Информационная безопасность. Есть ли спасение на "облаках"?
Безопасны облака или нет? Давайте разберем на примере одного из украинских сервисов электронного документооборота, который обрабатывает документы, используя облако Amazon.
Обсуждая риски информационной безопасности, услышал от коллег два интересных, но абсолютно противоположных тезиса: "В этой стране ничего нельзя хранить, очень рискованно, мы все выносим в облака" и "Как можно доверять облакам, которыми управляешь не ты? Только свои сервера, только свой дата-центр".
Что обычно беспокоит IT-руководителя?
Конфиденциальность данных. Amazon предлагает очень подробный и структурированный подход:
- Amazon дает набор инструментов для управления доступом, шифрования, ведения различных логов.
- Клиент выбирает способы защиты контента. Есть возможность использовать собственные ключи и собственную систему управления ключами. С другой стороны, Amazon предлагает инструменты шифрования, средства управления ключами AWS Key Management Service (сертифицировано по FIPS-140-2).
- Программа и процессы обеспечения безопасности, регулярно проверяемые независимыми сторонними специалистами.
- Amazon не получает доступ к контенту клиентов и не использует его для каких-либо целей без соответствующего согласия.
- Раскрытие контента пользователей не раскрывается третьим сторонам, за исключением предписаний, имеющих законную силу.
Более подробно с принципами и политиками конфиденциальности можно ознакомиться по ссылке.
Шифрование данных. "Ну да, Amazon предлагает шифрование данных. Но он же может и дешифровать?". Amazon развернуто отвечает на большинство типовых опасений крупного бизнеса в разделе "Common Questions from Enterprise Executives" своей заметки о криптографии.
Кратко о предлагаемых опциях:
- AWS Key Management Service. Сервис дает заказчикам Amazon возможность централизованного управления ключами криптографии: создание, импорт, ротация ключей. Определение политик использования и аудит использования. Ключи хранятся в зашифрованном формате.
- AWS Cloud HSM (Hardware security module). Заказчик может управлять своими ключами криптографии в соответствии со стандартом FIPS-140-2 Level
- Решения криптозащиты третьих поставщиков, доступных через Amazon Marketplace.
- Использование собственных криптографических решений.
Сервисы безопасности
- Управление идентификацией и доступом.
- Обнаружение угроз, отслеживание действий пользователей, анализ безопасности приложений.
- Защита инфраструктуры (от DDOS, фильтрация вредоносного трафика, т.д.).
- Проверка на соответствие требованиям.
Хочу обратить внимание, что в клиентах Amazon есть организации из регулируемых отраслей, например, NASDAQ, компании из области здравоохранения, Department of Defense и т.д.
Для таких отраслей в США существуют подробные регуляторные документы, которые касаются в том числе вопросов безопасности данных. В нашей стране подобного уровня регуляция есть разве что у Нацбанка и еще пары крупных госструктур.
Концепция Amazon "что должно делать облако, что должен делать заказчик, использующий облако" хорошо представлена в картинке.
Как видим, многие вопросы обеспечения безопасности и надежности уходят на сторону облачного провайдера. Становится меньше областей, где системный администратор может допустить ошибку (из-за недостатка квалификации или времени, например).
Вторая часть вопроса – как этой продуманной и опробованной системой пользуется украинский сервис электронного документооборота.
Сервис электронного документооборота декларирует:
- Хранение информации в дата-центрах Amazon (и мы видим, что у Amazon есть хорошие механизмы для обеспечения безопасности и конфиденциальности).
- Сервис занимается безопасностью своей сети, управление разрешает только из нее, регулярно делает penetration тесты.
- Разделение прав доступа на уровне каждого пользователя.
- В явной форме декларируется такая конфиденциальность:
- Сотрудники компании не имеют доступа к файлам клиентов. Сотрудники компаний не имеют доступа в кабинеты других компаний.
- Доступ к инфраструктуре, сертификат безопасности по ISO 27001:2013.
- Возможность шифрования файлов документов ключами клиента (в том числе при загрузке/чтении в хранилище Amazon S3).
- На криптографию у сервиса есть экспертное заключение от ДССЗТЗІ.
Что в результате?
Облака дают набор сервисов, помогающих обеспечивать безопасность и конфиденциальность данных. Такие инструменты "перехватывают" заботу о некоторых инфраструктурных вещах на себя, обеспечивая набор сервисов.
Насколько безопасен будет итоговый результат, все-таки зависит от человеческого фактора. А именно от того, что делают системные администраторы с инструментами облака и со своими IT-решениями.
Но безусловно – грамотное использование современных облачных решений облегчает вопросы информационной безопасности.
А тепер прикиньте, що хтось на когось розсердився і просто вимкнув сервери. Хрін з ним, розшифруванням. Просто взяли і вимкнули або вас там забанили. ОПА! Надійно, аж жуть.
Как в SLA, так и в "AWS Customer Agreement" напрямую написано фсё будет, если фсё это в рамках закона, причем четко разделено "по закону" и "по решению гос.органа". Какого именно госоргана - не указано. Кто именно принимает решение о "по закону" - не указано.
Т.е. ЛЮБОГО гос.органа и по решению самого Амазона о том, что твой аккаунт "законный" или "незаконный".
Лично мне на AWS блокировали аккаунт, с подвязанной легальной кредиткой. Просто потому что кто-то пожаловался на один из сайтов. Сайт железобетонно был с легальным контентом и в США, и в Украине. Но их, как и других тех.гигантов, вообще не пипчет твоя невиновность.
Аккаунт мне так и не разблокировали. Несмотря и на электронные обращения, и на бумажные обращения. Хорошо, что привычка всё бекапить - в генах уже...