Устранить и обезвредить: Безопасность Облака Microsoft

Для организаций любого размера защита конфиденциальной информации – одна из самых приоритетных задач. Многие владельцы бизнеса не доверяют Облаку и располагают свои данные на серверах, тем самым создают у себя иллюзию безопасности.

Почему иллюзию? Давайте разберемся.

Чаще всего препятствием для выбора в пользу Online конфигурации является скепсис со стороны организаций. Здесь важно отметить те три страха, из которых складывается это недоверие. Обычно компании опасаются, что Облако:

• не конфиденциально (есть возможность несанкционированного доступа к данным);
• не безопасно (существует серьезный риск утери информации, компания понесёт ущерб и не сможет функционировать в нормальном режиме);
• не соответствует закону РФ, а конкретно – закону о защите персональных данных.

Теперь разберем детально каждый пункт списка.

Конфиденциальность

Термин «конфиденциальность» значит неприкосновенность частной жизни и информации о человеке и сотруднике. Компании опасаются, что в результате утечки доступ к данным смогут получить посторонние люди. Есть несколько вариантов возникновения подобной ситуации. В теории, утечки могут случиться через:

• сотрудников Microsoft;
• внутренних сотрудников организации;
• взломы системы безопасности.

В ответ на эти опасения и в доказательство защиты конфиденциальности данных в Облаке компания Microsoft приводит следующие аргументы.

Во-первых, администраторы, то есть сотрудники с практически максимальными правами, управляют настройками системы и пользователей, но не имеют доступа к конкретным данным.

Во-вторых, проникнуть на территорию дата-центра физически невозможно. ЦОДы находятся под серьезной защитой, фактически за колючей проволокой. То есть возможность физического хищения данных весьма сомнительна.

Дополнительно отметим, что конфиденциальность и надёжность хранения данных внутри Облака гарантируется технологически сложным методом шифрования, который применяется в современном облачном хранении. Информация преобразуется в тот вид, который никто не может прочитать, кроме владельца ключа. И получается, что зашифрованной информацией в случае кражи все равно нельзя будет воспользоваться.

Взыскательный читатель возразит, что любую систему защиты можно сломать. Но если сравнивать систему безопасности рядового предприятия и ту, что используется, например Microsoft Azure или Microsoft 365 Office, то мы столкнёмся с противопоставлением картонного домика бункеру. Внутри Microsoft обеспечение сохранности и конфиденциальности данных лежит на плечах высококвалифицированных профессионалов, и безопасность ваших данных их единственная рабочая задача. В то время как при использовании обычных наземных решений компания вынуждена полагаться только на квалификацию среднего российского администратора. Плюс обеспечение безопасности сразу упирается в простейшие программные и аппаратные инструменты.

Кстати, когда разговор идёт о безопасности и защите информации, нельзя не вспомнить громкие скандалы о случаях утечки данных из компаний. К слову, не из-за взлома системы, а в результате действий собственных сотрудников. Поэтому условный контроль физического сервера на самом деле полагается на доверие и лояльность конкретных людей.

Безопасность

Безопасность данных обеспечивается двумя основными процедурами:

• защита информации от вирусов и DDoS-атак;
• защита от аппаратных сбоев.

Microsoft использует комплексный подход для обеспечения защиты с целью предотвратить ввод вредоносных программ и вирусов клиентом или сервером в любые системы обслуживания. Сохранность от DDoS-атак обеспечивает постоянный мониторинг, благодаря которому система находит атаки и нейтрализует их в режиме реального времени.

Данные Microsoft географически распределены, то есть они не хранятся в одном месте. Даже попадание бомбы в один из дата-центров не приведет к потере данных клиента. Высокотехнологичное оснащение компании обеспечивает надёжность хранения резервных копий. Бэкапы в системе происходят ежедневно без дополнительного вмешательства.

В России только малый процент предприятий используют такой же подход. Данные на физическом сервере размещены фактически в одной точке. В результате пожара или сбоя подачи электроэнергии реальна полная потеря информации. Заметим, что за многолетнюю историю работы компания Microsoft ни разу не сталкивалась с потерей данных.

Соответствие требованиям

Большой интерес составляет вопрос соблюдения нормативно-правовых требований Российской Федерации. Размещение данных в Облаке напрямую касается Федерального Закона №152-ФЗ «О персональных данных».

Анализ содержания закона говорит о следующем: ограничения на размещение баз персональных данных вводятся только на период сбора персональных данных и не затрагивают их последующей обработки.

После завершения сбора персональных данных они должны находиться в базах данных на территории Российской Федерации, при этом изменения в данных также вносятся в базы на территории страны. Однако указанное не накладывает никаких ограничений на передачу персональных данных после сбора и предоставления доступа с территории иных государств. И в том числе закон не ограничивает использование данных из информационных систем, находящихся за переделами Российской Федерации.

Для того, чтобы сообщать клиентам и разным государственным органам о состоянии дел в сферах конфиденциальности, безопасности и соответствия российскому законодательству, Microsoft поддерживает Service Trust Portal с исчерпывающей информацией о политиках, инцидентах, результатах аудитов.

Дополнительно портал предоставляет клиенту самостоятельно сформировать отчёты со скорингом уровня соответствия требованиям и помогают компаниям реагировать на инциденты с утечками персональных данных.

К сожалению, большинство компаний по умолчанию считают, что Облако Microsoft не безопасно и не конфиденциально. Но это полностью не соответствует реальности. Компании с собственными серверными системами находятся в иллюзии защищенности. На самом деле они либо не сталкивались с реальными угрозами, либо их данные пока никому не нужны. Облако Microsoft даёт реальную возможность обеспечить высокий уровень безопасности и защищенности конфиденциальной информации.

#Cloud