Безопасность в облаке: бег впереди паровоза

Автор: Константин Анисимов
Источник: Компьютерра

На одной из недавних конференций для разработчиков софта мне довелось принять участие в круглом столе по облачным вычислениям. Такие события лучше не пропускать - на них участники рынка без обиняков высказываются на самые волнующие их темы. Так случилось и на этот раз. Первый вопрос участникам был о безопасности, и затем вся дискуссия крутилась вокруг этого вопроса.

Разработчики, которые составляли львиную долю аудитории этой конференции, естественно, припоминали "маски-шоу" в случае с "Агавой", падение cloud-сервиса крупнейшего в России авиаперевозчика из-за хакерской атаки, конфликт "МакХоста" с "Оверсаном" и другие "события непреодолимой силы". Это вполне естественно - опасаться за светлое будущее собственного бизнеса. Удивило другое: будущие облачные сервисы рассматривают аспект безопасности только с точки зрения угроз, но никак не с точки зрения возможностей. Ведь всем очевидно, что хранить деньги под подушкой гораздо опаснее, чем в банке. Эту же идею, но только применительно к данным, нужно "продавать" и потенциальным заказчикам из числа компаний малого и среднего бизнеса.

Когда я слышу на каждом углу разговоры про небезопасность публичных облаков, причем распространяемые их же представителями, мне кажется это странным. Я могу понять, когда такие вещи звучат из уст "энтерпрайза", но чтобы в аналогичном ключе высказывались сами сервис-провайдеры - непонятно. И у нас в стране, и за рубежом у разного вида облачных провайдеров существуют свои сложности по части обеспечения безопасности ЦОДов и облачных сервисов. За рубежом это не останавливает "клауды" в развитии собственных услуг, а у нас, как обычно, кивают на те самые "обстоятельства непреодолимой силы". Якобы, сложно работать, не знаешь чего ожидать в следующую минуту.

На секундочку хочу заметить, что в США при построении внутренних облаков компаниям предъявляют огромное количество требований по обеспечению безопасности, даже в отношении места расположения ЦОДа – он, как правило, должен находиться в том же самом штате, где находится компания. Средний и малый бизнес в Канаде не хочет хранить свои данные на территории США, и хостинг-провайдеры Канады вынуждены отвечать этим требованиям, размещая дата-центры у себя в стране. Более того, их маркетинговые стратегии строятся на основе фактора географического расположения данных.

Российские хостинг-провайдеры предпочитают говорить о препятствиях развития их бизнеса, в первую очередь о проблемах безопасности их ЦОДов, вместо того, чтобы человеческим языком говорить о преимуществах клауда: возможности забыть о проблемах с поддержкой IT-инфраструктуры и новых сервисах уровня крупных корпораций, предоставляемых по абонентской плате. Российские малые и средние компании не надо обучать терминологии "клауда". Им надо просто предлагать большее количество услуг. На мой взгляд, подобного рода разговоры сервис-провайдеров на фоне бездействия звучат как приглашение пробежаться впереди паровоза. Мол, вы докажите, что это все безопасно, а потом мы подумаем, делать облачные сервисы или нет.