Насколько безопасно облако?

Андрес Бэнг из LinkedIn, Гари Кларк из «Джунипер», Том Лейтон из «Акамаи», Гордон Риттер из «Emergence Capital» и Кристина Алески из Bloomberg

Насколько безопасно облако? Несколько участников дискуссии на прошлой неделе на Bloomberg Enterprise Technology Summit говорили об этой проблеме, особенно после откровений Сноудена и нарушения Цели. Большинство из них были настроены оптимистично по поводу того, что провайдеры общедоступных облаков могут предложить лучшую защиту, чем практически любая внутренняя служба данных. Тем не менее, даже самые оптимистичные люди признали, что многие предприятия чувствуют себя более комфортно с большим контролем над своими данными.

Например, Андрес Бэнг, глава отдела глобальных систем продаж и эксплуатации LinkedIn, сказал, что его фирма является крупным заказчиком общедоступных облачных сервисов и, таким образом, зависит от таких поставщиков. Но, по его словам, компания хранит информацию о своих членах в частном облаке, поэтому у нее больше контроля. Гари Кларк, ИТ-директор Juniper Networks, сказал, что он видит, как многие ИТ-отделы превращаются в брокеров облачных сервисов, причем 80% или более их приложений находятся в облаке, а остальные - в частном облаке. В общих чертах, он видел, как компании хранили свою самую частную информацию внутри компании.

По словам Тома Лейтона, генерального директора и соучредителя Akamai Technologies, в зависимости от безопасности в центре обработки данных может произойти сбой модели. Недостаточно защищать себя исключительно продуктами в центре обработки данных; вам нужно перехватить и обработать, прежде чем он попадет в центр обработки данных.

ЦРУ: «Ты такой же сильный, как твоя самая слабая связь».

Гас Хант, бывший технический директор ЦРУ

На другом заседании Гас Хант, бывший директор по технологиям Центрального разведывательного управления (ЦРУ) и нынешний генеральный директор Hunt Technology, отметил, что все крупные поставщики облачных услуг обладают «действительно превосходной» безопасностью, поскольку им это необходимо для привлечения клиентов. Он рассказал о том, как ЦРУ использовало облако Амазонки, хотя и в специальной копии, которой Амазон управляет за стенами ЦРУ (которые, в свою очередь, защищены оружием и другими средствами физической безопасности).

Но он отметил, что безопасность «так же сильна, как ваше самое слабое звено». Он объяснил, что если у вас есть рабочая нагрузка с уязвимостью поверх облачного провайдера, эти уязвимости продолжают существовать. Но уязвимость в одной рабочей нагрузке не влияет на других в облаке. Поэтому, по его словам, обеспечение собственной рабочей нагрузки остается критической задачей.

Хант сказал, что проблема безопасности становится «неразрешимо трудным и трудным делом», и сказал, что любой отдельной компании действительно трудно понять, как себя защитить. Таким образом, он увидел рост компаний по обеспечению безопасности как услуги, которые будут контролировать вашу сеть и контролировать безопасность. Но он сказал, что это была «гонка вооружений без трения», когда информация о таких вещах, как вредоносные программы, передавалась практически мгновенно, что делало ее все более и более сложной.

В конце концов, по его словам, мы сосредоточимся больше на защите данных, чем на сетях. «Это данные, глупые», - сказал он. Нам нужно сделать так, чтобы было сложно найти данные. Но если кто-то проходит, это нужно быстро обнаружить и исправить.

В долгосрочной перспективе, по словам Ханта, люди получат больше контроля над своими данными и своей конфиденциальностью благодаря таким методам, как шифрование и дешифрование, а также возможность подделывать местоположения. Это замечательно для частных лиц, сказал он, но создает большие проблемы для правоохранительных органов. «Вы сможете контролировать свои данные до мелкой точки».

Снижение риска и «эффект Сноудена»

Уэйд Бейкер из Verizon Enterprise Solutions, Майк К. Браун из BlackBerry, доктор Берт Калиски-младший из VeriSign, Джон Н. Стюарт из Cisco

Джон Н. Стюарт, директор по безопасности Cisco, отметил, что одной из проблем является то, что у нас нет четкого определения «хорошо» или «плохо» в безопасности предприятия, поэтому трудно сравнить безопасность от облачного провайдера до корпоративного облака. А Уэйд Бейкер, управляющий директор по исследованиям и разведке в Verizon Enterprise Solutions, сказал, что, хотя проблемы с безопасностью могут возникать в облаке, это часто не имеет значения, потому что оно редко вызывается облаком.

Берт Калиски, технический директор VeriSign, также предложил концепцию перехода к «информационному подходу» с множеством механизмов защиты, но большей частью этого невидимым для конечного пользователя.

По словам Стюарта, облачная безопасность просто выдвигает на первый план «каждый грех, который мы не решили», ссылаясь на такие проблемы, как проблема имен пользователей и паролей. Он сказал, что компании были слишком сосредоточены на периметре - «жестком хрустящем снаружи» - не в центре их данных, и это должно было измениться. Он отметил, что защита данных получила плохую репутацию с DRM, но может оказаться очень важной. Но он предупредил: «Большинство пользователей не заботятся о риске, они заботятся о том, чтобы сделать свою работу наиболее эффективным способом».

По словам Калиски, существует много других важных факторов безопасности предприятия, в том числе хорошее управление информацией, сосредоточенность на доверии всех элементов системы, аудит и управление ключами.

Все согласились с тем, что «эффект Сноудена» привлек внимание к вопросам безопасности: многие международные потребители теперь считают США злом, в то время как другие считают, что США знают, как все исправить.

Раймунд Гены из Trend Micro, Рик Ховард из Palo Alto Networks, Седрик Лейтон, ранее работавший в АНБ, Майкл Райли из Bloomberg News

Затем последовала еще одна сессия, посвященная влиянию Сноудена, с главной обеспокоенностью тем, что это привело к «трибализации Интернета», по словам полковника Седрика Лейтона, бывшего заместителя директора по обучению в АНБ, а ныне генерального директора Cedric Leighton Associates. Он отметил, что Интернет был разработан, чтобы быть глобальным, но теперь мы слышим о таких вещах, как «немецкое облако» или «швейцарское облако» в дополнение к «великому брандмауэру Китая». По его словам, откровения Сноудена послужили поводом для повторной национализации, и это оказывает существенную медвежью услугу миру и Интернету со многими непреднамеренными последствиями.

Раймунд Джинс, технический директор Trend Micro, отметил, что Сноуден также начал обсуждение вопросов безопасности в целом. «Если Сноуден может получить документы из АНБ, что это говорит о нашей отрасли?» он спросил. Он рассказал о том, как трудно доверять внутренним подрядчикам, и о необходимости сделать более безопасный Интернет в целом, сказав, что, по его мнению, правительство сыграло свою роль.

Он согласился с тем, что «Интернет создан для того, чтобы быть глобальным», и сказал, что некоторые новые европейские правила, предназначенные для хранения данных в стране или регионе происхождения, являются нелепыми.

Хотя он и Лейтон согласились с тем, что правительство сыграло свою роль в повышении безопасности Интернета, Рик Ховард, директор по безопасности Palo Alto Networks, сказал, что весь инцидент доказал, что отрасль хорошо поработала над обеспечением безопасности, и сказал, что поставщики ну, нужно быть лучше о том, как встроить безопасность в большее количество решений. «Клиенты должны быть уверены, независимо от того, что делает правительство», - сказал он.