Насколько безопасны гибридные облачные технологии?
Гибридные облачные среды – удобное решение, когда необходимо иметь частное облако и возможность быстро увеличить количество ресурсов, если растет нагрузка. Это особенно актуально, если программное обеспечение еще не готово к полному переходу в публичное облако. Дополнительное преимущество гибридных облаков в том, что с ними организации могут хранить конфиденциальные данные на своих серверах.
Что такое гибридное облако?
Это частное облако, подключенное к какому-либо публичному облаку с помощью надежного канала. Например, через Интернет посредством VPN по протоколу IPSec или по технологии Direct Connect с шифрованием трафика.
В такой связке мы получаем сразу несколько преимуществ.
Частное облако
Виртуализация дает возможность гибкого управления ресурсами. На одном «железном» сервере можно создать несколько виртуальных машин (ВМ), выделяя им только нужное количество ресурсов, изолированных в рамках ОС этой машины. При необходимости ВМ легко уничтожить и создать заново. Серверы, на которых запущены виртуальные машины, можно более эффективно утилизировать – соответственно, экономить деньги на приобретении нового оборудования.
Если в компании есть конфиденциальные данные, то частное облако может стать предпочтительным решением – так бизнес будет уверен, что данные не стали доступны кому-то еще в Интернете.
Публичное облако
Публичное облако снимает с клиентов заботу о состоянии серверов, их обслуживании, найме специалистов. Оно предоставляет инструменты для работы с инфраструктурой (панель управления, API, IaC-провайдеры типа Terraform). Можно запустить сколько угодно виртуальных машин, наладить между ними виртуализированную сеть, подключить сетевые диски, размещенные в СХД, и не думать о том, насколько утилизированы «железные» серверы в ДЦ и не требуется ли их дополнительно приобрести или арендовать. При этом оплачиваются только используемые ресурсы.
Эффективность информационной защиты облачных сервисов
Для обеспечения безопасности облачных сервисов необходимо принимать меры предосторожности. Особенно это актуально для хранения персональных данных и соблюдения требований закона 152-ФЗ «О персональных данных».
Защита инфраструктуры для публичного и частного облака подразумевает стандартные практики:
● ACL;
● межсетевые экраны;
● «серые» локальные сети, недоступные из Интернета;
● отслеживание попыток логирования по SSH на серверы, где запущены компоненты публичного облака;
● своевременное обновление используемого ПО для устранения возможных уязвимостей старых версий;
● взаимодействие с API облака только по протоколу HTTPS.
Для частных и некоторых публичных облаков также есть следующие меры защиты:
● контроль физического доступа к серверам – СКУД для серверных стоек, видеонаблюдение, охрана;
● шифрование данных на дисках;
● использование аппаратного шифрования памяти (например, технологии Intel SGX, AMD SEV).
Эти мероприятия направлены в первую очередь на то, чтобы обеспечить бесперебойную работу самой инфраструктуры и клиентских виртуальных машин, запущенных в данной инфраструктуре.
Для публичного облака безопасность на уровне ОС остается на стороне конечного клиента. Если он не обезопасил себя на уровне операционной системы (ACL, Firewall, разграничение прав доступа пользователей и т. д.), то облачный провайдер не сможет гарантировать надежной защиты от атак злоумышленников.
Наиболее эффективная защита от вирусов – тщательный анализ того, что запускается в ОС виртуальной машины, какие пользователи имеют доступ к запуску программ, надежно ли защищен доступ к виртуальной машине и как защищены данные (шифрование, резервное копирование и т. д.).
Гибридная облачная среда – эффективный способ расширить емкость частного облака, не увеличивая капитальных затрат на оборудование и не подвергая риску конфиденциальные данные. Если у организации уже есть частное облако любого масштаба, то для достижения максимальной гибкости она может перейти на гибридное облако. Гибридное облако оптимально для организаций с динамичной рабочей нагрузкой, большим объемом данных для обработки или большим набором ИT-сервисов.
Опубликовано 10.02.2021