В последнее время услышал достаточно большое колличество вопросов касательно безопасности облачных датацентров Microsoft. В данной статье мы кратко рассмотрим модель обеспечения безопасности датацентров и развеем все мифы и противоречивые слухи касательно безопасности облачных сервисов Microsoft.
В нескольких словах напомню, что такое облако или облачные вычисления – это способ предоставления вычислительных мощностей в виде сервиса, который можно настроить в точности под ваши требования моментально по запросу из любой точки планеты. Столетия назад компании перестали сами создавать электрическую энергию, используя сложные тепловые машины, подключившись к электростанциям. Возвращаясь к глобальной вычислительной интернет среде, облако выступает в качестве “электростанции” для вычислений.
Начиная с запуска MSN, в 1994 Microsoft создает и поддерживает онлайн сервисы. Сегодня мы поддерживаем десятки онлайн сервисов, некоторые из которых наверняка вам известны: Windows Live Hotmail, Live Search, Microsoft Dynamics CRM Online, Windows Azure и многие другие.
Независимо от того, где располагаются персональные данные клиента (на персональном компьютере или в онлайне), или независимо от того, где хранит ваша компания ценную информацию (на частном сервере или в Интернете), Microsoft понимает, что все эти среды для вычислений и среды хранения информации должны обеспечивать безопасность.
Из чего состоит облачная среда Microsoft?
Облачная вычислительная среда Microsoft является физической и логической инфраструктурой. Физическая инфраструктура включает в себя физические мощности, такие как сервера, сети и другие различные физические компоненты. Логическая инфраструктура, независимо от того, работает она на физическом или виртуальном оборудовании, состоит из сущностей операционных систем, сетей с маршрутизаций и неструктурированных хранилищ данных.
Сервисы платформы включают в себя вычислительные рантаймы (такие как IIS, .NET, SQL Server), хранилища для хранения учетных данных (такие как Active Directory и Windows Live ID), сервера имен (DNS) и другие функции, используемые онлайн сервисами.
Приложения, работающие в облачных датацентрах Microsoft, можно разделить на 3 группы:
- Пользователи и малый бизнес – Windows Live Messenger, Windows Live Hotmail, Live Search, XBOX LIVE, Microsoft Office Live, Windows Intune и т.д.
- Корпоративные сервисы – Microsoft Dynamics CRM Online, Exchange Online, SharePoint Online, Office Live Meeting, Office 365 и т.д.
- Платформы для разработки – Windows Azure, SQL Azure и т.д.
Стандарты как модель безопасности
Ни для кого не секрет, что основным методом обеспечения безопасности любых объектов, будь то сейф, банк или датацентр, является стандартизация. Например, отечественные банки используют российский стандарт СТО БР ИББС, который, по сути, является адаптированным вариантом ISO/IESIS 27001-2005 для местной специфики, который сегодня используется многими международными банками.
Облако Microsoft ежегодно проходит проверку на соответствие стандартам PCI DSS, SOX и HIPAA, а также внутреннюю проверку в течение года. Облако Microsoft прошло сертификацию ISO/IEC 27001:2005 и аттестацию SAS 70 Типов 1 и II.
Стандарт ISO/IESIS 27001-2005
Международный стандарт “Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования” разработан международной организацией по стандартизации (ISO) и международной электротехнической комиссией (IEC) на основе британского стандарта BS7799. Данный стандарт представляет собой дополнение к стандарту ISO/IESIS 17799:2005 “Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью”.
Стандарт ISO 27001 определяет информационную безопасность как “сохранение конфиденциальности, целостность и доступность; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность”. Он определяет процессы, представляющие бизнесу возможность устанавливать, применять, пересматривать, контролировать и поддерживать эффективную систему менеджмента информационной безопасности; устанавливает требования к разработке, внедрению, функционированию, мониторингу, анализу, поддержке и совершенствованию документированной системы менеджмента информационной безопасности в контексте существующих бизнес рисков организации.
Система управления информационной безопасностью на основе стандарта ISO 27001 позволяет:
- Делать большинство информационных активов наиболее понятными для менеджмента компании
- Выявлять основные угрозы безопасности для существующих бизнес-процессов
- Рассчитывать риски и принимать решения на основе бизнес-целей компании
- Обеспечивать эффективное управление системой в критических ситуациях
- Проводить процесс выполнения политики безопасности (находить и исправлять слабые места в системе информационной безопасности)
- Четко определять личную ответственность
- Добиваться снижения и оптимизации стоимости поддержки системы безопасности
- Делать более доступной интеграцию подсистемы безопасности в бизнес-процессы и интеграцию с ISO 9001:2000
- Делать акцент на прозрачность и юридическую чистоту бизнеса благодаря соответствию стандарту
Стандарт SAS 70
В настоящее время операционный аудит в соответствии со стандартом SAS 70 широко используется депозитарными, клиринговыми и процессинговыми организациями во всем мире для повышения доверия клиентов к внутренним системам и процессам. Например, из наиболее известных контрагентов отечественной учетной системы за рубежом заключение аудита по SAS 70 уже имеют S.W.I.F.T., Euroclear, Europay, VeriSign и др.
Стандарты операционного аудита SAS 70 (Statementon Auditing Standards (SAS) No. 70, Service Organizations), разработанные около 15 лет назад Американским Институтом Сертифицированных Бухгалтеров (the American Institute of Certified Public Accountants, AICPA), получили широкое признание международного инвестиционного сообщества. Аудит организаций, работающих в сфере услуг, по стандартам SAS 70 фокусируется на вопросах внутреннего контроля, главным образом, на применении информационных технологий и связанных с ними операционных процессов.
В современных условиях глобализации экономики поставщики услуг должны продемонстрировать, что они уделяют надлежащее внимание надежности и безопасности обработки данных своих клиентов. Кроме того, отчеты о внутреннем аудите по стандартам SAS 70 вошли в список требований раздела 404 Акта Сарбейнса-Оксли (the Sarbanes-Oxley Act), принятого в США в 2002 г., поэтому аудит по стандарту SAS 70 стал обязательным для компаний США и Канады. А наличие у сервисных организаций, к которым, помимо прочих, относятся депозитарии и клиринговые центры, «Отчета по обработке операций организациями, представляющими услуги» (Statementon Auditing Standards, SAS 70) стало своеобразной визитной карточкой на глобальном финансовом рынке и, в целом, на рынке услуг — для акционеров, а также клиентов и партнеров (прежде всего зарубежных).
Методология как модель безопасности
Для создания надежных и безопасных систем необходимо учитывать различные требования. В Microsoft существует специальная методология SDL(Secure Development Lifecycle), которая применяется уже много лет при разработке всех продуктов не только компании, но и продуктов партнеров. Данная методология позволяет учитывать различные аспекты на всех этапах жизни системы, от проектирования до поддержки. Более подробно можно прочитать здесь.
Service Level Agreement (SLA)
Microsoft гарантирует доступность сервисов и приложений 99.9% времени. Данный показатель является весьма высоким, и, на мой взгляд, лучшим на рынке.
DOS атаки
Многие задают вопрос: “А как же DOS атаки?” Я решил специально посветить данному вопросу отдельный абзац. Для защиты приложений в датацентрах используется специализированные физические и логические устройства, такие как балансировщики нагрузок, фаерволы и устройства предотвращающие вторжения. Данные устройства позволяют предотвратить атаку до того, как она доберется до приложения клиента.
Надеюсь, данная статья помогла вам разобраться и осознать важность вопроса, а также представить тот объем работы, который мы проделываем ежедневно для того, чтобы обеспечивать безопасный режим функционирования облака.
