Колко сигурен е облакът?

Андрес Банг, LinkedIn, Гари Кларк на Juniper, Том Лейтън от Akamai, Гордън Ритер от Emergence Capital и Кристина Алеси от Bloomberg

Колко сигурен е облакът? Редица участници на срещата на върха по Bloomberg Enterprise Technology миналата седмица говориха по този въпрос, особено след разкритията на Snowden и нарушаването на Target. Повечето бяха бичи относно потенциала на публичните облачни доставчици да предлагат по-добра сигурност от почти всякакви вътрешни услуги за данни. Но дори и най-оптимистичните признават, че много предприятия се чувстват по-удобно с повече контрол върху своите данни.

Например, Андрес Банг, ръководител на глобалните системи за продажби и операции за LinkedIn, заяви, че неговата фирма е голям клиент на публични облачни услуги и като такава зависи от такива доставчици. Но, каза той, компанията запази информацията за членовете си в частен облак, така че имаше повече контрол. Гари Кларк, IT CTO на Juniper Networks, заяви, че вижда много ИТ отдели да се развиват в брокери на облачни услуги, като 80 или повече процента от техните приложения са в облака, а останалите - в частен облак. Като цяло той видя компаниите да съхраняват най-частната си информация.

Според Том Лейтън, изпълнителен директор и съосновател на Akamai Technologies, в зависимост от сигурността в центъра за данни е модел, който е на път да се провали. Не е достатъчно да се защитавате само с продукти в центъра за данни; трябва да прехванете и обработите, преди да влезе в центъра за данни.

ЦРУ: Ти си „Само толкова силна, колкото и най-слабата ти връзка“.

Гус Хънт, бивш главен технологичен директор на ЦРУ

В друга сесия Гус Хънт, бивш главен технологичен директор на Централната разузнавателна агенция (ЦРУ) и настоящ изпълнителен директор на Hunt Technology, отбеляза, че всички големи доставчици на облаци имат "наистина превъзходна" сигурност, тъй като имат нужда от това, за да привлекат клиенти. Той разказа как ЦРУ използва облака на Amazon, макар и в специално копие, което Amazon управлява зад стените на ЦРУ (които от своя страна са защитени от оръжия и друга физическа охрана).

Но той отбеляза, че сигурността е „само толкова силна, колкото и най-слабата ви връзка“. Той обясни, че ако имате работно натоварване с уязвимост върху облачен доставчик, тези уязвимости продължават да съществуват. Но уязвимостта в едно натоварване не засяга други в облака. Така че, каза той, осигуряването на вашите собствени натоварвания остава критична задача.

Хънт каза, че проблемът със сигурността се превръща в "непримиримо трудно и трудно" и заяви, че наистина е трудно за всяка отделна компания да измисли как да се защити. Така той видя възхода на компаниите за сигурност като услуги, които ще инструментират вашата мрежа и ще контролират сигурността. Но той каза, че това е "състезание без оръжие", като информацията за неща като злонамерен софтуер се споделя почти мигновено, което го прави все по-трудно.

В крайна сметка, каза той, ще се съсредоточим повече върху защитата на данните, отколкото върху мрежите. "Това са данните, глупави", каза той. Трябва да го направим така, че да е трудно да намерим данните. Но ако някой премине, трябва бързо да бъде открит и поправен.

В дългосрочен план Хънт каза, че хората ще получат по-голям контрол върху своите данни и тяхната поверителност, благодарение на техники като криптиране и дешифриране и способността да подправят местоположенията. Това е чудесно за частните граждани, каза той, но създава големи предизвикателства за правоприлагането. „Ще можете да контролирате данните си до фина точка.“

Смекчаващ риск и "ефектът на Snowden"

Уейд Бейкър от Verizon Enterprise Solutions, Майк К. Браун от BlackBerry, д-р Бърт Калиски-младши от VeriSign, Джон Н. Стюарт от Cisco

Джон Н. Стюарт, главен служител по сигурността на Cisco, отбеляза, че един от проблемите е, че нямаме добра дефиниция на добро или лошо в сигурността на предприятието, така че е трудно да сравним сигурността от облачен доставчик с корпоративния облак. И Уейд Бейкър, управител на директора на научните изследвания и разузнаването в Verizon Enterprise Solutions, каза, че макар проблемите със сигурността да се случват в облака, това често няма значение, тъй като рядко е причинено от облака.

Бърт Калиски, главен технологичен директор на VeriSign, също разработи концепцията за преминаване към „информационно-ориентиран подход“ с много механизми за защита, но запазвайки повечето от тях невидими за крайния потребител.

Според Стюарт, облачната сигурност просто извежда на преден план „всеки грях, който не сме разрешили“, като цитира такива проблеми като проблема с потребителските имена и пароли. Той каза, че компаниите са прекалено фокусирани върху периметъра - „твърдата хрупкавост отвън“ - не върху центъра на техните данни и това трябваше да се промени. Той отбеляза, че защитата на данните придоби лоша репутация с DRM, но може да се окаже много важна. Но той предупреди, „повечето потребители не се интересуват от риска, те се грижат да свършат работата си по най-ефективния начин“.

Има много други важни фактори за сигурността на предприятията, каза Калиски, включително добро управление на информацията, като се съсредоточи върху доверието на всички елементи в една система, одит и управление на ключовете.

Всички се съгласиха, че „ефектът на Snowden“ предизвика вниманието към проблемите на сигурността, като много международни потребители сега разглеждат САЩ като зло, докато други смятат, че това означава, че САЩ знаят как да поправят нещата.

Раймунд Гени от Trend Micro, Рик Хауърд от Пало Алто мрежи, Седрик Лейтън, бивш от НСА, Майкъл Райли от Bloomberg News

Последва поредното заседание, свързано с въздействието на Сноудън, като основната загриженост беше, че това води до „трибализация на Интернет“, според полковник Седрик Лейтън, бивш заместник-директор по обучението в НСА, а сега изпълнителен директор на Седрик Лийтън Асошиейтс. Той отбеляза, че Интернет е проектиран да бъде глобален, но сега чуваме за неща като „немски облак“ или „швейцарски облак“ в допълнение към „голямата защитна стена на Китай“. Разкритията на Сноудън са послужили като оправдание за ренационализиране на нещата, каза той, и това прави значителна услуга за света и Интернет, с много непредвидени последици.

Раймунд Джийнс, главен технологичен директор на Trend Micro, отбеляза, че Snowden също започна дискусия относно сигурността като цяло. "Ако Snowden може да извади документи от НСА, какво пише за нашата индустрия?" попита той. Той говори за това колко е трудно да се доверят на вътрешните изпълнители и необходимостта да се направи по-сигурен Интернет като цяло, казвайки, че той смята, че правителството има роля.

Той се съгласи, че „Интернет е създаден да бъде глобален“ и каза, че някои от новите европейски правила, предназначени да съхраняват данни в своята държава или регион, от която произхождат, са смешни.

Докато двамата с Лейтън се съгласиха, че правителството има роля за повишаване на сигурността на Интернет, Рик Хауърд, главен директор по сигурността на Palo Alto Networks, заяви, че целият инцидент е доказал, че индустрията е свършил добра работа по осигуряването на сигурност и заяви, че доставчиците като трябва да бъдете по-добри относно изграждането на сигурност в повече решения. "Клиентите ще трябва да бъдат уверени, независимо от това, което правителството прави", каза той.