29 декабря 2009 г.
ENISA выявила слабые места в Сloud computing
ID--27588
~ID--27588
TIMESTAMP_X--26.10.2013 23:13:30
~TIMESTAMP_X--26.10.2013 23:13:30
TIMESTAMP_X_UNIX--1382814810
~TIMESTAMP_X_UNIX--1382814810
MODIFIED_BY--1
~MODIFIED_BY--1
DATE_CREATE--26.10.2013 23:13:30
~DATE_CREATE--26.10.2013 23:13:30
DATE_CREATE_UNIX--1382814810
~DATE_CREATE_UNIX--1382814810
CREATED_BY--196
~CREATED_BY--196
IBLOCK_ID--81
~IBLOCK_ID--81
IBLOCK_SECTION_ID--
~IBLOCK_SECTION_ID--
ACTIVE--Y
~ACTIVE--Y
ACTIVE_FROM--29.12.2009
~ACTIVE_FROM--29.12.2009
ACTIVE_TO--
~ACTIVE_TO--
DATE_ACTIVE_FROM--29.12.2009
~DATE_ACTIVE_FROM--29.12.2009
DATE_ACTIVE_TO--
~DATE_ACTIVE_TO--
SORT--500
~SORT--500
NAME--ENISA выявила слабые места в Сloud computing
~NAME--ENISA выявила слабые места в Сloud computing
PREVIEW_PICTURE--
~PREVIEW_PICTURE--
PREVIEW_TEXT--Сегодня «облачные вычисления» (cloud computing) — вероятно, одна из самых популярных тем в СМИ в области ИТ, причем в основном перечисляются их очевидные преимущества. Однако пора пристальнее приглядеться и к угрозам этой схемы …
~PREVIEW_TEXT--Сегодня «облачные вычисления» (cloud computing) — вероятно, одна из самых популярных тем в СМИ в области ИТ, причем в основном перечисляются их очевидные преимущества. Однако пора пристальнее приглядеться и к угрозам этой схемы …
PREVIEW_TEXT_TYPE--text
~PREVIEW_TEXT_TYPE--text
DETAIL_PICTURE--
~DETAIL_PICTURE--
DETAIL_TEXT--
Сегодня «облачные вычисления» (cloud computing) — вероятно, одна из самых популярных тем в СМИ в области ИТ, причем в основном перечисляются их очевидные преимущества. Однако пора пристальнее приглядеться и к угрозам этой схемы использования ПО. Исследование, проведенное ENISA (European Network and Information Security Agency), — европейским агентством, специализирующимся на вопросах сетевой и информационной безопасности, дало не слишком утешительные выводы. Согласно ему, пользователи сервисов вычислений «в облаке» сталкиваются с самыми разными проблемами, в числе которых потеря контроля над данными, трудности с выполнением нормативных требований и дополнительные юридические риски при передаче данных другой организации.
Специалисты ENISA выделили именно эти проблемы, поскольку они имеют самые серьезные последствия и чаще других возникают у организаций, использующих данные сервисы.
В ENISA проанализировали активы, которые предприятия подвергают риску при обращении к модели cloud computing (в том числе пользовательские данные и собственная репутация); уязвимые места в облачных сервисах; риски, которым эти уязвимые места подвергаются и вероятность возникновения этих рисков.
При переходе на облачный сервис компании фактически вынуждены передать провайдеру известную степень контроля и над собственной ИТ-инфраструктурой, что может негативно сказаться на уровне безопасности. Например, хотя по условиям контракта провайдеру может быть не передано сканирование портов, оценка уязвимости или проведение глубокого тестирования, но ответственность за эти вопросы может остаться неурегулированной. В результате, как отмечается в отчете ENISA, в обеспечении безопасности остаются значительные пробелы. Серьезные проблемы могут возникнуть и в связи с выполнением нормативных требований (если провайдер не предоставляет необходимых уровней сертификации или схема сертификации не адаптирована к «облачным» сервисам).
Одно из преимуществ облачных сервисов — возможность хранить данные в разных местах, что позволяет существенно сэкономить время в случае, если в одном из центров обработки данных произойдет сбой. Однако это же может привести и к серьезным рискам (например, если ЦОДы расположены в странах, где ответственность за сохранность данных законодательно должным образом не урегулирована). Не меньшее беспокойство вызывают также сбой в механизмах, отделяющих данные разных компаний друг от друга, возможность доступа хакеров к интерфейсам управления, некорректное удаление данных и злонамеренные действия самих сотрудников.
