მეახლა CIO-ებს ევალებათ არა მხოლოდ სწრაფად შეეგუონ ღრუბლოვანი გამოთვლა, მაგრამ იპოვონ გზები, რათა დაიცვან თავიანთი თანამშრომლები და მომხმარებლები, როდესაც ისინი მიიღებენ ღრუბლოვან მოდელებს – თუნდაც როგორც უსაფრთხოება მუქარები იზრდება.
ეს არის სერიოზული - მაგრამ არა გადაულახავი გამოწვევა.
Cloud Computing აქვს აშკარად აღძრა ბიზნესის ლიდერების ფანტაზია, რომლებიც აღიქვამენ მას, როგორც ახალ მძლავრ გზას, რომ იყვნენ ინოვაციური და მოიპოვონ პირველი უპირატესობები - ტრადიციული IT თანხმობით ან მის გარეშე.
ეს უბრალოდ ახლა ნიშნავს, რომ IT სერვისების სიმძიმის ცენტრია საწარმოს საზღვრებზე გადასვლა - სულ უფრო მეტად მოძრაობენ მათ გარეთ firewalls. და მაშ, როგორ შეუძლიათ კომპანიებს ჰქონდეთ ეს ორივე გზით - გამოიყენონ ღრუბლის დაპირება, მაგრამ ასევე უზრუნველყონ საკმარისი უსაფრთხოება იმისათვის, რომ რისკები მისაღები გახდეს? როგორ შეუძლიათ ორგანიზაციებს შეინარჩუნე სიმკაცრე და კონტროლი ღრუბლოვანი სარგებლის მიღებისას?
სპეციალურში BriefingsDirect დაფინანსებული HP Expert Chat დისკუსია იმის შესახებ, თუ როგორ უნდა განვსაზღვროთ და მივიღოთ გაუმჯობესებული უსაფრთხოება, მე ახლახანს გავმართე სიღრმისეული სესია
ტარი შრაიდერი, HP-ის მთავარი არქიტექტორი HP Technology Consulting-ისა და IT Assurance Practice. ტარი არის გამორჩეული ტექნოლოგი, 30 წლიანი IT და კიბერუსაფრთხოების გამოცდილებით და მან დააპროექტა, შექმნა და მართა მსოფლიოში ინფორმაციის დაცვის უმსხვილესი პროგრამა.ჩვენს დისკუსიაში ნახავთ უახლეს რეკომენდაციებს იმის შესახებ, თუ როგორ უნდა ჩართოთ და დავიცვათ მრავალი ღრუბლოვანი მოდელი, რომლებიც განიხილება კომპანიების მიერ მთელ მსოფლიოში.
თუ გესმით უსაფრთხოების რისკი, გაიგეთ თქვენი საკუთარი ინფრასტრუქტურის დეტალური გაგება, უსაფრთხოება შეიძლება გადავიდეს ღრუბლის მიღების ინჰიბიტორიდან გამაძლიერებელზე.
როგორც ჩვენი ჩატის ნაწილი, ჩვენ ასევე შემოგვიერთდა HP-ის სამი სხვა ექსპერტი, ლოის ბოლიეკი, მსოფლიო მენეჯერი HP IT Assurance პროგრამაში; იან დე კლერკი, World Wide IT Solution Architect HP IT Assurance პროგრამაში; და ლუის ბუეზო, HP IT Assurance Program Lead for EMEA. [გამჟღავნება: HP არის სპონსორი BriefingsDirect პოდკასტი.]
თუ გესმით უსაფრთხოების რისკი, გაიგეთ თქვენი საკუთარი დეტალური გაგება ინფრასტრუქტურადა დაიცავით დადასტურებული საცნობარო არქიტექტურები და მეთოდები, უსაფრთხოება შეიძლება გადავიდეს ღრუბლის მიღების ინჰიბიტორიდან გამაძლიერებელზე.
სchreider: ყოველთვის სასიამოვნოა ვისაუბროთ დღის ზოგიერთ ტექნოლოგიურ საკითხზე და, რა თქმა უნდა, ღრუბლოვანი გამოთვლითი დაცვა არის ის თემა, რომელიც აინტერესებს ჩვენი მრავალი მომხმარებლისთვის. 
მინდა დავიწყო საუბარი ოთხ უცვლელ კანონზე ღრუბლოვანი უსაფრთხოება. მათთვის, ვინც დროთა განმავლობაში იყო ჩართული ინფორმაციულ უსაფრთხოებაში, გესმით, რომ არსებობს უცვლელობის გარკვეული დონე, რომელიც გათვალისწინებულია უსაფრთხოების ფარგლებში. ეს არის ის, რაც ყოველთვის იქნება, რაც არასდროს შეიცვლება და ეს არის ყოფნის მდგომარეობა.
როდესაც ჩვენ დავიწყეთ მუშაობა ღრუბლების მშენებლობაზე HP-ში რამდენიმე წლის წინ, ჩვენც მოგვთხოვეს განაცხადის გაკეთება მონაცემთა დაცვა და უსაფრთხოების კონტროლი ჩვენს მიერ აშენებული პლატფორმების გარშემო. ჩვენ გვესმოდა, რომ იგივე უცვლელი კანონები, რომლებიც ვრცელდება უსაფრთხოებაზე, ბიზნესის უწყვეტობა, და კატასტროფის აღდგენა გაფართოვდა ღრუბლის სამყაროში.
პირველი არის იმის გაგება, რომ თუ თქვენი მონაცემები ღრუბელშია განთავსებული, თქვენ აღარ აკონტროლებთ მის კონფიდენციალურობას და დაცვას. თქვენ მოგიწევთ ცოტა კონტროლზე უარის თქმა, რათა მიაღწიოთ სისწრაფეს, შესრულებას და ხარჯების დაზოგვას, რასაც ღრუბლოვანი ეკოსისტემა გაძლევთ.
შემდეგი უცვლელი კანონი არის ის, რომ როდესაც თქვენი მონაცემები ღრუბელში იშლება, თქვენ პირდაპირ აღარ აკონტროლებთ, სად არის მონაცემები ან დამუშავდება.
ღრუბელზე დაფუძნებული გამოთვლების ერთ-ერთი უპირატესობა ის არის, რომ თქვენ არ გჭირდებათ ყველა რესურსი რომელიმე კონკრეტულ დროს. იმისათვის, რომ გააკონტროლოთ თქვენი ხარჯები, გსურთ გქონდეთ ინფრასტრუქტურა, რომელიც დაგეხმარებათ ყოველდღიური ბიზნეს ოპერაციებისთვის, მაგრამ ამაში არის ვარდნა და ნაკადები. ეს არის მთელი მიზანი ღრუბლის აფეთქება. მათთვის, ვინც იცნობს ქსელზე დაფუძნებული გამოთვლა, მოდელები პრინციპულად იგივეა.
სხვადასხვა ლოკაცია
რგარდა იმისა, რომ თქვენი მონაცემები ერთ ან შესაძლოა მეორეხარისხოვან ადგილას იყოს, ის რეალურად შეიძლება იყოს 5, 10 ან შესაძლოა 30 სხვადასხვა ადგილას, რადგან იფეთქებს და ასევე იქნება მრავალი განსხვავებული წესისა და რეგულაციის იურისდიქციის ქვეშ, რაზეც ცოტა ხანში ვისაუბრებთ ცოტა.
შემდეგი უცვლელი კანონი არის ის, რომ თუ თქვენი უსაფრთხოების კონტროლი არ არის ხელშეკრულებით მოწოდებული, მაშინ შეიძლება არ გქონდეთ რაიმე იურიდიული პოზიცია თქვენს მონაცემებზე ან თქვენს აქტივებზე კონტროლის თვალსაზრისით. შეიძლება ფიქრობთ, რომ გაქვთ უსაფრთხოების ყველაზე სრულყოფილი პოლიტიკა, რომელიც მკაცრად განიხილება თქვენი იურიდიული დეპარტამენტის მიერ, მაგრამ თუ ეს არის სერვისის პროვაიდერთან შეთანხმების ტერმინოლოგიაში არ არის გათვალისწინებული, მაშინ არ გაქვთ ისეთი მდგომარეობა, როგორიც შეიძლება გეგონა ჰქონდა.
ბოლო უცვლელი კანონი არის ის, რომ თუ არ გააფართოვებთ თქვენს ამჟამინდელ უსაფრთხოების პოლიტიკას და კონტროლს ღრუბლოვანი გამოთვლითი პლატფორმა, უფრო მეტი ალბათობაა, რომ კომპრომისზე წახვალთ.
თქვენ გინდათ წინააღმდეგობა გაუწიოთ ორი სრულიად ცალკე, განსხვავებული უსაფრთხოების პროგრამისა და პოლიტიკის სახელმძღვანელოს შექმნის მცდელობას. ღრუბელზე დაფუძნებული გამოთვლა არის ატრიბუტი ინტერნეტში. თქვენი მონაცემები და თქვენი აქტივები იგივეა. ეს არის ის, სადაც ისინი ცხოვრობენ და როგორ ხდება მათზე წვდომა, სადაც დიდი ცვლილებაა. ჩვენ დაჟინებით გირჩევთ, რომ ჩართოთ ეს თქვენს არსებულ ინფორმაციული უსაფრთხოების პროგრამაში. გარდნერი: თუმცა, ეს აშკარად არის რამდენიმე მნიშვნელოვანი სამშენებლო ბლოკი ღრუბლოვანი აქტივობებისკენ გადასვლისთვის, მაგრამ როდესაც ამაზე ვფიქრობთ, რა არის უსაფრთხოების მთავარი საფრთხეები შენი გადმოსახედიდან? რა უნდა ვიზრუნოთ ყველაზე მეტად?
ღრუბელში გადასვლის მიზეზი არის მონაცემთა და აქტივების ხელმისაწვდომობა ნებისმიერ ადგილას, ნებისმიერ დროს.
სchreider: დანა, ჩვენ გვაქვს შესაძლებლობა ვიმუშაოთ ჩვენს ბევრ მომხმარებელთან, რომლებიც დროდადრო განიცდიან უსაფრთხოების დარღვევას. როგორც თქვენ წარმოიდგინეთ, HP, ძალიან დიდ ორგანიზაციას, ჰყავს ფაქტიურად ასობით ათასი მომხმარებელი მთელს მსოფლიოში. ეს გვაძლევს უნიკალურ პერსპექტივას, რათა შევისწავლოთ ღრუბლოვანი გამოთვლითი პლატფორმის მორფოლოგია, უსაფრთხოება, შეფერხებები და უსაფრთხოების მოვლენები.
ერთ-ერთი რამ, რასაც ჩვენ ასევე ვაკეთებთ, არის ჩვენი მომხმარებლის ბაზის პულსი. ჩვენ გვინდა ვიცოდეთ, რა აკავებს მათ ღამით. რა არის ის, რაც მათ ყველაზე მეტად აწუხებთ? ზოგადად, ჩვენ ვხვდებით, რომ არსებობს უფსკრული იმას შორის, რაც რეალურად ხდება და იმას შორის, რაც ხალხს სჯერა, რომ შეიძლება მოხდეს.
მინდა გაგიზიაროთ ის, რაც ჩვენ ვგრძნობთ, რომ განსაკუთრებით მწვავეა, რადგან ეს არის პირდაპირი ურთიერთდაკავშირება შორის, რასაც ჩვენ ვხედავთ რეალურად ხდება ინდუსტრიაში და ასევე იმას შორის, რაც ჩვენს კლიენტებს გვიან ასვენებს ღამე. უპირველეს ყოვლისა, არის ღრუბლოვანი გამოთვლითი პლატფორმის უზრუნველყოფილი უწყვეტობა. ღრუბელზე გადასვლის მიზეზი არის მონაცემების და აქტივების ხელმისაწვდომობა ნებისმიერ ადგილას, ნებისმიერ დროს, ასევე იმის შესაძლებლობა, რომ მსოფლიოს სხვადასხვა ქვეყნიდან ეს მონაცემები მიიღონ და შეძლონ ბიზნესის საჭიროებების გადაჭრა.
თუ ღრუბლოვანი გამოთვლითი პლატფორმა განუწყვეტლივ არ არის ხელმისაწვდომი, მაშინ საქმიანი დასაბუთება იმის შესახებ, თუ რატომ წახვედით იქ, პირველ რიგში, საგრძნობლად არის მოტივირებული.
GRC კონტროლის დაკარგვა ნext არის ხანგრძლივობის დაკარგვა მმართველობა, რისკის მართვა და შესაბამისობა (GRC) კონტროლი. დღევანდელ გარემოში ჩვენ შეგვიძლია შევქმნათ არასრულყოფილი პროგრამა და შეგვიძლია გვქონდეს GRC მენეჯმენტის პროგრამა ჩვენს აქტივებსა და ჩვენს ინფორმაციას ჩვენს გარემოში.
