Различные компании и организации все внимательнее следят за развитием облачных вычислений, позволяющих увеличить эффективность работы, уменьшить количество штатных сотрудников и увеличить прибыль. Но в наше время, когда последствия и цена любой ошибки для компаний, имеющих дело с конфиденциальными данными и частной информацией, постоянно возрастают, профессионалы в области безопасности информационных технологий должны выработать лучшие способы оценки безопасности и защиты информации при оказании услуг в области «облачных вычислений».

Существует множество форм облачных вычислений: существуют провайдеры «ПО как услуги» (SaaS), такие как salesforce.com; интегрированной платформы для разработки, тестирования, развертывания и поддержки веб-приложений как услуги (PaaS), такие как SimpleDB от Amazon; веб-серверы, такие как Yahoo! Maps and Flickr, предлагающие интерфейсы программирования приложений (API), позволяющие разработчикам использовать их функционал по всему Интернету; а также провайдеры компьютерной инфраструктуры как услуги, предлагаемые Rackspace, Terramark и Savvis.

В отличие от традиционного аутсорсинга, до сих пор использующего автономные вычисления, при облачных вычислениях данные отделяются от инфраструктуры, а операционная информация низкого уровня, включая информацию о расположении ваших данных и их воспроизведении, вуалируется. Работа в режиме коллективной аренды или совместного использования, редко использующаяся при традиционном аутсорсинге, постоянно используется в сервисах облачных вычислений. Эти различия позволили создать уникальные системы безопасности и конфиденциальности информации, не только влияющие на управление рисками, но и позволяющий по-новому взглянуть на некоторые юридические аспекты, такие как соблюдение требований законодательства, отслеживание действий пользователей и eDiscovery.
На основании результатов десятка опросов производителей ПО и пользователей по вопросам безопасности в области услуг cloud computing, Forreser выделил три основных области, на которые компаниям следует обращать внимание:

Проблемы защиты данных, операционной целостности, управления уязвимостью, непрерывности деятельности (ВС), восстановления работоспособности после аварий (DR) и управления идентичностью (IAM) являются наиболее актуальными аспектами облачных вычислений. Другой ключевой проблемой является конфиденциальность информации: данные, которые компания собирает о своих пользователях (например, журнал регистрации событий), дает провайдеру ценную рыночную информацию, но при этом может привести к нарушениям в области защиты этой информации. Один из путей, которым клиент может воспользоваться для оценки работы провайдера в области безопасности и защиты персональной информации, – проверка работы (аудит), обеспечивающая некоторую прозрачность внутренней деятельности поставщика услуг. Однако такие проверки противоречат самому принципу облачных вычислений, которые пытаются абстрагироваться от операционной информации путем предоставления простых в использовании интерфейсов и API. Провайдер сервиса cloud computing может запретить проведение внутренней проверки, но при этом он обязан предложить свои идеи по проведению внешней проверки своей инфраструктуры и сети.

Пользователи, деятельность которых должна соответствовать законодательству, должны понимать, каким образом использование услуг облачных вычислений может повлиять на соответствие их деятельности законодательству. Двумя основными моментами соответствия деятельности являются конфиденциальность информации и непрерывность деятельности. Некоторые законы о конфиденциальности и государственные регуляции включают специальные положения, касающиеся работы с данными и планирования непрерывности деятельности. Например, законы о защите персональной информации в ЕС и Японии требуют, чтобы вся конфиденциальная информация – электронные сообщения также являются формой конфиденциальной информации в странах ЕС – хранилась в центрах обработки данных на территории ЕС или Японии. Правительственные указы, требующие планирования непрерывности работы, включают закон об отчётности и безопасности медицинского страхования (HIPAA), Федеральный совет по надзору за финансовыми учреждениями (FFIEC), Базель II (Basel II), стандарты производства банковских платежных карт (PCI) и Закон о чрезвычайных обстоятельствах в Великобритании.

Юридическая ответственность и интеллектуальная собственность – это всего лишь некоторые из юридических аспектов, которые необходимо учитывать. Что касается услуги облачных вычислений, то тут не всегда можно четко определить ответственность. То же самое касается и интеллектуальной собственности. Для некоторых услуг все аспекты, касающиеся интеллектуальной собственности, являются понятными: провайдер услуг облачных вычислений владеет инфраструктурой и приложениями, а пользователи являются собственниками информацией и результатов вычислений. В других же случаях такое разделение не является столь очевидным. Если речь идет о неоднородном контенте или компонентах программного обеспечения как услуги, бывает сложно установить владельца и права клиента по отношению к провайдеру. Поэтому крайне важно, чтобы все вопросы ответственности и интеллектуальной собственности решались до начала предоставления услуг. Другие контрактные требования включают поддержку по окончании работ: по окончании взаимоотношений провайдера и клиента данные клиента и приложений должны быть упакованы и переданы клиенту, а все сохранившиеся копии данных клиента должны быть удалены из инфраструктуры провайдера.
Хотя облачные вычисления несут в себе множество преимуществ, компании и организации не должны незамедлительно «садиться за руль этого автомобиля» до того, как «водитель» бизнеса не будет четко понимать все последствия, связанные с безопасностью, защитой информации, соответствием деятельности законодательству и юридической ответственностью. Эффективная стратегия по оценке всех этих аспектов позволит вам достичь конечной цели – заставить облачные вычисления работать за целый отдел безопасности информационных технологий и найти пути для обеспечения безопасности и оптимизации ваших инвестиций в облачные вычисления.
Все юридические аспекты и вопросы безопасности cloud computing связаны с непредвиденными обстоятельствами и изменением ситуации. Однако в отдаленной перспективе операции, связанные с облачными вычислениями, несомненно, приведут к экономии за счет роста масштабов производства и не только за счет предоставления основных услуг, но и за счет работы в области безопасности.
Чтобы воспользоваться всеми преимуществами облачных вычислений, конечный пользователь должен узнать всю информацию и быть уверенным в вопросах безопасности, конфиденциальности информации и юридическом соответствии всех аспектов облачных вычислений. Для этого нужна IT индустрия, работающая в соответствии с четкими стандартами и законодательством, а также при поддержке инициативного сообщества заинтересованных пользователей. Подход, основанный на четких стандартах, позволит производителям и поставщикам обеспечить гибкость, оперативность и широкий спектр услуг в cloud computing, а также облегчит потребителям оценку поставщиков cloud computing сервисов и поможет укрепить веру в заверения провайдеров о обеспечиваемой ими защите информации и безопасности предоставляемых услуг.
С ростом популярности облачных вычислений и появлением облачных агрегаторов роль подразделений, обеспечивающих внутреннюю безопасность информационных систем, неизбежно изменится: мы видим, что постепенно задачи IT-персонала смещаются от обеспечения информационной безопасности систем к контролю за соответствием работы законодательству и внутренним требованиям.

Источник PC World

Оригинальный текст Chenxi Wang
Перевод e-Style ISP