10 вопросов по безопасности, которые стоит задать своему облачному провайдеру

By | Июнь 24, 2015

Масштабируемость, гибкость и удобство таких услуг как SaaS, IaaS, PaaS привносят дополнительные риски для бизнеса.

Мы подготовили 10 обязательных вопросов, которые стоит задать поставщикам перед подписанием контракта. Эти вопросы помогут оценить риски безопасности для вашего бизнеса

1. Ведёте ли вы защищённый протокол того, кто, что и когда делал в системе, через графический интерфейс или API?

Если пользователь может отслеживать действия от имени своего аккаунта (т.е. просмотреть audit trail), это может помочь в защите против ошибок и злоумышленных действий, а так же заставит пользователей быть более внимательными к деталям. Кроме того, такое отслеживание может помочь в устранении проблем и отыскании их первопричин.

2. Какую роль в защите данных играю я, а какую вы?

Понимание того что предприятия должны играть важную роль в защите и доступности своих данных, даже если используется поставщик облачных услуг, имеет решающее значение для управления рисками. Большинство облачных провайдеров будут требовать коллективной ответственности за безопасность и предприятия не вправе обвинять провайдера в нарушениях.

3. Шифруется ли передача данных, в том числе сервер-сервер, в ЦОД?

Безопасность сильна настолько, насколько сильно её самое слабое звено. Чаще всего, самой серьёзной защите используя шифрование подвергаются данные от поставщика к клиенту, при этом слабым звеном может оказаться передача внутри сервера поставщика. Этим и могут воспользоваться злоумышленники.

4. Какой уровень доступа к протоколам вы даёте?

Как просто это бы не звучало, это является одной из важнейших проблем при выборе поставщика. Конечные пользователи не получат от облачного провайдера всего объёма и многообразия протокольной информации, которую они получат от сервера в своём собственном ЦОДе, соответственно компании следует внимательно рассмотреть то, какую информацию они могут и не могут получить от поставщика. Хотя значительная часть такой информации не является релевантной для компании, возможно, что критически важные сведения не будут раскрыты. Если это необходимо, о раскрытии логов следует договориться заранее.

5. Переход от одного поставщика к другому.

Ничто не вечно, именно поэтому стоит рассмотреть такие вопросы как переход к другому поставщику. Следует уточнить такие пункты:

— Как поставщик может помочь перейти к другому провайдеру, а так же сделает этот переход более эффективным?
— Какие меры принимает компания поставщик для уничтожения данных, и какие доказательства она имеет на то, что на их серверах больше не хранятся данные ушедших от них компаний?
— Имеет ли этот поставщик отчёты или отзывы независимых фирм (экспертов) об успешных миграциях их предыдущих клиентов?

6. Где физически расположены сервера, данные и процессы.

Несмотря на то, что облачные вычисления не имеют физических границ, поставщики размещают свои серверы в реальных странах, и эти страны имеют свои правовые нормы к конфиденциальности и безопасности данных. Будьте в курсе требований и законов той страны, в которой будут находиться ваши данные и вычислительные процессы.

7. Кто может просматривать данные предприятия в облаке?

Так же как и в собственных ЦОДах компаний, у облачного провайдера будут сотрудники, которые занимаются поддержкой ваших сервисов. Узнайте, кто из них будет иметь доступ к вашим данным. Какой существует внутренний контроль для предотвращения несанкционированного просмотра, копирования или отправки данных по почте третьим лицам.

8. Какова доступность сервиса?

Многие поставщики услуг предлагают вам доступность 99,9%, а это означает что возможное время простоя, связанное с каким-либо форс-мажором, может доходить до 45 минут в месяц. В случае нарушения SLA, вам будет возмещён процент от суммы, которую вы заплатили за месяц, хотя потери вашей компании могут быть гораздо больше. Выбор надёжного поставщика, который может гарантировать безотказную работу вашего сервиса, очень важен для вашего бизнеса.

9. Есть ли у вас сертификат ISO27001:2013? Если да, что он покрывает?

Этот вопрос поможет выяснить, добился ли поставщик признанных стандартов по информационной безопасности, а так же весь ли их бизнес проходил аудит в рамках получения этого сертификата, или только какие то части.

10. Практикуете ли вы плановые тесты на взлом (проникновение)?

Тест на проникновение (penetration test, pentest) со стороны потребителя, позволяет проверить, насколько хороша защита от внешних атак. Поставщики, которые позволяют осуществить тестирование, готовы быть прозрачными в своей практике информационной безопасности, а так же говорит о том, насколько уверены в своей защите провайдеры.