სამწუხაროდ, როდესაც ჩვენ ვიწყებთ ამის გაფართოებას ღრუბლის ეკოსისტემაში, თუ არა კერძო, საჯარო, ან ჰიბრიდული, ჩვენ სულაც არ გვაქვს ისეთივე კონტროლი, როგორიც ადრე გვქონდა. ეს მოითხოვს გარკვეულ დელიკატურ ორკესტრირებას მრავალ მხარეს შორის, რათა უზრუნველყოთ, რომ თქვენ გაქვთ უფლება მმართველობა კონტროლი ადგილზე.
შემდეგი არის მონაცემთა კონფიდენციალურობა. ბევრი დაიწერა მონაცემთა კონფიდენციალურობისა და დაცვის შესახებ ღრუბლოვან ეკოსისტემაში. დღეს შეიძლება გქონდეთ მონაცემთა კონფიდენციალურობის პროგრამა, რომელიც შექმნილია თქვენი კონკრეტული ქვეყნის ან თქვენი კონკრეტული სახელმწიფოს უსაფრთხოებისა და კონფიდენციალურობის კანონების მოსაგვარებლად, სადაც შესაძლოა ცხოვრობდეთ.
თუმცა, როდესაც თქვენ გადადიხართ ღრუბლოვან გარემოში, ეს მონაცემები ახლა შეიძლება გადაიტანოთ ან ადიდებულიყო სადმე მსოფლიოში, რაც ნიშნავს, რომ თქვენ შეიძლება არღვევთ სხვა ქვეყანაში მონაცემთა კონფიდენციალურობის კანონებს უნებურად. ეს არის ის, რასაც კლიენტებს სურთ დარწმუნდნენ, რომ მათ მიმართავენ, ასე რომ არ დაბრუნდება ჯარიმების ან მარეგულირებელი ჯარიმების თვალსაზრისით.
მობილურობაზე წვდომა არის ღრუბლის სიმძლავრის გააქტიურების გასაღები. ეს შეიძლება იყოს ა მოიტანე შენი საკუთარი მოწყობილობა (BYOD) სცენარი, ან ეს შეიძლება იყოს მოწყობილობები, რომლებიც იმართება კორპორატიულად. ძირითადად, თქვენ გინდათ მიაწოდოთ მონაცემები და გადაიტანოთ ხალხის ხელში.
თქვენ უნდა დარწმუნდეთ, რომ გაქვთ ინციდენტზე რეაგირების გეგმა, რომელიც აღიარებს როლებსა და პასუხისმგებლობებს მფლობელსა და მეურვეს შორის.
არიან თუ არა ისინი ნავთობის პლატფორმაზე და მათ სჭირდებათ წვდომა მონაცემებზე, თუ ეს არის გაყიდვების ძალა, რომელსაც სჭირდება წვდომა Salesforce.com მონაცემების შესახებ BlackBerrys, ფაქტი ფაქტად რჩება, რომ ღრუბელში არსებული მონაცემები მათზე უნდა მოხვდეს მობილური მოწყობილობებიდა უსაფრთხოება განუყოფელი ნაწილია.
თქვენ შეიძლება იყოთ მონაცემთა მფლობელი, მაგრამ ღრუბლოვან ეკოსისტემაში მონაცემთა ბევრი მცველია. თქვენ უნდა დარწმუნდეთ, რომ გაქვთ ინციდენტზე რეაგირების გეგმა, რომელიც აღიარებს როლებსა და პასუხისმგებლობებს მფლობელსა და მეურვეს შორის.
გარდნერი: თუმცა, თქვენი ღრუბლოვანი აქტივობების კონტროლის ცნება მნიშვნელოვანია, მაგრამ ბევრი ადამიანი ეშმაკში ხვდება დეტალებში. ჩვენ ვიცით, რომ ღრუბლოვანი რეგულაციები და კანონები იცვლება რეგიონიდან რეგიონში, ქვეყნიდან ქვეყანაში და ხშირ შემთხვევაში, თვით კომპანიებშიც კი. რა არის თქვენი რჩევა, როდესაც დავიწყებთ ამ დეტალური საკითხების და ღრუბელში არსებული ყველა ცვლადის შესწავლას?
სchreider: დანა, ეს არის დღეს იურიდიული ფირმების, სასამართლოების და მარეგულირებელი ორგანოების ცენტრალური საზრუნავი. კანონის რა პრინციპები ვრცელდება ღრუბელში არსებულ მონაცემებზე? მე მსურს ვისაუბრო რამდენიმე სფეროზე, რომლებიც, ჩვენი აზრით, ყველაზე მნიშვნელოვანია, პროგრამის შედგენისას მონაცემთა დასაცავად კონფიდენციალურობის თვალსაზრისით.
როგორც სასამართლოებში უნდა გქონდეს წესრიგი, ასევე უნდა გქონდეს წესრიგი ღრუბლებში. უპირველეს ყოვლისა, და ამაზე ადრეც ვისაუბრე, არის ღრუბლოვანი გამოთვლების პირობები სერვისები ნამდვილად არის ის, რაც განსჯის უფლებებს, როლებსა და პასუხისმგებლობებს მონაცემთა მფლობელსა და მონაცემებს შორის მეურვე.
კანონის არჩევანი
ჰთუმცა, მის ფარგლებში არის კონცეფცია კანონის არჩევანი. ეს ნიშნავს, რომ სადაც არ უნდა მოხდეს უსაფრთხოების დარღვევა, სასამართლოებს შეუძლიათ რეალურად მიმართონ კანონის არჩევანს, რომელიც ნიშნავს, როგორიც არ უნდა იყოს იმ ქვეყნის კანონი, სადაც მონაცემები ინახება, რათა დადგინდეს ვინ არის დამნაშავე და ვინ არღვევს უსაფრთხოება.
ეს ასევე ეხება მონაცემთა კონფიდენციალურობას. თუ თქვენი მონაცემები თქვენი სახლის მდებარეობაზეა, არის ეს კანონის არჩევანი, რომლითაც თქვენ იცავთ მონაცემთა კონფიდენციალურობის სტანდარტებს? ან თუ თქვენი მონაცემები ადიდებულია, რამდენ ხანს უნდა იყოს ეს სხვა იურისდიქციაში, სანამ ის დაფარავს ამ კანონის არჩევანს? ნებისმიერ შემთხვევაში, განსაკუთრებით რთული სიტუაციაა იმის უზრუნველსაყოფად, რომ გესმით, რა წესები და რეგულაციები ვრცელდება თქვენზე.
