6 способов выбора правильного поставщика облачных услуг

Облачный сервис является важным компонентом IT среды. Но согласно данным поставщика цифровых SSL сертификатов GeoTrust, в облачной среде также могут присутствовать “значительные потенциальные риски для предприятий которые защищают корпоративные информационные активы, хотя и должны соблюдаться  множество промышленных и правительственных постановлений”.

Поэтому, GeoTrust выделяет шесть основных способов правильного выбора поставщика облачного сервиса по стандарту SSL:

1. Определение возможных проблем безопасности облачных технологий

Несмотря на очевидные преимущества облачных технологий, соблюдение конфиденциальности данных предприятия проходит не всегда эффективно, утверждается в докладе GeoTrust. “Исследование руководителей IDS IT показывает, что вопрос безопасности находится на первом месте в списке работы облачной среды IT услуг.” В докладе также указано, что Gartner Research определили семь специфичных областей риска безопасности которые связанны с системой облачных вычислений и которые должны приниматься во внимание предприятиями и организациями при выборе поставщика таких услуг. В эти области входят: права доступа, соблюдение нормативных требований, данные о местоположении, а также мониторинг и отчетность работы облачной среды. Чтобы воспользоваться преимуществом облачных вычислений без введения дополнительного уровня безопасности и не превышать уровень риска, предприятия должны гарантировать что они работают только с надежными поставщиками услуг, которые могут решить проблемы безопасности облачной среды.

Более того, когда пользователи переходят от использования услуг одного облачного сервиса к использованию облачных услуг разных поставщиков, они должны уметь управлять этой системой.”

2.  Выходы и входы SSL

Протокол Secure socket layer (SSL) используется браузерами и серверами для защиты данных при их передаче. Согласно документу GeoTrust, это стандарт служит для установления надежного обмена данных через Интернет. “Без SSL не было бы обеспечения надежности работы Интернета.” SSL обеспечивает два вида услуг которые помогают решать вопросы безопасности работы облачной среды, к ним относятся SSL шифрование и подтверждение надежности сервера и домена. Словосочетание “SSL  handshake” значит то, что для проверки достоверности данных используются открытые и закрытые ключи. После чего, может начинаться безопасный сеанс передачи данных при котором гарантируется их конфиденциальность и целостность.” –  утверждается в докладе.

[Дополнительно смотрите: Cloud computing myths vs. risks.]

3. Меры для обеспечения сбережения данных и безопасности доступа к ним

Риск синергии данных в облачной среде присутствует всегда. “С традиционным местом хранения, владелец контролирует обе составные – где находятся данные, и то, кто может получить к ним доступ. “В облачной среде, используется другая структура – поставщик облачных услуг контролирует сервер и размещение данных.” А уже с помощью функций SSL можно защитить конфеденциальные данные. Для обеспечения этого, в докладе рекомендуется потенциальному поставщику облачного сервиса обеспечивать три вещи: шифрование, аутенфикацию и контроль срока действия сертификата. “Компании должны требовать от своих поставщиков облачного сервиса использование комбинации SSL и сервера, который поддерживает 128 битное шифрование сесии.” Ими также должна обеспечиваться проверка подлинности SSL до начала передачи данных между серверами.

4. Соблюдение нормативных требований

“Когда речь заходит о безопасности и конфиденциальности данных, предприятия сталкиваются с множеством правил. При организации IT аутсорсинга организация по прежнему отвечает за соответствие правилам (HIPAA) и любым другим применимым инструкциям – от этого зависти определение состояния серверов и данных в любой момент.

“В докладе также упоминается то, что IT менеджер не может полагаться исключительно на услуги облачной среды. В соответствии с правилами, он должен требовать от поставщика услуг и другие средства контроля.

“Поставщики облачного сервиса, которые отказываются проходить внешний аудит и сертификацию безопасности, дают понять, что их клиенты могут пользоваться только некоторыми незначительными их  функциями.

[Смотрите также: Cloud computing, digital signatures speed clinical trials.]

5. Не все SSL одинаково эффективны

В докладе также утверждается, что доверие к услугам облачной среды, должно подтверждаться безопасностью работы поставщика. “Безопасность поставщика услуг облачной среды должна быть такой же надежной, как и надежность технологий ее обеспечения, которые использует поставщик.” Более того, организации должны быть уверенны, что поставщики облачных услуг используют надежные SSL сертификаты, которые не могут быть взломаны. Необходимость обеспечения SSL исходит от уполномоченных третьих сторон, это относится к центрам сертификации – они должны соответствовать требованиям безопасности, поддерживать резервное копирование при аварийном восстановлении, так как их поддержка SSL сертифицирована, они используют новые стандарты шифрования, безопасного хеширования с использованием стандарта SHA-1.

6. Итоги всей информации

“SSL является как проверенной технологией, так и неким вредителем безопасности облачной среды” – утверждается в отчете. “Когда предприятие выбирает поставщика облачного сервиса, оно должно рассматривать параметры безопасности облачных услуг”. Подтверждение того, что поставщик облачного сервиса работает с SSL, может не вызвать к нему доверия. Кроме того, при выборе поставщика облачных услуг, организациям следует быть открытыми перед своими партнерами в том, что протокол SSL полностью не ликвидирует риски повреждений. И поставщики облачных услуг должны использовать SSL от  надежного, безопасного, независимого центра сертификации”.

Комментарии запрещены.