Об облачных вычислениях и о связанной с ними проблеме защищенности данных сейчас пишут чрезвычайно много, см., например, эту новость. Ниже приводятся размышления на эту тему аналитика Роберта По (Robert Poe) из компании Heavy Reading Insider.

Сегодня облачные вычисления, позволяющие компаниям передать на аутсорсинг их процессы обработки данных коммерческим провайдерам таких услуг, стали популярным, уже достаточно большим и быстрорастущим рынком. Но природа облачных вычислений заставляет клиентов задуматься о защищенности данных и безопасности такой услуги. Если данные или их обработка не находятся под непосредственным контролем компании — владельца информации, то у нее есть повод для беспокойства.

Количественные и качественные оценки рынка облачных вычислений показывают его устойчивость и стабильный рост. Разные аналитики оценивали его объемы в 2009 г. от 7,5 до 7,8 млрд долл., прогнозируя к 2014 г. рост до 12,5-14,0 млрд долл. В отчетах аналитических фирм приводились цифры, что при опросах около половины ИТ-менеджеров сообщали об использовании или планировании использования облачных вычислений. В приводимых ниже результатах исследования компании Heavy Reading Insider «Cloud Services Fly Into Some Security Turbulence», посвященном безопасности облачных вычислений, были использованы данные таких компаний-провайдеров этих сервисов, как Amazon Web Services, AT&T, GoGrid Cloud Hosting; Google, IBM, Joyent, Rackspace Hosting, Savvis, Terremark Worldwide, VMware и Verizon Communications.

Главная проблема таких сервисов — отсутствие принятого большей частью рынка стандарта обеспечения безопасности облачных вычислений. Несмотря на существование разных сертификационных процедур и тестов, базирующихся на критериях и требованиях безопасности, единого подхода и методики для обеспечения защищенности облачных вычислений пока нет, нет и единой методики проверки адекватности защиты провайдера подобных сервисов. Клиенты, чтобы получить какие-то гарантии защищенности своих данных, пока должны «блуждать» в море сертификатов, законов, регуляторных требований, разных стандартов и методологий, широко применяемых на основе «лучших практик», но пока официально не принятых. Часто провайдеры, точно знающие, какой защищенности им достаточно, не могут подтвердить, что таковая достигнута. И особую озабоченность вызывает виртуализация.

Вместе с тем, организованная в апреле 2009 г. ассоциация защищенности облачных вычислений — Cloud Security Alliance (CSA) — уже разрабатывает соответствующий набор критериев. Но пока этот набор нельзя использовать как практический инструмент для подтверждения защищенности потенциальных клиентов.

Гарантия безопасности в модели облачных вычислений важна больше, чем в традиционной модели, поскольку перемещение обработки данных в недоверенную среду таит опасность потери этих данных. Но уже имеется множество потенциальных провайдеров таких сервисов, поэтому рынок заинтересован в решении этой, ставшей главной, проблемы облачных вычислений. В то же время, обеспечение облачной защищенности — задача чрезвычайно сложная, так как добавляет ее к уже существующим множественным проблемам безопасности, возлагая все это на ИТ-менеджеров.

Пока для клиентов нет быстрого и понятного способа убедиться, что облачные вычисления надежно защищены, но есть путь ускорить достижение этой цели — активное просвещение и обучение клиентов, чтобы они понимали и суть проблем и возможности их решения. И это следует делать не только на уровне CSA, но и на уровне провайдеров таких сервисов.