3 апреля 2014 г.

Безопасность корпоративного контента при использовании облачной системы


Михаил Губанов, разработчик нашей компании в своем материале рассказывает об угрозах на пути  данных от ввода до попадания в облако.

Передача данных

Сначала ваши данные попадают к вашему провайдеру. Провайдеры уже сейчас анализируют трафик пользователей: 
  • Некоторые провайдеры блокируют трафик определенных приложений: Skype, Torrent. 
  • Российские провайдеры обязаны устанавливать систему СОРМ. Эта система предоставляет сотрудникам правоохранительных органов доступ к трафику пользователя. 
  • Введение черного списка сайтов обязывает провайдеров блокировать обращения к определенным сайтам. Сейчас закон разрешает блокировать по IP при отсутствии технической возможность блокировки запрещенной страницы, но в будущем вероятно обязательное введение DPI — технологии, позволяющей анализировать содержимое трафика пользователя. 
Проблема усугубляется тем, что трафик часто проходит через нескольких провайдеров. 

Хранение данных 

Потом ваши данные попадают на сервер вендора, к ним получают доступ его сотрудники. Если компания не содержит собственные сервера (а строительство ЦОД стоит от $180 млн), то доступ к данным получают и сотрудники хостинговой компании. А если хостер не предоставляет свои сервера, а перепродает чужие — доступ к данным получат еще и сотрудники владельца сервера. 

На этом же сервере могут быть системы других компаний, если вендор не предоставляет каждому клиенту отдельный сервер (хотя бы виртуальный). Уязвимости в программном обеспечении могут привести к тому, что один из клиентов получит доступ к данным других клиентов (пример подобной уязвимости на хабре). Аналогичная проблема может возникнуть, если данные всех клиентов хранятся на одном и том же сервере базы данных. Еще хуже, если всё хранится в одной базе. 

Часто для хранения корпоративных данных используют популярные облачные сервисы. Но это не гарантирует безопасность. 6 июля 2013 года стало известно, что спецслужбы США имеют доступ к данным многих сервисов: Gmail, Skype, Facebook и т.д. 

Подведем итоги 

Доступ к вашим данным получают: 
  • Провайдер. 
  • Компания, обслуживающая серверы. 
  • Другие клиенты вендора. 
Это не значит, что облачные системы нельзя использовать, но нужно внимательно разбираться, как будут храниться и передаваться ваши данные. 
Советы по выбору облачной системы: 
  • Данные обязательно должны передаваться по зашифрованному каналу. 
  • Не стоит использовать популярные облачные сервисы для хранения корпоративных данных (Google Drive, например). 
  • Данные должны храниться в отдельной базе данных. 
  • Если используются другие виды хранилищ — они тоже должны быть отдельными. 
  • Лучше, если система будет установлена на отдельном сервере, хотя бы виртуальном. Другие клиенты не должны иметь доступ к этому экземпляру системы.

Комментариев нет: