Для государственных организаций и госкомпаний требования безопасности критичны при выборе облачных ИТ-решений, поэтому и «Аплана Диджитал» и «Яндекс.Облако» уделяют особое внимание их безопасности. 

На заре «облачной революции» сама мысль о том, чтобы передать какую-то информацию или приложения за пределы периметра казалась многим заказчикам невозможной. Однако практика показала, что есть много вариантов облачных сервисов, которые решают назревшие проблемы в ИТ и при этом не создают дополнительных угроз. Заказчики научились проверять уровень защищенности провайдеров.

Отсутствие утечек и взломов ― вопрос для провайдеров еще более принципиальный, чем для банков. 

Другой вопрос ― как конкретно выстроены процессы защиты конкретного облака. Есть несколько направлений обеспечения безопасности.

Классический пример. Множество организаций, которые работали на рынке 5-7 лет назад, предпочитали огораживать свою сеть корпоративным файрволом, и внутри они не уделяли большого внимания безопасности. Они считали, что раз системы защищены файрволом, то внутрь к ним не пробраться. Если внутри не будет дополнительного контроля безопасности, то злоумышленник быстро получит то, что ему надо.

Говоря об эффективных методах защиты приложений в облаке, стоит упомянуть межсетевые экраны веб-приложений (WAF) ― специализированные решения для противодействия атакам и контроля использования приложений и сервисов.

WAF-системы позволяют обеспечить высокую эффективность защиты за счет:

• сочетания максимально подробных моделей работы защищаемого приложения, наряду с сигнатурными и семантическими методами обнаружения аномалий;
• гибкой настройки под особенности защищаемых приложений;
• анализа бизнес-логики работы приложения;
• интеллектуальных алгоритмов машинного обучения, которые позволяют повысить вероятность обнаружения атак и оптимизировать производительность решения.
  
  

«Аплана Диджитал» осуществляет БЕСПЛАТНУЮ миграцию ИТ сервисов, веб-сайтов и приложений коммерческих и государственных организаций на платформу ведущего российского провайдера облачных услуг Яндекс.Облако. Многие организации уже воспользовались этим предложением, воспользуйтесь и вы.

Если говорить об облаке и современном подходе к защите, то помимо защиты, связанной с межсетевым экранированием, данные клиентов в облаке в обязательном порядке шифруются вне зависимости от того, где они размещены: виртуальная машина, база данных или какое-либо хранилище, которое использует клиент.

Физическая безопасность не менее важна. ЦОДы Яндекса.Облака сертифицированы на соответствие требованиям стандарта PCI DSS. PCI DSS ― это стандарт, который описывает защиту для данных платёжных карт. Они хорошо защищаются и требования достаточно суровые, так что прохождение такой сертификации ― это маркер. Другой стандарт, ISO/ECI 27001, определяет требования к процессам безопасности, эту сертификацию ЦОДы Яндекс.Облака прошли, а также проверку на выполнение требований ISO/ECI 27017. Это стандарт, который определяет безопасность облачных провайдеров. ISO 27018 ― это требование по защите персональных данных внутри различных систем.

На уровне данных используется дополнительный контроль безопасности, дополнительные механизмы защиты для того, чтобы не полагаться на только на физическую защиту. Это соответствует подходу «эшелонированной обороны», когда на пути потенциального злоумышленника стоит не только одна дверь, но и ещё множество различных препятствий.

Также защищена и передача клиентских данных по TLS протоколу между клиентским центром обработки данных, облачным ЦОД и внутри него. Все сервисы внутри используют и межсервисную идентификацию, и протокол TLS, если они передают клиентские данные друг другу. Это считается хорошей практикой безопасности.

Для заказчиков из госсектора особенно важно выполнение требований 152-ФЗ «О персональных данных». Все ЦОДы Яндекс.Облака находятся на территории Российской Федерации. Когда клиент передаёт персональные данные провайдеру, то их обработчиком становится провайдер. Для защиты в роли обработчика в Яндекс.Облако выстроены все необходимые процессы и получены лицензии ФСТЭК (Федеральная служба по техническому и экспортному контролю).

Более детально узнать о безопасности облачных сред можно в этом видео