შემდეგი არის გადამზიდავი მონაცემთა ნაკადი ტრიგერები. ეს არის საინტერესო კონცეფცია, რადგან როდესაც თქვენი მონაცემები მოძრაობს, თუ თქვენ აკეთებთ მონაცემთა ნაკადის ანალიზს ღრუბელისთვის ეკოსისტემაში, თქვენ აღმოაჩენთ, რომ მონაცემები რეალურად შეიძლება გასცდეს სხვადასხვა საზღვრებს, გადადის იურისდიქციამდე იურისდიქცია.
მონაცემები შეიძლება შეიქმნას ერთ იურისდიქციაში. ის შეიძლება გაიგზავნოს სხვა იურისდიქციაში დამუშავებისა და ანალიზისთვის, შემდეგ კი შეიძლება გაიგზავნოს სხვა ადგილას შენახვა, შუალედური გამოყენებისთვის და მეოთხე ადგილი სარეზერვო ასლისთვის და შემდეგ შესაძლოა მეხუთე ადგილი აღდგენისთვის საიტი.
ეს არ არის ატიპიური მაგალითი. თქვენ შეიძლება გქონდეთ ხუთი გამომწვევი მოვლენა ხუთ სხვადასხვა საზღვრებში. ასე რომ, თქვენ უნდა გესმოდეთ სამართლებრივი ვალდებულებები მრავალ იურისდიქციაში.
პასუხისმგებლობა უპირატესად ეკისრება მონაცემთა მფლობელს მონაცემთა მთლიანობისთვის. CSP ძირითადად არ სურს პირდაპირი პასუხისმგებლობა ამ მონაცემების მთლიანობის შენარჩუნებაზე.
შემდეგი არის გონივრული უზრუნველყოფა, რომელიც არის, კანონის თანახმად, რას გააკეთებს წინდახედული ადამიანი? რა არის გონივრული ამ კონკრეტული ქვეყნისთვის კანონის არჩევისას? როდესაც თქვენ აწყობთ საკუთარ პირად ღრუბელს, რომელშიც შეიძლება გქონდეთ ფედერაციული კლიენტების ბაზა, ეს, როგორც ჩანს, გაძლევს ღრუბლოვანი სერვისის პროვაიდერი (CSP).
ან, ისეთ გარემოში, სადაც იყენებთ რამდენიმე CSP-ს, რა არის მონაცემთა მთლიანობის უარყოფა? პასუხისმგებლობა ძირითადად ეკისრება მონაცემთა მფლობელს მონაცემთა მთლიანობისთვის და ფრთხილად შემუშავების შემდეგ პირობებისა და პირობების გათვალისწინებით, CSP ძირითადად არ სურს პირდაპირი პასუხისმგებლობა მის მთლიანობის შენარჩუნებაზე მონაცემები.
როდესაც ვსაუბრობთ იმაზე, თუ ვინ ფლობს მონაცემებს, არის საინტერესო კონცეფცია და არის რამდენიმე საგამოცდო საქმე, რომლებიც სხვადასხვა სასამართლოში გადის. მას ჰქვია ბერნის კონვენცია.
1990-იანი წლების ბოლოს, იყო რამდენიმე ქვეყანა, რომლებიც შეიკრიბნენ და თქვეს: ”ინფორმაცია მიედინება ყველგან. ჩვენ გვესმის საავტორო უფლებების დაცვა ხელოვნების ნაწარმოებებზე, სიმღერებზე და ამ ტიპის ნივთებზე, მაგრამ მოდით ეს ნაბიჯი წინ გადავდგათ."
ღრუბლის კონტექსტში, ორგანიზაციის თანამშრომლები არ შეიძლება ჩაითვალოს ავტორებად და არ შეიძლება ჩაითვალოს მათ მიერ წარმოებული მონაცემები სამუშაოდ? ამიტომ, ის არ იქნება გათვალისწინებული ბერნის კონვენციით და, შესაბამისად, დაფარული იქნება საავტორო უფლებების შესახებ სტანდარტული საერთაშორისო კანონებით. ეს ასევე საინტერესოა.
პოლიტიკის შეცვლა
თის მიზეზი, რის გამოც მე ამას თქვენს ყურადღებას ვაქცევ, არის ის, რომ სწორედ ასეთი ანალიზი უნდა გააკეთოთ საკუთარ თავზე იურიდიული მრჩეველი, რათა დარწმუნდეთ, რომ გესმით საჭიროების სრული ფარგლები და შეცვალეთ თქვენი არსებული უსაფრთხოება პოლიტიკა.
ბოლო წერტილი არის ელექტრონული მტკიცებულებების ირგვლივ და eDiscovery. Ეს საინტერესოა. ზოგიერთ შემთხვევაში ეს შეიძლება იყოს ორლესიანი ხმალი. თუ მე მაქვს მონაცემების დაცვა, მაშინ ის ღიაა აღმოჩენის წესებით. მათ შეუძლიათ რეალურად მოითხოვონ, რომ ეს ინფორმაცია მოვამზადო.
თუმცა, თუ მე უშუალოდ არ ვაკონტროლებ ამ მონაცემებს, მაშინ არ მაქვს უფლება, ან არ მაქვს ვალდებულება, გადავიტანო ისინი eDiscovery-ის ფარგლებში. ასე რომ, თქვენ უნდა გესმოდეთ, რა წესები და რეგულაციები გამოიყენება, სადაც არის მონაცემები და რომ, ზოგიერთ შემთხვევაში, ეს შეიძლება რეალურად იმუშაოს თქვენს სასარგებლოდ.
შეუერთდი შემდეგს საექსპერტო ჩატის პრეზენტაცია 15 მაისს მხარდაჭერის ავტომატიზაციის საუკეთესო პრაქტიკის შესახებ.
სხვადასხვა რისკის პროფილი იჩვენი რისკის პროფილი შეიძლება განსხვავებული იყოს, თუ თქვენ ხართ მეურვე, რისკის პროფილისგან, თუ თქვენ ხართ მონაცემთა მფლობელი. ეს არის ის, რაც შეგიძლიათ ძალიან მარტივად მოაწყოთ და წარუდგინოთ თქვენს აღმასრულებლებს. ეს საშუალებას გაძლევთ შექმნათ გარანტიები და კონტროლი ღრუბლოვანი ეკოსისტემის დასაცავად.