Для того чтобы минимизировать перечисленные риски, в отчете приводится список вопросов, которые компании следует задать потенциальным провайдерам «облачных» сервисов. Например, каким образом провайдер гарантирует, что пользовательские ресурсы полностью изолированы, какие меры предпринимаются для того, чтобы гарантировать выполнение уровней обслуживания, требуемых третьими сторонами, и т. д.
Как утверждается в отчете ENISA, грамотно составленный контракт позволяет минимизировать риски. Компании должны уделять особое внимание своим правам и обязанностям, связанным с передачей данных, доступом к данным на законных основаниях и уведомлениям об изъянах в системе безопасности.
Однако в отчете ENISA имеется и некоторый позитив. В нем также говорится о том, что «облачные» сервисы позволяют организовать более надежную, масштабируемую и экономически эффективную защиту от некоторых видов атак, например, — против распределенных атак на отказ в обслуживании.
~DETAIL_TEXT--
Сегодня «облачные вычисления» (cloud computing) — вероятно, одна из самых популярных тем в СМИ в области ИТ, причем в основном перечисляются их очевидные преимущества. Однако пора пристальнее приглядеться и к угрозам этой схемы использования ПО. Исследование, проведенное ENISA (European Network and Information Security Agency), — европейским агентством, специализирующимся на вопросах сетевой и информационной безопасности, дало не слишком утешительные выводы. Согласно ему, пользователи сервисов вычислений «в облаке» сталкиваются с самыми разными проблемами, в числе которых потеря контроля над данными, трудности с выполнением нормативных требований и дополнительные юридические риски при передаче данных другой организации.
Специалисты ENISA выделили именно эти проблемы, поскольку они имеют самые серьезные последствия и чаще других возникают у организаций, использующих данные сервисы.
В ENISA проанализировали активы, которые предприятия подвергают риску при обращении к модели cloud computing (в том числе пользовательские данные и собственная репутация); уязвимые места в облачных сервисах; риски, которым эти уязвимые места подвергаются и вероятность возникновения этих рисков.
При переходе на облачный сервис компании фактически вынуждены передать провайдеру известную степень контроля и над собственной ИТ-инфраструктурой, что может негативно сказаться на уровне безопасности. Например, хотя по условиям контракта провайдеру может быть не передано сканирование портов, оценка уязвимости или проведение глубокого тестирования, но ответственность за эти вопросы может остаться неурегулированной. В результате, как отмечается в отчете ENISA, в обеспечении безопасности остаются значительные пробелы. Серьезные проблемы могут возникнуть и в связи с выполнением нормативных требований (если провайдер не предоставляет необходимых уровней сертификации или схема сертификации не адаптирована к «облачным» сервисам).
Одно из преимуществ облачных сервисов — возможность хранить данные в разных местах, что позволяет существенно сэкономить время в случае, если в одном из центров обработки данных произойдет сбой. Однако это же может привести и к серьезным рискам (например, если ЦОДы расположены в странах, где ответственность за сохранность данных законодательно должным образом не урегулирована). Не меньшее беспокойство вызывают также сбой в механизмах, отделяющих данные разных компаний друг от друга, возможность доступа хакеров к интерфейсам управления, некорректное удаление данных и злонамеренные действия самих сотрудников.
Для того чтобы минимизировать перечисленные риски, в отчете приводится список вопросов, которые компании следует задать потенциальным провайдерам «облачных» сервисов. Например, каким образом провайдер гарантирует, что пользовательские ресурсы полностью изолированы, какие меры предпринимаются для того, чтобы гарантировать выполнение уровней обслуживания, требуемых третьими сторонами, и т. д.
Как утверждается в отчете ENISA, грамотно составленный контракт позволяет минимизировать риски. Компании должны уделять особое внимание своим правам и обязанностям, связанным с передачей данных, доступом к данным на законных основаниях и уведомлениям об изъянах в системе безопасности.
Однако в отчете ENISA имеется и некоторый позитив. В нем также говорится о том, что «облачные» сервисы позволяют организовать более надежную, масштабируемую и экономически эффективную защиту от некоторых видов атак, например, — против распределенных атак на отказ в обслуживании.
