Beneficiile de performanță și competivitatea costurilor aduse de o soluție de tip cloud susțin în continuare trendul de migrări dinspre soluțiile de infrastructură clasice, dedicate, către modele de arhitecturi distribuite. În ciuda interesului în creștere pentru astfel de sisteme, temerile de securitate asociate acestor modele sunt în continuare o îngrijorare marcată în rândul intenționiștilor de cloud. Credențiale compromise, API-uri hackuite sau exploatări de vulnerabilități de sistem – sunt doar câteva exemple de riscuri asociate cu această soluție.
Anticipând reținerile pieței și din dorința de a veni în sprijinul intenționiștilor de cloud, un grup de companii tech americane a decis recent înființarea alianței Vendor Security Alliance. VSA, ai cărei membrii fondatori includ companii precum Uber, Airbnb, Twitter, Dropbox și Dokker, și-a setat ca misiune evaluarea și îmbunătățirea securității pe Internet. În acest scop, alianța și-a propus să redacteze un chestionar anual care să fie aplicat furnizorilor de cloud, în evaluarea gradului de risc cu care soluțiilor acestora vin. Primul astfel de chestionar va fi publicat în data de 1 Octombrie 2016 și va fi disponibil gratuit online.
Până când experții în securitate și specialiștii în conformitate se vor pronunța asupra indicatorilor de măsurare de risc, ne-am propus să vă venim în ajutor cu un Checklist de 10 itemi pe care să îi verificați la alegerea furnizorului de cloud. Lucrând de peste 12 ani în dezvoltarea de soluții cloud, inginerii Easyhost s-au tot lovit de și au experimentat extensiv cu multiple vulnerabilități de securitate. Am cules toate informațiile din cazurile cu care aceștia s-au întâlnit în ultimii ani și am alcătuit următoarea listă. Rolul acesteia este de a înlesni o primă evaluare, strict din perspectiva securității datelor, a potențialilor furnizori de cloud cu care intenționați să intrați în parteneriate strategice.
Verifică împreună cu furnizorul de cloud în ce măsura soluția propusă de ei acoperă următoarele aspecte.
10 chestiuni de securitate de adresat în cloud
- Ce măsuri de securitate a implementat furnizorul în vederea protejării identității platformei clientului în rețea? Managementul identității se realizează centralizat sau distribuit?
- Ce măsuri au fost luate pentru protejarea API-urilor? Furnizorul are deja implementate aplicații de evaluare a riscului și efectuează periodic teste de penetrație și reviewuri de cod cu focus pe securitate?
- Furnizorul are experiență cu sisteme de logguri centralizate și cu sisteme inteligente de monitorizare?
- Ce sisteme de firewall folosește furnizorul? Există experiență anterioară cu instalarea de sisteme centralizate de firewall?
- Ce fel de măsuri a implementat furnizorul pentru protejarea arhitecturii de acțiuni de tip phishing, fraudă sau exploatare de software?
- Cum realizează furnizorul monitorizarea pro-activă împotriva atacurilor DDoS și ce opțiuni de raportare abuz i-a pus clientului la dispoziție?
- Ce mecanisme de criptare a informației sunt implementate și ce fel de soluții de autentificare sunt în uz?
- Ce fel de proceduri sunt implementate pentru analiza periodică a vulnerabilităților de sistem? Există implementat un sistem de management al schimbărilor? Cum sunt documentate modificările în cadrul companiei furnizorului?
- Care este frecvența cu care se face back-up datelor? Există opțiuni de stocare date și ”off-site”?
- Ce experiență are furnizorul cu procedurile de Disaster Recovery ?
Lista ar putea desigur continua, iar fiecare item la rândul său se poate detalia oricând într-un punct de discuție de sine stătător. Verificarea faptului că furnizorul de cloud cu care intenționați să colaborați a provizionat măsuri pentru toate aceste aspecte este însă un punct bun de pornire. În plus, includerea în oferta furnizorului a serviciilor de tip managed services poate oferi o garanție în plus cu privire la competențele și experiența furnizorului în chestiuni de securitate.
Dacă securitatea în cloud este un subiect de interes în decizia ta de migrare în cloud, te invităm să explorezi Easycloud și măsurile de securitate cu care soluția noastră a fost construită. Pentru mai multe informații despre ce îl face pe EasyCloud cea mai rezistentă arhitectură de cloud public de pe piață, te așteptăm cu detalii la 072SERVERE.