Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Коментари
бр. 9, 2016

Добри практики за защита на данни в облака

Критично важно е да се осигури необходимото ниво на доверие между доставчика на услугата и организацията чрез използването на актуални механизми за сертифициране и криптиране на комуникацията

от , 30 септември 2016 0 1012 прочитания,

Д-р Анатоли Пешев

Защитата на данните е едно от основните предизвикателства пред организациите преминаващи към изчисления в облак. При този вид решения се работи с абстрактна виртуализирана среда. Платформата или софтуера могат да работят в рамките на споделена физическа инфраструктура в рамките на организацията (изолирана) или от доставчик на услуга (публична).


Анатоли Пешев е ИТ директор във Виктория Груп. Той има 10 години международен опит в областта на туристическата дейност като ИТ мениджър. Участвал е в научно-изследователски и хотелиерски проекти в Германия, Швейцария, Хърватска, Словения и други. Завършил е висшето си образование в Технически Университет София с придобита докторска степен по информационни технологии.


За да се намалят рисковете от компрометиране на данни, организациите реализират решения в рамките на самата организация. Въпреки това се налагат редица промени за осигуряване на необходимото ниво на защита. В някои случаи дори предпочитат използването на публичен дставчик на такива услуги. Налага се методите за защита на данни да се прехвърлят от ниво платформа на ниво приложение. На пример, ако дадено приложение се предоставя като услуга от публичен доставчик, организацията няма да има контрол върху платформата за разработка на приложението и всички защити трябва да са реализирани вътре в самото приложение.

Въпреки предимствата, които предоставя дадено решение с публичен облак, в повечето случаи изолиран облак е по-добър вариант, поради въвеждането на механизми за защита и контрол на цялата инфраструктура от самата организация.

Важно е да се отбележи, че всъщност повечето атаки се извършват чрез устройства от вътрешната мрежа на организацията. Поради тази причина преминаването към облачна инфраструктура трябва да се разглежда като възможност за защита от всички видове атаки, чрез реализиране на нови модели за защита. Ако всички мрежи в организацията се приемат за несигурни (външни) и се приложат съответните политики за достъп, новата облачна инфраструктура ще бъде защитена на необходимото ниво.

Изисквания към приложенията в облака

Приложенията трябва да са проектирани в съответствие със следните изисквания:

  • Редуциране на каналите за достъп

  • Изпълнение с минимални права на всеки процес

  • Валидиране на входящите данни

  • Изискване за удостоверяване на потребителите

  • Прилагане на задължителни политики за идентифициране

  • Криптиране на данните на диска

  • Криптиране на данните по мрежата

  • Криптиране на данните на клиентските приложения

Ако тези изисквания са покрити от приложенията преди те да бъдат прехвърлени в облачна инфраструктура, рискът от загуба или компрометиране на данни ще бъде значително намален.

Основни цели

При модел на изолиран облак е необходим пълен контрол над всички слоеве на ИТ услугите. Достъпът до услугите от външни мрежи се осъществява чрез защитени тунели, както при традиционните изчислителни центрове, като в този сценарий организацията може да разчита на традиционните архитектури за защита на данни. Въпреки това съществуват редица цели, които трябва да се реализират:

  • Добре проектиран изолиран облак. Това е предпоставка за преминаването му към хибриден или публичен и ще даде на организацията гъвкавост при евентуални бъдещи промени.

  • Изолираният облак се базира на виртуализацията, която подпомага по-доброто използване на изчислителните ресурси. Органиацията трябва да е наясно с актуалните уязвимости на използваното решение за виртуализиране.

  • Устройства като защитна стена служат за предпазване от външни атаки, но не и от вътрешни. Необохдимо е и решение за ограничаване на достъпа и в рамките на самата мрежа на организацията.

  • Трафикът във вътрешната мрежа трябва да се третира по същия начин както и трафика от външната.

  • Трябва да се използват механизми като IPSec за защита на мрежовата комуникация между виртуалните машини. Съхранението им на общ хост би подобрило значително преноса на данни.

