Garter Briefing 2011: Cloud ComputingПО как услуга и облачные вычисления: управление рисками

на ИТ, и одновременно - повышения гибкости/адаптируемости/скорости ИТ;
Стремительно растет интерес к ПО, предоставляемому в качестве услуги, облачным вычислительным средам и услугам инфраструктур на базе облачных вычислений, и также стремительно растет их распространение;
Европейские законы, защищающие неприкосновенность частных данных, одни из самых строгих в плане защиты данных потребителей и сотрудников компаний;
Государственные и коммерческие компании все более обеспокоены вопросами безопасности и соответствия ИТ нормативным требованиям.

и что более всего волнует клиентов?
Какие существуют способы разрешения вопросов, связанных с возникновением рисков, безопасностью и контрактными обязательствами, для поставщиков данного вида услуг?
Каким образом компании могут проводить оценку рисков и преимуществ, связанных с разными видами стратегий использования услуг на облачной основе?

цен на индивидуальных условиях;
Недостатки:
Отсутствие контроля:
полная зависимость от архитектуры, функциональных возможностей и методов работы поставщика услуги;
Отсутствие ясности в вопросах управления рисками;
а также программного обеспечения, местоположения, администрирования, компетенции?

Чем выше степень масштабируемости и удобства, тем сложнее оценивать и контролировать связанные с этим риски.

напрямую касающихся вопросов безопасности, гарантии непрерывности бизнеса и восстановления после сбоев, будет останавливать порядка 30% компаний на пути к использованию платных услуг частных облаков

Факты, говорящие в пользу прогноза:
Компании не всегда достаточно компетентны в оценке поставщиков.
Проведение оценки на месте эксплуатации является дорогостоящим, как для поставщиков услуги, так и для клиентов.
На первый взгляд, очевидное решение проблемы - сертификация третьих сторон, однако, существующие в настоящий момент программы сертификации не могут учесть все специфические риски новой модели вычислений на базе технологии, защищенной правом собственности.

Альтернативный путь развития:
CAMM - в Великобритании, FedRAMP - в США и другие организации могут разработать специальную систему оценки облачных сред уже в начале 2011-го года.
Убедившись в отсутствии явных нарушений норм безопасности, клиенты могут и не счесть необходимыми дальнейшие трудоемкие проверки качества облачных услуг.

процессе обработки и во время доступа к ним;
Защита данных во время хранения.
Виртуализация действительно упрощает классификацию данных, однако:
Безопасность классификации, интеграции и доступности должна обеспечиваться за счет механизма виртуализации;
Всем клиентам необходим постоянный доступ к своим данным, вне зависимости от локализации этих данных в облаке, но только не к данным других клиентов.
Доверие к облачным вычислениям:
разрешения и привилегии доступа, как для людей,
так и для машин, должны быть жестко закреплены
за определенным числом виртуальных машин,
сетевых узлов, сайтов, организаций
и правовых юрисдикций.

резервное копирование данных в облачной среде:
Данные, платформа, приложение, конфигурации, доступ?
Каким образом осуществляется проверка факта обеспечения поставщиком услуги непрерывности бизнеса?
Полная зависимость от стабильности поставщика:
Что если поставщик изменяет предлагаемый им продукт?
Есть ли у Вас возможность контролировать внедрение программных исправлений или отслеживать другие события обновлений?
Что если облачная среда прекращает свое существование?
Каким запасом времени Вы располагаете, чтобы отреагировать на это?
Каковы расходы в случае окончания срока эксплуатации?
Осуществим ли перенос данных?

среда

облако

Модель вычислений

Путь выхода во внешнюю среду

Простота проверки
Относительно меньшие риски

Сложность проверки
Относительно более высокий риск

Частное облако

Виртуальное частное облако

Аутсорсинг ЦОД

Новое, на базе распределенного вычисления, виртуализированное, сложное

Проверенная, на базе одного компьютера, дискретная, простая

Сотрудники компании,
корпоративная сеть Интранет

Посторонние лица, общественно-доступная
сеть Интернет

Корпоративный ЦОД

Инфраструктура как услуга

Партнерский портал

Облако коллективного пользования

услуги имеет контроль над Вашими данными, Вы отнюдь не имеете контроля над:
Его сотрудниками, кодами, характеристиками, процессами;
Управляющей и юридической системой, корпоративной культурой.
Кто за что отвечает?
Инфраструктура как услуга (IaaS): обеспечение безопасности- забота клиента;
Платформа как услуга (PaaS): безопасность обеспечивается с обеих сторон;
ПО как услуга (SaaS): обеспечение безопасности – забота поставщика услуги.
Ваш поставщик услуги работает на основании договора субаренды?

