Блог Стива Мартино (Steve Martino), вице-президента, руководителя службы информационной безопасности компании Cisco
Спрос на облачные вычисления достиг рекордного уровня. Многие организации уже внедрили или планируют внедрить те или иные облачные технологии, даже если ИТ-подразделения еще только в процессе их освоения. Стремясь ускорить вывод своих продуктов на рынок, специалисты, подразделения предприятий и компании все чаще делают выбор в пользу облачных технологий и поставщиков облачных услуг. Но при этом многие ИТ-руководители все еще используют облако по остаточному принципу.
Более того, из-за угроз информационной безопасности (ИБ) и опасений по поводу того, что может быть нарушена конфиденциальность и возникнут сложности, связанные с выполнением операций и контролем доступа к информации, некоторые организации вообще сомневаются, стоит ли внедрять облачные технологии. Между тем нежелание переходить на облачные вычисления скорее увеличивает риски, чем снижает их.
Среди множества облаков
Согласно отчету компании KPMG «Безопасность облачных технологий» за 2014 г., более 80 лидеров высокотехнологичных отраслей считают облако той технологией, которая наиболее заметно изменит бизнес-процессы.
По прогнозу компании McKinsey & Company, опубликованному в отчете «Прорывные технологии: новшества, которые изменят повседневную жизнь, бизнес и мировую экономику», к 2025 году общий экономический эффект от внедрения облачных технологий может составить от 1,7 до 6,2 трлн долларов в год. Из этой суммы 1,2–5,5 трлн долларов составит экономический эффект от использования интернет-услуг на базе облака, а повышение производительности корпоративных ИТ может принести 0,5–0,7 трлн долларов.
В течение последних пяти лет число используемых Cisco облачных услуг ежегодно возрастает на 30%. В настоящее время наша компания работает почти с 500 аттестованными поставщиками облачных услуг, причем около половины из них получают доступ к самой закрытой информации.
Нас окружает множество облаков: частные, публичные, гибридные модели типа «инфраструктура как услуга» (Infrastructure-as-a-Service, IaaS), «платформа как услуга» (Platform-as-a-Service, PaaS) и «программное обеспечение как услуга» (Software-as-a-Service, SaaS). За последние десять лет Cisco при поддержке партнеров реализовала все виды облаков c использованием продуктов для сетей и ЦОД. Сейчас компания работает над решениями, которые облегчают перенос рабочих нагрузок на различные облака. Cisco стремится сделать так, чтобы, используя облака, ИТ-отделы могли еще эффективнее помогать бизнесу добиваться своих целей.
Создание безопасных облачных услуг
Заказчик должен быть уверен в том, что поставщик безопасных облачных услуг гарантирует жизненный цикл безопасной разработки облака, обеспечивающий защиту данных на каждом этапе. Передавая данные и бренд компании в руки стороннего поставщика облачных услуг, необходимо точно знать, что приняты необходимые меры, дающие финансовые гарантии и гарантии безопасности.
ИТ-подразделение компании Cisco разработало глобальную программу Cloud/Application Service Provider Remediation (CASPR), которая позволяет проверять политики и процедуры оценки рисков и восстановления после атак. Эта программа создает среду для взаимодействия владельцев ИТ-услуг и бизнес-партнеров при отборе поставщиков. CASPR обеспечивает качественную оценку поставщиков облачных услуг, а также предоставляет информацию об их деятельности всем заинтересованным сторонам.
В рамках программы CASPR ИТ-команды через владельцев ИТ-услуг взаимодействуют с заинтересованными представителями бизнеса в подборе проверенных облачных ресурсов, когда это потребуется. Служба ИБ — это стратегический партнер, который устанавливает стандарты безопасности данных, оценивает риски ИБ и при необходимости разрабатывает планы восстановления после атак, помогая защитить информацию и бренд Cisco. Взаимодействие ИТ-специалистов, службы ИБ, специалистов по закупкам и представителей бизнеса обеспечивает качественный контроль за поставщиками облачных услуг.
Жизненный цикл безопасной разработки Cisco Secure Development Lifecycle
Вопросы безопасности при переходе к облачным решениям становятся все актуальнее. В связи с этим отраслевые аналитики прогнозируют, что рынок решений безопасности облачных услуг сохранит годовой прирост на уровне 14%. Облачная экосистема растет и усложняется, поэтому ее работа должна быть налажена безупречно. В основе создания безопасных облаков и работы с ними лежат автоматизация и прозрачность защитных мер. Следует встраивать безопасность и поддерживать ее на протяжении всего жизненного цикла облака. Что именно это означает?
При выборе облачного решения следует задать два главных вопроса:
•если я размещу в облаке конфиденциальную информацию, сможет ли поставщик облачных услуг обеспечить ее надлежащую защиту и будет ли у меня возможность это отследить?
•Смогу ли я реагировать на возникающие инциденты?
Концепция жизненного цикла безопасной разработки позволяет облачным решениям Cisco оправдывать все ожидания заказчиков. Она не только гарантирует, что облачные решения соответствуют стандартам, но и обеспечивает их совместимость и отказоустойчивость, а также защиту данных благодаря безопасности операций и мониторингу. Предлагаемый подход включает три этапа:
•Создание безопасного облака. Жизненный цикл безопасной разработки гарантирует соответствие облачных решений установленным стандартам и ожиданиям заказчиков относительно качества. С помощью типовых модулей и сервисов безопасности команды DevOps создают безопасные облачные решения и управляют ими с учетом базовых показателей безопасности. Эти показатели определены с учетом устоявшихся внутренних стандартов Cisco в области безопасной разработки, а также новейших отраслевых рекомендаций безопасности, таких как CSA, FedRAMP и др.
•Управление безопасным облаком. Чтобы обеспечить безопасность своих облачных решений, компания Cisco постоянно проверяет их защищенность, а именно:
oсканирует уязвимости круглосуточно и без выходных;
oзащищает сетевой и прикладной уровень;
oинтенсивно тестирует на проникновение;
oсодействует тому, чтобы поставщики облачных услуг принимали на себя ответственность за достижение заявленных целей и выполняли соглашения о качестве предоставляемых услуг.
•Мониторинг безопасного облака. Для этого предусмотрена процедура отслеживания инцидентов ИБ и реагирования на них. Кроме того, используются доступные в отрасли средства телеметрии. Для того, чтобы собственные ожидания Cisco и ожидания заказчиков были оправданы, все решения, процессы и объекты компании Cisco проходят проверку сторонних организаций (например, решения WebEx сертифицированы по стандартам ISO 27001 и SSAE-16 SOC/2).
В основе репутации — доверие
Хотя облако по-прежнему остается передовой технологией, компании все чаще полагаются на сторонних поставщиков облачных услуг. Комплексный подход к безопасности облачных услуг позволяет сформировать доверие на каждом этапе жизненного цикла. По мнению Cisco, помимо прочего, укреплению доверия способствует прозрачность. Наладить и поддерживать доверительные отношения можно только при условии оперативного и открытого обмена информацией. Исследование и анализ угроз, которые Cisco проводит на более высоком уровне, чем многие другие компании, позволяют создать уникальную экосистему безопасности, что лишний раз доказывает стремление компании сохранить лидерство в сфере облачной безопасности.
Обозрение "Terra & Comp".