Такие рекомендации опубликованы Cloud Security Alliance — специализированной организацией, образованной компаниями PGP, Qualys, Zscaler, а также ассоциацией ISACA. На сегодняшний день альянс объединяет уже более 17 тыс. специалистов из более чем 90 организаций. Среди разработанных CSA документов — «Основные угрозы облачных вычислений", "Руководство по обеспечению безопасности облачных вычислений", "Матрица контролей для облаков", другие рекомендательные материалы. Сформирована даже программа по сертификации специалистов в области безопасности облачных вычислений, которая получила название Certificate of Cloud Security Knowledge. В России уже есть обладатели этого сертификата.
В настоящее время, по словам Евгения Климова, вице-президента Russian Information Systems Security Professional Association, на базе этой ассоциации создается российское отделение альянса, которое своей первой целью ставит перевод на русский язык рекомендаций CSA, а также выработку требований по безопасности для российских облачных провайдеров. Важной задачей образованной группы является перевод и согласование русских терминов по облачной безопасности. Один из семинаров RISSPA, который состоялся 9 марта, был посвящен проблемам безопасности облачных вычислений. На нем были рассмотрены риски облачных вычислений и предложены некоторые подходы к их снижению.
Риски облачных вычислений можно разделить на три группы: связанные с выбором оператора, с потерей данных и "общие". К первой группе можно отнести такие риски, как привязка облачной технологии к конкретному поставщику услуг, сбои на стороне провайдера, взлом интерфейса администрирования или банкротство и поглощение оператора. Эти риски можно снизить за счет правильного выбора поставщика услуг. Для защиты от них рекомендуется выбирать облачных провайдеров, которые предлагают услуги на открытой платформе, чтобы всегда оставалась возможность быстро перевести свои приложения на площадку другого провайдера. Кроме того, стоит отдать предпочтение провайдерам, имеющим сертификат ISO 27001. А лучше вообще пользоваться услугами нескольких провайдеров и перераспределять свои приложения между несколькими облаками.
Больше всего компании боятся утечек данных из сети облачного провайдера вследствие перехвата информации, утери контроля над данными и приложениями, невозможности уничтожения данных, действий инсайдера на стороне провайдера или других пользователей облака. Для защиты можно использовать шифрование данных или их обезличивание. При этом шифровать нужно не только данные, хранящиеся у провайдера, но и канал связи с ним. Однако пока не выработано решений, которые позволяли бы эффективно защищать данные в облаке, хотя работы в этом направлении уже ведутся.
К общим рискам можно отнести потерю связи с сетью провайдера, атаки DDoS и утрату соответствия требованиям регуляторов. Эти риски можно снизить с помощью правильного составления соглашения SLA, которое позволит компенсировать часть ущерба. Для защиты от DDoS-атак можно воспользоваться специальными сервисами, однако полностью защититься от угроз этого типа практически невозможно. Нормативные требования могут меняться со временем, а закон "О персональных данных» и вовсе делает облачные вычисления неприменимыми на практике. Тем не менее в некоторых случаях облачную систему можно сделать даже более защищенной, чем традиционную архитектуру, за счет разделения обязанностей и правильно составленных договоренностей.