Безопасны ли облака данных?
Хранение данных в так называемом Облако, то есть на внешних серверах, может быть менее безопасным, чем мы думаем, тревожат эксперты после инцидента с личными фотографиями американских актрис несколько лет назад. Фотографии были украдены из облака Apple iCloud и размещены на 4chan. Это была одна из самых громких утечек в своем роде.
Технологический журнал Wired подсчитал тогда, что хакеры могли использовать российское программное обеспечение ElcomSoft. Программа может взломать iCloud и украсть оттуда резервные копии файлов. По мнению экспертов, устройства, использующие операционную систему, отличную от iOS, также могут стать объектами хакерских атак. Это относится ко всем электронным устройствам с доступом в Интернет, особенно к мобильным устройствам, таким как смартфоны или планшеты.
Мы уже немного подзабыли фотоскандал, когда у Dropbox, известного облачного провайдера для миллионов пользователей по всему миру, недавно случился казус, который снова может подорвать доверие потребителей к внешним хранилищам данных. Некоторые пользователи заметили странную ошибку. Совершенно неожиданно сайт восстановил несколько очень старых, давно удаленных файлов. Пользователи сайта обнаружили на своих компьютерах только что синхронизированные папки с данными за 2009-2011 годы.
Консультанты Dropbox всегда сообщали, что нет технического способа восстановить удаленные данные. Однако, поскольку некоторые пользователи увидели их спустя семь лет, это может означать, что против нашей воли там удаляется не все.
В компании поясняют, что это не так — через шестьдесят дней после того, как пользователь удалит данные, они безвозвратно удаляются с серверов. Файлы, «возвращающиеся» в облако через шесть-семь лет, — это чисто системная ошибка. Сначала они были неправильно удалены, а затем, из-за очередной ошибки, восстановлены. К сожалению, это не первый случай, когда Dropbox подрывает доверие к качеству собственных сервисов. В 2012 году в результате взлома он потерял часть своих клиентских данных, в чем признался только спустя годы.
Дешевле и безопаснее
Несмотря на эти неудачи, облачные вычисления по-прежнему в значительной степени уязвимы для атак. Недостаток знаний о них среди клиентов кажется большей проблемой для поставщиков этого вида услуг. Страх перед неизвестным парализует многих ИТ-менеджеров от использования систем за пределами их бизнеса. А защита информации, хранящейся и обрабатываемой в облаке, остается одним из основных факторов, влияющих на решение о внедрении платформы.
Облако предоставляет легкий доступ к данным. Это важно, поскольку компании все меньше и меньше привязаны к своей штаб-квартире. Торговым представителям, мобильным работникам и менеджерам сегодня требуется доступ к приложениям и информации из любой точки мира. Физическое расположение ИТ-систем теряет значение, и компании все равно вынуждены создавать безопасные соединения между штаб-квартирой, филиалами и центром обработки данных.
Конечно, облако требует стабильного и относительно быстрого интернет-соединения. В офисах компании стоит обеспечить доступ в Интернет как минимум двумя независимыми маршрутами, например, по высокоскоростному оптическому волокну и радио, с маршрутизацией трафика BGP, чтобы в случае временной недоступности основного канала вы может по-прежнему иметь доступ к сети.
Можно смело предположить, что строительство собственной, хорошо оборудованной серверной обойдется в сумму более миллиона злотых. Поэтому все меньше компаний решается на подобный шаг, поскольку они могут арендовать место для своих серверов во внешнем дата-центре (colocation) или использовать облачные сервисы. Хотя бы потому, что аргументов за вынос ваших систем наружу гораздо больше.
Центр обработки данных обеспечивает соответствующие параметры среды для работы сетевых устройств и серверов. Речь идет о интерьерах и зданиях, приспособленных для этой цели, оборудованных электрогенераторами и системами резервного электропитания (ИБП), а также системами кондиционирования, обеспечивающими надлежащий уровень температуры, влажности и чистоты воздуха в помещениях. Все это тщательно спроектировано, реализовано и поддерживается специалистами ЦОД.
На уровне физической безопасности используется многоуровневый системы контроля доступа. В помещения дата-центра допускаются только уполномоченные лица — и только после аутентификации с помощью PIN-кода, проксимити-карты, отпечатка пальца или сканирования радужной оболочки глаза. Другие обязательные функции безопасности включают в себя систему охранной сигнализации, которая обнаруживает несанкционированные входы в серверную комнату, и видеонаблюдение, которое записывает все, что происходит в центре обработки данных.
Доступ устройства к облачным ресурсам и сервисам
Отдельным вопросом становится защита доступа к облачным ресурсам. Однако механизмы, используемые в облаке, не отличаются от тех, что используются в локальных серверных. Компании могут внедрять любые системы безопасности (аппаратные и программные) на основе сегментации VLAN, межсетевых экранов, систем обнаружения вторжений IDS/IPS, прокси-серверов и балансировки нагрузки. В публичных облаках сегментация сети выполняет две основные функции: изолирует данные и приложения разных клиентов и отделяет ресурсы данной компании от общедоступной сети. Администратор определяет VLAN, что-то вроде сети управления, в которой работают серверы и другие сетевые службы. Виртуальные экземпляры, назначенные данной VLAN, взаимодействуют друг с другом, используя локальные IP-адреса, оставаясь отделенными от общедоступной сети, и доступ к ним требует установления безопасного VPN-соединения. Как и в случае с локальными сетями, назначение VLAN происходит на сетевых коммутаторах, в данном случае — у облачного провайдера.
В зависимости от облачной архитектуры провайдеры используют классические матрицы с репликацией данных или распределенные системы хранения, в которых данные распределяются по нескольким узлам хранения. Важно отметить, что данные в облаке многократно дублируются. Каждый файл хранится на нескольких дисках на разных машинах. Это означает полную защиту от выхода из строя носителя или дискового массива.
В дополнение ко многим очевидным преимуществам облако также имеет несколько функций, которые могут быть сомнительными с точки зрения безопасности. Облачная среда часто используется многими клиентами, хотя технически поставщик услуг гарантирует изоляцию системы на уровне виртуализации и сети. это домен публичные облакагде любой желающий может арендовать сервер на час и в полной мере использовать его ресурсы.
Модель публичного облака — пользователи из разных компаний
Вторая модель, которую выбирают компании, требующие максимальной степени конфиденциальности, предполагает отказ от модели общедоступного облака и создание частное облако в дата-центре, принадлежащем внешнему оператору. Это определенный вариант колокейшна, который предполагает аренду помещения, оборудования и поручать сервис-провайдеру эксплуатировать всю систему.
Публичные облака принадлежат специализированным операторам, то есть компаниям или учреждениям с соответствующей инфраструктурой и. Конечно, не всех устраивает уровень безопасности данных, предлагаемый в общедоступном облаке.
Частные облака создаются для заинтересованных лиц, компаний или учреждений. Они не должны быть созданием сотрудников данной компании. Такое облако может быть создано и даже поддерживаться внешней компанией. Важно, чтобы среда предназначалась только для определенной аудитории. Облако может физически находиться в собственном центре обработки данных, серверной комнате пользователя облака или быть физически отдельной частью вычислительных ресурсов оператора облака. В таком внешнем облаке машины и программное обеспечение, «зарезервированные» для пользователя частного облака, не используются совместно с другими клиентами облачного провайдера.
Гибридные облака в свою очередь, это всевозможные смешанные решения, например те, в которых частное облако может быть расширено за счет ресурсов общедоступного облака в экстренной ситуации. Пользователи быстро узнают, что гибкие решения являются лучшими, поскольку они обеспечивают беспроблемную адаптацию к изменяющимся потребностям. И вы платите только за те ресурсы, которые фактически используются.
Озеро возможностей
В последнее время термин набирает популярность в индустрии данных. «Озеро данных». Возможно, более подходящим было бы название «резервуар для хранения данных», поскольку именно оно отражает суть вещей. Это решение предназначено для защиты системы от флуда и флуда битов. Это еще и элемент безопасности, своеобразный буфер. Есть три взгляда на озеро данных.
Доступ устройства к облачным ресурсам и сервисам
Во-первых, это пространство для хранения все данные, которые нужны компании. Это может быть структурированная информация, взятая из традиционных баз данных, а также неструктурированная информация, такая как текст; данные, генерируемые самим предприятием, а также импортируемые из внешних источников и сервисов. Они включают в себя огромное количество информации, извлеченной из социальных сетей, детекторов и данных телеметрии.
Во-вторых, есть аналитическая платформа тип данных, позволяющий находить зависимости между информацией, которая никогда ранее не рассматривалась в рамках одного набора. Многие прорывы в бизнес-аналитике были достигнуты не за счет анализа большего количества данных или проведения более сложного анализа, а за счет разработки новых связей данных, которые выявили движущие силы эффективности бизнеса.
В-третьих, озера данных полезны для разрешения долгосрочных противоречий между компаниями, стремящимися перенести стандартные данные в хранилища для ежедневного использования, и бизнес-подразделениями, которым требуется локальное представление и комбинация данных, которые они используют в электронных таблицах Excel. Озеро данных — это общий ресурс, который может содержать большой объем тщательно управляемой информации. Это также платформа доступа к данным для всех бизнес-подразделений, которые таким образом могут получать необходимую им информацию и создавать соответствующие модели и приложения.
Взломов по-прежнему не так много
Ресурсы облачных данных фактически находятся на известных жестких дисках — не тех, которые усердно работают в наших ПК, а принадлежащих специализированным компаниям, которые обслуживают и управляют крупными центрами обработки данных. Самые большие облака, такие как фоторесурсы Facebook, не остаются на одном месте, а перемещаются между разными машинами, что имеет большое значение для оптимизации компьютеров.
Мы получаем «свои» данные оттуда через интернет, что является вполне очевидным фактором риска. Однако данные в обширных базах данных — и в этом нет никаких сомнений — обычно гораздо более защищены, чем данные на частных или корпоративных компьютерах. Проблемы начинаются, когда им приходится покидать эти безопасные твердыни.
The New York Times недавно отметила, что пока процент атак на публичные облака в общей массе хакерских атак остается низким. Упомянутый в начале взлом ICloud был печально известен не потому, что указывал на особо опасную брешь в системе безопасности, а потому, что касался известных персонажей. Компании отрасли являются узкоспециализированными в своей области и накопили внушительные суммы, а опасения за судьбу данных в их руках снижаются за счет принципа «смешивания» данных из разных источников и разных владельцев. Можно сделать вывод, что облака безопасны.
Ну, может быть, не совсем безопасный, но – скажем так – безопасный “по сравнению с…”.
