Информационная безопасность в облачных сервисах?

Question

[Sf_DS]

Здравствуйте уважаемые пользователи, я хочу углубиться в тему информационной безопасности в облачных сервисах, для дальнейшего написания диплома по этой теме, не могли бы вы мне помочь с источниками литературы, видео и т.д. которая ответит на следующие вопросы:
1. как осуществляется ИБ в облачных сервисах?
2. преимущество использования облачных сервисов с точки зрения ИБ?
3. Правовые аспекты при использовании ИБ в организации?

Также возможно какие-то видео где это объясняется, искал сам да нашел как будто бы слишком мало, хотелось бы узнать поподробнее чтобы смочь более широко раскрыть эту тему :(

Comments

[ValdikSS]

Здесь можно ознакомиться с концепциями, применяемыми в OVH
https://help.ovhcloud.com/csm/en-public-cloud-data...

Answer 1

[CityCat4]

преимущество использования облачных сервисов с точки зрения ИБ?

Никаких. Как только информация покинула корпоративный периметр - ты перестал ее контролировать, следовательно твое влияние на ее защиту - нуль.
Ты не можешь гарантировать что то, что ты видишь на экране в личном кабинете etc. - это то же самое, что происходит с информацией на самом деле. Тебе могут показать, что она супер-пупер защищена и зашифрована всеми способами, а на самом деле запросто может оказаться что к ней имеет доступ любой сотрудник этого самого сервиса. Или даже сервис ее просто удалил из неких соображений.

Вот например

В облаке можно хранить:
- рекламу, ролики по продвижению продукции
- материалы, утеря которых малоценна

Comments

[d'Ivan]

ты перестал ее контролировать, следовательно твое влияние на ее защиту - нуль.

Это довольно категоричное замечание.

[Sf_DS]

Я конечно понимаю что есть риски в вопросе передачи данных для их обработки облаками, но неужели никаких преимуществ нет?
если компания не может позволить себе полноценную защиту информации внутри предприятия например, и ей дешевле использовать для этого облако? Или такая ситуация невозможна?

[ValdikSS]

Sf_DS, https://www.masterdc.com/blog/what-are-the-private...
https://www.ovhcloud.com/en/learn/what-is-private-...

[CityCat4]

Иерокопус Таманский, Ну да, может быть. Но есть что-то, что может его пошевелить?

[d'Ivan]

CityCat4, материальная выгода много чего диктует. И необходимость соответствовать отраслевым стандартам так же. Если у конкурента они есть, а у тебя их нет, то ты находишься в менее выгодной позиции с точки зрения клиента. Особенно с кошельком.

[CityCat4]

Sf_DS,

если компания не может позволить себе полноценную защиту информации

то ей совершенно все равно, как у нее утекут данные.

"...а все равно, коли тонуть - в песке иль в камнях дно?" (С) Гусарская баллада

Защита данных как правило основана на уверенности, что если ты что-то делаешь, то это приводит к точному и гарантированному результату. Ты зашифровал файл - и его можно расшифровать только зная пароль (опустим терморектальный криптоанализ и все с ним связанное). Ты поместил файл в определенное место - и к нему может получить доступ только тот, кому разрешено.

Но эта уверенность в свою очередь основана на том, что ты всегда можешь это проверить. А это сделать с облаками невозможно в принципе - ты можешь только полюбоваться на картинку, которая вовсе не факт, что соответствует реальности (да, для обычного юзера вряд ли заморочатся, но есть ведь и необычные юзера)

И это не считая риски отключения от облаков по политическим мотивам. Вон тут в 20-х числах M$ говорила что все, баста карапузики, кончилися танцы. Танцы правда пока не кончились, но ручка-то у M$ и повернуть она ее может в любое время, никого не спросив. И никто к ней не сможет предьявить претензий.

"Дешево" не бывает "безопасно". Безопасность всегда тащит с собой некий оверхед, который может быть весьма немалым.

[CityCat4]

Иерокопус Таманский, Согласен. Вот M$ например еще два года назад громко заявил о том, что уйдет - но пока что "уйти нельзя остаться" - вроде и купить ничего нельзя, а вроде старое все работает (в понедельник будет известно, получил ли сам софтлайн инвойс от M$).
Вроде заявил на весь мир, что все - но "все" настало, а все по-прежему работает...

