Собираетесь в облака? Возьмите с собой парашют!

Собираетесь в облака? Возьмите с собой парашют!

Ева Браггер Менеджер, Чехия

Облачные IT-сервисы не так надёжны, как думается. Три территории риска, на каковые принципиально важно обратить внимание, дабы обезопасисть собственный бизнес.

Тебе думается, что все стабильно, но это не верно. Это только иллюзия.
Ты думаешь, у тебя под ногами жёсткая земля, но в действительности это – облака.
А тучи смогут растаять в любую секунду.
Алекс Шерер, «Охотники за тучами»

Из-за чего облака? В первой половине 90-ых годов двадцатого века в первый раз показалась диаграмма, на которой компьютерные инженеры обозначили в виде тучки кластер одолжений, каковые возможно было бы передавать при помощи интернета. Это был образ, которым они очертили все то, что происходило где-то еще и, по сути, не являлось их проблемой. В случае если такая версия покажется необычной, то в книжке по программной инженерии за 2016 год, написанном Сергеем Орловым, все звучит в полной мере официально: «Виртуализация свидетельствует сокрытие настоящей реализации какого-либо процесса либо объекта от подлинного его представления пользователю». Так, услуги по обработке и хранению данных, включая каналы связи, приложения и другие сервисы, предоставляются пользователю в облаке под девизом «Это не ваша неприятность».

Предоставление вычислительных ресурсов в виде интернет-сервиса оставляет за кадром их физическую реализацию: пользователь не знает и не осуществляет контроль, посредством каких серверов, сетей, операционных совокупностей все происходит, куда уходит информация и где она хранится.

Мы все в той либо другой степени уже почувствовали на себе прелести облачных разработок: они дешёвые, мобильные и масштабируемые. Пострадавшие пользователи туч обычно остаются незамеченными для остального населения земного шара. Но цена, которую они заплатили, неизменно нежданно высока. Один из недавних примеров – блог писателя Дениса Купера. Более 14 лет ежедневной работы – блог, рецензии, почтовая переписка и книга – все провалилось сквозь землю бесследно без объяснений. Лишь под двухмесячным напором гневных петиций и писем от бессчётных фанов, и статей в таких изданиях, как The New Yorker, Pen America, The Guardian, представители Гугл начали переговоры с юристом Купера.

В следствии в Гугл дали согласие открыть блог писателя на новом домене, и размещать на новом сайте ветхие посты по окончании цензуры.

1. Контроль

Сгинувший блог Дениса Купера иллюстрирует основной недочёт облачных разработок – полная зависимость пользователей от монопольного провайдера. И я имею в виду не только постоянный рост платежей, перевод на более дорогие тарифные замыслы, оплату из расчета потребления трафика, неконтролируемые обновления и другие вещи, включая «небольшой шрифт». Каждые эти, доверенные облачным разработкам, смогут быть удалены, урезаны либо подвергнуться цензуре в следствии трансформаций в политике компании.

Раз уж мы заговорили о Гугл, разглядим проблему на примере этого главного провайдера сервисов с лучшей репутацией в Соединенных Штатах. В 2011 году он без предупреждения закрыл доступ к работе поиска архива новостей (Google News Archives) с отсканированными копиями 60 млн газет, вышедших за последние два столетия. В следствии последовательности трансформаций стали негодными для исследовательской работы Гугл Groups, поскольку утратили функцию поиска по дате. А годом ранее Гугл ошарашили новостью о том, что сервис Blogger, хранивший публикации собственных авторов с 1999 года, начнет блокировать контент для взрослых, так что «индивидуальные фотографии либо видеоролики, изображающие наготу либо имеющие открыто сексуальный темперамент» будут удаляться.

В 2016 году закрылись фотохостинг Picasa и Гугл Cloud Connect, каковые обслуживали миллионы пользователей более десятка лет.

Ричард Столман, основатель GNU, создатель Emacs, GCC и концепции копилефта, наверное, был прав, в то время, когда еще в 2008-м давал предупреждение в собственном интервью The Guardian: «Облачные сервисы – это ловушка. Делайте собственные вычисления на своем компьютере со своей копией свободной программы. Если вы используете проприетарную программу либо чужой веб-сервер, вы беспомощны.