გარდნერი: ჩვენ, რა თქმა უნდა, ვიცით, რომ ღრუბლოვანი მოდელებისთვის არის დიდი შესაძლებლობა, მაგრამ სამწუხაროდ, არსებობს ასევე მნიშვნელოვანი უარყოფითი მხარე, როდესაც საქმეები კარგად არ მიდის. შენ მხილებული ხარ. თქვენ ბრენდირებული ხართ ხალხის წინაშე. Სოციალური მედია საშუალებას აძლევს ხალხს გაუზიარონ პრობლემები, როდესაც ისინი წარმოიქმნება. რა შეგვიძლია ვისწავლოთ იმ სამწუხარო საჯარო საკითხებიდან, რომლებიც წარმოიშვა ბოლო რამდენიმე წლის განმავლობაში, რაც საშუალებას გვაძლევს გადავდგათ ნაბიჯები, რათა ეს არ მოხდეს ჩვენთან?
სchreider: ეს ყველაფერი საჯარო ღონისძიებებია. ჩვენ ყველა წავიკითხეთ ამ მოვლენების შესახებ ბოლო 16-18 თვის განმავლობაში და ზოგიერთი მათგანი მოხდა სულ რაღაც ბოლო 30 დღის განმავლობაში. ეს არ არის ვინმეს შეგონება, არამედ ძირითადად ტაშის აღსანიშნავად ამ კომპანიებს, რომლებიც უსაფრთხოების ინტერესებში გამოვიდნენ. მათ გაუზიარეს თავიანთი პოსტმოკვდა იმის შესახებ, თუ რა მუშაობდა და რა არა.
რაც მაღლა დგას, რა თქმა უნდა, შეიძლება ჩამოვიდეს. მიუხედავად ინვესტიციის ოდენობისა, რაც შეიძლება ჩადოს ღრუბლოვანი გამოთვლითი გარემოს დაცვაში, არავინ არ არის დაცული, იქნება ეს მნიშვნელოვანი და გავრცელებული ჰაკერების მცდელობა. ორგანიზაციის წინააღმდეგ, სადაც ხდება სენსიტიური მონაცემების ექსფილტრაცია, ან არის თუ არა ეს სერვისზე ორიენტირებული ღრუბლოვანი პლატფორმა, რომელსაც აქვს გათიშვა, რაც ხელს უშლის ადამიანებს ბორტზე ასვლის შესაძლებლობას. თვითმფრინავი.
როდესაც გათიშვა ხდება თქვენს ღრუბლოვან გამოთვლით გარემოში, მას ნამდვილად აქვს რევერბერაციის ეფექტი. ეს თითქმის ციფრული მიწისძვრაა, რადგან მას შეუძლია გავლენა მოახდინოს ადამიანებზე მთელი მსოფლიოდან.
გსურთ დარწმუნდეთ, რომ გაქვთ უსაფრთხო სისტემის განვითარების სასიცოცხლო ციკლის მეთოდოლოგია, რათა დარწმუნდეთ, რომ აპლიკაცია უსაფრთხოა და გამოცდილია ყველა ჩვეულებრივი საფრთხისა და დაუცველობისთვის.
ერთ-ერთი რამ, რაც ადრე აღვნიშნე, არის ის, რომ ჩვენ ძალიან გაგვიმართლა, რომ გვაქვს შესაძლებლობა შევხედოთ კატასტროფის მოვლენებს და უსაფრთხოების დარღვევას და შევისწავლოთ რა იმოქმედა და რა არა.
მე შევკრიბე პატარა მოდელი, რომელიც გააანალიზებს ქარიშხლის ზარალს. თუ გადახედავთ მომხდარი ძირითადი მოვლენების ტიპებს. მე გადავხედე საკონტროლო კონსტრუქციას, რომელიც იარსებებს ან უნდა არსებობდეს კერძო ღრუბელში და საკონტროლო კონსტრუქცია, რომელიც უნდა არსებობდეს საჯარო ღრუბელში და, რა თქმა უნდა, ჰიბრიდულ ღრუბელში. ეს არის ამ ორის დაახლოება და ჩვენ შეგვეძლო მათი შერწყმა და შეხამება.
თუ თქვენ გაქვთ სიტუაცია, როდესაც გაქვთ გარე საფრთხე, რომელიც შეაღწევს აპლიკაციას, გატეხავს მას, არღვევს აპლიკაციას, კერძო ღრუბლოვან გარემოში, გსურთ დარწმუნდით, რომ გაქვთ უსაფრთხო სისტემის განვითარების სასიცოცხლო ციკლის მეთოდოლოგია, რათა დარწმუნდეთ, რომ აპლიკაცია უსაფრთხოა და გამოცდილია ყველა ჩვეულებრივი საფრთხეზე და სისუსტეები.
საჯარო ღრუბლოვან გარემოში, ჩვეულებრივ, თქვენ არ გაქვთ იგივე გზა თქვენთვის ხელმისაწვდომი. ასე რომ, თქვენ გსურთ დარწმუნდეთ, რომ ან წარმოგიდგინეთ, ან სერვისის პროვაიდერის სახელით, გაქვთ ვებ აპლიკაციის უსაფრთხოების მიმოხილვა, გარე საფრთხეები და დაუცველობის ტესტი.
ღრუბლოვან გარემოში, სადაც საქმე გაქვთ მრავალი განსხვავებული მომხმარებლისა და მომხმარებლის დაჯგუფების სიტუაციაში ერთად, თქვენ უნდა გქონდეთ საფუძველი, რომ შეძლოთ მონაცემების და ოპერაციების გამიჯვნა, რათა ერთ-ერთმა არ იმოქმედოს ყველას.
ინვესტიციის დონე, რომელსაც თქვენ განახორციელებთ თქვენი ღრუბლოვანი გარემოს დასაცავად, უნდა შეესაბამებოდეს იმ აქტივების ღირებულებას, რომლებიც იშლება ან მასპინძლობს ღრუბლოვან გარემოში.
დაცვა ფენების მეშვეობით
ვმე ძალიან მჯერა, იქნება ეს ღრუბელი თუ უბრალოდ უსაფრთხოება, გვაქვს საინფორმაციო ტექნოლოგიების არქიტექტურა, რომელიც განისაზღვრება ფენებით. რა არის ღრუბლის ბიზნესის დასაბუთება და რის დაცვას ვცდილობთ? როგორ უნდა იმუშაოს ერთად ფუნქციურად? ტექნიკურად რა ტიპის პროდუქტებსა და სერვისებს გამოვიყენებთ და შემდეგ როგორ განხორციელდება ეს ყველაფერი?
