Безопасность для облачных вычислений

Сегодня облачные вычисления, позволяющие компаниям передать на аутсорсинг их процессы обработки данных коммерческим провайдерам таких услуг, стали популярным, уже достаточно большим и быстрорастущим рынком. Но природа облачных вычислений заставляет клиентов задуматься о защищенности данных и безопасности такой услуги. Если данные или их обработка не находятся под непосредственным контролем компании — владельца информации, то у нее есть повод для беспокойства.

Количественные и качественные оценки рынка облачных вычислений показывают его устойчивость и стабильный рост. Разные аналитики оценивали его объемы в 2009 г. от 7,5 до 7,8 млрд долл., прогнозируя к 2014 г. рост до 12,5−14,0 млрд долл. В отчетах аналитических фирм приводились цифры, что при опросах около половины ИТ-менеджеров сообщали об использовании или планировании использования облачных вычислений. В приводимых ниже результатах исследования компании Heavy Reading Insider «Cloud Services Fly Into Some Security Turbulence», посвященном безопасности облачных вычислений, были использованы данные таких компаний-провайдеров этих сервисов, как Amazon Web Services, AT&T, GoGrid Cloud Hosting; Google, IBM, Joyent, Rackspace Hosting, Savvis, Terremark Worldwide, VMware и Verizon Communications.

Главная проблема таких сервисов — отсутствие принятого большей частью рынка стандарта обеспечения безопасности облачных вычислений. Несмотря на существование разных сертификационных процедур и тестов, базирующихся на критериях и требованиях безопасности, единого подхода и методики для обеспечения защищенности облачных вычислений пока нет, нет и единой методики проверки адекватности защиты провайдера подобных сервисов. Клиенты, чтобы получить какие-то гарантии защищенности своих данных, пока должны «блуждать» в море сертификатов, законов, регуляторных требований, разных стандартов и методологий, широко применяемых на основе «лучших практик», но пока официально не принятых. Часто провайдеры, точно знающие, какой защищенности им достаточно, не могут подтвердить, что таковая достигнута. И особую озабоченность вызывает виртуализация.

Вместе с тем, организованная в апреле 2009 г. ассоциация защищенности облачных вычислений — Cloud Security Alliance (CSA) — уже разрабатывает соответствующий набор критериев. Но пока этот набор нельзя использовать как практический инструмент для подтверждения защищенности потенциальных клиентов.

Гарантия безопасности в модели облачных вычислений важна больше, чем в традиционной модели, поскольку перемещение обработки данных в недоверенную среду таит опасность потери этих данных. Но уже имеется множество потенциальных провайдеров таких сервисов, поэтому рынок заинтересован в решении этой, ставшей главной, проблемы облачных вычислений. В то же время, обеспечение облачной защищенности — задача чрезвычайно сложная, так как добавляет ее к уже существующим множественным проблемам безопасности, возлагая все это на ИТ-менеджеров.

Пока для клиентов нет быстрого и понятного способа убедиться, что облачные вычисления надежно защищены, но есть путь ускорить достижение этой цели — активное просвещение и обучение клиентов, чтобы они понимали и суть проблем и возможности их решения. И это следует делать не только на уровне CSA, но и на уровне провайдеров таких сервисов.