Вы попадаете в полное рабство к обладателям данной совокупности».

2. Сохранность данных

Данные в тучах физически сохраняются на миллионах серверов в центрах обработки данных (ЦОД). Соответственно, у любого провайдера с самым современным оборудованием может произойти обычный комплект неприятностей, которые связаны с подключением к интернету: перебои с электричеством, стихийные бедствия, перебои с доступом, кибератаки. Учитывая загруженность облачных хранилищ, логично высказать предположение, что с ростом количества пользователей риски лишь возрастают.

Возвратимся к примеру с Гугл: 13 августа 2015 года, «по окончании дождичка в четверг», четыре молнии подряд попали в одинаковый ЦОД, находящийся в Бельгии.

У облачных провайдеров, как и в каждый компании, случаются и недобросовестные работники, и денежные неприятности: от этого никто не застрахован. Около четырех провайдеров в год из бизнеса – а вместе с ними уходят и отечественные эти.

У обладателей облачных сервисов имеется технические ресурсы, разрешающие обеспечить надежность не хуже, чем у классического хостинга. самые крупные провайдеры руководят огромным числом серверов, к примеру, у Google их свыше миллиона. Это позволяет верно распределять ресурсы по множеству серверов в различных регионах. Но, в большинстве случаев, процедура back-up в тучах сводится к элементарному созданию копии данных в том же боксе, в той же комнате, что вряд ли окажет помощь при пожара, землетрясения либо любой аналогичной напасти.

Такие же выводы были сделаны по окончании скандального обрушения Amazon, в то время, когда авария в одном ЦОД повлекла за собой отказ в работе размещенных в нем сервисов.

Особенную опасность для пользователей туч воображают кибератаки. Фактически, оставляя каждые сведения в сети, необходимо готовься к тому, что они смогут просочиться в чужие руки – злонамеренно либо случайно. Марк Цукерберг (СЕО Facebook), Джек Дорси (CEO Twitter) и Дик Костоло (занимаюший ранее пост главы Twitter) в числе тех, чьи учетные записи взламывали в соцсетях, а таких сейчас каждый десятый пользователь.

Цена утечки данных, в соответствии с последним изучениям от Ponemone Institute, равняется $7 млн за инцидент. Дороже всего обходится утрата доверия клиентов, каковые, как мы знаем, голосуют ногами.

3. Конфиденциальность

Мы не можем обеспечивать сохранность данных, кроме этого мы не можем быть уверены, что эти сведенья по отечественной команде из облачного хранилища своевременно удалят. Ни один провайдер не дает таковой гарантии. Удаление проводится по принципу garbage collection (сборки мусора). Сперва эти отмечаются (mark) как предназначенные для удаления и после этого лишь удаляются (sweep), и момент перехода от одного статуса к второму может без шуток затянуться. Facebook показывает период до 90 дней, Микрософт – до 60, Гугл Dropbox, Amazon такового по большому счету не оговаривают.

Так, в следствии самой большой утечки данных 2016 года, из 400 млн посрамленных пользователей сети знакомств Friend Finder Network, 15,7 млн аккаунтов числились удаленными, о чем говорили адреса с приставкой @deleted1.com.

Ваши эти смогут не только годами мечтать , но и употребляться без вашего ведома. Большие интернет-компании неоднократно подвергались критике в связи с нарушением конфиденциальности. Эдуард Сноуден в 2013 году в первый раз обнародовал информацию о том, что правительство США платило Гугл, Яху, Микрософт и Facebook миллионы долларов за данные об интернет-пользователях (в рамках программы PRISM).

В 2016 году Федеральная рабочая группа по торговле выписала Гугл в связи с нарушением конфиденциальности наибольший штраф на сумму $22,5 млн.

