Сообщество по «облачной» безопасности

Некогда в прошлом в ходе внедрения Windows NT 3.51 в Texas Instruments у меня возникали ассоциации с комиксами про Дилберта (http://dilbert.com/strips/comic/1994-10-17/). Обыгранная в этих комиксах привычка некомпетентных начальников устанавливать жесткие сроки реализации чрезвычайно сложных проектов сегодня по-прежнему актуальна. Одна из сложных задач, стоящих перед ИТ-специалистами в эпоху эволюции «облачных» вычислений, состоит в поиске логичного и организованного способа приступить к делу, когда начальство требует «перейти в «облако» (что бы это ни означало) за шесть минут».

К счастью, на такой случай существует специальная организация: Cloud Security Alliance. CSA – некоммерческая организация, задачей которой является популяризация передовых методов обеспечения безопасности в «облаке» и обучение эффективному применению «облачных» служб в интересах защиты всех прочих форм вычислений. Организацию возглавляет коалиция отраслевых деятелей, корпораций, ассоциаций и прочих заинтересованных сторон. На конференции RSA Conference 2013 я побеседовал с операционным директором CSA (и в течение долгого времени — автором Windows IT Pro) Джоном Хоуи о безопасности в «облаке».

В. С чего началась CSA?

О. Несколько лет назад группа специалистов, в том числе нынешний исполнительный директор Джим Ривис, осознала недостаток информации об эффективных методах перехода в «облако» с сохранением безопасности и конфиденциальности данных. Отсутствие знаний препятствовало распространению «облачных» служб. Организация CSA была официально провозглашена на конференции RSA сообществом, в котором специалисты по безопасности могут встречаться и обмениваться опытом. Состав организации быстро расширился, поскольку такой центр обмена информацией из независимых источников был крайне необходим. У каждого поставщика «облачной» службы (CSP) был свой комплект документации, размещенной на собственных веб-сайтах CSP и хранящейся в разных форматах. На основе наиболее эффективных методов работы и опыта CSP специалисты CSA приступили к составлению руководящих документов, открытых для всеобщего пользования.

В. Какие предметные области охватывает CSA?

О. Начиная с первого документа «Security Guidance for Critical Areas of Focus in Cloud Computing» (https://cloudsecurityalliance.org/download/security-guidance-for-critical-areas-of-focus-in-cloud-computing-v3/), сегодня существующего уже в третьей версии, тематика документов CSA расширяется по мере появления новых предметных областей (например, мобильные вычисления), представляющих особый интерес. Еще одно крупное тематическое направление CSA – информационная безопасность как услуга (SecaaS) и эволюция средств безопасности в гибридных вычислительных средах. Кроме того, открыт центр правовой информации (Legal Information Centerб https://cloudsecurityalliance.org/research/clic/), где можно задавать общие правовые вопросы, касающиеся «облачных» служб (например, ограничения на передачу данных, действующие в европейских странах), и получать четкие, понятные ответы.

В. Какие новые инициативы реализуются сегодня?

О. Не все задумываются о том, что основные CSP сегодня лишь заявляют о чрезвычайно высоком уровне надежности своих служб. CSA работает над созданием протоколов и платформ, которые со временем позволят потребителям «облачных» служб непрерывно контролировать CSP на ежедневной, еженедельной или ежемесячной основе. Существует также инициатива Security, Trust, and Reliability (STAR) (https://cloudsecurityalliance.org/star/) по созданию места, где CSP могут размещать свою открытую для загрузки документацию по безопасности, что позволит потенциальным клиентам сравнивать поставщиков по сопоставимым показателям.

В. С чего следует начинать?

О. Загрузите и прочитайте руководство по безопасности (https://cloudsecurityalliance.org/download/security-guidance-for-critical-areas-of-focus-in-cloud-computing-v3/). Этот документ, охватывающий несколько областей, позволит уяснить для себя критически важные направления деятельности в сфере «облачных» вычислений. Следующим шагом станет прочтение документа «The Notorious Nine: Cloud Computing Top Threats in 2013» (https://cloudsecurityalliance.org/download/the-notorious-nine-cloud-computing-top-threats-in-2013/) для ознакомления с перечнем общих вопросов, связанных с переходом в «облако».

В. Какие еще существуют полезные ресурсы?

О. Microsoft создала систему Cloud Readiness Tool (https://roianalyst.alinean.com/msft/AutoLogin.do?d=563612287085088525), позволяющую по ответам на вопросы анкеты оценить степень готовности организации к переходу в «облако». Система выдает оценочную ведомость и рекомендации по областям, требующим особого внимания. Вопросы анкеты увязаны с руководящими положениями CSA, и сама система одобрена CSA. Результаты актуальны для любого CSP, а не только для Microsoft.

Как влиться в процесс

Каждый, кто думает о переходе в «облако», должен прочитать упомянутое выше руководство по безопасности CSA и ознакомиться с перечнем основных факторов риска. Затем с помощью системы Microsoft Cloud Readiness Tool оцените степень готовности своей организации. Вся интеллектуальная собственность CSA открыта для личного пользования и коммерческого применения. Вступить в CSA можно на LinkedIn (http://www.linkedin.com/groups?gid=1864210&mostPopular=&trk=tyah), что позволит участвовать в дискуссиях. Индивидуальное членство бесплатно; финансируют сообщество почти 150 корпоративных участников (https://cloudsecurityalliance.org/membership/corporate/). Задачу CSA Хоуи формулирует очень просто: «Наша единственная цель – повышение уровня безопасности «облачных» вычислений». Загруженные работой ИТ-специалисты нуждаются в практических рекомендациях по переходу в «облако», и CSA – первый шаг на этом пути.