Такие провайдеры утверждают, что не могут раскрыть архитектуру своей сети для изучения заказчиком из опасений, что, пользуясь этими сведениями, потенциальные взломщики смогут составить план вторжения в сеть. Они также заявляют, что не имеют времени на то, чтобы отвечать на подобные вопросы каждому заказчику.
Короче говоря, заказчики никогда не получат желаемого для себя уровня прозрачности. «Мы не позволим вам проверять наши облачные сервисы так же скрупулезно, как вы проверяли бы свою собственную инфраструктуру, — прямо заявил Адам Свидлер, менеджер по маркетингу Google. — Вам придется довериться результатам аттестации, проведенной сторонними аудиторами».
Но даже если заказчикам не удастся пройтись по центрам обработки данных провайдера, чтобы «допросить» его директора по информационной безопасности, выяснить все необходимое можно будет с помощью зондирующих вопросов, убеждены в некоммерческой организации Cloud Security Alliance. Здесь подготовили специальную анкету для оценки состоятельности провайдеров облачных сервисов — Consensus Assessments Initiative Questionnaire. Предприятия смогут адаптировать эту анкету для своих индивидуальных нужд.
Документ представляет собой хорошо продуманную систему оценки защищенности облака. «Данный набор вопросов облегчит выявление основных проблем, выработку оптимальных методов и способов контроля, он должен помочь организациям выстроить процесс аттестации облачных провайдеров по требованиям безопасности», — утверждают в CSA.
Вот основные вопросы, которые необходимо задать провайдеру.
- Выполняет ли провайдер регулярные испытания на возможность проникновения в систему, а также внутренние и внешние аудиты безопасности, с результатами которых могут ознакомиться заказчики?
- Имеют ли заказчики возможность самостоятельно выполнять тесты на уязвимости?
- Разделены ли данные разных клиентов логически и зашифрованы ли они для каждого клиента, чтобы данные одного из них случайно не были выданы вместе с данными другого, например, по требованию правоохранительных органов?
- Сможет ли провайдер восстановить данные каждого клиента в случае утраты?
- Какие меры по охране интеллектуальной собственности предпринимает провайдер?
- Ведет ли провайдер учет виртуальных и физических серверов, используемых каждым клиентом, и может ли он гарантировать, что данные хранятся лишь в определенных странах, если этого требует соответствующее национальное законодательство о хранении информации?
- Какова используемая провайдером политика ответа на запросы о данных по клиентам от госорганов?
- Какова применяемая провайдером политика сохранения данных клиентов и имеет ли он возможность следовать политике заказчика, требующей удаления данных из сети провайдера?
- Ведет ли провайдер инвентаризацию своих активов и историю взаимоотношений с поставщиками?
- Обучает ли он свой персонал использованию средств контроля безопасности — своих собственных и клиентских — и документируется ли такое обучение?
У провайдера можно дополнительно выяснить, например, ведет ли он мониторинг и контроль пользовательских прав доступа, каковы меры и масштабы реагирования на инциденты безопасности, а также какова при этом ответственность провайдера и клиента.
Приведенный здесь список далеко не полный. Как объясняют в CSA, его смысл в том, чтобы дать заказчику возможность тщательно оценить провайдера и предоставить самим провайдерам стандартный формат ответа на законные сомнения заказчика.
Некоторые заказчики выступают за заключение контрактов с мелкими провайдерами, поскольку те охотнее дают прямой доступ к своим инфраструктурам и процессам, чтобы обеспечить требуемые уровни обслуживания. «Поездка к провайдеру действительно нужна, на нее стоит выделить время, — полагает Джессика Кэрролл, ИТ-директор Американской ассоциации гольфа, которая работает с небольшим сервис-провайдером. — Вы должны воочию убедиться, что все, оговоренное в вашем контракте, существует в реальности».