Кому нельзя «летать в тучах»

Опираясь на перечисленные факты, облачными разработками не рекомендуется пользоваться при работе с чувствительными данными – другими словами, данными, несанкционированный доступ к каким может повлечь за собой убыток. Это относится, в первую очередь, медицинских и финучреждений, силовых ведомств, страховых компаний, e-commerce, каковые трудятся с личными данными, располагают номерами квитанций, пластиковых карт.

«Вы не имеете возможность действенно защищать отечественные эти, если не понимаете, где они сохраняются», – утверждается в отчете по изучению утечек данных за 2016 год (Data Breach Investigations Report). Дабы себя обезопасить, в совершенстве направляться подписать с провайдером соглашение об уровне предоставления одолжений и, по возможности, выбрать ЦОД, расположенный вдалеке от многолюдных районов, где маловероятны перебои и стихийные бедствия с электроснабжением. Наряду с этим провайдер обязан получить функции по восстановлению и защите данных как от стихийных бедствий, так и от внутренних сбоев.

Нужно пересмотреть политику кибербезопасности: защита и профилактика необходимы. Компьютеры, как и люди: чем больше связей с внешним миром, тем более они уязвимы. Что будет, в случае если заражение все-таки случится?

Статистика по кибератакам тяжёлая: в случае если пять лет назад «Лаборатория Касперского» каждый день обезвреживала около 50-60 новых вирусов, то сейчас она обрабатывает около 310 тыс. новых вредоносных файлов ежедневно, и любой корпоративный компьютер в Российской Федерации за последние полгода в среднем нападали девять раз.

В связи с резким скачком общего числа кибератак и развитием целевых устойчивых атак, по отношению к каким не выработано безотносительных способов противодействия, эксперты по кибербезопасности считают необходимым перевести фокус с количества отраженных либо остановленных атак на время, затраченное на отслеживание и обнаружение вторжения. В частности, Антон Чувакин, научный вице-управления группы и президент безопасности рисками в Gartner, рекомендует компаниям прекратить противодействовать вторжению хакеров и заняться более целесообразным поиском способов саботировать их деятельность. «В случае если хакеры похитят у вас зашифрованные эти, и им придется три дня провести в отыскивании шифровальных ключей, то у вас будет больше шансов их найти», – рекомендует господин Чувакин.

Нужно выяснить приоритеты и выстроить многоуровневую совокупность безопасности по степени важности хранящихся у вас данных. Большая часть компаний, в большинстве случаев, аккумулируют через чур много ненужных данных. Самый простой и довольно часто недооцениваемый метод избежать последствий хакерских атак – выяснить эти, каковые смогут привести к негативному общественному общественному, и сократить их количество, систематично удаляя неактуальные файлы из совокупности.

Как фавориты рынков борются за безопасность

Справедливости для направляться поделиться историями успеха. Месяц назад произошла мега-утечка на Weebly – одном из самых популярных сервисов по бесплатному созданию вебсайтов. Хакеры получили доступ к именам, email-паролям и адресам фактически всей базы данных подписчиков – а это более сорока миллионов пользователей.

Но преступников ожидало разочарование: пароли были зашифрованы посредством стойкой на сегодня хеш-функции bcrypt с добавлением неповторимой соли. Так что у управления Weebly хватало времени, дабы на всякий случай совершить обнуление паролей. Помимо этого, Weebly не хранила на серверах платежную данные собственных клиентов.

И, как говорится, на протяжении опыта не было жертв.

Datadog, провайдер облачного сервиса анализа данных, которыми владел IT-структурам таких компаний, как Facebook, Adobe, Samsung, Airbnb, Warner Bro, кроме этого подвергся атаке в июле 2016 года. Но похищенные пароли стали ненужной добычей для хакеров, поскольку также были зашифрованы с хешем bcrypt с добавлением неповторимой соли. Агенты Datadog – ПО, собирающее данные для Datadog с хостов клиентов – не были затронуты атакой.

Директор по безопасности Datadog, Эндрю Бечерер пояснил: «Агенты изолированы от отечественной собственной инфраструктуры, а вся коммуникация с инстанциями базы данных осуществляется по защищенному протоколу HTTPS. Отечественные агенты не отправляют локально хранящиеся учетные эти на сервера Datadog на хранение».