  • Мрежовият достъп до хоста от самите виртуални машини трябва да се ограничи. Това ще осигури необходимата защита на цялата инфраструктура. Хоста не трябва да има и директен достъп до интернет, а всички актуализации да се инсталират от системните администратори.

  • Хоста за виртуализация трябва да е защитен с решения против вируси и друг злонамерен софтуер.

  • Виртуални машини от различни зони за защита не трябва да са на общ хост за виртуализация.

Основни съображения при изграждането на защитни механизми

При решения от тип софтуер като услуга, единственият вариант за защита на данните е на ниво приложение. При публичен облак това изисква голямо доверие в доставчика на услугата, защото той има пълен контрол над инфраструктурата. Въпреки, че мрежовата сигурност по принцип не се приема като компонент на софтуера като услуга, няма причина също да не се добави като набор от допълнителни механизми към решението.

>> Съхранение и данни. Въпреки, че софтуера като услуга не се отнася дректно към съхранението на данни, трябва да се осигури криптиране на данните по време на преноса им. Ако се използва публичен облак трябва да се проучат механизмите на криптиране на доставчика в изчислителните му центрове. Те съхраняват данните на различни организации на общи масиви от данни и това води до висок риск от компрометирането им.

>> Защита на клиента. Достъпа до софтуера като услуга в повечето случаи се осъществява чрез уеб браузър. Трябва да се прегледат както съвместимостта му с всички функции на приложенията, така и нивото му на защита. Обновленията трябва да се прилагат в най-кратки срокове, но преди това да са тествани за пълна съвместимост. Нужни са точно описани просцеси за тестване, оценяване и прилагане на обновленията.

Изисквания за защита на данните

>> Защита на личните данни. В зависимост от държавата, в която оперира организацията, тя може да има различни права за съхранение на личните данни. Всяко лице може да поиска достъп до всики лични данни, които организацията съхранява за него и тя трябва да се предостави по конфиденциален начин без да се включват трети страни.

>> Географско разположение. При съхранение на данни в различни държави могат да възникнат въпроси относно достъпа до тях от трети страни. Тези въпроси могат да се регулират чрез съответните договори. Трябва да се отбележат и изискванията от страна на държавните органи на съответната държава за достъп до класифицирана инфромация. Регулациите в повечето случаи касаят достъпа до данни, но могат да се отнасят и до начина на обработването им. В този ред на мисли, трябва да се предвиди дали регулациите са в зависимост: къде се съхраняват данните, къде се обработват данните или къде се намира потребителя.

"Преминаването към облачна инфраструктура трябва да се разглежда като възможност за защита от всички видове атаки, чрез реализиране на нови модели за защита"

>> Индустриални изисквания. В повечето случаи организациите имат сходни изисквания за съхранение и обработка на данни, но съществуват случаи със специфични изисквания, както при финансовите или медицинските институции. Чрез изграждането на изолиран облак и централизиарне на управлението може да се повиши нивото на защитеност, поради отпадане нуждата да се съхранява информация на индивидуални работни станции. Този вид решения ще подобрят цялостната защита на данните в посочените институции.

Фактори, влияещи на защитата на данни

Съществуват много фактори, които вляят на цялостната защита на данни в облачната инфраструктура. Основните са:

  • Цялост на платформата и защитата и. Трябва да се предвият възможните уязвимости, произтичащи от адаптирането на модел на облачна инфраструктура и какъв риск представляват за организацията. При софтуер като услуга или платформа като услуга тази отговорност се поема от организацията и доставчика на услуга, докато при инфраструктура като услуга е изцяло за организацията.

  • Кой има достъп до приложенията и данните, които те обработват? Само упълномощените потребители могат да достъпват тази информация.

  • Какви права за достъп имат упълномощените потребители? Потребителите, които администрират тези приложения трябва да са с пълен достъп, но не и крайните потребители.

  • Къде се съхраняват данните? Някои изисквания посочват, че данните трябва да се съхраняват в рамките на определена държава или регион.

