Обратная сторона облака: бреши в безопасности, потери данных и простои
Cisco, Juniper, F5 и другие вендоры активно «латали» свои устройства, чтобы гарантировать защищенность своих систем. Некоторые крупные социальные сети, такие как Facebook и LinkedIn – также столкнулись с проблемой OpenSSL. Но даже после того, как они заявили, что патчи были установлены, эти социальные сети все же попросили своих пользователей сменить пароль — так, на всякий случай.
Таким образом, хотя облачные вычисления — это мощная платформа, временами над ней все же сгущаются облака. Это вполне логично, поскольку облачная платформа состоит из огромного числа компонентов и нескольких уровней абстракций. Если в некоторых находят уязвимость, может рухнуть вся система.
Поэтому, если менеджмент компании присматривается к облачным системам, стоит обратить внимание на следующие проблемы:
Облако и безопасность. Несомненно, это одна из наиболее важных проблем, причем ее масштаб все время растет. Последний ежегодный отчет Arbor Networks по глобальной инфраструктуре безопасности указывает на это очень четко. Так, мощность DDoS-атак в 2013 году возросла до 309 Гбит/с, в 2014 году эта цифра превысила планку в 400 Гбит/с. Поскольку облачные вычисления становятся все более популярными, они являются целью множества вредоносных атак. Ни одна инфраструктура не является до конца защищенной и нуждается в жестком контроле с помощью набора политик. Heartbleed является отличным примером того, как крупная облачная организация попала под удар стандартизированной структуры безопасности.
Возможные потери данных. Миграция пользователей в облако и последующий доступ к облачным приложениям позволяет конечным пользователям работать удаленно. Однако, что происходит, когда пользователь начинает загружать файлы в облако? Ведь некоторая информация может стоить чрезвычайно дорого. Недавний отчет альянса HITRUST указывает на множество утечек медицинских данных, что сразу же снижает оптимизм касательно облака.
Общее число утечек: 495 |
Всего было похищено записей: 21,12 млн |
Общая стоимость похищенных данных: $4,1 млрд |
Средний размер утечки: 42 659 записей |
Средняя стоимость: $8,27 млн |
Многие организации до сих не внедрили систему предотвращения утечек (Data Loss Prevention, DLP) и даже не планирует этого делать в ближайшее время. Такое положение открывает возможность того, что пользователь, даже не из злого умысла, мог загрузить в открытый доступ файл, содержащий конфиденциальную информацию.
Простои в работе облака. Как правило, ни одно облако не является на 100% застрахованным от природных бедствий или других форс-мажорных угроз. Например, мощный ураган в июне 2012 года прервал работу огромного датацентра, принадлежащего Amazon, в котором, конечно же, были размещены Amazon Web Services (AWS). Все бизнесы, использовавшие AWS в этом датацентре, прекратили функционирование. Известные облачные сервисы, такие как Instagram, Netflix и Pinterest были недоступны в течение более 6 часов. Вообще, с 2007 года 13 крупнейших облачных поставщиков прерывали свою деятельность в общей сумме на срок в 568 часов. Этот простой обошелся заказчикам в $72 млн.
Как в итоге поступили гиганты типа Facebook, Google и LinkedIn? Они внедрили проактивную методику для устранения каких-либо проблем с безопасностью в самом зародыше. Трудно предсказать, что случится завтра, особенно если речь идет об ИТ или безопасности. Однако можно быть начеку и готовится ко всякого рода неприятностям.
На сегодня облачные вычисления не попадали в центр внимания, когда речь заходила о крупных проблемах в безопасности. Да, Dropbox мог потерять несколько ваших файлов или сделать их доступными для всех. Но пока не случалось особо крупных утечек данных из облака. А что произойдет, если AWS потеряет 80 миллионов записей из-за уязвимости в защите, как это произошло в феврале текущего года в страховой компании Anthem? Тогда споры о безопасности публичного уровня перейдут на новый уровень. К счастью, такого пока не случалось. Возможно потому, что данные правильно разделены, сети разработаны профессиональны и все необходимые технологии безопасности корректно внедрены. В то же время здесь нельзя расслабляться: поскольку все больше организаций переходят на облачную модель, угрозы класса APT могут последовать за ними.
По материалам datacenterknowledge.com