DETAIL_TEXT_TYPE--html
~DETAIL_TEXT_TYPE--html
SEARCHABLE_CONTENT--ENISA ВЫЯВИЛА СЛАБЫЕ МЕСТА В СLOUD COMPUTING
СЕГОДНЯ «ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ» (CLOUD COMPUTING) — ВЕРОЯТНО, ОДНА ИЗ САМЫХ ПОПУЛЯРНЫХ ТЕМ В СМИ В ОБЛАСТИ ИТ, ПРИЧЕМ В ОСНОВНОМ ПЕРЕЧИСЛЯЮТСЯ ИХ ОЧЕВИДНЫЕ ПРЕИМУЩЕСТВА. ОДНАКО ПОРА ПРИСТАЛЬНЕЕ ПРИГЛЯДЕТЬСЯ И К УГРОЗАМ ЭТОЙ СХЕМЫ …
СЕГОДНЯ «ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ» (CLOUD COMPUTING) — ВЕРОЯТНО,
ОДНА ИЗ САМЫХ ПОПУЛЯРНЫХ ТЕМ В СМИ В ОБЛАСТИ ИТ, ПРИЧЕМ В ОСНОВНОМ ПЕРЕЧИСЛЯЮТСЯ
ИХ ОЧЕВИДНЫЕ ПРЕИМУЩЕСТВА. ОДНАКО ПОРА ПРИСТАЛЬНЕЕ ПРИГЛЯДЕТЬСЯ И К УГРОЗАМ
ЭТОЙ СХЕМЫ ИСПОЛЬЗОВАНИЯ ПО. ИССЛЕДОВАНИЕ, ПРОВЕДЕННОЕ ENISA (EUROPEAN NETWORK
AND INFORMATION SECURITY AGENCY), — ЕВРОПЕЙСКИМ АГЕНТСТВОМ, СПЕЦИАЛИЗИРУЮЩИМСЯ
НА ВОПРОСАХ СЕТЕВОЙ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, ДАЛО НЕ СЛИШКОМ УТЕШИТЕЛЬНЫЕ
ВЫВОДЫ. СОГЛАСНО ЕМУ, ПОЛЬЗОВАТЕЛИ СЕРВИСОВ ВЫЧИСЛЕНИЙ «В ОБЛАКЕ» СТАЛКИВАЮТСЯ
С САМЫМИ РАЗНЫМИ ПРОБЛЕМАМИ, В ЧИСЛЕ КОТОРЫХ ПОТЕРЯ КОНТРОЛЯ НАД ДАННЫМИ,
ТРУДНОСТИ С ВЫПОЛНЕНИЕМ НОРМАТИВНЫХ ТРЕБОВАНИЙ И ДОПОЛНИТЕЛЬНЫЕ ЮРИДИЧЕСКИЕ
РИСКИ ПРИ ПЕРЕДАЧЕ ДАННЫХ ДРУГОЙ ОРГАНИЗАЦИИ.
СПЕЦИАЛИСТЫ ENISA ВЫДЕЛИЛИ ИМЕННО ЭТИ ПРОБЛЕМЫ, ПОСКОЛЬКУ ОНИ ИМЕЮТ САМЫЕ
СЕРЬЕЗНЫЕ ПОСЛЕДСТВИЯ И ЧАЩЕ ДРУГИХ ВОЗНИКАЮТ У ОРГАНИЗАЦИЙ, ИСПОЛЬЗУЮЩИХ
ДАННЫЕ СЕРВИСЫ.
В ENISA ПРОАНАЛИЗИРОВАЛИ АКТИВЫ, КОТОРЫЕ ПРЕДПРИЯТИЯ ПОДВЕРГАЮТ РИСКУ ПРИ
ОБРАЩЕНИИ К МОДЕЛИ CLOUD COMPUTING (В ТОМ ЧИСЛЕ ПОЛЬЗОВАТЕЛЬСКИЕ ДАННЫЕ
И СОБСТВЕННАЯ РЕПУТАЦИЯ); УЯЗВИМЫЕ МЕСТА В ОБЛАЧНЫХ СЕРВИСАХ; РИСКИ, КОТОРЫМ
ЭТИ УЯЗВИМЫЕ МЕСТА ПОДВЕРГАЮТСЯ И ВЕРОЯТНОСТЬ ВОЗНИКНОВЕНИЯ ЭТИХ РИСКОВ.
