EU GDPR: соблюдение требований регуляторов в сфере облачных вычислений
Мы часто боимся изменений российского законодательства и их возможного влияния на бизнес. Между тем, регуляторы в ЕС демонстрируют завидную целеустремленность в этом вопросе. Под катом очередная порция нововведений. Прочтите пост, если вдруг, ваши проекты касаются пользовательских данных.
EU GDPR — это Европейский общий регламент по защите данных (General Data Protection Regulation (Regulation [EU] 2016/679)). Он вступит в действие 25 мая 2018-го и заменит национальные законодательства по защите данных. После этого европейским компаниям станет ещё важнее обеспечивать безопасность данных, потому что наказание за утечки и неправильное использование данных ужесточится. EU GDPR предусматривает штраф, пени и общественное порицание за невольное или безответственное раскрытие личных и корпоративных данных клиентов и сторонних компаний. И чтобы этого избежать, придётся усиливать меры по защите данных.
Традиционные сетецентрические решения, вроде файрволов и систем обнаружения проникновений, не могут защитить от взлома привилегированными пользователями и от целевых кибератак. Есть и другие методы, вроде управления безопасностью информации и событий (SIEM) и аудита баз данных и защиты (DAP). Из-за ужесточения требований к сохранности данных и всё более частых утечек, бизнесу придётся перейти от сетецентрических решений к решениям, ориентированным на данные. Становятся необходимыми строгое управление доступом, управление ключами и шифрование вкупе с ведением разведки, потому что как только вы перенесли всё в облако, то у вас остаётся только браузер в качестве интерфейса.
Защиты требуют огромные объёмы данных, обрабатываемые компаниями. Сюда входят и все персональные данные. Их утечка или иное раскрытие без разрешения по новым правилам недопустимо. Персональные данные нельзя переносить в другие страны без соответствующего надзора и разрешения — это проблема для международных корпораций, которым придётся корректно разделять данные либо выплачивать штрафы вплоть до €10 миллионов. И IT-специалистам нужно будет поломать голову, как соблюсти баланс между требованиями защиты данных и интересами сотрудников компаний, которым нужен быстрый доступ к информации и приложениям.
Новые требования и облачные вычисления
Чтобы процессы работы с данными в организации удовлетворяли требованиям EU GDPR, необходимо по всей сети развернуть такие механизмы безопасности, чтобы неавторизованные пользователи не могли получить доступ к сети. Важно нанять надёжных сотрудников для управления базами данных и администрирования систем. Рекомендуется организовать процессы так, чтобы разные привилегии присваивались пользователям в зависимости от их должностей.
Систему управления данными нужно дополнить эффективными технологиями принудительного соблюдения системных политик безопасного доступа к информации, а также её хранения, извлечения или манипулирования ею.
Облачные вычисления позволяют централизовать всю работу с данными, улучшить безопасности сети компании, легко защищать данные и управлять доступом из какой-то одной системы. Данные могут надёжно храниться в частных, гибридных или публичных облаках, с безопасным шифрованным доступом.
Облачные вычисления — это широкий термин, описывающий разные инфраструктурные и программные решения повсеместного доступа (обычно через интернет) к совместно используемым пулам конфигурируемых ресурсов (компьютерных сетей, серверов, хранилищ, данных, компьютеров, приложений и сервисов). Одно из самых распространённых применений облаков — доставка приложений и рабочих столов (application and desktop delivery), благодаря чему сотрудники получают доступ к централизованным данным из любой точки мира.
При доставке приложений данные и ПО передаются в изолированную среду, развернутую на клиентском устройстве, и там исполняются. Не нужно ничего устанавливать или хранить. Пользователь отправляет на сервер нажатия клавиш и клики мыши, а в ответ получает обновления экрана. Доступ к данным регулируется лишь аутентификацией, дополнительно можно включить двухфакторную аутентификацию или тонкую фильтрацию на основе местоположения пользователя, типа устройства или MAC-адреса.
Перенос данных с пользовательских устройств в облако значительно снижает риск утечек или потерь, и поможет организациям соблюсти требования EU GDPR. К тому же для облаков характерна масштабируемость, динамичность и мобильность при сохранении высокого уровня безопасности и непрерывности бизнеса.
Преимущества облаков
Подталкиваемые революцией в мобильных IT и требованиями EU GDPR, многие организации движутся в сторону облаков, получая взамен улучшения безопасности, более широкую и простую масштабируемость, использование на любых мобильных устройствах и снижение расходов.
Безопасность. Централизованное хранение данных в облаке исключает риск физической кражи, самого распространённого вида утечки данных.
Масштабируемость. Компании могут легко масштабировать свою облачную инфраструктуру в отличие от традиционных дата-центров. Обычно персональные данных хранятся в организациях годами, поэтому обычные дата-центры могут быть перегружены огромным объёмом информации, копящейся длительное время.
Мобильность. Облака обеспечивают сотрудниками безопасный доступ к данным, приложениям и рабочим столам с любого устройства из любого места. Организации могут целиком придерживаться принципов BYOD (bring-your-own-device) и CYOD (choose-your-own-device), сохранив производительность труда и улучшив защиту данных.
Снижение расходов. Облака позволяют компаниям существенно экономить. Улучшение использования аппаратных средств повышает эффективность бизнеса. Централизованное развёртывание приложений и рабочих столов снижает нагрузку на IT-сотрудников, что ещё больше увеличивает экономию.
