Любому специалисту по безопасности известен ее базовый принцип, который коротко звучит так: «Не доверяй никому». На нем строится любая система защиты, особенно если дело касается критически важных для компании данных. В силу этого принципа все манипуляции с данными могут совершать только те элементы системы, достоверность и надежность которых можно проверить. Понятно, что выполнять такие проверки гораздо удобнее и целесообразнее во внутренней информационной инфраструктуре компании, и значительно сложнее при размещении данных у сторонних поставщиков услуг. Очень непросто помимо своей инфраструктуры контролировать еще и внешнюю среду подрядчиков, и очевидно, что риск компрометации данных в этом случае заметно выше. Именно эти обстоятельства тормозят перенос ресурсов и данных компаний в «облачную» среду поставщиков данного типа услуг, будь то публичное или выделенное частное «облако».
Первый вопрос, который возникает: как оценить меру доверия тому или иному поставщику услуг или «облачной» службе? Простых заверений в том, что «облако» той или иной компании «вполне надежно и хорошо защищено» совершенно недостаточно, ведь на адресованный продавцу магазина вопрос «хороший ли это товар» или «свежий ли это продукт» вам вряд ли ответят отрицательно. И любая компания, имеющая в своем портфеле «облачные» предложения, будет заверять потенциальных клиентов, что их-то предложение уж точно безопасное и превосходно защищенное. К тому же энтузиазм менеджеров по продажам «облачного» продукта подогревают бонусы за совершенную сделку, но никак не четкое понимание реализованных в продукте деталей системы обеспечения безопасности. Расхваливая на все лады те или иные преимущества, которые потенциальный клиент получит при использовании именно их «облака», менеджер постарается сдвинуть обсуждение ваших пожеланий и вопросов, связанных с безопасностью, на этап реализации — там-то уж специалисты службы развертывания смогут ответить на все вопросы и развеять ваши опасения. К сожалению, очень часто оказывается, что на данном этапе на вопрос «можно ли сделать то или это, как нам говорил менеджер по продажам» вы получите уклончивый ответ что «вообще-то можно, но…».
Безопасность того или иного «облачного» продукта во многом определяется тем, как поставщик этого продукта представляет себе безопасность и как он потом реализует ее. Конечно, в этой области есть общепринятые стандарты и особые группы специалистов, чьей целью является создание максимально защищенной среды. Но ведь каждая отрасль и каждая компания имеют разные взгляды на то, как такая среда должна выглядеть. В каждой компании приняты свои правила и процедуры, да и квалификация сотрудников, занимающихся вопросами безопасности, весьма различается. Поэтому даже в компаниях из одной отрасли подход к безопасности будет разным, и то, что безопасно в одной, будет считаться небезопасным в другой. Так что попытка поставщиков «облачных» решений навязать пользователям свое представление о том, как должны выглядеть аутентификация и защита каналов коммуникаций, есть не что иное как желание заставить поверить, что именно их решение является лучшим. А это мало похоже на работу по определению реальных запросов клиентов в области «облачной» безопасности. Это скорее напоминает ту ситуацию, которая складывается при внедрении решений по управлению предприятием, когда поставщик решения пытается заставить клиента работать так, как он считает правильным, в твердой уверенности, что он лучше знает, как должна работать компания. Поставщику «облачного» решения, к сожалению для потенциальных пользователей, хочется перевести все в «облако» уже сегодня, вне зависимости от реальных запросов и пожеланий.