26.04.2016 10:03
Новости.
Просмотров всего: 3562; сегодня: 1.

Фундамент облака - доверие и безопасность

Блог Стива Мартино (Steve Martino), вице-президента, руководителя службы информационной безопасности компании

Спрос на облачные вычисления достиг рекордного уровня. Многие организации уже внедрили или планируют внедрить те или иные облачные технологии, даже если ИТ-подразделения еще только в процессе их освоения. Стремясь ускорить вывод своих продуктов на рынок, специалисты, подразделения предприятий и компании все чаще делают выбор в пользу облачных технологий и поставщиков облачных услуг. Но при этом многие ИТ-руководители все еще используют облако по остаточному принципу.

Более того, из-за угроз информационной безопасности (ИБ) и опасений по поводу того, что может быть нарушена конфиденциальность и возникнут сложности, связанные с выполнением операций и контролем доступа к информации, некоторые организации вообще сомневаются, стоит ли внедрять облачные технологии. Между тем нежелание переходить на облачные вычисления скорее увеличивает риски, чем снижает их.

Среди множества облаков

Согласно отчету компании KPMG «Безопасность облачных технологий» за 2014 г., более 80 лидеров высокотехнологичных отраслей считают облако той технологией, которая наиболее заметно изменит бизнес-процессы.

По прогнозу компании McKinsey & Company, опубликованному в отчете «Прорывные технологии: новшества, которые изменят повседневную жизнь, бизнес и мировую экономику», к 2025 году общий экономический эффект от внедрения облачных технологий может составить от 1,7 до 6,2 трлн долларов в год. Из этой суммы 1,2–5,5 трлн долларов составит экономический эффект от использования интернет-услуг на базе облака, а повышение производительности корпоративных ИТ может принести 0,5–0,7 трлн долларов.

В течение последних пяти лет число используемых Cisco облачных услуг ежегодно возрастает на 30%. В настоящее время наша компания работает почти с 500 аттестованными поставщиками облачных услуг, причем около половины из них получают доступ к самой закрытой информации.

Нас окружает множество облаков: частные, публичные, гибридные модели типа «инфраструктура как услуга» (Infrastructure-as-a-Service, IaaS), «платформа как услуга» (Platform-as-a-Service, PaaS) и «программное обеспечение как услуга» (Software-as-a-Service, SaaS). За последние десять лет Cisco при поддержке партнеров реализовала все виды облаков c использованием продуктов для сетей и ЦОД. Сейчас компания работает над решениями, которые облегчают перенос рабочих нагрузок на различные облака. Cisco стремится сделать так, чтобы, используя облака, ИТ-отделы могли еще эффективнее помогать бизнесу добиваться своих целей.

Создание безопасных облачных услуг

Заказчик должен быть уверен в том, что поставщик безопасных облачных услуг гарантирует жизненный цикл безопасной разработки облака, обеспечивающий защиту данных на каждом этапе. Передавая данные и бренд компании в руки стороннего поставщика облачных услуг, необходимо точно знать, что приняты необходимые меры, дающие финансовые гарантии и гарантии безопасности.

ИТ-подразделение компании Cisco разработало глобальную программу Cloud/Application Service Provider Remediation (CASPR), которая позволяет проверять политики и процедуры оценки рисков и восстановления после атак. Эта программа создает среду для взаимодействия владельцев ИТ-услуг и бизнес-партнеров при отборе поставщиков. CASPR обеспечивает качественную оценку поставщиков облачных услуг, а также предоставляет информацию об их деятельности всем заинтересованным сторонам.

В рамках программы CASPR ИТ-команды через владельцев ИТ-услуг взаимодействуют с заинтересованными представителями бизнеса в подборе проверенных облачных ресурсов, когда это потребуется. Служба ИБ — это стратегический партнер, который устанавливает стандарты безопасности данных, оценивает риски ИБ и при необходимости разрабатывает планы восстановления после атак, помогая защитить информацию и бренд Cisco. Взаимодействие ИТ-специалистов, службы ИБ, специалистов по закупкам и представителей бизнеса обеспечивает качественный контроль за поставщиками облачных услуг.

Жизненный цикл безопасной разработки Cisco Secure Development Lifecycle

Вопросы безопасности при переходе к облачным решениям становятся все актуальнее. В связи с этим отраслевые аналитики прогнозируют, что рынок решений безопасности облачных услуг сохранит годовой прирост на уровне 14%. Облачная экосистема растет и усложняется, поэтому ее работа должна быть налажена безупречно. В основе создания безопасных облаков и работы с ними лежат автоматизация и прозрачность защитных мер. Следует встраивать безопасность и поддерживать ее на протяжении всего жизненного цикла облака. Что именно это означает?

