Максим Павловский, руководитель департамента Microsoft в Softline

За последние 3 года я посетил десяток мероприятий, посвященных хранению данных в облаке. Если они организовывались облачными провайдерами, то выступающие объясняли, почему размещение данных в облаке безопасно, как с технической, так и с юридической точки зрения. Если их организовывали различные некоммерческие ассоциации, то можно было услышать истории в стиле Сноудена: вся информация в опасности, а в облаке — вдвойне, а уж размещение там персональных данных — это просто безумие.

В каких случаях компании поднимают вопрос безопасности данных в облачных проектах?

1. Компания беспокоится, что данные в облаке будут более уязвимы, чем на собственных серверах.
2. Организация волнуется насчет проверок регулятора.

Что волнует ИТ-директора

За годы продаж облаков, я слышал множество возражений против них. Одно из наиболее популярных — неочевидная безопасность. Забавная вещь, что безопасность является одновременно и барьером для одних, и причиной для миграции в облако для других… Во время мероприятий для потенциальных клиентов у меня было много дискуссий с ИТ-директорами средних и даже небольших организаций. Люди выражали свою озабоченность по поводу того, что облачный провайдер не сможет обеспечить им нужный уровень безопасности данных.

Какие угрозы они упоминали?

• конкуренты могут получить доступ к данным в облаке и причинить ущерб организации;
• технический персонал провайдера может оказаться коррумпированным;
• власти (например, налоговая служба) могут найти что-либо нежелательное об организации, анализируя данные в облаке;
• и отдельно от госорганизаций: ЦРУ, ФСБ, МОССАД (в зависимости от страны) могут «взломать» данные в облаке.

А что на деле?

Если речь идет о локальном сервис-провайдере облачных решений в конкретной стране, то действительно, все, что перечислено выше, может случиться. Глобальные облачные платформы – такие, как Microsoft Azure, Amazon Web Services, Google Cloud Platform – смогут обеспечить необходимый уровень безопасности данных. При их использовании такие угрозы минимальны.

Единственный вопрос: как это связано непосредственно с облаком? Не является ли это всеобщими угрозами для любых ИТ-систем вне зависимости, в облаке ли они или нет? В таких дискуссиях я обычно прошу рассказать мне, как все эти угрозы контролирует компания сейчас, в собственной инфраструктуре. Часть клиентов говорит о DLP, DMZ, SSL, CASB и других средствах безопасности, о команде профессионалов, которая следит 24 часа в сутки за всеми подозрительными активностями и т.п. Но таких организаций немного. Вторая группа признается, что они «в начале пути». Ни физической защиты оборудования, ни специализированных средств безопасности (не говоря уж о сотрудниках), все конкуренты знают их ключевых специалистов, с которыми теоретически можно «договориться». И при этом ИТ-директор обеспокоен, что DLP-система у облачного провайдера недостаточно совершенна, чтобы отразить все утечки!

Выбирайте грамотно

Конечно, облачные провайдеры — это не Форт Нокс. Они должны находить баланс между безопасностью, производительностью и ценой. Это профессиональные игроки, и безопасность — составная часть их бизнеса. Команда поддержки не знает, с какой стороны и какой тип атаки им ждать. Они должны защищать свою крепость от осаждающих со всех сторон врагов. В результате, ИТ-инфраструктура облачного провайдера в среднем более безопасна, чем инфраструктура компании-клиента.

Законный вопрос

Использование облачных технологий в контексте законодательства, как правило, вызывает у клиентов два вопроса:

1. Соблюдение требований по работе с персональными данными.

Многие слышали о том, что в некоторых странах установлены особые требования к организациям, деятельность которых в той или иной степени связана с хранением и обработкой персональных данных физических лиц. Так, в Российской Федерации (далее - РФ) действует норма, согласно которой персональные данные граждан РФ должны физически храниться на территории РФ. Трансграничная передача персональных данных, при этом, хоть и не запрещена, но существенно ограничена. Таким образом, облачные сервисы, у которых нет серверов в РФ, фактически объявлены вне закона.  Нарушение этого требования, в частности, повлекло блокировку популярной соцсети LinkedIn на территории РФ. Здесь следует отметить, что в Беларуси, несмотря на общую схожесть законодательства двух стран, такой нормы на данный момент нет.

С другой стороны, для белорусских компаний, работающих на рынке Европейского союза, принципиальным является соответствие требованиям Общего регламента по защите данных (англ. General Data Protection Regulation, GDPR), который устанавливает довольно строгие требования (в том числе технические) к защите персональных данных и серьезные санкции за их неисполнение (до €20 млн. или 4% от общего глобального оборота компании). Для таких организаций перенос персональных данных в облака представляется интересным решением, поскольку крупные облачные провайдеры уже внедрили у себя необходимые технические средства защиты в соответствии со стандартами GDPR и, что не менее важно, гарантируют в этой части со своей стороны полную ответственность, в случае наложения уполномоченными органами каких-либо взысканий на их клиентов.

2. Соответствие Указу Президента Республики Беларусь от 01.02.2010 N 60 (ред. от 23.01.2014) «О мерах по совершенствованию использования национального сегмента сети Интернет»:

согласно п.2 Указа № 60, деятельность по реализации товаров, выполнению работ, оказанию услуг на территории Республики Беларусь с использованием информационных сетей, систем и ресурсов, имеющих подключение к интернету, осуществляется юридическими лицами, их филиалами и представительствами, созданными в соответствии с законодательством Республики Беларусь, с местонахождением в Республике Беларусь, а также индивидуальными предпринимателями, зарегистрированными в Республике Беларусь, с использованием информационных сетей, систем и ресурсов национального сегмента сети интернет, размещенных на территории Республики Беларусь и зарегистрированных в установленном порядке.

Зачастую клиентов так пугает окончание этого предложения, что они совершенно забывают о его начале, в котором установлена сфера применения данной нормы - деятельность по реализации товаров, выполнению работ, оказанию услуг с использованием информационных сетей, систем и ресурсов, имеющих подключение к интернету.

Таким образом, если в облаке, серверы которого находятся за рубежом, размещен хостинг интернет-магазина, то это будет нарушением законодательства. Если же такие облачные сервисы используются для условного резервного копирования или какой-то внутренней аналитики, поводов для беспокойства быть не должно.

В облака и обратно

Миграции из облака и в облако технически очень похожие проекты, но с финансовой точки зрения они отличаются крайне сильно. При перемещении в облако вы оплачиваете только реально используемые ресурсы, что сокращает расходы на инфраструктуру, электроэнергию и обслуживание.

Какие преимущества дают облачные технологии?

• безопасная, высокопроизводительная и постоянно совершенствующаяся инфраструктура;
• надежное и отказоустойчивое хранилище;
• рациональность использования ресурсов;
• экономия на ресурсах ЦОД;
• сокращение затрат на резервирование оборудования на 50-70%.

Если вы планируете запустить новый проект, для которого необходимы дополнительные ресурсы, переходите в облако! Вы сможете быстро и легко переместить рабочую нагрузку из вашего центра обработки данных, а оплату производить только за реально потребляемые вычислительные мощности.