ჩვენ ასევე გვაქვს პროდუქტების კომპლექტი, რომელიც შეგვიძლია შემოვიტანოთ ჩვენს ღრუბლოვან გამოთვლით გარემოში, რათა დავრწმუნდეთ, რომ ჩვენ ვართ უზრუნველყოს და უზრუნველყოს მმართველობა, უზრუნველყოს განაცხადები და შემდეგ ასევე ცდილობს აღმოაჩინოს დარღვევები უსაფრთხოება. მე ვისაუბრე ჩვენს საცნობარო არქიტექტურაზე.
რაღაც, რაც ასევე უნიკალურია, არის ჩვენი P5 მოდელი, სადაც ძირითადად ვუყურებთ ღრუბლოვან გამოთვლით კონტროლს და ჩვენ გვაქვს ხუთი მახასიათებლის აბსტრაქცია, რომელიც უნდა იყოს ჭეშმარიტი, რათა უზრუნველყოს მათი განლაგება სწორად.
როგორც უკვე აღვნიშნე, ჩვენ ვართ ან ძირითადი წევრი, მონაწილე ან დამფუძნებელი წევრი ღრუბლოვანი უსაფრთხოების სტანდარტების თითქმის ყველა ორგანიზაციის, რომელიც არსებობს. კიდევ ერთხელ ვიმეორებ, ჩვენ თვითონ ვერ ვახერხებთ ამას და ამიტომ გვყავს სტრატეგიული პარტნიორები VMwares და მსოფლიოს Symantecs.
გარდნერი: აქ არის შეკითხვა ძირითადი გამოწვევების შესახებ, კონკრეტულად მონაცემთა სასიცოცხლო ციკლთან დაკავშირებით. როგორ უყურებ ამას? რა არის რამდენიმე საკითხი უსაფრთხო მონაცემებთან დაკავშირებით, თუნდაც მონაცემთა სიცოცხლის ციკლის განმავლობაში?
ძირითადი გამოწვევები
ლuis Buezo: CSA რეკომენდაციებზე დაყრდნობით, ჩვენ ვსაუბრობთ არა მხოლოდ მონაცემთა უსაფრთხოებაზე, რომელიც დაკავშირებულია კონფიდენციალურობასთან, მთლიანობასა და ხელმისაწვდომობასთან, არამედ ღრუბელში არის სხვა ძირითადი გამოწვევები, როგორიცაა მონაცემთა მდებარეობა, რათა გარანტირებული იყოს, რომ გეოგრაფიული მდებარეობები დაშვებულია რეგულაციები.
თ
ere-ს მონაცემების მუდმივობა, რათა გარანტირებული იყოს მონაცემების ეფექტურად წაშლა, მაგალითად, ერთი CSP-დან ახალზე გადასვლისას, ან მონაცემთა სარეზერვო და აღდგენის სქემებში. არ იფიქროთ, რომ ღრუბელზე დაფუძნებული მონაცემები ნაგულისხმევად არის სარეზერვო ასლი.
ასევე არსებობს მონაცემთა აღმოჩენის შესაძლებლობები, რათა უზრუნველყოფილი იყოს ხელისუფლების მიერ მოთხოვნილი ყველა მონაცემის მოძიება.
კიდევ ერთი მაგალითია მონაცემთა აგრეგაცია დასკვნის საკითხებზე. ეს განხორციელდება დაცული ინფორმაციის გამოვლენის თავიდან ასაცილებლად. ასე რომ, ბევრი პრობლემაა მონაცემთა სასიცოცხლო ციკლის მართვასთან დაკავშირებით.
გარდნერი: ჩვენი შემდეგი შეკითხვა არის იმის შესახებ, რომ ღრუბელი მზად არის კომპანიის კონფიდენციალურ მონაცემებთან გამკლავებისთვის, როგორ აფასებთ ამას?
ჯან დე კლერკი: HP-ის ხედვა ამის შესახებ არის ის, რომ ჩვენ ვფიქრობთ, რომ დღეს ბევრი ღრუბლოვანი სერვისი ყოველთვის არ არის მზად იმისათვის, რომ ორგანიზაციებმა თავიანთი კონფიდენციალური ან მნიშვნელოვანი მონაცემები შეინახონ. ამიტომ ჩვენ ვურჩევთ ორგანიზაციებს, სანამ ისინი განიხილავენ მონაცემების ღრუბელში გადატანას, ყოველთვის გააკეთონ v
ძალიან კარგი რისკის შეფასება.
მათ უნდა დარწმუნდნენ, რომ ნათლად ესმით მათი მონაცემების მნიშვნელობა, მაგრამ ასევე გააცნობიერონ რისკები, რომლებიც შეიძლება მოხდეს ამ მონაცემებთან ღრუბლის პროვაიდერის გარემოში. შემდეგ, ამ სამი რამის საფუძველზე, მათ შეუძლიათ განსაზღვრონ, გადაიტანონ თუ არა თავიანთი მონაცემები ღრუბელში.
ჩვენ ასევე გირჩევთ, რომ მომხმარებლებმა მიიღონ მკაფიო ინფორმაცია CSP-ისგან იმის შესახებ, თუ სად არიან ისინი ორგანიზაციის მონაცემები ინახება და მუშავდება და სადაც მოგზაურობს ქსელის გარემოში სამუშაოს მიმწოდებელი.
როგორც მომხმარებელს, თქვენ უნდა გქონდეთ სრული ხედვა იმის შესახებ, თუ რა კეთდება თქვენს მონაცემებთან და როგორ იცავს მათ CSP.
გარდნერი: კარგი, იან, რა არის მონაცემთა დაცვის არსებითი უსაფრთხოების კონტროლი, რომელიც მათ უნდა მოძებნონ თავიანთი პროვაიდერისგან?
Clercq: მნიშვნელოვანია, რომ გქონდეთ უსაფრთხოების კონტროლი, რომელიც დაიცავს მონაცემთა მთელი სიცოცხლის ციკლს. მონაცემთა სასიცოცხლო ციკლში ვგულისხმობთ მონაცემების შექმნის მომენტიდან მონაცემების განადგურებამდე.
