Публикация предположительно похищенных из iCloud, облачного сервиса Apple, фотографий обнаженных знаменитостей в очередной раз поднимает вопрос о безопасности хранения данных в облаке. Конечно, бесплатные облачные сервисы более подвержены угрозам хотя бы потому, что провайдер не несет материальной ответственности за сохранность данных и по объективным причинам уделяет их защите меньше внимания и средств.
Однако и в случае коммерческих облачных услуг угрозы многообразны — от несанкционированного доступа до прекращения деятельности провайдера. В статье Валерия Коржова «Современные DDoS-атаки» приводится следующий пример: «злоумышленник перехватил учетные данные администраторов облачного оператора Code Space и потребовал за них выкуп… В результате атаки оператор был вынужден объявить, что не может продолжать предоставлять сервис и сворачивает свою деятельность на рынке». Возможно, этого не случилось бы, если бы он использовал современные средства многофакторной аутентификации наподобие тех, о которых рассказывается в статье Сергея Орлова «ЭЦП и аутентификация: сделано в России».
Несмотря на риски информационной безопасности и другие поводы для озабоченности, к облачным вычислениям сегодня обращаются очень многие предприятия. «Переход в облако становится не только темой для обсуждения, но и бизнес-реальностью для все большего количества компаний», — отмечает Андрей Мелузов в статье «Сценарии использования облачных сервисов: максимальный эффект от внедрения». Однако, чтобы новая реальность не разочаровала, помимо безопасности требуется уделить внимание и множеству других вопросов — в частности, гарантиям предоставления сервиса, которые отражаются в соглашении об уровне сервиса (Service Level Agreement, SLA).
Какие же гарантии готовы предоставить сервис-провайдеры? К сожалению, стандартных требований к SLA пока нет, поэтому каждый из них предлагает собственные условия даже в случае оказания одинаковых услуг. Конечно, основные положения зачастую схожи между собой, но, как известно, дьявол кроется в деталях. Или, как гласит народная мудрость, «клиент всегда прав, пока не дойдет дело до написанного мелким шрифтом». Одним из наиболее болезненных является вопрос компенсации за несоответствие сервиса заявленным параметрам. Так, например, Amazon и Google при невыполнении соглашения дают скидку на последующие услуги.
К чести российских провайдеров многие из них снижают плату за предоставленные услуги, если их уровень доступности не соответствует согласованному (см. подробнее статью Александра Барскова «SLA для IaaS: реальные гарантии для виртуальной ИТ-инфраструктуры»). Насколько скидки способны компенсировать потери при простое, это уже другой вопрос. Даже самые надежные сервисы могут оказаться недоступны, поэтому, прежде чем переходить в облако, необходимо оценить, какие последствия для бизнеса может иметь длительный отказ, как это случилось с сервисом Amazon в 2011 году.
Типовым уровнем доступности, гарантируемым SLA, является показатель 99,95%. Однако важно понимать, что именно гарантируется. Так, Google под простоем подразумевает уровень ошибок 5%, который измеряется на их серверах,
а ведь проблема может быть связана и с коммуникационным оборудованием. Поэтому желательно, чтобы SLA были сквозными, то есть охватывали и каналы связи, что особенно актуально в российских условиях. О специфических требованиях, которые должны быть отражены в SLA для услуг связи, говорится в статье Дениса Дякива «3 обязательных требования к услуге связи».
Унификации облачных SLA на европейском уровне должна способствовать недавняя публикация рекомендаций Cloud Select Industry Group, где даются определения и приводятся требования к доступности и надежности облачного сервиса, технической поддержке, уровню безопасности и управлению данными.