Создание безопасного облачного решения с помощью Parallels Remote Application Server (RAS)
Хотя облачные решения позволяют создавать эффективные, масштабируемые и надёжные системы, потенциал таких решений полностью раскрывается в виртуализации приложений, рабочих столов, файлов и папок, которые можно доставлять на различные устройства. Благодаря централизованному управлению приложениями, хранению данных и обслуживанию, у IT-отделов появляется больше контроля, они могут удалённо строго разделять корпоративные и персональные данные.
Parallels Remote Application Server (RAS) — это решение для доставки виртуальных приложений и рабочих столов. Оно позволяет безопасно работать откуда угодно, на практически любом устройстве, включая Android и iOS. RAS можно использовать при создании любых облачных инфраструктур, поскольку он без затруднений работает с Microsoft Remote Desktop Services (RDS), Citrix XenServer, VMware EXSi, Microsoft Hyper-V, Nutanix Acropolis (AHV) и KVM. Parallels RAS можно развернуть в частном, гибридном или публичном облаке вроде Amazon Web Services (AWS) и Windows Azure.
Чтобы снизить риск утечки данных, можно принудительно использовать правила доступа и раскидать данные по защищённым хранилищам. Это укрепляет разделение на пользовательские группы, департаменты и регионы.
Parallels RAS умеет централизованно развёртывать критические обновления ОС и патчи безопасности одновременно для всех пользователей, уменьшая длительность простоя и увеличивая безопасность. Также RAS поддерживает постоянную доступность (continuous availability), ресурсно-ориентированную балансировку и универсальную печать (universal printing).
Из-за этих возможностей, а также сильной защиты данных, многие компании используют Parallels RAS для предоставления доступа к приложениям, рабочим столам и данным.
Улучшение безопасности бизнеса
Данные не хранятся локально. Данные хранятся в облачном дата-центре нашей компании, к ним предоставляется защищённый доступ через зашифрованные подключения. На устройствах ничего не сохраняется. Удалённые пользователи получают лишь проекцию данных, приложений и рабочих столов, расположенных на сервере.
Расширенная фильтрация. Parallels RAS интегрируется с Active Directory и предлагает расширенные опции фильтрации, предотвращающие несанкционированный доступ. Правила фильтрации позволяют администраторам ограничивать доступ к важным данным (например, реквизитам владельцев банковских карт) по пользователю, группе, МАС-адресу, IP-адресу и прочим критериям.
Вход в систему. Есть два режима входа в систему: приватный и публичный. В первом случае пользовательские данные (имя и пароль) могут храниться на устройстве. При публичном входе в систему на устройстве ничего не сохраняется. Это повышает безопасность общих рабочих станций и планшетов.
Разделение данных. Parallels RAS может создавать неограниченное количество ферм и площадок. Ферма — это группа серверов, используемых для доставки приложений пользователям, а площадка — группа ферм. Однако каждая площадка имеет независимую Activity Directory. Площадки не могут совместно использовать данные, что гарантирует идеальное разделение информации.
Замена рабочих столов. Parallels RAS предлагает компаниям возможность заменить рабочие столы Windows-машин, превратив их в безопасные псевдо-тонкие клиенты. Администраторы на основе требований к безопасности могут решать, какие приложения будет выполняться локально. Можно блокировать любые локальные операции на машине и разрешать только те операции, что удалённо выполняются на сервере.
Ограничение на копирование и вставку. Чтобы избежать утечек из приложений и рабочих столов, можно отключить использование буфера — копирование и вставку данных.
Повышенная безопасность. Все данные хранятся на серверах с централизованным управлением безопасностью и бэкапами. На и с клиентских устройств передаются только клики мыши, нажатия клавиш и перерисовка экрана. Это предотвращает утечки, проникновение вирусов, троянов и защищает от других уязвимостей и угроз на клиентах.
Аутентификация с помощью смарт-карт. Parallels RAS позволяет легко организовать аутентификацию пользователей в виртуальном приложении с помощью смарт-карт. Перенаправление виртуальных рабочих столов и приложений может быть сложной задачей, и благодаря применению смарт-карт можно улучшить безопасность.
Двухфакторная аутентификация. Повышает защиту благодаря использованию токенов разных видов для второго уровня аутентификации. Он может обеспечиваться с помощью сервера Dual Shield, SafeNet или RADIUS.
SSL-сертификаты/шифрование. Защищённый клиентский шлюз (Secure Client Gateway) работает как прокси между клиентским ПО Parallels, исполняемым на клиентских устройствах, и Parallels RAS. Обмен данными шифруется в шлюзе с помощью SSL.
Заключение
Parallels RAS — одно из основных решений в сфере виртуализации. Оно улучшает безопасность и удобство доступа конечных пользователей к данным, рабочим столам и приложениям на любом устройстве и в любой точке мира. Четыре года подряд Parallels RAS завоёвывает престижную награду Govies Government Security Award. Это решение используют тысячи организаций по всей планете. Parallels RAS обеспечивает для сотрудников и пользователей доступ в реальном времени к виртуализированным приложениям на любом устройстве, включая «нулевые» и тонкие клиенты, мобильные рабочие станции и разнообразные конечные устройства.
ru.wikipedia.org/wiki/Общий_регламент_по_защите_данных
gdpr-info.eu
www.akamai.com/us/en/resources/data-security-in-cloud-computing.jsp
www.lynda.com/Office-365-tutorials/Secure-data-cloud/546746/601450–4.html