клієнта?
Найбільш поширеним способом аутентифікації є захист паролем. Однак провайдери, прагнучі запропонувати своїм клієнтам більш високу надійність, вдаються до допомоги більш потужних засобів, таких як сертифікати та токени. Поряд з використанням більш надійних до злому засобів аутентифікації провайдери повинні мати можливість роботи з такими стандартами як LDAP і SAML. Це необхідно для забезпечення взаємодії провайдера з системою ідентифікації користувачів клієнта при авторизації та визначенні видаваних користувачеві повноважень. Завдяки цьому провайдер завжди буде розташовувати актуальною інформацією про авторизованих користувачів. Найгірший варіант - коли клієнт надає провайдеру конкретний список авторизованих користувачів. Як правило, в цьому випадку при звільненні співробітника або його переміщенні на іншу посаду можуть виникнути складнощі.
4. Ізоляція користувачів. Яким чином дані та додатки одного клієнта відокремлені від даних і додатків інших клієнтів?
Кращий варіант: коли кожен з клієнтів використовує індивідуальну віртуальну машину (Virtual Machine - VM) і віртуальну мережу. Поділ між VM і, отже, між користувачами, забезпечує гіпервізор. Віртуальні мережі, у свою чергу, розгортаються із застосуванням стандартних технологій, таких як VLAN (Virtual Local Area Network), VPLS (Virtual Private LAN Service) і VPN (Virtual Private Network).
Деякі провайдери поміщають дані всіх клієнтів у єдину програмну середовище і за рахунок змін у її коді намагаються ізолювати дані замовників один від одного. Такий підхід опрометчів і ненадійний. По-перше, зловмисник може знайти пролом в нестандартному коді, який дозволить йому отримати доступ до даних, які він не повинен бачити. По-друге, помилка в коді може призвести до того, що один клієнт випадково побачить дані іншого. За останній час зустрічалися і ті, й інші випадки. Тому для розмежування користувача даних застосування різних віртуальних машин і віртуальних мереж є більш розумним кроком.
5. Нормативно-правові питання. Наскільки провайдер слід законам і правилам, застосовним до сфери хмарних обчислень?
У залежності від юрисдикції, закони, правила і якісь особливі положення можуть відрізнятися. Наприклад, вони можуть забороняти експорт даних, вимагати використання строго певних заходів захисту, наявності сумісності з певними стандартами і наявності можливості аудиту. У кінцевому рахунку, вони можуть вимагати, щоб у разі необхідності доступ до інформації змогли мати державні відомства і судові інстанції. Недбале ставлення провайдера до цих моментів може привести його клієнтів до суттєвих витрат, зумовленими правовими наслідками.
Провайдер зобов'язаний слідувати жорстким правилам і дотримуватися єдиної стратегії в правовій і регулятивної сферах. Це стосується безпеки даних користувача, їх експорту, відповідності стандартам, аудиту, безпеки і видалення даних, а також розкриття інформації (останнє особливо актуально, коли на одному фізичному сервері може зберігатися інформація декількох клієнтів). Щоб це з'ясувати, клієнтам настійно рекомендується звернутися за допомогою до фахівців, які вивчать це питання досконально.
6. Реакція на події. Як провайдер реагує на події, і наскільки можуть бути залучені його клієнти в інцидент?
Іноді не все йде за планом. Тому провайдер послуг зобов'язаний дотримуватися конкретних правил поведінки у разі виникнення непередбачених обставин. Ці правила повинні бути задокументовані. Провайдери обов'язково повинні займатися виявленням інцидентів і мінімізувати їхні наслідки, інформуючи користувачів про поточну ситуацію. В ідеалі їм слід регулярно забезпечувати клієнтів інформацією з максимальною деталізацією з проблеми. Крім того, клієнти самі повинні оцінювати вірогідність виникнення проблем, пов'язаних з безпекою, і вживати необхідних заходів.
10. Міжнародні та вітчизняні стандарти
Еволюція хмарних технологій випереджає діяльність по створенню і модифікації необхідних галузевих стандартів, багато з яких не оновлювалися вже багато років. Тому законотворчість у сфері хмарних технологій - один з найважливіших кроків до забезпечення безпеки.
IEEE
IEEE, одна з найбільших організацій з розробки стандартів, оголосила про запуск спеціального проекту в області хмарних технологій Cloud Computing Initiative. Це перша ініціатива по стандартизації хмарних технологій, висунута на міжнародному рівні - до сьогоднішнього дня стандартами у сфері хмарних обчислень займалися переважно галузеві консорціуми. В...