მონაცემთა შექმნა ვროდესაც მონაცემები იქმნება, მნიშვნელოვანია, რომ გქონდეთ მონაცემთა კლასიფიკაციის გადაწყვეტა და გამოიყენოთ შესაბამისი წვდომის კონტროლი მონაცემებზე. როდესაც მონაცემები ინახება, საჭიროა კონფიდენციალურობის, მთლიანობისა და ხელმისაწვდომობის დაცვის მექანიზმები. შემდეგ, თქვენ უნდა ნახოთ ისეთი რამ, როგორიცაა დაშიფვრის ხელსაწყოები და ინფორმაციის უფლებების მართვის ინსტრუმენტები.
როდესაც მონაცემები გამოიყენება, მნიშვნელოვანია, რომ გქონდეთ სათანადო წვდომის კონტროლი, რათა დარწმუნდეთ, რომ მხოლოდ ავტორიზებულ ადამიანებს შეუძლიათ წვდომა მონაცემებზე. როდესაც მონაცემები გაზიარებულია, ან როდესაც ისინი სხვა გარემოში იგზავნება, მნიშვნელოვანია, რომ გქონდეთ ისეთი რამ, როგორიცაა ინფორმაციის უფლებების მართვა ან მონაცემთა დაკარგვის პრევენციის გადაწყვეტილებები.
როდესაც მონაცემები დაარქივებულია, მნიშვნელოვანია, რომ ისინი დაცული იყოს არქივში, რაც იმას ნიშნავს, რომ თქვენ გაქვთ სათანადო კონფიდენციალურობა, მთლიანობა და ხელმისაწვდომობის დაცვა.
როდესაც მონაცემები განადგურებულია, მნიშვნელოვანია, როგორც მომხმარებელი, დარწმუნდეთ, რომ მონაცემები ნამდვილად განადგურებულია თქვენი CSP-ის შენახვის სისტემებზე. ამიტომ თქვენ უნდა გადახედოთ ისეთ საკითხებს, როგორიცაა კრიპტო-დამსხვრევა და მონაცემთა განადგურების სხვა ინსტრუმენტები.
გარდნერი: თუმცა, როგორ ცვლის ღრუბლოვანი გამოთვლა ჩემს რისკის პროფილს? ეს ზოგადი თემაა, მაგრამ თქვენ ნამდვილად ამცირებთ ან კარგავთ რისკების კონტროლს, როდესაც იწყებთ ღრუბლის მუშაობას?
როდესაც მონაცემები განადგურებულია, მნიშვნელოვანია, როგორც მომხმარებელი, დარწმუნდეთ, რომ მონაცემები ნამდვილად განადგურებულია თქვენი CSP-ის შენახვის სისტემებზე.
სchreider: საინტერესო კითხვაა, რადგან ზოგიერთ შემთხვევაში, თქვენი რისკის პროფილი შეიძლება მნიშვნელოვნად გაუმჯობესდეს. სხვა შემთხვევებში, ეს შეიძლება მნიშვნელოვნად შემცირდეს. თუ თქვენ ვეღარ შეძლებთ ინვესტიციის ჩადებას გამაგრებულ მონაცემთა ცენტრში, შეიძლება უფრო გონივრული იყოს თქვენი მონაცემების გადატანა CSP-ში, რომელიც უკვე კლასიფიცირებულია, როგორც მონაცემთა გადამზიდავი კლასის, Tier 1 ინფრასტრუქტურა, სადაც მათ აქვთ შესაძლებლობა განახორციელონ ათობით მილიონი დოლარის ინვესტიცია გამაგრებული ობიექტისთვის, რომლის ინვესტიციას ჩვეულებრივ ვერ შეძლებთ საკუთარ თავს.
მეორეს მხრივ, შეიძლება გქონდეთ სცენარი, როდესაც იყენებთ უფრო მცირე CSP-ებს, რომლებსაც აუცილებლად არ აქვთ იგივე დონის სიმკაცრე. ჩვენ ყოველთვის გირჩევთ, სტრატეგიული პერსპექტივიდან, როდესაც აპლიკაციის განთავსებას უყურებთ, თქვენ განიხილეთ მისი რისკის პროფილი და სად არის საუკეთესო განთავსება ეს აპლიკაცია და როგორ აისახება ის თქვენს საერთო საფრთხეზე პოზა.
გარდნერი: ლოის, როგორ შეუძლია HP-ს დაეხმაროს კლიენტებს დაწყებაში, რადგან ისინი განსაზღვრავენ, როგორ და როდის განახორციელონ ღრუბელი?
ლois Boliek: ჩვენ გთავაზობთ ღრუბელთან დაკავშირებული სერვისების სრულ სასიცოცხლო ციკლს და შეგვიძლია დავეხმაროთ კლიენტებს ღრუბელზე გადასვლის დაწყებაში, მიუხედავად იმისა, თუ სად არიან ისინი ამ პროცესში.
ჩვენ გვაქვს ღრუბლების აღმოჩენის სემინარი. სწორედ აქ შეგვიძლია დავეხმაროთ მომხმარებლებს ძალიან ინტერაქტიულ სამუშაო სესიაში ყველა ასპექტზე ღრუბლის მოსაზრებები და ეს გამოიწვევს მაღალი დონის სტრატეგიას და საგზაო რუკას დახმარებისთვის წადი წინ.
ბიზნეს/IT გასწორება
ვასევე გთავაზობთ ჰიბრიდული მიწოდების სტრატეგიის სერვისები. ეს არის სადაც ჩვენ ვვარჯიშობთ ყველა 
აუცილებელი კომპონენტები, რომლებიც გჭირდებათ ბიზნესისა და IT მორგების მოსაპოვებლად, და ეს ასევე იწვევს ღრუბლოვანი სერვისის მიწოდების კარგად განსაზღვრულ მოდელს.
ჩვენ ასევე გვაქვს სწრაფი დაწყების სერვისები. ერთ-ერთი მათგანია CloudStart სერვისი, სადაც ჩვენ შევდივართ წინასწარ ინტეგრირებული არქიტექტურით, რათა დავეხმაროთ წარმოებისთვის მზა კერძო ღრუბლის განლაგების დაჩქარებას და ამის გაკეთება შეგვიძლია 30 დღეზე ნაკლებ დროში.
ჩვენ ასევე გთავაზობთ ა ღრუბლოვანი სისტემის ჩართვა სერვისი, და ამაში ჩვენ შეგვიძლია დავეხმაროთ სწრაფ თვალყურის დევნებას ღრუბლოვანი სერვისების საწყისი კატალოგის შემუშავების, აღრიცხვისა და მოხსენების დაყენებაში.