ПРИ ПЕРЕХОДЕ НА ОБЛАЧНЫЙ СЕРВИС КОМПАНИИ ФАКТИЧЕСКИ ВЫНУЖДЕНЫ ПЕРЕДАТЬ
ПРОВАЙДЕРУ ИЗВЕСТНУЮ СТЕПЕНЬ КОНТРОЛЯ И НАД СОБСТВЕННОЙ ИТ-ИНФРАСТРУКТУРОЙ,
ЧТО МОЖЕТ НЕГАТИВНО СКАЗАТЬСЯ НА УРОВНЕ БЕЗОПАСНОСТИ. НАПРИМЕР, ХОТЯ ПО УСЛОВИЯМ
КОНТРАКТА ПРОВАЙДЕРУ МОЖЕТ БЫТЬ НЕ ПЕРЕДАНО СКАНИРОВАНИЕ ПОРТОВ, ОЦЕНКА
УЯЗВИМОСТИ ИЛИ ПРОВЕДЕНИЕ ГЛУБОКОГО ТЕСТИРОВАНИЯ, НО ОТВЕТСТВЕННОСТЬ ЗА ЭТИ
ВОПРОСЫ МОЖЕТ ОСТАТЬСЯ НЕУРЕГУЛИРОВАННОЙ. В РЕЗУЛЬТАТЕ, КАК ОТМЕЧАЕТСЯ В ОТЧЕТЕ
ENISA, В ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ОСТАЮТСЯ ЗНАЧИТЕЛЬНЫЕ ПРОБЕЛЫ. СЕРЬЕЗНЫЕ
ПРОБЛЕМЫ МОГУТ ВОЗНИКНУТЬ И В СВЯЗИ С ВЫПОЛНЕНИЕМ НОРМАТИВНЫХ ТРЕБОВАНИЙ
(ЕСЛИ ПРОВАЙДЕР НЕ ПРЕДОСТАВЛЯЕТ НЕОБХОДИМЫХ УРОВНЕЙ СЕРТИФИКАЦИИ ИЛИ СХЕМА
СЕРТИФИКАЦИИ НЕ АДАПТИРОВАНА К «ОБЛАЧНЫМ» СЕРВИСАМ).
ОДНО ИЗ ПРЕИМУЩЕСТВ ОБЛАЧНЫХ СЕРВИСОВ — ВОЗМОЖНОСТЬ ХРАНИТЬ ДАННЫЕ В РАЗНЫХ
МЕСТАХ, ЧТО ПОЗВОЛЯЕТ СУЩЕСТВЕННО СЭКОНОМИТЬ ВРЕМЯ В СЛУЧАЕ, ЕСЛИ В ОДНОМ
ИЗ ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ ПРОИЗОЙДЕТ СБОЙ. ОДНАКО ЭТО ЖЕ МОЖЕТ ПРИВЕСТИ
И К СЕРЬЕЗНЫМ РИСКАМ (НАПРИМЕР, ЕСЛИ ЦОДЫ РАСПОЛОЖЕНЫ В СТРАНАХ, ГДЕ ОТВЕТСТВЕННОСТЬ
ЗА СОХРАННОСТЬ ДАННЫХ ЗАКОНОДАТЕЛЬНО ДОЛЖНЫМ ОБРАЗОМ НЕ УРЕГУЛИРОВАНА).
НЕ МЕНЬШЕЕ БЕСПОКОЙСТВО ВЫЗЫВАЮТ ТАКЖЕ СБОЙ В МЕХАНИЗМАХ, ОТДЕЛЯЮЩИХ ДАННЫЕ
РАЗНЫХ КОМПАНИЙ ДРУГ ОТ ДРУГА, ВОЗМОЖНОСТЬ ДОСТУПА ХАКЕРОВ К ИНТЕРФЕЙСАМ
УПРАВЛЕНИЯ, НЕКОРРЕКТНОЕ УДАЛЕНИЕ ДАННЫХ И ЗЛОНАМЕРЕННЫЕ ДЕЙСТВИЯ САМИХ
СОТРУДНИКОВ.
ДЛЯ ТОГО ЧТОБЫ МИНИМИЗИРОВАТЬ ПЕРЕЧИСЛЕННЫЕ РИСКИ, В ОТЧЕТЕ ПРИВОДИТСЯ
СПИСОК ВОПРОСОВ, КОТОРЫЕ КОМПАНИИ СЛЕДУЕТ ЗАДАТЬ ПОТЕНЦИАЛЬНЫМ ПРОВАЙДЕРАМ
«ОБЛАЧНЫХ» СЕРВИСОВ. НАПРИМЕР, КАКИМ ОБРАЗОМ ПРОВАЙДЕР ГАРАНТИРУЕТ, ЧТО
ПОЛЬЗОВАТЕЛЬСКИЕ РЕСУРСЫ ПОЛНОСТЬЮ ИЗОЛИРОВАНЫ, КАКИЕ МЕРЫ ПРЕДПРИНИМАЮТСЯ
ДЛЯ ТОГО, ЧТОБЫ ГАРАНТИРОВАТЬ ВЫПОЛНЕНИЕ УРОВНЕЙ ОБСЛУЖИВАНИЯ, ТРЕБУЕМЫХ
ТРЕТЬИМИ СТОРОНАМИ, И Т. Д.
