+7 495 228-02-08 info@tessis.ru
ВХОД
Меню
Array ( [ROOT_MENU_TYPE] => top [MENU_CACHE_TYPE] => Y [MENU_CACHE_TIME] => 36000000 [MENU_CACHE_USE_GROUPS] => Y [MENU_CACHE_GET_VARS] => [MAX_LEVEL] => 2 [CHILD_MENU_TYPE] => left [USE_EXT] => [DELAY] => N [ALLOW_MULTI_SELECT] => [CACHE_TYPE] => Y [CACHE_TIME] => 36000000 [~ROOT_MENU_TYPE] => top [~MENU_CACHE_TYPE] => Y [~MENU_CACHE_TIME] => 36000000 [~MENU_CACHE_USE_GROUPS] => Y [~MENU_CACHE_GET_VARS] => [~MAX_LEVEL] => 2 [~CHILD_MENU_TYPE] => left [~USE_EXT] => N [~DELAY] => N [~ALLOW_MULTI_SELECT] => N [~CACHE_TYPE] => Y [~CACHE_TIME] => 36000000 [CACHE_SELECTED_ITEMS] => 1 )

Облачное шифрование: это всё про управление ключами

Также как и в других секторах безопасности, переход в облачные структуры вдохнул новую жизнь в давно-существующие технологии безопасности.  В последние годы мы наблюдаем возрождение шифрования как основного пути гарантировать, что уязвимые данные защищены даже вне корпоративных границ.  Шифрование является, возможно, одним из старейших инструментов безопасности, и доступно тысячелетия, но его сложность часто означала, что ему  придавалось второстепенное значение, и оно использовалось только  в наиболее строгих случаях.

Облака это изменили

.cloud-encryption-keys.png

Также как и в эру «до облаков», шифрование имеет несколько потенциальных недостатков.  Одна из основных задач – это использовать шифрование таким путём, который позволил бы важным приложениям нормально функционировать, а также  не влиял бы на производительность, продолжительность работы, и, что наиболее важно, на опыт пользователя.

Вторая не менее важная задача это управление ключами шифрования.  То, как вы обращаетесь с ключами шифрования, безопасно делитесь ими с другими сторонами, передаёте их, чрезвычайно важно, так как тот, кто контролирует ключи, буквально является собственником данных. История дала нам немало примеров, как слабая криптография или плохое управление ключами  может быть гораздо худшим вариантом, нежели неимение шифрования совсем.

По отношению к облачной безопасности, и, в частности, SaaS  приложений, вопрос управления ключами всегда был несколько спорным.  В последние годы появились компании, которые предоставляют шифрование для различных SaaS приложений, используя  межсетевую модель, которая перехватывает трафик на пути к различным SaaS приложениям и шифрует уязвимые данные.  Ещё более важно то, что эти компании могут это делать таким образом, при котором большая часть функционала приложений SaaS  сохранена, и клиенты сохраняют контроль над ключами на собственной территории, для гарантии того, что поставщик услуг SaaS может получить доступ к данным, либо умышленно либо в случае законного требования.  Основным потенциальным недостатком этого подхода является дороговизна, и с точки зрения аппаратной и интеграционной части, а также влияния на производительность приложений (в особенности когда приложения обновляются).

В добавлении к решениям по шифрованию от третьих сторон, мы недавно наблюдаем тенденцию у поставщиков SaaS и дистрибуторов больших данных предоставлять шифрование и управление ключами самостоятельно.  Таким образом клиенты могут защитить свои данные без дополнительной стоимости и работы по интеграции, которая требуется в случае приобретения решений у компаний третьей стороны.  Примерами являются дистрибуторы больших данных Cloudera и Hortonworks, каждый из которых в прошлом году купил поставщика решений по шифрованию, что позволяет им предлагать своим клиентам шифрование  как стандартную опцию или как премиум услугу.

