Решения Cisco служат обеспечению безопасности в облаке
Одной из самых сложных, но в то же время критически важных задач при работе с облачными хранилищами является безопасность данных. Платформа Cisco Cloud Controls Framework предлагает сложный набор сертификатов безопасности и конфиденциальности.
Конфиденциальность данных в настоящее время настолько важна, что многие организации, включая Cisco и ООН, объявили ее одним из основных прав человека. Но соблюдение всех отраслевых и национальных стандартов безопасности в эпоху мультиоблачных вычислений является сложной задачей. Для соблюдения постоянно растущих требований Cisco разработала Cloud Controls Framework (CCF). Изначально это был внутренний протокол, которому должны были следовать инженеры, разработчики и другие команды компании по упрощению и ускорению важной, но иногда обременительной задачи по выполнению требований безопасности. Теперь Cisco сделала его доступным для всех организаций.
Старший директор Cisco по соблюдению облачных требований и создатель Cloud Controls Framework Прасант Вадламуди (Prasant Vadlamudi) поделился своими мыслями о важности конфиденциальности данных и о том, как CCF может помочь создать и поддерживать безопасный Интернет в целом, предоставляя конкурентные преимущества тем, кто его использует.
Ключевые особенности текущей обстановки по вопросам безопасности, конфиденциальности и соответствия стандартам
Всего два десятилетия назад большинство поставщиков технологических услуг предлагали свои услуги в виде локальных устройств. В частности, в компании Cisco производили программные продукты, писали код и развертывали его на оборудовании, которое устанавливалось на стороне клиента. Таким образом, все конфиденциальные данные клиентов управлялись через это оборудование, которое физически находилось в их помещении.
Все это было достаточно сложно. Прасант Вадламуди предложил концепцию облачной подписки, и поставщики облачных услуг полностью изменили способ предоставления услуг клиентам. Эксперты компании Cisco не только смогли предоставить клиентам экспертные знания в области аппаратного обеспечения, но и предложить свои услуги в облаке. Это означает, что данные клиента хранятся, обрабатываются и передаются через облако. И во всем мире клиенты все чаще просят поставщиков услуг, таких как Cisco, продемонстрировать подобный комплекс услуг, отвечающий требованиям безопасности, конфиденциальности и доступности. В компании весьма серьезно относятся к такой задаче и в полной мере понимают ответственность.
Насколько усложнились процедуры по обеспечению конфиденциальности данных?
В настоящее время существует множество различных сертификатов, о которых нужно беспокоиться. Сертификаты и правила вводят не только для отдельных отраслей и секторов, но их утверждают для конкретных стран. Сертификаты и стандарты становятся не только обязательным требованием, но и ключевыми катализаторами продаж. Без них организации теряют конкурентное преимущество в разных странах и отраслях. Потому что с точки зрения потребителя, эти требования действительно защищают их данные.
Cloud Controls Framework создавалась как внутренний инструмент Cisco. Какая стратегия стоит за этим?
Стратегический подход компании Cisco заключается в создании эффективных и масштабируемых сертификатов. Сейчас их создано достаточно много, каждый со своими аббревиатурами; это огромные коды из букв и цифр. Такие сертификаты требуют значительного контроля со стороны инженеров, разработчиков, операторов и других команд. И это трудная задача, вызывающая нагрузку на все эти команды. Поэтому в Cisco мы создали внутреннюю базовую структуру под названием Cloud Controls Framework или CCF.
Как Cloud Controls Framework удалось преодолеть всю эту ошеломляющую сложность?
Мы собрали, проанализировали и рассмотрели различные сертификаты и режимы безопасности по всему миру. Только для Cisco существует более 3000 различных требований. Но когда мы начали детально изучать эти режимы соответствия и сертификации, мы обнаружили много общего. По своей сути они перекрывают несколько доменных сертификатов. Вот несколько примеров: управление идентификацией и доступом, управление шифрованием, управление ключами, управление изменениями, конфигурация и мониторинг безопасности. Это примеры из практики периодических проверок отдельными сторонними аудиторами. Но сами элементы управления охватывают один и тот же набор электронных документов. Специалисты компании Cisco проанализировали весь перечень требований и свели их до 200 позиций, которые в полной мере смогли обеспечивать контроль безопасности. И это стало основой структуры сертификации, которую наши разработчики внедрили в различных разработках компании. Мы обнаружили, что можем получить один комплексный сертификат из большого набора предложенных решений.
Помогает ли CCF отдельным командам не увязнуть в сертификатах, которые к ним не относятся?
Да, например, одной из целей является разделение элементов управления и внедрение правильных элементов управления с правильными командами. Инженерные группы должны нести ответственность за средства контроля, за которые находятся в их зоне контроля, а корпоративные группы должны владеть соответствующими средствами. Это также помогает каждой команде сосредоточиться на своей области знаний. Это создает матрицу общей ответственности, поэтому каждая команда не чувствует, что должна делать все. Компания не привлекает инженеров для осуществления аудита в течение года, но такие инженеры задействуются для создания лучших продуктов и новых функций. Матрица общей ответственности помогает разделить зоны управления и в какой-то мере высвободить время инженеров.
Что побудило Cisco сделать эту структуру общедоступной для других организаций?
Формирование доверительных отношений с клиентами - это одно из ключевых конкурентных преимуществ настоящего времени. Если вы не сможете продемонстрировать, что поступаете правильно с точки зрения безопасности и конфиденциальности, вы столкнетесь с препятствиями в процессе продаж. Основная часть этих доверительных отношений базируется на правильном наборе сертификатов и стандартов безопасности, сопровождающих эти сертификаты. При этом, команды разработчиков должны не только работать над повышением безопасности, но и заниматься разработкой лучших продуктов и функций, которые будут работать даже с ограниченными ресурсами и пропускной способностью.
Поскольку CCF хорошо работала внутри Cisco и были сделаны выводы, что отрасль сталкивается с теми же проблемами, то, как лидер в технологической отрасли, компания Cisco сделала свой продукт CCF публичным, чтобы каждый мог использовать его и учиться на нем. Основная цель - внести свой вклад в более широкую безопасность в глобальном сообществе по управлению рисками.
Конфиденциальность данных признана Cisco, ООН и другими организациями одним из основных прав человека. Как Cloud Controls Framework поддерживает основную цель Cisco — обеспечить инклюзивное будущее для всех?
В прошлом стандарты соответствия и сертификация рассматривались как неизбежное зло. Со временем многие органы по стандартизации, которые вводили сертификационные требования, изменили свой подход и усовершенствовали свои инструменты. Каждая организация должна понимать преимущества соответствия этим сертификатам и как преобразовать их во внутренний набор средств требований и контроля. Получение сертификата повысит их собственный базовый уровень безопасности и будет способствовать созданию более безопасного облака.
Уровень осведомленности и спрос со стороны клиентов значительно возросли. Это не просто вера в то, что их данные будут в безопасности, это желание каждой компании, чтобы контроль был на должном уровне. Это разумный подход и наша цель — помочь организациям в целом повысить уровень безопасности. Таким образом, стандарты соответствия — это не просто второстепенная задача или бремя для инженеров, а необходимая норма в жизненном цикле разработки. И это именно то, что CCF позволяет нам делать.