  • Какви инструменти за одит и отчетност са налични? Одита и отчетността са основна част от проверката на изисвкваниятя към дадена система и е необходимо те да покриват цялата информационна среда.

Най-добри практики

Най-важната задача при защитата на облака е реализацията на централизирано управление на данните, приложенията и идентификацията.

>> Управление на данни. При наличието на стотици или хиляди сървъри в дадена инфраструктура вече не е рационално всеки от тях да се управлява отделно. Чрез централизирано управление, базирано на роли ръководството на организацията може да предоставя достъп според текущите нужди. Може и да се прехвърлят данни от една машина на друга, според текущите процеси и съответните натоварвания. Някои от изискванията за управление на данни са:

  • Бърз достъп до данни, според правата на потребителя.

  • Достъпът да не се влияе от природни или бизнес бедствия.

  • Предоставяне на данните на правителствени организации при поискване.

  • Инструменти за предпазване от загуба на данни.

  • Архитектура, ориентирана към услуги за лесно преминаване към хибриден или публичен облак.

  • Данните не трябва да съдържат информация за физическото си разположение, с цел по-лесното им прехвърляне.

  • Процесите по архивиране и възстановяване на данни трябва да са обвързани със собствеността им, а не с локацията.

  • Правилата за достъп трябва да са само под управлението на собственика на данните.

  • Регулаторните органи трябва да разполагат с право на достъп.

  • Необходимо е специфични данни да могат да се модифицират от регулаторните органи.

  • Споразумения за качеството на услугите трябва да описват очакванията и задълженията на всяка от страните.

>> Управление на приложения. Днес уеб-базираните приложения на практика покриват всички нужди на всяка организация. Разликата от пред 10 години е, че вече не е необходимо всяка организация да има експрерти в дадена технология, а само да я наема на почти символична цена. За да може една вече съществуваща техология премине към базирано в облака решение са необходими стандартизирани интерфейси, които да могат да функционират по текущите уеб стандарти. Това е и причината облачните технологии да се наричат софтуер като услуга.

Без значение дали приложенията са локални или базирани в облака, целият набор от инструменти и услуги за идентификация и предоставяне на достъп трябва да са достъпни от тях. В течение на времето всички приложения ще могат да мигрират според нуждите на организацията. За тази цел облака предлага виртуализиран изглед на ресурсите в обобщен вид, който може да се прехвърли от една локация в друга.

>> Управление на права. Всяка организация трябва да притежава собствена система за идентифициране и контрол на достъпа до ресурси. Независимо от избраното решение, то трябва да покрива всички звена и отдели на организацията. Външните доставчици на този вид услуги по принцип само идентифицират потребителите, в редки случаи предоставят целостно решение за контрол на достъпа. Критично е да се осигури необходимото ниво на доверие между доставчика на услугата и организацията чрез използването на актуални механизми за сертифициране и криптиране на комуникацията.

В заключение

Системите за изолиран облак представят нови предизвикателства пред организациите във връзка с идентифицирането на потребители и предоставянето на съответните ресурси, както и тяхното управление. Решенията за защита трябва да бъдат добре дефинирани и приложени, според описаните практики и препоръки. Това ще подпомогне безопасната миграция към облачна инфраструктура.

Следете публикациите в инфоцентър “Cloud Computing” на сайта www.cio.bg

Публичен или частен облак – какви са възможностите?

4 съвета при покупката на софтуер за управление на облака

Българският пазар на облачни услуги - консерватизмът се преодолява
IDC: 10 тенденции в облачните изчисления до 2017 г.
Европейският път към облачния пазар

Известни и неизвестни правни рискове в облака
6 съвета към организациите, въвеждащи облачни услуги
Икономика на облачните услуги
10 опасни мита за облачните изчисления
и много други...


КОМЕНТАРИ ОТ  

КОМЕНТАРИ

Трябва да сте регистриран потребител, за да коментирате статията
"Добри практики за защита на данни в облака"



    

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов