Sovereign Cloud: безопасность, конфиденциальность, комплаенс

Продолжение цикла материалов о Sovereign Cloud.
- Что такое «суверенное облако» и почему это важно
✓ Sovereign Cloud: безопасность, конфиденциальность, комплаенс
- Ваши данные могут больше! Как извлечь пользу из "закрытой" информации не подвергаясь рискам
- Облака без границ - мечта или реальность?
- Облака с европейскими принципами

Подавляющее число статей, блогов и других материалов, посвященных облачной тематике, касается экономических или технических вопросов. В то же время, почти не уделяется внимания аспектам юридическим и организационным, связанным с хранением и перемещением конфиденциальных данных, а также вопросам комплаенса (т.е. соответствия нормативным требованиям). Последний момент может стать источником головной боли для бизнеса или руководителей госучреждений (особенно, силовых и оборонных ведомств), особенно, если деятельность организации связана с международным сотрудничеством. Собственно, для эффективного и комплексного решения данной проблемы была разработана концепция VMware Sovereign Cloud Framework.

Требований всё больше, понимания всё… меньше

При масштабном использовании облачных технологий сегодня, одним из самых больших вопросов остается соблюдение законов о конфиденциальности данных, особенно, в контексте того, что в каждой стране они свои. К тому же такие законы неизбежно изменяются и дополняются со временем, что требует от оператора данных постоянного отслеживания соответствующих инициатив в каждой стране присутствия. Едва успели адаптироваться к GDPR, как появились требования по защите информации «Каталога контроля соответствия нормативным требованиям в сфере облачных вычислений» (Cloud Computing Compliance Controls Catalog или коротко — C5) или Европейской схемы сертификации кибербезопасности для облачных сервисов (EUCS). Не говоря уже о том, что кроме общегосударственных или региональных, в каждой стране могут быть свои отраслевые требования, скажем, в сфере финансов или здравоохранения.

Как бы то ни было, но во всех случаях, базовым требованием к конфиденциальным данным является их «резидентность». То есть, соответствующая информация должна храниться и обрабатываться на территории своей страны и не важно о какой инфраструктуре идет речь — локальной, облачной, гибридной. Для компаний, у которых есть данные о клиентах в нескольких странах, обеспечение комплаенса становится непростой задачей.

К тому же не все данные одинаковы и в общем случае делятся на:

• Открытые
• Конфиденциальные
• Секретные
• Совершенно секретные

Каждый из упомянутых типов данных требует собственного подхода для хранения и обработки в облаке.

Требования по безопасности и комплаенсу, в зависимости от категории данных размещенных в облаке.

Несоблюдение соответствующих директив может дорого обойтись, во всех смыслах. Так, в 2022 году за нарушение GDPR было наложено штрафов (www.dlapiper.com/en-us/insights/publications/2023/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2023) на сумму 1,6 млрд евро. Спектр причин чрезвычайно широк — от некорректного использования или хранения личных данных, до прямых утечек чувствительной информации и ее попадания в чужие руки. Учитывая объемы европейского бизнеса, сумма, относительно небольшая (тем более, почти гарантированно, большая ее часть будет оспорена). Но, что гораздо, гораздо хуже — это то, что компания или организация, попавшая в историю с нарушением GDPR зачастую лишается доверия на самых доходных рынках США и ЕС, а это почти равнозначно потере бизнеса в этих регионах, где репутация решает всё.

При этом, как показывает другое исследование (www.isaca.org/resources/reports/privacy-in-practice-2023-report) 54% организаций не имеют соответствующих навыков обеспечения комплаенса, а 46% толком не могут понять, какие законы и правила работы с чувствительной информацией, касаются непосредственно их деятельности. К тому же, почти каждая вторая компания сталкивается с технологическими ограничениями в попытках добиться соответствия нормативным требованиям, а 76 % организаций считают, что соблюдение комплаенса является главной проблемой в сфере облачных вычислений. 

Что делать в этой ситуации? Можно, например, закрыться в рамках собственной локальной инфраструктуры, лишившись многих преимуществ, которые дают коммерческие или гибридные облака. Но, есть и другой вариант — воспользоваться услугами сертифицированного сервис-провайдера, на площадке которого развернута платформа Sovereign Cloud powered by VMware .

Микросегментация, «нулевое доверие» и регулярный аудит

Главное преимуществом Sovereign Cloud с точки зрения соблюдения комплаенса — это наличие комплексной и сертифицированной системы защиты, созданной в соответствии с лучшими мировыми практиками в области защиты данных. Платформа настраивается, обслуживается и обновляется в полном соответствии с местным законам и нормативным актам, что избавляет пользователя от необходимости делать это самостоятельно. 

Если оператор развернул у себя на площадке облако, сертифицированное в соответствии с концепцией VMware Sovereign Cloud Framework, это означает, в частности, что в штате компании есть опытные специалисты, которые сумеют защитить приложения и данные в облаке от меняющихся векторов атак. Для этого используется широкий спектр инструментов управления безопасностью с соблюдением местных законов и требований по работе с конфиденциальными данными. Также в обязательном порядке используется система управления информационной безопасностью (Information Security Management System, ISMS), сертифицированная в соответствии с признанными отраслевыми стандартами, которая регулярно проходит аудит на актуальность.

Партнеры VMware, предлагающие сервис Sovereign Cloud проходят сложный процесс аттестации, состоящий не менее чем из двадцати пунктов. Оценивается общая структура политики безопасности, технологии защиты, хранения и обработки данных. По итогу присваивается соответствующий статус, например — De Novo Sovereign Cloud powered by VMware.

В числе требований к оператору — использование технологии микросегментации с нулевым доверием (micro-segmentation with zero-trust enforcement), которая гарантирует, что несвязанные рабочие нагрузки не смогут взаимодействовать друг с другом, без специального разрешения. «Суверенные облака» также должны иметь «воздушный зазор» и использовать надежное шифрование, чтобы защитить конфиденциальные данные от любого несанкционированного доступа. 

Шифрование может быть реализовано на всех этапах хранения и передачи данных с возможностью использования ключей, принадлежащих только клиенту. Также должна быть реализована общая структура политики безопасности для обеспечения единообразной защиты информации, развернута платформа управления приложениями и контейнерами в пределах страны и т.д. В общем, это то, что называется многоуровневый подход к обеспечению безопасности — глубоко эшелонированная оборона в облаке. 

Кроме того, вы клиент может использовать партнерские решения из огромной экосистемы VMware Sovereign для получения дополнительных сервисов аварийного восстановления данных или защиты от программ-вымогателей.

Отдельно стоит упомянуть еще об одном обязательном навыке оператора Sovereign Cloud — умение работать с каждым из четырех вышеупомянутых типов данных (включая метаданные), в соответствии с нормативными требованиями. Это гарантирует, что вся информация будет защищена надлежащим образом. Скажем, один комплекс мер будет использован для открытых данных, другой — для конфиденциальных. Ничего лишнего.

Подведем итог

Облако на базе VMware Sovereign Cloud Framework:

• Размещается в локальном дата-центре, на платформе, разработанной в соответствии с национальными нормативными требованиями и отраслевыми стандартами безопасности.
• Проходит ежегодный независимый профессиональный аудит по всем ключевым критериям
• Исключает несанкционированный доступ к данным
• Обеспечивает непрерывный мониторинг соответствия нормативным требованиям, прозрачную отчетность.

«Суверенное облако» может выступать как ключевой элемент вашей мультиоблачной стратегии, защищая секретные и конфиденциальные данные от всевозможных угроз, в соответствии с лучшими мировыми практиками. Локальное размещение предотвращает доступ к чувствительным данным со стороны иностранных властей и третьих лиц, помогая соблюдать национальные законы о конфиденциальности. При этом вы сохраняете все преимущества надежного и производительного коммерческого облака, оптимизируя затраты на ИТ-инфраструктуру.