КАК УТВЕРЖДАЕТСЯ В ОТЧЕТЕ ENISA, ГРАМОТНО СОСТАВЛЕННЫЙ КОНТРАКТ ПОЗВОЛЯЕТ
МИНИМИЗИРОВАТЬ РИСКИ. КОМПАНИИ ДОЛЖНЫ УДЕЛЯТЬ ОСОБОЕ ВНИМАНИЕ СВОИМ ПРАВАМ
И ОБЯЗАННОСТЯМ, СВЯЗАННЫМ С ПЕРЕДАЧЕЙ ДАННЫХ, ДОСТУПОМ К ДАННЫМ НА ЗАКОННЫХ
ОСНОВАНИЯХ И УВЕДОМЛЕНИЯМ ОБ ИЗЪЯНАХ В СИСТЕМЕ БЕЗОПАСНОСТИ.
ОДНАКО В ОТЧЕТЕ ENISA ИМЕЕТСЯ И НЕКОТОРЫЙ ПОЗИТИВ. В НЕМ ТАКЖЕ ГОВОРИТСЯ
О ТОМ, ЧТО «ОБЛАЧНЫЕ» СЕРВИСЫ ПОЗВОЛЯЮТ ОРГАНИЗОВАТЬ БОЛЕЕ НАДЕЖНУЮ, МАСШТАБИРУЕМУЮ
И ЭКОНОМИЧЕСКИ ЭФФЕКТИВНУЮ ЗАЩИТУ ОТ НЕКОТОРЫХ ВИДОВ АТАК, НАПРИМЕР, — ПРОТИВ
РАСПРЕДЕЛЕННЫХ АТАК НА ОТКАЗ В ОБСЛУЖИВАНИИ.
~SEARCHABLE_CONTENT--ENISA ВЫЯВИЛА СЛАБЫЕ МЕСТА В СLOUD COMPUTING
СЕГОДНЯ «ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ» (CLOUD COMPUTING) — ВЕРОЯТНО, ОДНА ИЗ САМЫХ ПОПУЛЯРНЫХ ТЕМ В СМИ В ОБЛАСТИ ИТ, ПРИЧЕМ В ОСНОВНОМ ПЕРЕЧИСЛЯЮТСЯ ИХ ОЧЕВИДНЫЕ ПРЕИМУЩЕСТВА. ОДНАКО ПОРА ПРИСТАЛЬНЕЕ ПРИГЛЯДЕТЬСЯ И К УГРОЗАМ ЭТОЙ СХЕМЫ …
СЕГОДНЯ «ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ» (CLOUD COMPUTING) — ВЕРОЯТНО,
ОДНА ИЗ САМЫХ ПОПУЛЯРНЫХ ТЕМ В СМИ В ОБЛАСТИ ИТ, ПРИЧЕМ В ОСНОВНОМ ПЕРЕЧИСЛЯЮТСЯ
ИХ ОЧЕВИДНЫЕ ПРЕИМУЩЕСТВА. ОДНАКО ПОРА ПРИСТАЛЬНЕЕ ПРИГЛЯДЕТЬСЯ И К УГРОЗАМ
ЭТОЙ СХЕМЫ ИСПОЛЬЗОВАНИЯ ПО. ИССЛЕДОВАНИЕ, ПРОВЕДЕННОЕ ENISA (EUROPEAN NETWORK
AND INFORMATION SECURITY AGENCY), — ЕВРОПЕЙСКИМ АГЕНТСТВОМ, СПЕЦИАЛИЗИРУЮЩИМСЯ
НА ВОПРОСАХ СЕТЕВОЙ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, ДАЛО НЕ СЛИШКОМ УТЕШИТЕЛЬНЫЕ
ВЫВОДЫ. СОГЛАСНО ЕМУ, ПОЛЬЗОВАТЕЛИ СЕРВИСОВ ВЫЧИСЛЕНИЙ «В ОБЛАКЕ» СТАЛКИВАЮТСЯ
С САМЫМИ РАЗНЫМИ ПРОБЛЕМАМИ, В ЧИСЛЕ КОТОРЫХ ПОТЕРЯ КОНТРОЛЯ НАД ДАННЫМИ,
ТРУДНОСТИ С ВЫПОЛНЕНИЕМ НОРМАТИВНЫХ ТРЕБОВАНИЙ И ДОПОЛНИТЕЛЬНЫЕ ЮРИДИЧЕСКИЕ
РИСКИ ПРИ ПЕРЕДАЧЕ ДАННЫХ ДРУГОЙ ОРГАНИЗАЦИИ.
