`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Безопасность данных в облаке: за что отвечает оператор, а за что – клиент? Чеклист

+35
голосов

Хотя использование облачных технологий – частая практика для крупных игроков рынка, у собственников бизнеса все еще возникают вопросы к безопасности этого решения. Надежен ли провайдер – можно понять, если в числе его заказчиков есть те, для кого безопасность данных критично важна. Среди клиентов GigaCloud – это предприятия банковского и госсектора. 

Но часто CIO нужно аргументировать руководителю само решение о переходе на облачную инфраструктуру. А для этого – объяснить механизм защиты информации в облаке. За что в комплексе безопасности данных отвечает провайдер? На чем нужно сосредоточиться клиенту? Мы подготовили чек-лист с ответами на эти вопросы, который поможет вам выбрать надежного облачного оператора и разобраться в зонах ответственности. 

 за что отвечает оператор, а за что – клиент? Чеклист

Зона провайдера: инфраструктура 

Физическая безопасность

Облачная инфраструктура построена на базе центра обработки данных. Задача специалистов со стороны дата-центра – обеспечить доступность и работоспособность аппаратной части. Для этого серверам нужно стабильное электропитание и комфортная температура. Все инженерные коммуникации дублируются, чтобы свести на нет возможность простоя. Специалисты ЦОД организуют систему защиты от пожаров и систему ограничения доступа, обеспечивают круглосуточную охрану и видеонаблюдение.

Это нужно для повышения уровня надежности и физической безопасности инфраструктуры. На основе этих параметров ЦОД соответствует одному из четырех уровней стандарта Tier (уровень отказоустойчивости дата-центра).

Аппаратный слой облака GigaCloud размещается в трех центрах обработки данных: это украинские GigaCenter и BeMobile и европейский Atman. Они отвечают уровню Tier-3 (максимально необходимый для коммерческого ЦОД). Отказоустойчивость дата-центра Tier-3 равна 99,98%, а допустимое время простоя – не больше 1,6 часов в год.

Каналы связи

Обмен данных в облачной инфраструктуре происходит через глобальную сеть. Чтобы защитить трафик, оператор должен учитывать безопасность каналов связи. Подключение наших клиентов к облаку происходит через VPN или выделенные каналы оператора GigaTrans.

Дополнительным плюсом от оператора могут стать услуги по защите от сетевых атак (аппаратные анти- DDoS средства, брандмауэры, поведенческие системы контроля трафика, ПО для защиты от распространенных уязвимостей системы). Сервисная защита от DDoS-атак есть и у нашего телеком-провайдера. 

Виртуальная среда

Облачный оператор отвечает за безопасность виртуальной среды

Важно понимать, услугами какого вендора виртуализации пользуется оператор. Гипервизор – ПО для виртуализации – также отвечает за распределение и управление ресурсами, изоляцию и защиту виртуальных машин.

Для построения облачной инфраструктуры, мы используем технологии VMware. Ядро этого гипервизора разработано сугубо для виртуализации. Большинство других написаны на основе готовых программных ядер, которые передали уязвимости, расширяющие пространство для атаки. 

Также оператор проводит дополнительные меры для минимизации внешнего воздействия на облачную систему:

  • изоляция клиентских ландшафтов;
  • отслеживание и внедрение обновлений; 
  • предотвращение вторжений и межсетевого экранирования
  • настройка привилегий доступа;
  • логирование и мониторинг;
  • распределение и балансировка нагрузки.

Чтобы доказать системность подхода по управлению информацией, оператор проходит внешний аудит на соответствие международным и государственным стандартам. Информационная безопасность инфраструктуры GigaCloud подтверждена международным сертификатом ISO 27001. А система защиты информации аттестована по стандартам КСЗИ –их выдвигает Государственная служба специальной связи Украины.

Зона клиента: виртуальные машины 

ИТ-службе клиента нужно защитить данные на виртуальных машинах, свести на нет риск утечки информации и обеспечить надежное хранение резервных копий.

Шифрование дисков

Благодаря шифрованию можно избежать использование данных вне облака в случае их утечки. Нашим клиентам доступны такие решения по шифрованию:  

  • по области: на уровне гипервизора, операционной системы, баз данных;
  • по методу: на основе штатных или специализированных средств шифрования;
  • шифрование трафика горячей миграции виртуальных машин (во время миграции между нашими дата-центрами для защиты от перехвата).

Ключи шифрования и весь слой управления лежит в зоне ответственности заказчика внутри облачной инфраструктуры. Соответственно для нас как для провайдера, все данные клиента недоступны (зашифрованы).

Разделение политик безопасности

Приведем в пример распространенную ситуацию. На одной виртуальной машине одновременно находится внешний веб-сервер и внутреннее приложение. Чтобы предотвратить ошибочное подключение внутренней системы к внешней сети, нужно изолировать зоны доверия и создать разные профили безопасности для каждой служб.

Улучшение антивирусной защиты

Чтобы избежать неожиданных нагрузок на сервер, администраторам стоит настроить расписание антивирусных проверок. 

Чтобы снизить конкуренцию за облачные ресурсы, лучше всего использовать безагентные антивирусы и проводить проверку машин через API в момент, когда они выключены.

В интересах клиента и настройка отказа в доступе к машинам тем пользователям, у которых недостаточно защищены персональные устройства. Например, не обновлен антивирус или модуль защиты от утечек.

Обучение персонала

Самая защищенная система – та, которую тщательно охраняют изнутри. При проектировании архитектуры нужно учитывать влияние человеческого фактора. Пользователям стоит быть в курсе о процедурах подключения к виртуальным машинам, работе с посторонними приложениями и ссылками. 

Хранение бэкапов в облаке

Мы рекомендуем клиентам пользоваться «правилом 3-2-1»: хранить не менее 3 версий данных в 2 разных местах, из которых хотя бы одна – удаленная облачная платформа.

Бэкапы нужно хранить вне основной рабочей площадки, чтобы:

  • ограничить к ним нежелательный сетевой доступ;
  • быстро подключиться к резервным копиям и восстанавливать данные.

Клиент получает от оператора полностью защищенную платформу для своих сервисов: с поддержкой аппаратной, сетевой и виртуальной безопасности. За клиентом – только грамотная охрана данных на сервере. 

Внимательно проверьте «внешнюю» безопасность инфраструктуры еще на этапе выбора оператора. Дополните ее грамотной настройкой «внутренних» процессов. И вы получите самое безопасное решение для вашего бизнеса, которое только может предложить рынок. 

А мы окажем персональное клиентское сопровождение для подбора и защиты индивидуального решения под задачи вашего бизнеса.

[email protected]

gigacloud.ua

Публикуется на правах рекламы

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+35
голосов

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT