из эффекта масштаба, обеспечивая в то же время прозрачность для пользователей сервисов и приложений.
ISO
ISO готовит специальный стандарт, посвященный безопасности облачных вычислений. Основная направленность нового стандарта – решение организационных вопросов, связанных с облаками. Однако в силу сложности согласовательных процедур ISO окончательная версия документа должна выйти лишь в 2013 г.
Ценность документа в том, что в его подготовку вовлечены не только правительственные организации (NIST, ENISA), но и представители экспертных сообществ и ассоциаций, таких как ISACA и CSA. Причем, в одном документе собраны рекомендации как для провайдеров облачных услуг, так и для их потребителей – организаций-клиентов.
Основная задача данного документа – подробно описать лучшие практики, связанные с использованием облачных вычислений с точки зрения информационной безопасности. При этом стандарт не концентрируется только на технических аспектах, а скорее на организационных аспектах, которые никак нельзя забывать при переходе на облачные вычисления. Это и разделение прав и ответственности, и подписание соглашений с третьими лицами, и управление активами, находящимися в собственности разных участников «облачного» процесса, и вопросы управления персоналом и так далее.
Новый документ во многом вобрал в себя материалы, разработанные в ИТ-индустрии ранее.
Правительство Австралии
После нескольких месяцев «мозгового штурма», правительство Австралии выпустило ряд руководств по переходу на использование облачных вычислений. 15 февраля 2012 года эти руководства были выложены на блоге департамента управления информацией правительства Австралии (Australian Government Information Management Office, AGIMO).
Чтобы облегчить компаниям миграцию в облака, подготовлены рекомендации по наилучшей практике использования облачных услуг в свете исполнения требований закона 1997 года об управлении финансами и подотчетности (Better Practice Guides for Financial Management and Accountability Act 1997). В руководствах в общем плане рассматриваются финансовые и правовые проблемы, а также вопросы защиты персональных данных.
Руководства говорят о необходимости постоянного мониторинга и контроля использования облачных услуг посредством ежедневного анализа счетов и отчетов. Это поможет избежать скрытых «накруток» и попадания в зависимость от поставщиков облачных услуг.
Первое руководство называется «Облачные вычисления и защита персональных данных для учреждений правительства Австралии» (Privacy and Cloud Computing for Australian Government Agencies, 9 стр.). В этом документе особое внимание уделяется вопросам обеспечения неприкосновенности частной жизни и безопасности при хранении данных.
В дополнение к этому руководству, был также подготовлен документ «Переговоры о предоставлении облачных услуг – Правовые вопросы в соглашениях о предоставлении облачных услуг» (Negotiating the Cloud – Legal Issues in Cloud Computing Agreements, 19 стр.), помогающий разобраться в положениях, включаемых в договора.
Последнее, третье руководство «Финансовые соображения при использовании государственными органами облачных вычислений» (Financial Considerations for Government use of Cloud Computing, 6 стр.) рассматривает финансовые вопросы, на которые компании следует обратить внимание, если она решит использовать облачные вычислений в своей деловой деятельности.
Помимо затронутых в руководствах, есть ряд других вопросов, которые необходимо решать при использовании облачных вычислений, включая вопросы, связанные с государственным управлением, с проведением закупок и с политикой управления деловой деятельностью.
Публичное обсуждение данного аналитического документа дает возможность заинтересованным сторонам рассмотреть и прокомментировать следующие проблемные вопросы:
Несанкционированный доступ к секретной информации;
Утрата доступа к данным;
Неспособность обеспечить целостность и аутентичность данных, и
Понимание практических аспектов, связанных с оказанием облачных услуг.