Шифрование облачных сервисов в компаниях и организациях
Представьте, что вы являетесь руководителем компании — у вас динамично развивающийся проект и вы предпочитаете идти в ногу со временем. С каждым годом ваша организация разрастается, расширяется штат сотрудников. В таком случае, один из основных вопросов, который вам постоянно придется решать — это обеспечение своей организации современными вычислительными технологиями, покупка нового программного обеспечения и лицензий.
Однако, это вовсе не обязательно. Почему бы вам не воспользоваться услугами облачных сервисов? Все, что для этого нужно – подключиться к приложению провайдера данной услуги, после чего ваша организация получит удаленный доступ его вычислительным ресурсам.
В таком случае, исходя из специфики решаемых задач и объемов обрабатываемой информации, нужно будет выбрать одну из трех существующих на сегодняшний день моделей обслуживания:
SaaS — программное обеспечение как сервис. В данном случае вы используете программное обеспечение, приложения и операционные системы провайдера, который полностью контролирует функционирование облачной инфраструктуры. По большому счету, вы управляете лишь своим аккаунтом (группой аккаунтов) с возможностью вносить незначительные изменения в некоторые настройки приложений. Примером данной услуги могут послужить YahooMail, Google Disk, Office Online и др.
PaaS — платформа как сервис. Здесь вы получаете возможность установки собственного программного обеспечения и построения приложений уровня Saas. Тем не менее, контроль операционных систем, серверов, хранилищ данных по-прежнему остается за провайдером. Самым простым примером здесь может послужить хостинг, где вы устанавливаете свою CMS, модули и плагины к ней, а также получаете доступ к MySQL, PHPMyAdmin и др.
IaaS — инфраструктура как сервис. Здесь у вас еще больше свободы – провайдер предоставляет лишь физический фундамент вычислительных мощностей (виртуальных машин), на основе которых вы можете развернуть свою облачную инфраструктуру и реализовать собственные решения уровня PaaS и Saas, контролируя устанавливаемые операционные системы и приложения.
Преимущества облачных сервисов
Минимальные первичные затраты. Изначально, для построения собственной информационной системы, компании требуется закупить дорогостоящее оборудование и программное обеспечение, а также оплатить работы по отладке ее работоспособности, что выливается не только в значительные финансовые, но и временные затраты.
При использовании облачных технологий вам достаточно подписать контракт с провайдером, после чего вы практически сразу получаете все сервисы, необходимые для развития вашего бизнеса на условиях оговоренной ежемесячной оплаты.
Доступность. Вы и сотрудники вашей компании получаете доступ к корпоративной информации, размещенной на облаке, в любое время, с любых устройств (смартфонов, планшетов, ноутбуков) и из любого места, где существует подключение к интернету.
Гибкость и адаптивность. В том случае, если для вас возникает необходимость в использовании дополнительных вычислительных ресурсов и подключении новых сервисов, провайдер способен предоставить их вам в течении нескольких часов. Аналогично, вы в любой момент можете отказаться от использования тех или иных ресурсов, если в них больше не будет необходимости.
Отсутствие эксплуатационных затрат. При использовании облачных сервисов, вас не касаются затраты, связанные с техническим обслуживанием компонентов ИС и поддержки ее работоспособности – все это ложится на плечи провайдера.
Мобильность и независимость. Стандартная серверная инфраструктура имеет привязку к офису компании и в случае его переезда у вас возникнет достаточно много проблем, связанных с перевозкой оборудования, прокладкой кабельных коммуникаций, перезаключения контрактов с интернет провайдерами и т. п. При использовании услуг облачного сервиса вы никак не привязаны к своему офису.
Защита информации на облачных ресурсах
Не смотря на все преимущества облачных технологий, многие руководители компаний с опаской относятся к их использованию, поскольку не желают доверять обработку и хранение своей корпоративной информации третьей стороне, беспокоясь за ее сохранность. Кроме того, если данные хранятся на облаке, то кому они принадлежат — вам или провайдеру данной услуги, на серверах которого они размещены? И может ли провайдер в какой-то момент отказать вам в доступе к размещенным файлам?
Еще один немаловажный вопрос – насколько защищенной оказывается ваша информация после ее размещения на облаке? Провайдеры облачных услуг утверждают, что причин для беспокойства нет, поскольку защита информации клиентов для них — вопрос первостепенной важности.
Однако, даже если провайдеру и удастся защитить ваши данные от атаки извне, можно ли быть уверенным, что сотрудники самого облачного сервиса не превысят должностные полномочия и не получат доступ к вашей информации? Даже в том случае, если на облаке предусмотрено шифрование, ключи шифрования также хранятся на облачном сервере, а значит все, кто имеет к ним доступ, может получить и к вашим зашифрованным данным.
Поэтому единственным решением в данном случае видится шифрование информации на стороне пользователя и отправка ее на облако уже в зашифрованном виде. При этом ключи шифрования хранятся только у вас и возможность того, что к вашим данным получат доступ злоумышленники извне либо сотрудники самого облачного сервиса исключается.
Шифрование облачных сервисов при помощи CyberSafe
При работе с CyberSafe все данные, отправляемые на облако, предварительно шифруются и попадают на удаленный сервер уже в зашифрованном виде. Ключи шифрования при этом сохранятся либо на локальном компьютере пользователя, либо на съемном носителе. Администратор безопасности получает возможность назначить для каждой зашифрованной папки ключи определенных пользователей и разграничить таким образом доступ к различным категориям информации.
Шифрование данных на удаленном облачном ресурсе (в данном примере это Google Диск) в CyberSafe происходит по следующему сценарию.
1. В корпоративном аккаунте для папки с шифруемыми документами (в данном примере это Group1) администратор безопасности настраивает совместный доступ для тех сотрудников, которые в дальнейшем будут с ними работать. Делается это средствами Google Диска – на электронные адреса данных пользователей, закрепленные за их аккаунтами, отправляются приглашения с предоставлением доступа к данной папке. Также админ отправляет приглашение и на свой адрес электронной почты:
Здесь же пользователям задаются права доступа, такие как Редактирование и Чтение.
2. После этого, администратор входит в свой персональный аккаунт Google, принимает отправленное приглашение и добавляет папку Group1 к себе на Диск. Как на компьютере администратора, так и на компьютерах других сотрудников, уже должны быть установлены приложения Google Диска, настроенные на работу с соответствующими аккаунтами.
3. После того, как произошла синхронизация и папка Group1 скопировалась на компьютер администратора, он добавляет ее в CyberSafe в раздел Облачное шифрование и назначает к этой папке ключи пользователей, которые в дальнейшем смогут с ней работать:
В дальнейшем администратор безопасности всегда может переназначить ключи, удалив какого-либо пользователя из группы либо добавить ключ нового.
4. После добавления ключей, CyberSafe создаст папку синхронизации (зеркальную копию папки Group1). В дальнейшем все действия с зашифрованными файлами осуществляются только из папки синхронизации:
5. Аналогичным образом администратор добавляет в CyberSafe и другие папки с файлами, которые должны быть зашифрованы и назначает для них ключи уже других групп сотрудников.
Для того, чтобы начать работу с данными папками, их необходимо Включить:
После того, как папка включена, все файлы в ней доступны для работы в режиме прозрачного шифрования.
6. CyberSafe создаст зашифрованные копии уже существующих файлов, после чего все незашифрованные оригиналы будут удалены как с компьютеров пользователей, так и с облачного ресурса. Все новые файлы, добавляемые в эти папки, автоматически шифруются.
7. На облаке в каждой из папок CyberSafe создаст файл cybersafe.cloud.conf, в котором содержатся открытые ключи допущенных к ней пользователей. Для того, чтобы пользователи не внесли в него изменения или не удалили этот файл, администратор разрешает только его чтение.
8. Аналогичным образом пользователи добавляют зашифрованные папки в CyberSafe на своих компьютерах. После этого они получают возможность работать с документами в тех папках, к которым допущены, а внесенные каждым из них изменения, в результате синхронизации, обновляются на компьютерах всей группы. В то же время копии файлов, размещенные на облаке, всегда находятся в зашифрованном виде.