СПЕЦИАЛИСТЫ ENISA ВЫДЕЛИЛИ ИМЕННО ЭТИ ПРОБЛЕМЫ, ПОСКОЛЬКУ ОНИ ИМЕЮТ САМЫЕ
СЕРЬЕЗНЫЕ ПОСЛЕДСТВИЯ И ЧАЩЕ ДРУГИХ ВОЗНИКАЮТ У ОРГАНИЗАЦИЙ, ИСПОЛЬЗУЮЩИХ
ДАННЫЕ СЕРВИСЫ.
В ENISA ПРОАНАЛИЗИРОВАЛИ АКТИВЫ, КОТОРЫЕ ПРЕДПРИЯТИЯ ПОДВЕРГАЮТ РИСКУ ПРИ
ОБРАЩЕНИИ К МОДЕЛИ CLOUD COMPUTING (В ТОМ ЧИСЛЕ ПОЛЬЗОВАТЕЛЬСКИЕ ДАННЫЕ
И СОБСТВЕННАЯ РЕПУТАЦИЯ); УЯЗВИМЫЕ МЕСТА В ОБЛАЧНЫХ СЕРВИСАХ; РИСКИ, КОТОРЫМ
ЭТИ УЯЗВИМЫЕ МЕСТА ПОДВЕРГАЮТСЯ И ВЕРОЯТНОСТЬ ВОЗНИКНОВЕНИЯ ЭТИХ РИСКОВ.
ПРИ ПЕРЕХОДЕ НА ОБЛАЧНЫЙ СЕРВИС КОМПАНИИ ФАКТИЧЕСКИ ВЫНУЖДЕНЫ ПЕРЕДАТЬ
ПРОВАЙДЕРУ ИЗВЕСТНУЮ СТЕПЕНЬ КОНТРОЛЯ И НАД СОБСТВЕННОЙ ИТ-ИНФРАСТРУКТУРОЙ,
ЧТО МОЖЕТ НЕГАТИВНО СКАЗАТЬСЯ НА УРОВНЕ БЕЗОПАСНОСТИ. НАПРИМЕР, ХОТЯ ПО УСЛОВИЯМ
КОНТРАКТА ПРОВАЙДЕРУ МОЖЕТ БЫТЬ НЕ ПЕРЕДАНО СКАНИРОВАНИЕ ПОРТОВ, ОЦЕНКА
УЯЗВИМОСТИ ИЛИ ПРОВЕДЕНИЕ ГЛУБОКОГО ТЕСТИРОВАНИЯ, НО ОТВЕТСТВЕННОСТЬ ЗА ЭТИ
ВОПРОСЫ МОЖЕТ ОСТАТЬСЯ НЕУРЕГУЛИРОВАННОЙ. В РЕЗУЛЬТАТЕ, КАК ОТМЕЧАЕТСЯ В ОТЧЕТЕ
ENISA, В ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ОСТАЮТСЯ ЗНАЧИТЕЛЬНЫЕ ПРОБЕЛЫ. СЕРЬЕЗНЫЕ
ПРОБЛЕМЫ МОГУТ ВОЗНИКНУТЬ И В СВЯЗИ С ВЫПОЛНЕНИЕМ НОРМАТИВНЫХ ТРЕБОВАНИЙ
(ЕСЛИ ПРОВАЙДЕР НЕ ПРЕДОСТАВЛЯЕТ НЕОБХОДИМЫХ УРОВНЕЙ СЕРТИФИКАЦИИ ИЛИ СХЕМА
СЕРТИФИКАЦИИ НЕ АДАПТИРОВАНА К «ОБЛАЧНЫМ» СЕРВИСАМ).
ОДНО ИЗ ПРЕИМУЩЕСТВ ОБЛАЧНЫХ СЕРВИСОВ — ВОЗМОЖНОСТЬ ХРАНИТЬ ДАННЫЕ В РАЗНЫХ
МЕСТАХ, ЧТО ПОЗВОЛЯЕТ СУЩЕСТВЕННО СЭКОНОМИТЬ ВРЕМЯ В СЛУЧАЕ, ЕСЛИ В ОДНОМ
ИЗ ЦЕНТРОВ ОБРАБОТКИ ДАННЫХ ПРОИЗОЙДЕТ СБОЙ. ОДНАКО ЭТО ЖЕ МОЖЕТ ПРИВЕСТИ
И К СЕРЬЕЗНЫМ РИСКАМ (НАПРИМЕР, ЕСЛИ ЦОДЫ РАСПОЛОЖЕНЫ В СТРАНАХ, ГДЕ ОТВЕТСТВЕННОСТЬ
ЗА СОХРАННОСТЬ ДАННЫХ ЗАКОНОДАТЕЛЬНО ДОЛЖНЫМ ОБРАЗОМ НЕ УРЕГУЛИРОВАНА).