გარდნერი: აქვს თუ არა HP-ს სერვისები ღრუბელში დაცვის განსახორციელებლად?
ბoliek: ჩვენ გვჯერა ღრუბლოვანი გარემოში უსაფრთხოების დანერგვის თავიდანვე ჩვენი არქიტექტურისა და ჩვენი სერვისების მეშვეობით. გთავაზობთ რაღაც ე.წ HP Cloud Protection პროგრამადა რაც ჩვენ გავაკეთეთ არის ღრუბლოვანი სერვისის შეთავაზებების გაფართოება, რომელიც მე ახლახან აღვნიშნე ღრუბლოვანი უსაფრთხოების საფრთხეებისა და დაუცველობის აღმოფხვრის გზით.
ჩვენ ყოველთვის გირჩევთ გაითვალისწინოთ მისი რისკის პროფილი და სად არის საუკეთესო განთავსება ეს აპლიკაცია და როგორ იმოქმედებს ის თქვენს საერთო საფრთხის პოზაზე.
ჩვენ ასევე გავაერთიანეთ თავდაცვის სიღრმისეული მიდგომა ღრუბლოვანი ინფრასტრუქტურის მიმართ. ჩვენ მივმართავთ ადამიანებს, პროცესებს, პოლიტიკას, გაუმჯობესებულ პროდუქტებს და P5 მოდელს, რომელიც Tari-მ მოიცვა, და ეს მხოლოდ იმისთვისაა, რომ დავეხმაროთ ჰიბრიდული ღრუბლოვანი გარემოს თავდაჯერებულად და უსაფრთხოდ შემუშავებაში.
ჩვენ გვაქვს სერვისის მოდულები, რომლებიც ხელმისაწვდომია, როგორიცაა Cloud Protection Workshop. ეს არის ღრუბლის უსაფრთხოების ყველა ასპექტის ღრმა დისკუსიისთვის, და შედეგად მიიღება მაღალი დონის ღრუბლოვანი უსაფრთხოების სტრატეგია და შემდეგი ნაბიჯები.
ჩვენ ვთავაზობთ Cloud Protection Roadmap სერვისს, სადაც ასევე შეგვიძლია განვსაზღვროთ კონკრეტული კონტროლის რეკომენდაციები ჩვენს P5 მოდელზე და საგზაო რუკაზე, რომელიც ძალიან მორგებულია და სპეციფიკურია ჩვენი კლიენტების რისკისა და შესაბამისობისთვის მოთხოვნები.
ჩვენ გვაქვს ფონდის სერვისი, რომელიც ასევე სწრაფი დაწყებას ჰგავს, სპეციფიკურია წინასწარ ინტეგრირებული, გამაგრებული ღრუბლოვანი ინფრასტრუქტურა და ჩვენ ვამცირებთ ღრუბლის უსაფრთხოების ყველაზე გავრცელებულ საფრთხეებს და დაუცველობას.
შემდეგ, მომხმარებლებისთვის, რომლებიც საჭიროებენ ძალიან სპეციფიკურ საბაჟო უსაფრთხოებას, ჩვენ შეგვიძლია გავაკეთოთ ინდივიდუალური დიზაინი და განხორციელება. ყველა ეს სერვისი დაფუძნებულია Cloud Reference Architecture-ზე, რომელიც იანმა და ტარიმ ადრე აღნიშნეს, ასევე ვრცელ კვლევა, რომელსაც ვაკეთებთ ვადაზე ადრე, სანამ მომხმარებლებთან გამოვიდოდით ჩვენი Cloud Protection Research & Development ცენტრი.
გარდნერი: თუმცა, რა უნდა გააკეთონ მომხმარებლებმა, რათა დაადგინონ, რამდენად კარგია მათი სერვისის პროვაიდერი, როდესაც საქმე ეხება უსაფრთხოების ამ საკითხებს?
ჩვენზე მოვალეობაა
სchreider: ვისურვებდი, რომ გვქონდეს სარეიტინგო სისტემა, მაგრამ სამწუხაროდ, ჯერ კიდევ ჩვენი მოვალეობაა დავადგინოთ პრეტენზიების ჭეშმარიტება უსაფრთხოებისა და უწყვეტობის შესახებ CSPs.
თუმცა, რეალურად არსებობს მრავალი მიღებული მეთოდი იმის დასადგენად, არის თუ არა ერთი CSP უსაფრთხო. ბევრ ორგანიზაციას ჰქონდა ის, რასაც ატესტაცია ეწოდება. ფორმალურად, უმეტესობა იცნობს SAS 70, რომელიც ახლა არის SSAE 16, ან შეგიძლიათ გქონდეთ ISO 27000.
ძირითადად, თქვენ გაქვთ დამოუკიდებელი საატესტაციო ორგანო, როგორც წესი, აუდიტორული ფირმა, რომელიც შემოვა და შეამოწმებს საოპერაციო ეფექტურობას და თქვენი უსაფრთხოების პროგრამის შემუშავება იმის უზრუნველსაყოფად, რომ რაც არ უნდა გამოაცხადოთ თქვენს საკონტროლო სქემად, შესაძლოა ISO, NIST, CSA, სწორად იყოს განლაგებული.
თუმცა, აქ არის საკმაოდ მნიშვნელოვანი გაფრთხილება. ეს ატესტაციები ასევე შეიძლება იყოს ძალიან ვიწრო ფარგლებით და ბევრი CSP დამაგრებს მას მხოლოდ ძალიან ვიწრო ნაწილზე მათი ინფრასტრუქტურის, შესაძლოა არა მათი მთელი ობიექტის და შესაძლოა არც იმ აპლიკაციის, რომლის მომხმარებელიც ხართ.
ასევე, ჩვენ აღმოვაჩინეთ, რომ CSP-ს მრავალი განაცხადის სერვისის პროვაიდერი არც კი ფლობს საკუთარ მონაცემთა ცენტრებს. ისინი რეალურად არის მოწოდებული სხვაგან და ასევე შეიძლება არსებობდეს დამხმარე მექანიზმები. ზოგიერთ შემთხვევაში, შეიძლება დაგჭირდეთ სამი ატესტაციის შეფასება მხოლოდ იმისთვის, რომ გქონდეთ უსაფრთხოების განცდა, რომ თქვენ გაქვთ სწორი კონტროლი, ან CSP აკეთებს.