Виртуальная комната данных — это новая веха развития корпоративных облачных сервисов для обмена файлами и один из наиболее быстро развивающихся бизнес-сегментов в области хранения и обмена данными. Решения данного рода предлагают своим пользователям, как может показаться, практически те же преимущества, что и Dropbox, OneDrive и иные публичные облачные сервисы. Разумеется, это так только на первый взгляд, а на деле, как известно, дьявол кроется в деталях. Именно этим деталям — отличиям ВКД от своих старших собратьев, публичных облачных сервисов, мы и уделим внимание в нашем обзоре. Также мы коснемся темы сценариев использования ВКД, поговорим о решаемых ими задачах и ответим на важный вопрос: «Кому и зачем это надо?».
Зачем это нужно, если есть корпоративный Dropbox и FTP?
Давайте рассмотрим наиболее распространённые сценарии использования ВКД:
1. Необходимо отправить документ внешнему контрагенту, но сохранить управление правами доступа и контроль за распространением передаваемой информации. Не секрет, что в момент передачи документа третьему лицу, владелец документа безвозвратно и полностью теряет контроль над его судьбой. Часто возникает ситуация, когда ТЗ или чертежи, представляющие коммерческую ценность, попадают в руки конкурентов или оказываются в публичном доступе;
2. Для проектных организаций актуальна проблема, когда необходимо предоставить доступ к данным рабочей группе только на определенный промежуток времени (время работы над проектом), а затем гарантированно отозвать права доступа;
3. Ритейлерам, как правило, необходимо защитить представляющие ценность данные от сотрудников компании, которые находятся в группе риска, либо подвержены «текучке кадров», например, торговым представителям или мерчендайзерам;
4. Разработчикам и проектировщикам решений необходимо проконтролировать добросовестность заказчика, убедиться, что разработанный и представленный ими на рассмотрение код не будет передан другому подрядчику.
5. Исходя из вышесказанного очевидно, что ни один публичный облачный сервис, и тем более морально-устаревший FTP, не способен полноценно защитить компанию от указанных рисков. Но ВКД, обладающая необходимым набором инструментов, способна это сделать. Давайте рассмотрим этот инструментарий подробнее.
Как работает виртуальная комната данных
Разберем, как работает ВКД на стороне владельца документа и внешнего пользователя:
Виртуальная комната данных позволяет индивидуально управлять правами доступа для различных пользователей и групп. Как правило, в современных ВКД присутствует интеграция с AD/LDAP, что позволяет пользователям осуществлять вход в систему используя их персональные учетные записи.
Назначение индивидуальных политик безопасности для различных пользователей общего ресурса
Виртуальные комнаты данных позволяют управлять временем жизни документов. Эта функция бывает полезной в случае, когда передаваемый в общий доступ документ содержит информацию, которая утратит свою актуальность спустя определенный промежуток времени, либо доступ к документу получает проектная группа, у которой после завершения проекта следует отозвать этот доступ.
Ограничение срока действия общего ресурса в ВКД Vaulterix.
Некоторые решения, в частности такие, как виртуальная комната данных Vaulterix, позволяют поместить документ в защищенный микро-контейнер, который представляет собой аналог AD RMS, либо преобразовать его в зашифрованный PDF-файл и только затем разрешить его скачивание внешнему пользователю. Таким образом, документ защищен не только на этапе доставки, до момента первого открытия (скачивания), но и на протяжении всего срока его существования. Данный аспект защиты лучше продемонстрировать на видео:
Ведение журнала событий при работе с документами является одной из ключевых функций ВКД. Наиболее интересно выглядят те решения, в которых помимо даты открытия и загрузки документов из виртуальной комнаты данных логируется информация о том, кто и когда открывал защищенный документ:
Сравнение виртуальной комнаты данных с облачными хранилищами и FTP
Часто приходится слышать вопрос: «Зачем платить за виртуальную комнату данных, если для обмена файлами можно использовать публичное облако?». Для ответа на этот вопрос, давайте проведем подробное сравнение. Для наглядности основные отличия приведены в таблице ниже:
| Функциональные возможности |
FTP-сервер |
Публичное облачное хранилище | Виртуальная комната данных |
| Безопасный транспорт данных | — |
SSL |
SSL/TLS |
| Защита от MiTM-атак |
— |
— |
*+ |
| Контроль прав доступа и распределение ролей | — |
+ |
+ |
| Централизованное управление политиками и правами доступа | — | — | + |
| Дедупликация данных | — | — | + |
| Отзыв файлов доступных по ссылкам | — | + | + |
| Защита доступа по ссылке паролем | — | — | + |
| Доступ с возможностью просмотра только в браузере | — | — | + |
| Защита данных после выгрузки из браузера | — | — | *+ |
*Данный функционал может отсутствовать в некоторых решениях
Место хранения корпоративных данных
Практически все современные ВКД, в отличие от публичных облачных хранилищ, имеют два варианта поставки: hosted и on-premises, что позволяет использовать решение и хранить данные как у сервис-провайдера, так и внутри организации. Безусловно, второй вариант размещения больше подойдет скорее для зрелых с точки зрения ИТ-технологий компаний, которые осознают ценность своих данных и объемы рисков, связанных с их утечкой.
Выводы
Безусловно, использование виртуальной комнаты данных влечет за собой неизбежные единовременные расходы на внедрение и периодические расходы, связанные с поддержкой и владением ВКД. И тем не менее, на сегодняшний день это, пожалуй, единственный доступный способ защиты данных компании за пределами корпоративного периметра. Мы рекомендуем смотреть в сторону решений, обеспечивающих комплексный подход к защите корпоративных данных на протяжении всего цикла жизни документа: с момента его передачи, использования, хранения и до момента его удаления. Для полноценной защиты виртуальная комната данных должна обладать функционалом, который позволяет защитить документы и после их выгрузки из виртуальной комнаты данных, таким, как DRM-защита документов, позволяющая заменить AD RMS и средства управления корпоративной мобильностью. О последнем компоненте и о том, как сократить риски при реализации концепции BYOD, мы расскажем подробнее в следующих обзорах.