При выборе облачного решения следует задать два главных вопроса:

• если я размещу в облаке конфиденциальную информацию, сможет ли поставщик облачных услуг обеспечить ее надлежащую защиту и будет ли у меня возможность это отследить?

• Смогу ли я реагировать на возникающие инциденты?

Концепция жизненного цикла безопасной разработки позволяет облачным решениям Cisco оправдывать все ожидания заказчиков. Она не только гарантирует, что облачные решения соответствуют стандартам, но и обеспечивает их совместимость и отказоустойчивость, а также защиту данных благодаря безопасности операций и мониторингу. Предлагаемый подход включает три этапа:

• Создание безопасного облака. Жизненный цикл безопасной разработки гарантирует соответствие облачных решений установленным стандартам и ожиданиям заказчиков относительно качества. С помощью типовых модулей и сервисов безопасности команды DevOps создают безопасные облачные решения и управляют ими с учетом базовых показателей безопасности. Эти показатели определены с учетом устоявшихся внутренних стандартов Cisco в области безопасной разработки, а также новейших отраслевых рекомендаций безопасности, таких как CSA, FedRAMP и др.

• Управление безопасным облаком. Чтобы обеспечить безопасность своих облачных решений, компания Cisco постоянно проверяет их защищенность, а именно:

o сканирует уязвимости круглосуточно и без выходных;

o защищает сетевой и прикладной уровень;

o интенсивно тестирует на проникновение;

o содействует тому, чтобы поставщики облачных услуг принимали на себя ответственность за достижение заявленных целей и выполняли соглашения о качестве предоставляемых услуг.

• Мониторинг безопасного облака. Для этого предусмотрена процедура отслеживания инцидентов ИБ и реагирования на них. Кроме того, используются доступные в отрасли средства телеметрии. Для того, чтобы собственные ожидания Cisco и ожидания заказчиков были оправданы, все решения, процессы и объекты компании Cisco проходят проверку сторонних организаций (например, решения WebEx сертифицированы по стандартам ISO 27001 и SSAE-16 SOC/2).

В основе репутации — доверие

Хотя облако по-прежнему остается передовой технологией, компании все чаще полагаются на сторонних поставщиков облачных услуг. Комплексный подход к безопасности облачных услуг позволяет сформировать доверие на каждом этапе жизненного цикла. По мнению Cisco, помимо прочего, укреплению доверия способствует прозрачность. Наладить и поддерживать доверительные отношения можно только при условии оперативного и открытого обмена информацией. Исследование и анализ угроз, которые Cisco проводит на более высоком уровне, чем многие другие компании, позволяют создать уникальную экосистему безопасности, что лишний раз доказывает стремление компании сохранить лидерство в сфере облачной безопасности.


Ньюсмейкер: cisco — 3787 публикаций
Поделиться:

Интересно:

325 лет назад Петр I издал указ о праздновании Нового года 1 января
20.12.2024 13:05 Аналитика
325 лет назад Петр I издал указ о праздновании Нового года 1 января
До конца XV века Новый год на Руси праздновали 1 марта. Эта точка отсчета была связана с тем, что в марте земля пробуждалась от зимнего "сна", начинался новый посевной сезон. С 1495 года Московский государь Иван III приказал перенести празднование Нового года на 1 сентября. Причин для...
19.12.2024 19:56 Интервью, мнения
Праздник к нам приходит: как поддержать атмосферу Нового Года в офисе
Конец года — самое жаркое время за все 12 месяцев, особенно для компаний. Нужно успеть закрыть все задачи, сдать отчёты, подготовить планы, стратегии и бюджеты. И, конечно же, не забывать про праздник, ведь должно же хоть что-то придавать смысл жизни в декабре, помимо годового бонуса.  Не...
Прозвища бумажных денег — разнообразные и многоликие
19.12.2024 18:17 Аналитика
Прозвища бумажных денег — разнообразные и многоликие
Мы часто даем прозвища не только знакомым людям и домашним питомцам, но и вещам, будь то автомобили, компьютеры, телефоны… Вдохновляемся цветом или формой, называем их человеческими именами и даем понять, что они принадлежат только нам и имеют для нас...
Советская военная контрразведка
19.12.2024 17:51 Аналитика
Советская военная контрразведка
Советская военная контрразведка появилась в годы Гражданской войны и неоднократно меняла свою подчиненность, входя то в структуру военного ведомства, то в госбезопасность. 30 мая 1918 г. учрежден первый орган военной контрразведки Красной армии – Военный контроль Оперативного отдела Народного...
Защитить самое ценное: История страхования в России
18.12.2024 13:22 Аналитика
Защитить самое ценное: История страхования в России
С давних времен человек стремится перехитрить свою судьбу. Люди желают знать, что будет, чтобы вовремя подготовиться к возможным перипетиям и обезопасить свое будущее. Вот только карты и гадалки в этом вопросе бессильны, куда надежнее справиться с рисками помогают...