НЕ МЕНЬШЕЕ БЕСПОКОЙСТВО ВЫЗЫВАЮТ ТАКЖЕ СБОЙ В МЕХАНИЗМАХ, ОТДЕЛЯЮЩИХ ДАННЫЕ
РАЗНЫХ КОМПАНИЙ ДРУГ ОТ ДРУГА, ВОЗМОЖНОСТЬ ДОСТУПА ХАКЕРОВ К ИНТЕРФЕЙСАМ
УПРАВЛЕНИЯ, НЕКОРРЕКТНОЕ УДАЛЕНИЕ ДАННЫХ И ЗЛОНАМЕРЕННЫЕ ДЕЙСТВИЯ САМИХ
СОТРУДНИКОВ.
ДЛЯ ТОГО ЧТОБЫ МИНИМИЗИРОВАТЬ ПЕРЕЧИСЛЕННЫЕ РИСКИ, В ОТЧЕТЕ ПРИВОДИТСЯ
СПИСОК ВОПРОСОВ, КОТОРЫЕ КОМПАНИИ СЛЕДУЕТ ЗАДАТЬ ПОТЕНЦИАЛЬНЫМ ПРОВАЙДЕРАМ
«ОБЛАЧНЫХ» СЕРВИСОВ. НАПРИМЕР, КАКИМ ОБРАЗОМ ПРОВАЙДЕР ГАРАНТИРУЕТ, ЧТО
ПОЛЬЗОВАТЕЛЬСКИЕ РЕСУРСЫ ПОЛНОСТЬЮ ИЗОЛИРОВАНЫ, КАКИЕ МЕРЫ ПРЕДПРИНИМАЮТСЯ
ДЛЯ ТОГО, ЧТОБЫ ГАРАНТИРОВАТЬ ВЫПОЛНЕНИЕ УРОВНЕЙ ОБСЛУЖИВАНИЯ, ТРЕБУЕМЫХ
ТРЕТЬИМИ СТОРОНАМИ, И Т. Д.
КАК УТВЕРЖДАЕТСЯ В ОТЧЕТЕ ENISA, ГРАМОТНО СОСТАВЛЕННЫЙ КОНТРАКТ ПОЗВОЛЯЕТ
МИНИМИЗИРОВАТЬ РИСКИ. КОМПАНИИ ДОЛЖНЫ УДЕЛЯТЬ ОСОБОЕ ВНИМАНИЕ СВОИМ ПРАВАМ
И ОБЯЗАННОСТЯМ, СВЯЗАННЫМ С ПЕРЕДАЧЕЙ ДАННЫХ, ДОСТУПОМ К ДАННЫМ НА ЗАКОННЫХ
ОСНОВАНИЯХ И УВЕДОМЛЕНИЯМ ОБ ИЗЪЯНАХ В СИСТЕМЕ БЕЗОПАСНОСТИ.
ОДНАКО В ОТЧЕТЕ ENISA ИМЕЕТСЯ И НЕКОТОРЫЙ ПОЗИТИВ. В НЕМ ТАКЖЕ ГОВОРИТСЯ
О ТОМ, ЧТО «ОБЛАЧНЫЕ» СЕРВИСЫ ПОЗВОЛЯЮТ ОРГАНИЗОВАТЬ БОЛЕЕ НАДЕЖНУЮ, МАСШТАБИРУЕМУЮ
И ЭКОНОМИЧЕСКИ ЭФФЕКТИВНУЮ ЗАЩИТУ ОТ НЕКОТОРЫХ ВИДОВ АТАК, НАПРИМЕР, — ПРОТИВ
РАСПРЕДЕЛЕННЫХ АТАК НА ОТКАЗ В ОБСЛУЖИВАНИИ.
