Сообщество по «облачной» безопасности

20121026

Интервью с Джоном Хоуи о безопасности «облачных» служб

Некогда в прошлом в ходе внедрения Windows NT 3.51 в Texas Instruments у меня возникали ассоциации с комиксами про Дилберта (http://dilbert.com/strips/comic/1994—10—17/). Обыгранная в этих комиксах привычка некомпетентных начальников устанавливать жесткие сроки реализации чрезвычайно сложных проектов сегодня по-прежнему актуальна. Одна из сложных задач, стоящих перед ИТ-специалистами в эпоху эволюции «облачных» вычислений, состоит в поиске логичного и организованного способа приступить к делу, когда начальство требует «перейти в «облако» (что бы это ни означало) за шесть минут».

К счастью, на такой случай существует специальная организация — Cloud Security Alliance. CSA — некоммерческая организация, задачей которой является популяризация передовых методов обеспечения безопасности в «облаке» и обучение эффективному применению «облачных» служб в интересах защиты всех прочих форм вычислений. Организацию возглавляет коалиция отраслевых деятелей, корпораций, ассоциаций и прочих заинтересованных сторон. На конференции RSA Conference 2013 я побеседовал с операционным директором CSA (и в течение долгого времени — автором Windows IT Pro) Джоном Хоуи о безопасности в «облаке».

С чего началась CSA?

Несколько лет назад группа специалистов, в том числе нынешний исполнительный директор Джим Ривис, осознала недостаток информации об эффективных методах перехода в «облако» с сохранением безопасности и конфиденциальности данных. Отсутствие знаний препятствовало распространению «облачных» служб. Организация CSA была официально провозглашена на конференции RSA сообществом, в котором специалисты по безопасности могут встречаться и обмениваться опытом. Состав организации быстро расширился, поскольку такой центр обмена информацией из независимых источников был крайне необходим. У каждого поставщика «облачной» службы (CSP) был свой комплект документации (счета фактуры), размещенной на собственных вебсайтах CSP и хранящейся в разных форматах. На основе наиболее эффективных методов работы и опыта CSP специалисты CSA приступили к составлению руководящих документов, открытых для всеобщего пользования.

Какие предметные области охватывает CSA?

Начиная с первого документа «Security Guidance for Critical Areas of Focus in Cloud Computing» (https:// cloudsecurityalliance.org/download/security-guidance-for-critical-areas-of-focus-in-cloud-computing-v3/), сегодня существующего уже в третьей версии, тематика документов CSA расширяется по мере появления новых предметных областей (например, мобильные вычисления), представляющих особый интерес. Еще одно крупное тематическое направление CSA — информационная безопасность как услуга (SecaaS) и эволюция средств безопасности в гибридных вычислительных средах. Кроме того, открыт центр правовой информации (Legal Information Centcr6 https://cloudsecurityalliance. org/research/clic/), где можно задавать общие правовые вопросы, касающиеся «облачных» служб (например, ограничения на передачу данных, действующие в европейских странах), и получать четкие, понятные ответы.

Какие новые инициативы реализуются сегодня?

Не все задумываются о том, что основные CSP сегодня лишь заявляют о чрезвычайно высоком уровне надежности своих служб. CSA работает над созданием протоколов и платформ, которые со временем позволят потребителям «облачных» служб непрерывно контролировать CSP на ежедневной, еженедельной или ежемесячной основе. Существует также инициатива Security, Trust, and Reliability (STAR) (https://cloudsecurityalliance. org/star/) по созданию места, где CSP могут размещать свою открытую для загрузки документацию по безопасности, что позволит потенциальным клиентам сравнивать поставщиков по сопоставимым показателям.

С чего следует начинать?

Загрузите и прочитайте руководство по безопасности (https://cloudsccurityalliance.org/download/security-guidance-for-critical-areas-of-focus-in-cloud-computing-v3/). Этот документ, охватывающий несколько областей, позволит уяснить для себя критически важные направления деятельности в сфере «облачных» вычислений. Следующим шагом станет прочтение документа «The Notorious Nine: Cloud Computing Top Threats in 2013» (https://cloudsecurityalliance.org/download/the-notorious-ninc-cloud-computing-top-thrcats-in-2013/) для ознакомления с перечнем общих вопросов, связанных с переходом в «облако».

Какие еще существуют полезные ресурсы?

Microsoft создала систему Cloud Readiness Tool (https://roianalyst.alinean.com/msft/AutoLogin.do? d=563612287085088525), позволяющую по ответам на вопросы анкеты оценить степень готовности организации к переходу в «облако». Система выдаст оценочную ведомость и рекомендации по областям, требующим особого внимания. Вопросы анкеты увязаны с руководящими положениями CSA, и сама система одобрена CSA. Результаты актуальны для любого CSP, а не только для Microsoft.