У облачных вычислений есть несколько преимуществ облачных вычислений, которые большинство ИТ-специалистов не учитывают. Одно из таких преимуществ — автоматизированная подготовка. Основное преимущество автоматизированной подготовки в облаке — это просто автоматизация, прогнозируемость и скорость подготовки ресурсов для внутренних и внешних пользователей.
Ресурсы, которые можно подготавливать, охватывают широкий диапазон, включая виртуальный центр обработки данных (ЦОД) (IAAS), виртуальную машину с или без набора ПО (PAAS) или размещенное ПО (SAAS). Есть другие преимущества такого способа подготовки, например повышенная доступность за счет развертывания нескольких экземпляров сервиса или развертывания сервиса в нескольких ЦОД.
Подготовка представляет собой этап доставки, поэтому все, что предполагается доставлять, должно быть целостным. Подготовка безопасности зависит от способности защитить главные образы и развернуть их в целости и безопасным способом.
Среди других сложностей необходимость полагаться на гипервизоры и потребность обрабатывать изоляцию на каждом этапе подготовки. О возможной компрометации подготавливаемого сервиса беспокоятся больше, чем о безопасности гипервизора. После подготовки сервиса или виртуальной машины ее надо защитить и изолировать от других арендаторов и сервисов.
О безопасности заботятся больше, чем о технологии виртуализации. Хотя у арендатора или клиента может быть доступ по требованию к таким компонентам управления безопасностью, как брандмауэры, службы проверки подлинности и журналы, эти службы могут измениться, когда базовая реализация обновляется или при установке пакета исправлений.
Правила брандмауэра и другие данные конфигурации безопасности могут работать иначе, если вы повторно выполните подготовку образов виртуальных машин в инфраструктуре с измененной конфигурацией. Хотя эти задачи обычно решаются реализацией публичного облака, такие вещи, как управление версиями и управление конфигурацией в облаках нуждаются в значительном улучшении.
Есть другие риски, в том числе неожиданное взаимодействие и передача информации, если элементы управления по запросу интегрированы в пользовательское приложение. Повторно используемые идентификаторы и IP-адреса также представляют опасность, если возможно, что пользователи непреднамеренно могут получить доступ к чужой информации. Важная проблема здесь заключается в процессе выделении и удалении виртуальных машин, информационных ресурсов и включении компонентов.
Наконец, есть еще одна проблема с удалением сервиса или виртуальной машины. Этот процесс может иметь такие же последствия, как и подготовка, если он потерпит сбой или вызовет компрометацию на любом из этапов.
Параметры облачного хранилища
Проблемы с подготовкой не существуют в вакууме. Есть несколько связанных вопросов, касающихся хранения данных в облаке:
- В облачных хранилищах всегда используются централизованные мощности, поэтому они могут быть лакомой приманкой для хакеров и злоумышленников. Так всегда происходит с ценными ресурсами. Ситуацию можно разрешить путем применения надлежащих мероприятий по обеспечению безопасности.
- Наличие многих арендаторов также создает риски, так как механизмы изоляции данных могут отказать в процессе работы или при откате системы с использованием системы резервного копирования.
- Системы хранения состоят из сложного оборудования и программного обеспечения. Всегда есть возможность аварийных режимов работы, при которых возможно разрушение данных или доступ к клиентов к чужим данным.
- Эти риски в целом гипотетические, но не из разряда невозможного. Потребитель облачных сервисов имеет возможность выбрать поставщика на основе того, как поставщики описывают свой подход к устранению этих рисков. Стоит также ожидать, что если поставщики облачных услуг в курсе таких рисков, они скорее всего предпримут меры для их устранения во избежание вреда для репутации.
- Есть другие проблемы с безопасностью хранения, которые могут требовать большего внимания. Поставщик облачных услуг может хранить информацию в разных юрисдикциях, то есть в разных странах. Поэтому существует возможность попадания данных в руки властей этих стран. С этим связано несколько типов рисков, а именно возможность изменения законодательства в одной из стран, которое разрешит передачу или получение данных по запросу уполномоченных органов. Эти риски скорее всего будут сами собой исчезать по мере того, как поставщики услуг будут стараться не переносить данные в страну, в которой легко получить доступ к данным.
Более важный риск — возможность смешения данных разных пользователей. Это не страшно, если только возможен сбой, который может привести к компрометации данных. В реальности разделение данных работает очень надежно, потому что этому так или иначе способствуют все средства контроля файловой системы, разбиения диска на разделы, управления RAID-массивами и контроллеры оборудования
Если сбои и происходят, то это обнаруживается на низких уровнях и устройство хранения становится недоступным. Предотвращению смешения пользовательских данных, хранящихся в одной логической файловой системе, дополнительно способствует использование виртуальных машин — это обусловлено особенностями работы виртуальной подсистемы хранения.
Существует много способов изоляции своих данных от данных других пользователей. В облачном хранилище является нормой иметь много средств изоляции, которые простираются от виртуальных машин до разрешений файловой системы, дисковых разделов и даже до физических устройств. Еще раз: возможность проблем, связанных со смешением данных и их хранением в других странах, будут оценивать все возможные потребители облачных услуг.
Поставщики таких услуг в целом решают такие проблемы. Хотя конкретная реализация хранилища определяется выбором поставщика, сама природа модели облачного хранения способствует лучшей безопасности хранимых данных, чем обычная инфраструктура. Так как хранение в облаках централизовано, реализация безопасности и шифрования всех данных в публичном облаке вполне прямолинейна.
Поэтому шифрование данных как в статике, так и в движении является практически неотъемлемой частью доступных на рынке облачных решений. Централизация хранения также облегчает реализацию мониторинга на уровне, который вряд ли возможно за разумные деньги организовать в децентрализованной инфраструктуре.
В облачной среде у шифрования есть масса других применений, в том числе:
- управление доступом к интерфейсам управления ресурсами;
- управление доступом администраторов к виртуальным машинам и образам операционных систем;
- управление доступом к приложениям.
Однако данные хранятся не только в самом ЦОД: обычно создаются резервные копии для целей восстановления в случае аварии и возможного отката данных. Такие резервные копии обычно хранятся в другом месте на автономных мощностях стороннего поставщика услуг хранения.
Такие поставщики скорее всего действуют в рамках заключенных соглашений и обеспечивают конфиденциальность этих данных, но всегда есть возможность ошибки. С ними также связаны риски юрисдикции. Поэтому, как всегда, надо быть очень осторожным и осмотрительным, когда речь идет о хранении ваших ценных корпоративных данных.