- •Оглавление
- •Введение
- •История и ключевые факторы развития
- •Определение облачных вычислений
- •Модели облачных служб
- •Модели развёртывания
- •Основные свойства
- •Достоинства и недостатки облачных вычислений
- •Референтная архитектура
- •Соглашение об уровне сервиса
- •Методы и средства защиты в облачных вычислениях
- •Безопасность облачных моделей
- •Аудит безопасности
- •Расследование инцидентов и криминалистика в облачных вычислениях
- •Модель угроз
- •Юридическая база
- •Взаимоотношения между сторонами
- •1. Сохранность хранимых данных. Как сервис-провайдер обеспечивает сохранность хранимых данных?
- •2. Защита данных при передаче. Как провадйер обеспечивает сохранность данных при их передаче (внутри облака и на пути от/к облаку)?
- •3. Аутентификация. Как провайдер узнает подлинность клиента?
- •4. Изоляция пользователей. Каким образом данные и приложения одного клиента отделены от данных и приложений других клиентов?
- •5. Нормативно-правовые вопросы. Насколько провайдер следует законам и правилам, применимым к сфере облачных вычислений?
- •6. Реакция на происшествия. Как провайдер реагирует на происшествия, и насколько могут быть вовлечены его клиенты в инцидент?
- •Международные и отечественные стандарты
- •Территориальная принадлежность данных
- •Государственные стандарты
- •Средства обеспечения защиты в облачных технологиях.
- •Практическая часть
- •Литература
Территориальная принадлежность данных
В различных странах существует ряд нормативов, которые требуют, чтобы конфиденциальные данные оставались внутри страны. И хотя хранение данных в пределах определенной территории, на первый взгляд, не является сложной задачей, провайдеры облачных сервисов часто не могут этого гарантировать. В системах с высокой степенью виртуализации данные и виртуальные машины могут перемещаться из одной страны в другую для различных целей – балансировки нагрузки, обеспечения отказоустойчивости.
Некоторые крупные игроки на рынке SaaS (такие, как Google, Symantec) могут дать гарантию хранения данных в соответствующей стране. Но это, скорее, исключения, в целом выполнение этих требований встречается пока довольно редко. Даже если данные остаются в стране, у клиентов нет возможности проверить это. Кроме того, не надо забывать и о мобильности сотрудников компаний. Если специалист, работающий в Москве, командируется в Нью-Йорк, то лучше (или, как минимум, быстрее), чтобы он получал данные из ЦОД в США. Обеспечить это – задача уже на порядок сложнее.
Государственные стандарты
На данный момент в нашей стране отсутствует какая-либо серьёзная нормативная база по облачным технологиям, хотя наработки в этой области уже ведутся. Так приказом президента РФ №146 от 8.02.2012г. определено, что федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности данных в информационных системах, созданных с использованием суперкомпьютерных и грид-технологий, являются ФСБ России и ФСТЭК России.
В связи с этим указом расширены полномочия названных служб. ФСБ России теперь разрабатывает и утверждает нормативные и методические документы по вопросам обеспечения безопасности указанных систем, организует и проводит исследования в области защиты информации.
Также служба выполняет экспертные криптографические, инженерно-криптографические и специальные исследования этих информационных систем и готовит экспертные заключения на предложения о проведении работ по их созданию.
Также документом закреплено, что ФСТЭК России разрабатывает стратегию и определяет приоритетные направления деятельности по обеспечению безопасности сведений в информационных системах, созданных с использованием суперкомпьютерных и грид-технологий, обрабатывающих данные ограниченного доступа, а также следит за состоянием работ по обеспечению названной безопасности.
ФСТЭК заказала исследование, в результате которой появилася бета-версия "терминосистема в области «облачных технологи»”
Как можно понять, вся эта Терминосистема – это адаптированный перевод двух документов: "Focus Group on Cloud Computing Technical Report" и «The NIST Definition of Cloud Computing". Ну, то, что эти два документа не очень согласуются между собой – это отдельный вопрос. А визуально пока видно: в русской "Терминосистеме" авторы для начала просто не привели ссылки на эти английские документы.
Дело в том, что для подобной работы нужно обсуждать сначала концепцию, цели и задачи, методы их решения. Вопросов и замечаний много. Главное методическое замечание: нужно очень четко сформулировать – какую задачу решает данное исследование, его цель. Сразу отмечу, "создание терминосистемы" – не может быть целью, это – средство, а вот достижения чего – пока не очень понятно.
Не говоря о том, что нормальное исследование должно включать раздел "обзор существующего положения дел".
Обсуждать результаты исследования трудно, не зная исходной постановки задачи и того, как ее авторы решали.
Но одна принципиальная ошибка Терминосистемы хорошо видна: нельзя обсуждать "облачную тематику" в отрыве от "необлачной". Вне общего контекста ИТ. А вот этого контекста как раз в исследовании и не видно.
А результатом этого, является то, что на практике такую Терминосистему будет применять невозможно. Она может только еще больше запутать ситуацию.