Облачные вычисления приводят к плохой безопасности?
Несмотря на то, что вы, возможно, слышали, облако не облегчает плохую безопасность с технической точки зрения.
Вот то, что многие люди не могут понять. Облако — это те же технологии из локальной среды, работающие где-то еще. Любые риски, которые у вас были локально, все еще существуют в облаке.
Конечно, доля рисков меньше, так как о некоторых из них заботится поставщик. В случае, подобном Amazon EC2, где серверы работают в облаке, ваша организация несет такую же ответственность за безопасность операционной системы и выше, как если бы это был сервер в вашем собственном центре обработки данных.
Многие не видят этой проблемы ясно и думают, что в мире Amazon существуют либо уникальные риски, либо магическая защита. Конечно, когда что-то «там», кажется, что это не твоя проблема. Так много вещей, которые, возможно, беспокоили бы вас о сервере в вашем центре обработки данных, могут казаться более отдаленными при работе в облаке.
Облако сделало ИТ-персонал более самодовольным?
Нет, облако не сделало людей более склонными к риску. Но это также не сделало их более внимательными.
Самая распространенная ошибка пользователей публичного облака — не читать свои контракты и не понимать, в чем заключается их ответственность. Часто людям неясно, когда и как создание сервера в облаке переходит от заботы и безопасности поставщика к ним. Я столкнулся с людьми, которые по ошибке думали, что их облачный провайдер исправляет серверы через какую-то заднюю дверь для них. Их не было, и серверы оставались не исправленными месяцами.
Люди также забывают, что уровень управления, предоставляемый им облачным провайдером, нуждается в некоторой безопасности. Административные права, используемые для настройки и управления облачными системами, должны рассматриваться так же осторожно, как и любой другой привилегированный пользователь ваших систем.
Другая распространенная ошибка — думать, что поставщик облачных услуг будет иметь те же услуги, что и ваши локальные системы. Это правда, что Amazon, Microsoft и другие встраивают множество сервисов для клиентов. Но прежде чем перейти в облако, вы должны провести полную инвентаризацию всего, что вы делаете на месте, чтобы выявить пробелы.
Как вы защищаете свои данные в облаке?
Надлежащая защита ресурсов общедоступного облака, в конце концов, ничем не отличается от защиты систем, работающих локально. Реальный трюк с безопасностью в общедоступном облаке состоит в том, чтобы рассматривать его как еще один центр обработки данных.
Попытайтесь создать систему безопасности, которая, по крайней мере, так же хороша, как и локальная. Или воспользуйтесь возможностью новой сборки, чтобы внести улучшения, которые вы бы сделали локально, если бы у вас было время.
С точки зрения безопасности, облако было зрелым в течение многих лет. Взгляните на пугающий список сертификатов безопасности и соответствия, которые получили основные поставщики облачных услуг. Ни один IT-магазин, кроме самого элитного (и хорошо финансируемого), никогда не подходил к тому, чтобы предлагать платформу с таким же уровнем безопасности. Они должны. Если у облачных провайдеров случится серьезный инцидент безопасности, особенно если учесть, как тщательно проверяется их безопасность, тогда они будут закончены.
Если у вас плохая безопасность в общедоступном облаке, скорее всего, вы внесли его, когда проходили через дверь.