27.01.2011 00:00
Новости.
Просмотров всего: 2123; сегодня: 1.

Поставщики "облачных" услуг уделяют все больше внимания нормативным требованиям

Сегодня каждый ИТ-директор мечтает как можно скорее окунуться в сетевое "облако", но при этом многие из них натыкаются на всевозможные государственные правила и ограничения. Правительство требует, чтобы ИТ-директор знал, где находятся его данные, кто может получать к ним доступ и как эти данные защищены. Если данные находятся в "облаке", ответить на эти вопросы весьма сложно.

Однако решение не за горами. Альянс за "облачную" безопасность (Cloud Security Alliance) опубликовал пакет бесплатных программ под названием "Governance, Risk Management and Compliance Stack" («Программный стек для управления, борьбы с рисками и удовлетворения нормативных требований»), позволяющий выполнить множество требований государства. Кроме того, "облачные" вендоры один за другим проходят сертификации на соответствие различным режимам информационной безопасности. Компания Amazon, например, недавно заявила о том, что ее веб-сервисы прошли сертификацию по стандарту PCI (Payment Card Industry), который используется для защиты карточных платежных систем.

Так или иначе, пора действовать, ибо нормативные требования стали превращаться в серьезное препятствие на пути распространения «облачных» вычислений. "Распространению публичных «облачных» услуг мешают, прежде всего, вовсе не соображения безопасности. Главное препятствие - необходимость соблюдения нормативных и законодательных требований", - заявил директор компании Cisco по вопросам «облачных» вычислений и виртуализации Кристофер Хофф (Christofer Hoff).

Преимущества «облачных» вычислений

Несмотря на проблемы с удовлетворением нормативных требований, коммерческие организации и государственные органы стремятся в сетевое "облако", ибо оно проще и дешевле полноценного корпоративного центра обработки данных (ЦОД). "Облако" привлекает ИТ-директоров высокой масштабируемостью, предсказуемыми расходами, возможностью доставки ресурсов по требованию и совместной работы.

"Облако" дает заказчику небывалую гибкость. К примеру, организация может мгновенно получить ресурсы для запуска рекламной кампании, а через неделю вернуть их обратно в общедоступный пул. Разработчик может быстро создать среду для бета-тестирования и так же быстро ликвидировать эту среду, когда потребность в ней отпадет. Пользователям не придется закупать ненужные аппаратные средства и заключать долгосрочные сервисные соглашения.

Экономия же возникает из-за того, что крупный поставщик «облачных» услуг может размещать данные и приложения заказчиков на любом из тысяч физических серверов в любом из десятков ЦОД в разных регионах мира. Доставка «облачных» услуг обходится дешево, так как эти услуги не привязаны к выделенным серверам, системам хранения и коммутаторам - они могут размещаться на виртуальных машинах вместе с данными десятков других компаний. Кроме того, их можно переносить с одного физического сервера на другой в зависимости от спроса и даже от местных тарифов на электроэнергию.

Соблюдение нормативных требований как предпосылка развития частных «облаков»

Законы, требующие от компаний строгого соблюдения принципов невмешательства в частную жизнь, не предусматривали быстрого распространения виртуальных машин. Например, германское законодательство запрещает хранить любые данные о гражданах Германии за пределами ее территории. Законы других стран требуют от компаний надежной защиты личных данных от несанкционированного доступа. По словам Кристофера Хоффа, законодательные требования стали одной из причин, по которой многие крупные предприятия решили использовать частные «облака», защищенные межсетевыми экранами, и не обращаться к сетевым «облакам» общего доступа.

В ходе исследования, проведенного осенью 2010 года аналитической компанией Harris Interactive по заказу Novell Inc., 81 процент опрошенных лиц, принимающих решения в информационно-технологической области, заявили, что сложность выполнения нормативных и законодательных требований в публичном «облаке» представляет для них реальную проблему. Именно поэтому крупные банки и медицинские страховые компании создают собственные частные «облака» с выделенными серверами и системами хранения. Частное «облако» стоит дороже публичного, но позволяет легко продемонстрировать выполнение законов, поддерживая при этом виртуализацию и другие экономичные функции «облачной» архитектуры. Хофф считает эту стратегию достаточно разумной, хотя, по мнению многих сторонников "облачных" технологий, идею частного «облака» выдумали поставщики аппаратных систем, чтобы их заказчики продолжали покупать серверы и дисковые массивы.

Многие ИТ-директора склоняются к сетевым «облакам», несмотря на трудности с соблюдением законодательных требований. Опросив 384 крупных пользователя, компания Courion Corp. (продает программные решения для защиты данных) установила, что "почти половина опрошенных - 48,1 процента - не уверена, что аудит их «облачных» приложений покажет полное соответствие нормативным требованиям к пользовательскому доступу".