Среди поставщиков  SaaS компания Box также предлагает собственные решения по шифрованию. Ранее в этом году она представила премиум версию, которая позволяет клиентам сохранять контроль над их ключами шифрования путем их физического отделения от внутренних серверов и администраторов  Box.  Новейший пример – это запуск компанией Salesforce собственного решения по шифрованию – Платформа Шифрования – как части их нового премиум решения  Salesforce Shield.  Платформа Шифрования  имеет набор довольно интересных характеристик, и была спроектирована  так, чтобы сотрудники Salesforce не смогли её использовать в ненадлежащих целях.  Однако, у клиентов нет возможности хранить ключи на своей территории, что может быть воспринято нормально многими клиентами, но не теми, которые должны соответствовать строгим требованиям регуляторов, либо отвечать стандартам хранения данных.  

Тогда возникает вопрос на засыпку, сколько клиентов попадает в каждую из этих групп?  Облачная безопасность всё ещё находится на ранней стадии развития, и принятие рынком решений от компании Box и Salesforce должны повлечь за собой появление интересных кейсов, показывающих, как будет развиваться индустрия облачной защиты данных с течением времени.  Прогноз на ближайшее время заключается в том, что будут сосуществовать несколько моделей, с решениями, как от производителя, так и от третьей стороны, с управлением ключами, как провайдером, так и клиентом.  В любом случае, чем больше облачная инфраструктура и приложения  вплетаются в инфраструктуру большинства современных предприятий, тем более ожидаемо предложение шифрования в качестве стандартной опции вместе с большинством облачных решений.  Вместе с тем как шифрование занимает своё законное место в инструментарии облачной безопасности, появляется необходимость в системе управления ключами, которая поддерживает широкий спектр архитектур по шифрованию,  а также облачных, и подстраивается под требования эластичной, индивидуальной инфраструктуры.  В конечном итоге тот, у кого ключи, контролирует царство.

Независимо от того, к какой группе вы относитесь, исторически достаточно хорошая безопасность была, скажем так, достаточно хорошей. Слишком многим организациям было достаточно поставить галочки напротив пунктов списка требований и двигаться дальше. Однако, мы видим всё больше доказательств тому, что это меняется,  и  казалось бы бесконечная череда  утечек данных  может привести к тому, что многие компании будут следовать лучшим практикам внедрения, нежели чем выполнять необходимы минимум.  Учитывая вышесказанное, наш прогноз состоит в том, что до поры до времени недостаток в возможности управления ключами на месте будет являться  препятствием к покупке для многих клиентов.

Для крупных поставщиков  SaaS, IaaS и провайдеров больших данных, будет всё более характерно предлагать свои собственные решения по шифрованию, в то время как они стремятся соответствовать требованиям клиентов по защите данных.  Но как они будут обращаться с управлением ключами шифрования?  Поступят ли они по модели Salesforce и будут хранить ключи у себя, или же пойдут по пути Box и позволят клиентам их контролировать?   

Как было упомянуто ранее, для клиентов со строгими внутренними политиками безопасности или для тех, кому необходимо соответствовать стандартам хранения данных, управление ключами на своей территории будет обязательным, и для этой группы поставщики шифрования третьей стороны всё ещё будут играть огромную роль. В любом случае мы увидим, как поставщики решений  будут больше смотреть в сторону управления ключами, а не в сторону базового шифрования, особенно учитывая, что многие клиенты внедряют  множество облачных приложений, и могут нуждаться в централизованном управлении ключами шифрования.

Из более мелких провайдеров SaaS, многие могут интегрировать решения других поставщиков шифрования и управления ключами непосредственно в собственные продукты, нежели чем использовать те временные и рабочие ресурсы, какие использовали компании Salesforce и  Box чтобы разработать свои продукты.  

Независимо от того, как всё сложится, управление ключами шифрования останется ключевым моментом в борьбе за безопасность данных в облаке.

Гарет Беккер (Garrett Bekker )

 garrett-bekker-avatar.jpg

Ведущий Аналитик по безопасности предприятий в компании 451 Research, имеет более 15 лет опыта в безопасности предприятий. Для того, чтобы узнать о его других статьях о безопасности присоединяйесь к нему в Твиттере @gabekker и прочтите его отчёты  451 Research.

Оригинал статьи здесь.