Около пяти лет тому назад компания Genomic Health, специализирующаяся на геномных исследованиях и поисках способов лечения рака, начала внедрять облачные бизнес-приложения. Кен Стайнман, старший директор по безопасности и архитектуре предприятия Genomic Health, смог быстро оценить риски безопасности, создаваемые облачными сервисами. Редактор CSO Magazine побеседовал со Стайнманом на эту тему.
Опишите, пожалуйста, облачную среду вашей организации — какие виды сервисов предоставляются и как компания пользуется облаком.
Публичные и частные облачные сервисы стали важнейшей частью ИТ-стратегии Genomic Health. Вначале мы пользовались услугами провайдеров публичных облаков для стандартных инфраструктурных сервисов Интернета, таких как фильтрация спама, сервисы доменых имен и дистрибуция контента во всем мире. За последние три года мы значительно расширили применение облаков и начали внедрять приложения в виде сервиса. Сегодня мы пользуемся услугами более 20 провайдеров SaaS для основных бизнес-функций, включая расчет зарплаты, кадровый учет, формирование отчетов о расходах, управление производительностью, проектами и обучением, совместную работу над документами, управление идентификацией, финансовый анализ, пенсионное планирование, отслеживание соискателей и управление опционами.
Сейчас мы расширяем наше гибридое облако и использование публичных и виртуально-частных облаков Amazon Web Services и Microsoft Azure. Эти платформы будут применяться для предоставления высокопроизводительных, способных выдержать всплески нагрузки сервисов вычислений, хранения данных и обмена сообщениями для нашего исследовательского бизнеса во всем мире. В настоящее время мы переносим наши локальные ERP- и CRM-решения в частное облако провайдера SaaS.
Какие гарантии защиты данных предоставляют ваши облачные провайдеры?
Поскольку Genomic Health является поставщиком медицинских услуг и компанией биомедицинских исследований, для нас важнейшее значение имеют защищенность и конфиденциальность информации о пациентах. Мы оцениваем наших поставщиков с точки зрения защищенности, следим, чтобы они подчинялись стандартам, таким как SSAE16 и/или ISO, знакомимся с предоставляемыми ими техническими описаниями используемых мер безопасности, оцениваем непрерывность бизнеса и процессы шифрования. В контракт включаются пункты о мерах физической, технической и административной безопасности, а также обязательство уведомления об утечках данных.
Мы с большими предосторожностями подходим к хранению медицинской информации в облаке. Мы требуем шифрования и соглашений о защите передаваемых данных с облачными провайдерами, занимающимися обработкой или хранением конфиденциальной медицинской информации. Сегодня провайдеры облаков только начинают внедрять средства, необходимые для выполнения законов наподобие HIPAA и HITECH, а также международных требований о защите данных.
Какие новые угрозы безопасности и недостатки облачных технологий вас беспокоят?
С точки зрения бизнеса Genomic Health беспокойство вызывают скоординированные DoS-атаки и иная деятельность сетей киберпреступности, характеризуемая в качестве целенаправленных атак (Advanced Persistent Threat). В то же время самым большим риском и потенциальной точкой входа вредоносных программ остаются атаки социальной инженерии, такие как адресный фишинг и троянские программы из Web, через которые пользователи непреднамеренно вносят вирусы в наши сети.
Нас беспокоит, что облачные провайдеры сегодня не предлагают согласованного набора механизмов защиты, мониторинга, шифрования и распознавания угроз. Особенно это касается мелких провайдеров — мы постоянно обнаруживаем, что они не следуют оптимальным правилам защиты паролей. Ведущие же облачные провайдеры сделали обширные инвестиции в безопасность. Ее обеспечением занимаются специально нанятые инженеры, аудиторы и специалисты по контролю качества кода. Реализованы всеобъемлющие процессы безопасности, позволяющие лучше защитить виртуальные машины и сети и своевременно устанавливать заплаты.
Что ваша организация и ее облачные провайдеры делают для укрепления безопасности с учетом новых угроз?
Безусловно, важно обучать сотрудников принципам безопасного использования облаков и сервисов социальных сетей.
Как всегда, большое значение имеют традиционные межсетевые экраны и антивирусная защита конечных точек, но теперь одних этих средств недостаточно для защиты от новых угроз.
Системы предотвращения и распознавания вторжений, мониторинга протоколов, корреляции событий безопасности и непрерывного контроля защищенности помогают распознавать попытки вторжения в нашу сеть и реагировать на них.
Фильтрация вредоносного контента для ноутбуков с помощью локальных и облачных технологий стала неотъемлемой частью нашей стратегии безопасности.
Для избавления от слабых мест также критически важны автоматизированное сканирование наших веб-ресурсов на уязвимости, тестирование силами специалистов и установка заплат на операционные системы и приложения.
Какие оптимальные методы вы бы порекомендовали для повышения облачной безопасности?
Определите, какие данные вы будете хранить в облаке, и оцените риск для вашего бизнеса и заказчиков в случае утечки этих данных. Выберите провайдера для консолидации управления личными данными и доступом и обеспечьте централизованный доступ сотрудников к вашим облачным приложениям. Позаботьтесь о включении в контракт с провайдером пунктов, требующих своевременного уведомления о нарушениях безопасности и утечках информации. Требуйте от вашего облачного провайдера сообщать вам результаты аудитов уязвимостей или проводите тестирования вместе с ним. Регулярно проводите обучение сотрудников по вопросам безопасности и использования социальных СМИ.