Необходимо понимать: кто несет ответственность
за какую функцию.

первую очередь, используется мелкими компаниями-поставщиками ПО как услуги.
Многие сервисы «инфраструктура как услуга»/ «платформа как услуга»/ «ПО как услуга» предоставляются посредством удаленных систем.
Вы работаете с интегрирующимися данными и смешанными сервисами (mashup)?
Из какого именно источника поступают Ваши данные/услуги?
Вы можете подтвердить свои права на использование?
Вы являетесь участником чьей-то еще цепочки данных?
Есть ли возможность осуществлять контроль за Вашими
данными на должном уровне?
Не стоит забывать о вероятности
санкционированного гос. органами доступа
к Вашим зашифрованным данным.

данных, строгие проверки прав доступа к ресурсу, роли.
Контроль и система оповещений о нарушениях:
Системы защиты от утечек данных, системы предотвращения вторжений, системы идентификации подписи, отслеживание активности базы данных.
Можете ли Вы при необходимости провести аудиторскую проверку или расследование?
Каким образом можно проверить принадлежность кому-либо прав доступа к какой-либо информации? А также выяснить, кто совершал те или иные действия?
Как при необходимости провести электронное расследование?
Как провести криминалистическое расследование?
Защита конфиденциальности данных:
Имеете ли Вы возможность управлять шифровальными ключами?
Проверка целостности данных:
Удаляются ли данные с устройств на время их хранения или ремонта, или при списании?
Осуществляется ли резервное копирование данных? И каким образом: в сети либо вне сети?

Если они это не встраивают, Вы не сможете этим пользоваться.

исследования проводилось Дек 10-Янв 11)

Клиенты и поставщики в равной степени выражают все больше недовольства методом оценки на базе стандартной анкеты.
Проведение оценки на базе анкеты
Проведение оценки на базе стандартной анкеты
Оценка информации, предоставляемой по усмотрению поставщика
Оценка на месте нашими сотрудниками
Проведение формальной оценки с привлечением третьей стороны (на базе SAS70, ISO/IEC 27001, Systrust и т.д.)
Отказ от пользования услугой из-за конфиденциальности данных и процессов
Привлечение третьей стороны – провайдера услуг безопасности с целью проведения соответствующих проверок на месте
Другое
Оценка на проводилась
Неприменимо к данному случаю

Ваша компания на нормы соблюдения неприкосновенности частных данных в качестве критериев отбора?

Не проводили оценку услуг облачных вычислений

Да

Нет

всех трех фазах?

на протяжении последних 20 лет?

Адекватно ли оценивается проектное решение?
Где свидетельства полноценной и объективной оценки, проведенной опытными архитекторами систем информационной безопасности?
Отвечает ли набор функций всем требованиям, связанным с контролем рисков?
Надежен ли код?
Какие языки программирования и среды использовались?
Проводилось ли статическое и динамическое тестирование?
Как проводилась проверка кода?
Оценка надежности процессов должна стать последним этапом.
Легко применимо в случае с хорошо известными моделями и технологиями.
Вы просто не знаете о том, что что-то не знаете о новых ситуациях
Стандартные подходы (27002, BITS, и т.д.) имеют ограничения.
Метод, использующий стандартный вопросник, не может адекватно оценить все факторы риска.
Если нам нужен метод, это еще не означает, что сгодится то, что есть.
Количественный анализ ничего не докажет.

Вашего бизнеса ситуации

Уязвимость данных/процессов

Бизнес ценность

Низкая

Высокая

Порядок проведения оценки
Проверка услуги на соответствие установленным стандартам
Проверка документации
Оценка рисков
Посещение предприятия поставщика

Порядок введения ограничений на использование услуги
Внедрение на предприятии соответствующей политики
Использование модуля доступа в сети (web proxy)
Технологии предотвращения утечек конфиденциальной информации (DLP)

пользования услугой для разных методов предоставления услуги, также оцените уровень риска и сопоставьте вероятность рисков с целями Вашей компании:
Вам необходимо понять, как получить максимальную выгоду от использования внешних ресурсов и облачных вычислений?
Разработайте компетентные методы составления контрактов и проведения оценки:
В том числе и на основании таких критериев как безопасность, соблюдение необходимых норм и обеспечение непрерывности бизнес-процессов.
Отберите и апробируйте решения, и перед запуском в эксплуатацию установите необходимые системы контроля.
Используйте возможности использования услуги и работу специалистов по безопасности, чтобы полезность услуги для бизнеса стала очевидной.
Рассмотрите возможность использования методологии оценки рисков Gartner.