Все больше заказчиков переносят некоторые типы приложений и инфраструктурных систем в частные «облака», размещенные на правах хостинга в провайдерских центрах обработки данных. Виртуальное частное «облако», напоминает Кристофер Хофф, представляет собой "массив частных вычислительных систем и систем хранения, расположенный в помещениях внешней компании и подключаемый к предприятию через зашифрованный туннель VPN". Такое решение обычно стоит дороже публичного «облака», но позволяет предприятию пользоваться многими преимуществами «облачных» вычислений.

В авангарде этого процесса идет правительство США. В начале декабря 2010 года федеральная Администрация общих служб (General Services Administration) объявила о переходе 17 тысяч своих сотрудников с приложений Microsoft для электронной почты и настольных компьютеров к «облачным» приложениям Google. По подсчетам этого госучреждения, за пять лет расходы на указанные приложения сократятся наполовину - до 15 млн долларов.

Соблюдение нормативных требований в «облаке»

Поставщики публичных «облачных» услуг стремятся соблюдать законодательные требования так, чтобы при этом не увеличивать расходы на выделенные аппаратные средства. Как уже упоминалось, недавно компания Amazon объявила о выполнении строгих требований стандарта PCI. Вот что написал в своем блоге главный исполнительный директор Amazon Джефф Безос (Jeff Bezos): "До недавнего времени мы не могли даже мечтать о возможности выполнения требований PCI в виртуализированной многопользовательской среде". По его словам, компания смогла доказать аудитору PCI, что ее "базовые услуги эффективно и безопасно изолируют каждого заказчика веб-услуг Amazon в своей защищенной среде". Тем не менее, признает Безос, опубликованные недавно спецификации PCI хоть и учитывают виртуализацию, но ничего не говорят о "многопользовательской среде" (multi-tenancy), то есть о размещении данных нескольких конкурирующих компаний на одном физическом сервере.

Специалисты в области информационной безопасности считают требования PCI более жесткими по сравнению с требованиями используемого в здравоохранении стандарта HIPAA. Это значит, что публичные «облака» вполне могут соответствовать самым строгим стандартам безопасности в самых "зарегулированных" отраслях, по крайней мере, в США. "Это очень большое достижение", - пишет в своем блоге Рич Могалл (Rich Mogull), главный исполнительный директор консалтинговой компании Securosis, работающей на рынке информационной безопасности. Однако, предупреждает он, все приложения и процессы на сайтах, связанных с услугами Amazon, также должны пройти проверку на совместимость со спецификациями PCI.

Успешные действия компании Amazon и других вендоров, направленные на удовлетворение требований к безопасности и защите личных данных в виртуальной среде, показывают, что сложности с соблюдением нормативных требований вполне могут быть преодолены.


Ньюсмейкер: Cisco — 3787 публикаций
Поделиться:

Интересно:

325 лет назад Петр I издал указ о праздновании Нового года 1 января
20.12.2024 13:05 Аналитика
325 лет назад Петр I издал указ о праздновании Нового года 1 января
До конца XV века Новый год на Руси праздновали 1 марта. Эта точка отсчета была связана с тем, что в марте земля пробуждалась от зимнего "сна", начинался новый посевной сезон. С 1495 года Московский государь Иван III приказал перенести празднование Нового года на 1 сентября. Причин для...
19.12.2024 19:56 Интервью, мнения
Праздник к нам приходит: как поддержать атмосферу Нового Года в офисе
Конец года — самое жаркое время за все 12 месяцев, особенно для компаний. Нужно успеть закрыть все задачи, сдать отчёты, подготовить планы, стратегии и бюджеты. И, конечно же, не забывать про праздник, ведь должно же хоть что-то придавать смысл жизни в декабре, помимо годового бонуса.  Не...
Прозвища бумажных денег — разнообразные и многоликие
19.12.2024 18:17 Аналитика
Прозвища бумажных денег — разнообразные и многоликие
Мы часто даем прозвища не только знакомым людям и домашним питомцам, но и вещам, будь то автомобили, компьютеры, телефоны… Вдохновляемся цветом или формой, называем их человеческими именами и даем понять, что они принадлежат только нам и имеют для нас...
Советская военная контрразведка
19.12.2024 17:51 Аналитика
Советская военная контрразведка
Советская военная контрразведка появилась в годы Гражданской войны и неоднократно меняла свою подчиненность, входя то в структуру военного ведомства, то в госбезопасность. 30 мая 1918 г. учрежден первый орган военной контрразведки Красной армии – Военный контроль Оперативного отдела Народного...
Защитить самое ценное: История страхования в России
18.12.2024 13:22 Аналитика
Защитить самое ценное: История страхования в России
С давних времен человек стремится перехитрить свою судьбу. Люди желают знать, что будет, чтобы вовремя подготовиться к возможным перипетиям и обезопасить свое будущее. Вот только карты и гадалки в этом вопросе бессильны, куда надежнее справиться с рисками помогают...