«Облачные» сервисы набирают популярность. Несмотря на риски безопасности

С момента запуска компанией Amazon.com проекта Elastic Compute Cloud (Amazon EC2), прошло менее 10 лет, но уже очевидно, что «облака» произвели революцию в бизнесе. И, как обычно бывает, переходный период оказывается непростым: появляются новые риски, связанные с изменением ИТ, и в особенности много опасений вызывает аспект безопасности. Впрочем, это не мешает все большему числу организаций обращаться к «облачным» службам.

«Облачные» службы, т.е. сервисы совместного пользования, которые предоставляют пользователям доступ к данным либо ПО, физически находящимся на некоторых удаленных серверах, уже хранят гигантский объем информации (по оценке Symantec, четверть всего созданного человечеством) от медиаконтента до персональных медицинских карт, корпоративных документов и конфиденциальных финансовых данных. Наиболее известные службы, Dropbox и Google Drive, за последний год увеличили число подписчиков до 625 млн, и, по прогнозу IHS, к 2017 г. охватят 1,3 млрд. Одновременно аналитики ожидают, что доход от публичных «облаков» вырастет с $91,4 млрд в 2011 г. до $206,6 млрд в 2016 г.

И все же, «облачные» сервисы могли бы распространяться намного быстрее, если бы не две основных проблемы: надежность и безопасность. Доверяя данные провайдеру, клиенты должны быть абсолютно уверены в их сохранности и возможности доступа в любой момент. Проблему надежности большинство провайдеров решают за счет технологий избыточности. Надежность самого провайдера также достаточно просто проверяется — «облачные» компании проводят политику открытости, ведь их успех в большой мере зависит от финансовой стабильности и репутации.

Проблема безопасности, напротив, до сих пор является основным сдерживающим фактором при принятии решений о миграции в «облако». По данным исследования CouponCodes4u, только 31% взрослых американцев чувствуют себя безопасно, храня персональные документы в «облаках». Согласно последнему опросу GreenSQL, 81% ИТ руководителей опасаются перемещать данные в «облака»: 31% — поскольку не доверяют безопасности сервисов, 28% — из-за ограничений регуляторных требований, 22% — поскольку не смогут контролировать данные в полной мере и 19% — из-за незрелости рынка «облачных» сервисов. А те компании, которые все же решились использовать «облако», столкнулись с рядом дополнительных проблем: согласно отчету Symantec, 43% ИТ подразделений имеют «утерянные данные в облаке», а по данным собственного исследования Intel, 45% компаний сталкивались с уязвимостями в двух наиболее популярных «облачных службах», в результате чего корпоративные данные были утеряны либо доступ к ним получили неавторизованные лица.

Еще один немаловажный фактор — хакеры. Во-первых, «облако» само по себе притягательно для разного рода злоумышленников из-за огромных объемов находящейся там важной информации. Во-вторых, переносимые в «облако» данные страдают от унаследованных угроз, не зависящих от места хранения: SQL-инъекций, мошенничества, краж, несанкционированного доступа, ошибок администрирования. Всегда есть возможность, что хакер найдет бэкдор в том или ином сервере. Утечки данных из «облака» обычно отличаются большими масштабами — достаточно вспомнить зафиксированный в феврале 2011 г. инцидент в Nasdaq, вследствие которого злоумышленники получили сведения о тысячах корпораций. И хотя Nasdaq дала минимум информации об атаке, очень скоро стало известно, что хакеры отслеживали секретные коммуникации между членами советов директоров, и в результате расследование инцидента проводило несколько федеральных агентств. Еще один показательный пример — утечки в Web Marketer Epsilon, Twitter и LinkedIn в 2013 г. — компании также неохотно комментируют инциденты и предпочитают заявлять, что пострадавших нет.

Настораживает то, что атаки такого масштаба уже становятся обычным явлением. Как утверждает ведущий эксперт Forrester Research Ив Мейлер (Eve Maler), даже взлом социальной сети может привести к хаосу. «Хакеры могут получить доступ к прямым сообщениям с значимыми для компаний данными, которые могут оказать влияние на дальнейшее развитие бренда или бизнеса». Утечки корпоративных финансовых данных или коммерческих тайн могут привести к более серьезным последствиям — это вынуждает «облачные» компании инвестировать в меры безопасности и минимизировать время реакции на вторжения.

Не стоит сбрасывать со счетов и риски, связанные с потерей персональных данных клиентов. Законодатели разных стран по-разному интерпретируют обязанности компании по хранению этого типа информации. Например, разместив данные на серверах «облачного» провайдера в ЕС, компания попадает под юрисдикцию местных законов, даже если фактически не ведет бизнеса в Европе. Из 27% организаций, которые согласно опросу InformationWeek в 2012 г. вообще не планируют использовать публичные «облака» почти половина, 48%, — исключительно про причине риска утечек клиентских данных и возможности последующего правового преследования.

Со своей стороны, для обеспечения безопасности данных большинство провайдеров применяет целый комплекс мер — шифрование, аутентификацию, многоуровневую авторизацию — но таким образом гарантируют лишь базовую защиту. Хорошим примером является Amazon, в котором имеется широкий спектр функций безопасности для «облачных» сервисов. При этом ответственность за управление гостевыми ОС (в том числе своевременную установку апдейтов и патчей), другого связанного прикладного ПО, конфигурацию предоставляемого Amazon брандмауэра несут сами клиенты — таким образом, именно они и отвечают за целостность и безопасность хранимой информации. Кстати, по данным InformationWeek, 35% компаний, которые используют или планируют использовать «облака» намерены наряду с провайдером заниматься устранением уязвимостей, а 5% — самостоятельно заниматься проблемой безопасности данных в «облаке» даже если контракт с провайдером этого делать не позволяет.

Словом, выбор между внутренним и внешним хранением до сих пор вызывает множество сомнений и активную полемику. С одной стороны, согласно Intel, подавляющее число ИТ-руководителей утверждает, что при хранении данных в собственных сетях брешей безопасности еще больше, чем в «облаке». С другой стороны, пока очень сложно оценить, достаточно ли у провайдера инструментов для минимизации рисков клиента, связанных с данными. Кажется очевидным, что при выборе услуги необходимо ознакомиться с документацией, предоставляемой потенциальным клиентам, как правило, у крупных игроков это отчет внешнего аудита на соответствие SSAE 16, в котором подробно описаны инструменты и технологии безопасности.

Но на самом деле клиенты «облачных» служб очень часть полагаются на не подтвержденные документально заявления провайдеров в сфере защиты данных: 20% полагают, что уровень контроля безопасности со стороны поставщика сервиса высок, 20% — знают о совместной ответственности, еще 31% либо не представляют возможностей провайдера, либо вообще не изучали данный вопрос.

Но интересный феномен — несмотря на то, что и настоящие, и потенциальные клиенты «облаков» высказывают множество сомнений по поводу безопасности, они уверены в преимуществах этой технологии и не сомневаются в потребности их внедрения. Прежде всего по причине снижения капитальных расходов, затрат на ИТ, высокой мобильности, масштабируемости, удобства. Уже сейчас эксперты уверены — движение в «облака» неизбежно, поскольку его основной движущей силой являются потребности бизнеса. И никакие сомнения и опасения не станут преградой для «облачной» революции.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365