Sovereign Cloud: безпека, конфіденційність, комплаєнс
2023-07-07
У переважній більшості матеріалів присвячених хмарній тематиці майже не приділяється уваги аспектам юридичним та організаційним, пов'язаним зі зберіганням та переміщенням конфіденційних даних, а також питанням відповідності нормативним вимогам.
Продовження циклу матеріалів про Sovereign Cloud:
- Що таке «суверенна хмара» і чому це важливо
✓ Sovereign Cloud: безпека, конфіденційність, комплаєнс
- Ваші дані можуть більше! Як мати користь із «закритої» інформації не наражаючись на ризики
- Хмари без кордонів — мрія чи реальність?
- Хмари з європейськими принципами
Переважна більшість статей, блогів та інших матеріалів, присвячених хмарній тематиці, стосується економічних чи технічних питань. Водночас майже не приділяється уваги аспектам юридичним та організаційним, пов'язаним зі зберіганням та переміщенням конфіденційних даних, а також питанням комплаєнсу (тобто відповідності нормативним вимогам). Останній момент може стати джерелом головного болю для бізнесу або керівників держустанов (зокрема силових та оборонних відомств), особливо якщо діяльність організації пов'язана з міжнародним співробітництвом. Власне, для ефективного та комплексного розв'язання цієї проблеми було розроблено концепцію VMware Sovereign Cloud Framework.
Вимог все більше, розуміння все… менше
У разі масштабного використання хмарних технологій одним із найбільших питань залишається дотримання законів про конфіденційність даних, особливо в контексті того, що в кожній країні вони свої. Попри це, такі закони неминуче змінюються і доповнюються з часом, що вимагає від оператора даних постійного відстеження відповідних ініціатив у кожній країні присутності. Щойно встигли адаптуватися до GDPR, як з'явилися вимоги захисту інформації «Каталогу контролю відповідності нормативним вимогам у сфері хмарних обчислень» (Cloud Computing Compliance Controls Catalog, скорочено — C5) або Європейської схеми сертифікації кібербезпеки для хмарних сервісів (EUCS). До того ж окрім загальнодержавних чи регіональних, у кожній країні можуть бути свої галузеві вимоги, скажімо, у сфері фінансів чи охорони здоров’я.
У всіх випадках базовою вимогою до конфіденційних даних є «резидентність». Тобто, відповідна інформація має зберігатися та оброблятися на території своєї країни й не важливо про яку інфраструктуру йдеться — локальну, хмарну, гібридну. Для компаній, які зберігають дані про клієнтів у різних країнах, забезпечення комплаєнсу стає непростим завданням.
До того ж не всі дані однакові та в загальному випадку поділяються на:
- Відкриті
- Конфіденційні
- Таємні
- Цілком таємні
Кожен зі згаданих типів даних вимагає особливого підходу для зберігання та обробки у хмарі.
Вимоги щодо безпеки та комплаєнсу, залежно від категорії даних розміщених у хмарі.
Недотримання відповідних директив може дорого обійтися. Так, за даними одного дослідження (www.dlapiper.com/en-us/insights/publications/2023/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2023) у 2022 році за порушення GDPR було накладено штрафів на суму 1,6 млрд. євро. Спектр причин широкий — від некоректного використання чи зберігання особистих даних до прямих витоків чутливої інформації та її потрапляння до третіх осіб. Враховуючи обсяги європейського бізнесу, сума відносно невелика (тим більше майже гарантовано, більша її частина буде оскаржена). Але, найгірше, що компанія, яка потрапила в історію з порушенням GDPR, втрачає довіру на найприбутковіших ринках США та ЄС, а це може означати навіть втрату бізнесу в цих регіонах, де репутація вирішує все.
Як свідчить інше дослідження (www.isaca.org/resources/reports/privacy-in-practice-2023-report), 54% організацій не мають відповідних навичок забезпечення комплаєнсу, а 46% не усвідомлюють певною мірою, які закони та правила роботи з чутливою інформацією стосуються безпосередньо діяльності їх організації. До того ж майже кожна друга компанія стикається з технологічними обмеженнями у спробах домогтися відповідності нормативним вимогам, а 76% організацій вважають, що дотримання комплаєнсу є головною проблемою у сфері хмарних обчислень.