Что делать всем остальным

Публичное облако не отвечает требованиям контроля, сохранности и конфиденциальности данных жестко регулируемых отраслей. Продолжительное время бытовало вывод, что будущее за публичными тучами, куда планировали переехать 98% приложений. Этим летом основатель и СЕО Dropbox Дрю Хьюстон заявил о том, что Dropbox будет двигаться обратно к гибридной облачной модели, поскольку она более «действенная, эластичная и самое основное – более надёжная». В соответствии с последнему изучению IDG, 40% организаций с опытом работы в публичном облаке переехали на собственное оборудование.

Обозримой перспективе, в соответствии с изучениям HPE, компании будут уходить из публичного облака.

По надежности популярные облачные разработки уступают независимым ответам. В случае если прибыль вашего бизнеса зависит от безопасности и скорости работы серверов, лучше воспользоваться классическим хостингом, а для размещения чувствительных разрешённых остановиться на выборе выделенного сервера, collocation, в противном случае и независимого ответа. Для сокращения затрат на IT-инфраструктуру работу по системному администрированию возможно дать на аутсорс команде опытных системных администраторов. Кроме польз по цене, преимущество таких команд – стратегический подход.

Они изначально выстраивают масштабируемую совокупность, которую легко возможно поменять с минимальными затратами и в сжатые сроки. Сисадмины на аутсорсе применяют совокупности мониторинга, каковые разрешают проактивно реагировать на неприятности, и автоматизированные совокупности резервного копирования с уведомлением об успешном либо неуспешном его исполнении.

В случае если Гугл все равно, что ведущие западные СМИ смогут поднять шум по поводу удаленного блога видного писателя, команда сисадминов постоянно будет располагать замыслом восстановления и реагирования а также готовься пойти на уступки для своей репутации и сохранения клиента.

Фото: Doug Wong, создатель скульптуры Caitlind R.C. Brown

IT-менеджмент9090 14

Десять рисков «облачных» IT-ответов

IT-менеджмент2741 23

Должны ли ваши персональные эти принадлежать стране?

Разведопрос: Борис Юлин и Клим Жуков про Владимира Резуна


К прочтению:

самые интересные статьи, подобранные как раз для Вас:

  • IT для бизнеса: CRM-совокупность – для понимания клиентов и самих себя

    Виталий Сонько Начальник, Томск Любой бизнес – в первую очередь коммуникации. Тем более это относится таксомоторных компаний. Опытом внедрения IT для…

  • Из-за чего мы отказались от дисков в облаке

    Облачные совокупности хранения данных имеют ограничения, понижающие производительность работы приложений. Как решили эту проблему в КРОК, поведал Максим…

  • КРОК: бизнес сервисов и Миграция-инфраструктуры в облако

    Снижайте капитальные затраты и делайте бизнес эластичнее за счет отказа от приобретения вычислительного оборудования и благодаря переходу в облако. Для вашей…

  • 7 прагматичных трендов российского IT-рынка

    Сергей Соловьев Менеджер интернет-проекта, Москва Что в 2016 году оказывает важное значение на развитие IT в Российской Федерации?…

  • Как на Билайне занять

    Деньги на мобильном счету, в большинстве случаев, заканчиваются в самый не подходящий момент и не всегда имеется возможность пополнить баланс, из-за отсутствия…

  • Как забрать займ на МТС

    На вашем счету закончились финансовые средства, а вам безотлагательно необходимо позвонить для ответа ответственного вопроса? Под рукой нет терминала либо банкомата, и вы не…

  • Как занять в Билайн

    Общеизвестно, что деньги на мобильном счету, в большинстве случаев, заканчиваются нежданно и в самый не подходящий момент. В случае если с вами случилась такая…

  • Десять рисков «облачных» IT-ответов

    Сергей Соловьев Менеджер интернет-проекта, Москва «Туч» в IT все больше, они распространяются все шире – но улучшается ли их настоящая безопасность,…

spacer