WF_STATUS_ID--1
~WF_STATUS_ID--1
WF_PARENT_ELEMENT_ID--
~WF_PARENT_ELEMENT_ID--
WF_LAST_HISTORY_ID--
~WF_LAST_HISTORY_ID--
WF_NEW--
~WF_NEW--
LOCK_STATUS--green
~LOCK_STATUS--green
WF_LOCKED_BY--
~WF_LOCKED_BY--
WF_DATE_LOCK--
~WF_DATE_LOCK--
WF_COMMENTS--
~WF_COMMENTS--
IN_SECTIONS--N
~IN_SECTIONS--N
SHOW_COUNTER--663
~SHOW_COUNTER--663
SHOW_COUNTER_START--2014-02-25 10:16:14
~SHOW_COUNTER_START--2014-02-25 10:16:14
CODE--
~CODE--
TAGS--
~TAGS--
XML_ID--27588
~XML_ID--27588
EXTERNAL_ID--27588
~EXTERNAL_ID--27588
TMP_ID--
~TMP_ID--
USER_NAME--(adminka) Владислав Вовк
~USER_NAME--(adminka) Владислав Вовк
LOCKED_USER_NAME--
~LOCKED_USER_NAME--
CREATED_USER_NAME--
~CREATED_USER_NAME--
LANG_DIR--/
~LANG_DIR--/
LID--ru
~LID--ru
IBLOCK_TYPE_ID--news
~IBLOCK_TYPE_ID--news
IBLOCK_CODE--
~IBLOCK_CODE--
IBLOCK_NAME--Архив новостей
~IBLOCK_NAME--Архив новостей
IBLOCK_EXTERNAL_ID--
~IBLOCK_EXTERNAL_ID--
DETAIL_PAGE_URL--/news/detail.php?ID=27588
~DETAIL_PAGE_URL--/news/detail.php?ID=27588
LIST_PAGE_URL--/arhive/index.php?ID=81
~LIST_PAGE_URL--/arhive/index.php?ID=81
CREATED_DATE--2013.10.26
~CREATED_DATE--2013.10.26
BP_PUBLISHED--Y
~BP_PUBLISHED--Y
Сегодня «облачные вычисления» (cloud computing) — вероятно, одна из самых популярных тем в СМИ в области ИТ, причем в основном перечисляются их очевидные преимущества. Однако пора пристальнее приглядеться и к угрозам этой схемы использования ПО. Исследование, проведенное ENISA (European Network and Information Security Agency), — европейским агентством, специализирующимся на вопросах сетевой и информационной безопасности, дало не слишком утешительные выводы. Согласно ему, пользователи сервисов вычислений «в облаке» сталкиваются с самыми разными проблемами, в числе которых потеря контроля над данными, трудности с выполнением нормативных требований и дополнительные юридические риски при передаче данных другой организации.
Специалисты ENISA выделили именно эти проблемы, поскольку они имеют самые серьезные последствия и чаще других возникают у организаций, использующих данные сервисы.
В ENISA проанализировали активы, которые предприятия подвергают риску при обращении к модели cloud computing (в том числе пользовательские данные и собственная репутация); уязвимые места в облачных сервисах; риски, которым эти уязвимые места подвергаются и вероятность возникновения этих рисков.
При переходе на облачный сервис компании фактически вынуждены передать провайдеру известную степень контроля и над собственной ИТ-инфраструктурой, что может негативно сказаться на уровне безопасности. Например, хотя по условиям контракта провайдеру может быть не передано сканирование портов, оценка уязвимости или проведение глубокого тестирования, но ответственность за эти вопросы может остаться неурегулированной. В результате, как отмечается в отчете ENISA, в обеспечении безопасности остаются значительные пробелы. Серьезные проблемы могут возникнуть и в связи с выполнением нормативных требований (если провайдер не предоставляет необходимых уровней сертификации или схема сертификации не адаптирована к «облачным» сервисам).
Одно из преимуществ облачных сервисов — возможность хранить данные в разных местах, что позволяет существенно сэкономить время в случае, если в одном из центров обработки данных произойдет сбой. Однако это же может привести и к серьезным рискам (например, если ЦОДы расположены в странах, где ответственность за сохранность данных законодательно должным образом не урегулирована). Не меньшее беспокойство вызывают также сбой в механизмах, отделяющих данные разных компаний друг от друга, возможность доступа хакеров к интерфейсам управления, некорректное удаление данных и злонамеренные действия самих сотрудников.
Для того чтобы минимизировать перечисленные риски, в отчете приводится список вопросов, которые компании следует задать потенциальным провайдерам «облачных» сервисов. Например, каким образом провайдер гарантирует, что пользовательские ресурсы полностью изолированы, какие меры предпринимаются для того, чтобы гарантировать выполнение уровней обслуживания, требуемых третьими сторонами, и т. д.
Как утверждается в отчете ENISA, грамотно составленный контракт позволяет минимизировать риски. Компании должны уделять особое внимание своим правам и обязанностям, связанным с передачей данных, доступом к данным на законных основаниях и уведомлениям об изъянах в системе безопасности.
Однако в отчете ENISA имеется и некоторый позитив. В нем также говорится о том, что «облачные» сервисы позволяют организовать более надежную, масштабируемую и экономически эффективную защиту от некоторых видов атак, например, — против распределенных атак на отказ в обслуживании.
Другие материалы из этой рубрики