Що робити в цій ситуації? Можна, наприклад, залишитися в рамках власної локальної інфраструктури, втративши багато переваг, які дають комерційні чи гібридні хмари. Але є й інший варіант — скористатися послугами сертифікованого сервіс-провайдера, на майданчику якого розгорнуто платформу Sovereign Cloud powered by VMware.
Мікросегментація, «нульова довіра» та регулярний аудит
Головною перевагою Sovereign Cloud з точки зору дотримання комплаєнсу є наявність комплексної та сертифікованої системи захисту, створеної відповідно до кращих світових практик у галузі захисту даних. Платформа налаштовується, обслуговується та оновлюється у повній відповідності до місцевих законів та нормативних актів, що позбавляє користувача необхідності робити це самостійно.
Якщо в оператора розгорнуто хмару, що сертифікована відповідно до концепції VMware Sovereign Cloud Framework, це означає, зокрема, що в штаті компанії є досвідчені фахівці, які зуміють захистити застосунки та дані у хмарі від найрізноманітніших видів атак. Для цього використовується широкий спектр інструментів управління безпекою з дотриманням місцевих законів та вимог щодо роботи з конфіденційними даними. Також обов'язково використовується система управління інформаційною безпекою (Information Security Management System, ISMS), сертифікована відповідно до визнаних галузевих стандартів, яка регулярно проходить аудит на актуальність.
Партнери VMware, що пропонують сервіс Sovereign Cloud, проходять складний процес атестації, що складається не менше ніж з двадцяти пунктів. Оцінюється загальна структура політики безпеки, технології захисту, зберігання та обробки даних. У підсумку, надається відповідний статус, до прикладу — De Novo Sovereign Cloud powered by VMware.
Серед вимог до оператора — використання технології мікросегментації з нульовою довірою (micro-segmentation with zero-trust enforcement), яка гарантує, що непов'язані робочі навантаження не зможуть взаємодіяти одне з одним без спеціального дозволу. «Суверені хмари» також повинні мати «повітряний прозір» і використовувати надійне шифрування, щоб захистити конфіденційні дані від будь-якого несанкціонованого доступу.
Шифрування може реалізовуватись на всіх етапах зберігання та передачі даних з можливістю використання ключів, що належать лише клієнту. Також має бути реалізована загальна наскрізна структура політики безпеки для забезпечення захисту інформації, розгорнуто платформу управління додатками та контейнерами в межах країни тощо. Загалом це те, що називається багаторівневий підхід до безпеки — глибоко ешелонована оборона в хмарі.
Крім того, клієнт може використовувати партнерські рішення з величезної екосистеми VMware Sovereign для отримання додаткових сервісів аварійного відновлення даних або захисту від програм-вимагачів.
Окремо варто згадати ще одну обов'язкову навичку оператора Sovereign Cloud — вміння працювати з кожним із чотирьох вищезгаданих типів даних (включаючи метадані), відповідно до нормативних вимог. Це гарантує, що вся інформація буде захищена належним чином. Скажімо, один комплекс заходів буде використаний для відкритих даних, інший для конфіденційних. Нічого зайвого.
Що у підсумку
Хмара на базі VMware Sovereign Cloud Framework:
- Розміщується у локальному дата-центрі, на платформі, розробленій відповідно до національних нормативних вимог та галузевих стандартів безпеки.
- Проходить щорічний незалежний професійний аудит за всіма ключовими критеріями
- Виключає несанкціонований доступ до даних
- Забезпечує безперервний моніторинг відповідності нормативним вимогам та прозору звітність.
«Суверена хмара» може бути ключовим елементом вашої мультихмарної стратегії, захищаючи секретні та конфіденційні дані від всіх можливих загроз відповідно до кращих світових практик. Локальне розміщення запобігає доступу до чутливих даних з боку іноземної влади та третіх осіб, допомагаючи дотримуватись національних законів про конфіденційність. При цьому ви зберігаєте всі переваги надійної та продуктивної комерційної хмари, оптимізуючи витрати на ІТ-інфраструктуру.