Бывает, что бабло побеждает все - и добро, и бобро, и зло. А бывает, что и нет.

Answer 2

[Steel_Balls]

ИБ и облако - несовместимые понятия

Answer 3

[kalapanga]

Облачные сервисы в данном случае - это чисто технический аспект работы с информацией, просто другой способ её хранения. А вопросы безопасности остаются все те же самые. Например, что локально вы разграничивали доступ, что в облаке нужно делать то же самое.
Так что я бы сказал, что ни плюсов, ни минусов - всё одинаково. Но с учётом того, что физический доступ к информации в облаке реально имеют посторонние люди - смотри ответ CityCat4
В крайности здесь бросаться тоже не стоит. Доверяют же фирмы охрану предприятия всяким ЧОП-ам. С облаками что-то похожее. Ваша задача выбрать поставщика услуг с надёжной репутацией, заключить правильный договор. Понятно, что если Вы храните файлы на бесплатном тарифе облака майл.ру, то никто Вам ничего не должен - ни сохранности, ни приватности.

Answer 4

[d'Ivan]

1. Облачный сервис (ОС) заботится о периметре безопасности к инфраструктуре и о разграничении доступа к ресурсам клиента в меру своих возможностей. Так же предоставляет инструменты для создания внутри-корпоративных политик доступа. А внутренняя кухня клиента - не дело ОС.
ОС обязан проводить тестирование безопасности, чтобы соответствовать отраслевым стандартам и другим регуляциям.
2. Из-за необходимости соответствия ОС стандартам безопасности это снимает ощутимую нагрузку с клиента. Но клиент всё равно должен проводить свои проверки безопасности, в своем периметре: доступ к документам, разграничение доступа к приложениям извне и внутри организации. Если не доверяешь ОС - не работай с ним. Для параноиков всегда найдутся какие-то причины волноваться. ИБ не бывает безупречной и не дает 100% защиты. Но чем больше вкладывается в ИБ, тем меньше простора для ее нарушений.
3. ОС должен соблюдать юрисдикцию и отраслевые регуляции той страны, где находится. Если не находится под санкциями, то не заинтересован в том, чтобы ставить палки в колеса своим клиентам.

Comments

[CityCat4]

Это все хорошо в идеальной "ИТ в вакууме". В жизни же мы, к сожалению, работаем не только с сервисами, но и с людьми. А люди - они далеко не идеальны и сами по себе (о том, что админы дропбокса смотрят файлы клиентов известно было уже оооочень давно), да еще сверху над ними есть государство, у которого всегда есть политические мотивы и которое всегда поступает в согласии с ними, насколько нелепыми бы они ни были.

Если не находится под санкциями, то не заинтересован в том, чтобы ставить палки в колеса своим клиентам.

M$ находится под санкциями? А ставить палки в колеса - например отказывать в заключении новых контрактов - им это не мешает.
Ни одна корпорация не экстерриториальна. Над ней всегда есть государство, на чьей территории она зарегистрирована. Если государство достаточно сильное, оно прогибает корпорацию на принятие совершенно невыгодных ей решений - и она не только палки в колеса будет ставить, а и в ноги себе стрелять.

[d'Ivan]

CityCat4,
Недобросовестные сотрудники могут быть в любых организациях. С этим не поспоришь.
Государство может ставить жесткие условия, заставлять устанавливать "коробочки" для прослушивания и прочих целей. Да, риски везде есть. Против этого не попрешь, конечно.

Допустим, трафик по HTTPS шифруется между сторонами, что дает защиту от постороннего вмешательства и прослушивание трафика. Но внутри ОС вполне можно получать чистый, незашифрованный трафик. Но для этого нужно вешать коробочки на ключевых узлах и как-то отделять среди общего трафика только тот, который относится к трафику клиента. "Слушать" трафик - это не бесплатное удовольствие и должны быть заинтересованные стороны, желающие заплатить за это.

Answer 5

[Shaman_RSHU]

Облачный сервис - это Вы системник с информацией из под своего стола отдали кому-то, кто будет за ним следить (или не будет :)