Andersen

Как выбрать безопасный облачный сервис для бизнеса?

Sep 29, 2020
Blog

Еще 5 лет назад многие руководители компаний и технические отделы скептически относились к облачным инфраструктурам. Основой скепсиса служили вопросы безопасности и вопросы, связанные с непрерывностью бизнеса, т.к. существующие информационные системы и их архитектура не учитывала новых трендов облачных инфраструктур.

За прошедшие несколько лет облачные провайдеры доказали, что предоставляемые сервисы и инфраструктура надежнее многих on-premise решений, хотя бывали и крупные сбои. А для решения вопросов, связанных с безопасностью, провайдеры внедряли новые сервисы широкого спектра. Дополнительно были разработаны средства, помогающие мигрировать и адаптировать существующие информационные системы и базы данных в облако. 

Большинство заказчиков выбирают облачные платформы от ТОП-провайдеров, таких как AWS, GCP и Azure. Многие крупные компании рассматривают операторов, как дополнительные ресурсы для существующих информационных систем, расположенных локально. 

Мы провели анализ популярности каждой из топовых платформ у клиентов, чтобы выяснить основные критерии выбора. Так, один из наших клиентов из Швейцарии выбрал Azure из-за его физического присутствия, т.к. требования по обработке информации в данной стране очень серьезные.

Многие из клиентов озадачены, в первую очередь, локальными регулятивными требованиями, которые накладывают ограничения на территорию обработки информации и её хранения. Часто встречаются сложные истории, когда заказчик присутствует сразу же на многих рынках и требуется соблюдение законодательства в области информационной безопасности нескольких стран. 

Был сложный кейс, когда у клиента развивался глобальный бизнес и он присутствовал в регионах: Америка, Европа и Австралия. AWS, благодаря географическому распределению, позволили корректно шардировать базу данных и соблюсти требования локальных регуляторов в каждой из локаций. 

В рамках проведенного анализа были выбраны 3 региона в AWS для хранения персональных данных: Нью-Йорк, Франкфурт, Сидней. Приложение было разнесено по данным регионом и сконфигурировано для использования региональных СУБД для хранения персональных данных.

На примере GDPR рассмотрим основные направления, которым нужно уделить внимание  при построении инфраструктуры в первую очередь:

1. Территориальный охват. Определение того, применяется ли GDPR к деятельности организации, крайне важно для обеспечения способности компании выполнять свои обязательства по их соблюдению.

2. Права субъекта данных. GDPR расширяет права субъектов данных несколькими способами. Необходимо убедиться в своей возможности учитывать права субъектов данных при обработке личной информации.

3. Уведомления о нарушении данных. Являясь контролером данных, компания должна сообщить о нарушениях в органы защиты без неоправданной задержки. В любом случае сообщение должно быть отправлено не позднее 72 часов с момента обнаружения нарушения.

4. Сотрудник по защите данных (DPO). Может потребоваться назначить DPO, который будет управлять безопасностью данных и другими вопросами, связанными с обработкой личной информации.

5. Оценка воздействия на защиту данных (DPIA). В некоторых ситуациях может потребоваться провести оценку и подать отчет в орган надзора DPIA.

6. Соглашение об обработке данных (DPA). Может потребоваться DPA, который будет соответствовать требованиям GDPR, особенно если личные данные передаются за пределы Европейской экономической зоны.

Не все сервисы облачных операторов обеспечивают требования, предъявляемые регулятором, и кейсы могут быть крайне не тривиальными. Даже если иметь сильную техническую команду, не всегда получится разобраться с тонкостями и построить инфраструктуру с соблюдением требований по защите данных. Так, например, очень популярные сервисы ECS и EKS не поддерживают шифрование данных, что затрудняет использование докерезированных приложений и дополнительных преимуществ облачных провайдеров. 

Это не означает, что использовать эти сервисы невозможно, это значит, что нужно использовать их правильно и обеспечивать шифрование данных другими средствами. Либо можно использовать данные сервисы только как сопутствующие к ядру обработки данных. 

Это лишь один небольшой пример. Сервисов и, тем более, потребностей у бизнеса сегодня гораздо больше, и требуется соблюдать множество других требований — HIPAA, PCI-DSS, ISO 27017, ISO 27018.

Анализ инфраструктуры компаний показал, что у у каждой второй организации, где инфраструктура проектировалась самостоятельно, существуют нарушения. Сегодня, чтобы обеспечить требуемый уровень безопасности данных, cloud security engineers погружаются и понимают саму суть процессов заказчиков. Они определяют, что им требуется для ведения бизнеса и как сделать так, чтобы бизнес был непрерывен. 

Стандарты и требования, как правило, описывают общую суть проблем и просто обязывают их решать. Но они не описывают средства, которые должны при этом использоваться. Сервисы, предоставляемые операторами, решают эти проблемы только частично. 

Необходимо адаптировать и сами процессы компании, приложения. Следует помнить, что соответствие требованиям не делает системы безопасными, необходимо строить защиту инфраструктуры, информационных систем и бизнеса комплексно. Защищать нужно не только данные, но и объекты интеллектуальной собственности, а также репутацию компании. 

Written by Irec Bagautdinov, Head of Cybersecurity at Andersen

Previous articleNext article