Rambler's Top100
 
 
Статьи ИКС № 03 2012
Евгений АКИМОВ  13 марта 2012

Защита в облаках – дело тонкое

Традиционно считается, что массовому внедрению облачных сервисов в России мешают главным образом соображения безопасности. О том, на каком уровне в действительности находится сейчас безопасность облаков и какие возможны прогнозы на этот счет, рассказывает заместитель директора Центра информационной безопасности компании «Инфосистемы Джет» Евгений АКИМОВ.

Евгений АКИМОВ заместитель директора Центра информационной безопасности компании «Инфосистемы Джет»– Как неудовлетворенность заказчиков уровнем безопасности облачных сервисов влияет на ситуацию на рынке решений по защите этой сферы?

– Ситуации с информационной безопасностью разных ИТ-систем и архитектур повторяются с завидным постоянством. Несколько лет назад был настоящий бум внедрения ERP-систем. Причем в проекты этих внедрений часто даже вносился специальный раздел, посвященный безопасности, но его содержание обычно было поверхностным и формальным. И только после двух-трех лет эксплуатации ERP-систем, в течение которых произошли реальные инциденты, стали запускаться настоящие проекты по обеспечению их безопасности. Сейчас к двух-трехлетнему возрасту подходят многие проекты по созданию виртуальных сред, и мы уже видим тот же сценарий развития событий в плане обеспечения их ИБ. У облачных сервисов, по крайней мере в России, пока такой истории эксплуатации нет, однако я думаю, что они будут исключением из вышеописанного правила. Компании, которые перешли на виртуальные архитектуры и даже не успели вернуть резко понизившийся уровень ИБ на «довиртуальный», готовы сделать следующий шаг и перейти на облачную модель предоставления/получения ИТ-сервисов, но именно нерешенный вопрос безопасности их останавливает. Поэтому появление эффективного решения по обеспечению безопасности облаков может «нажать спусковой крючок» и даст возможность бизнесу получить существенную экономию от новой перспективной модели ИТ-услуг.

– Какие меры российские провайдеры публичных облачных сервисов принимают, чтобы обеспечить информационную безопасность своих клиентов?

– На нынешнем этапе основная ниша публичных облаков во всем мире – это частные пользователи, для которых вопрос цены обычно важнее соображений безопасности, и поэтому для провайдеров таких сервисов внедрение систем защиты информации клиентов – не главный приоритет. Но они уже пристально смотрят в этом направлении, поскольку, если они хотят выйти на корпоративный рынок даже малого бизнеса, не говоря о среднем, то им сначала придется решить проблемы безопасности. Причем не только технологические проблемы с внедрением тех или иных решений, но и проблемы доверия потенциальных клиентов. На мой взгляд, сейчас мы находимся в точке перегиба, когда компании начинают рассматривать возможность использования публичных облачных сервисов. Именно рассматривать. Делать реальные шаги в облака они пока не готовы, и провайдеры это прекрасно понимают.

– Ну а сами средства защиты можно предоставлять как облачный сервис?

– Да, конечно. Многие подсистемы защиты можно построить как набор сервисов безопасности. То есть пользователям не нужно будет, к примеру, покупать антивирус и устанавливать его на все свои защищаемые узлы, достаточно будет просто подключить услугу из облака. Такая смена парадигмы чрезвычайно полезна в реалиях современных информационных систем, требующих быстрого развертывания и расширения по требованию, упрощения обслуживания и сохранения инвестиций. Если облако реализовано на основе виртуальной среды, пользователи могут сами активировать сервисы контроля целостности, межсетевого экранирования, обнаружения вторжений и антивирусного сканирования на уровне платформы виртуализации, и при этом нет необходимости развертывать данные сервисы защиты на каждой виртуальной машине. Например, если пользователь размещает свое веб-приложение в облаке, он может легко подключить услугу по обнаружению вторжений на свои веб-серверы. Для пользователей большой плюс – то, что им не нужно заниматься поиском и выбором решения, производить его настройку, обновление, обслуживание. В случае публичных облаков возможна также монетизация сервисов безопасности – предоставление их корпоративным заказчикам. Развитием такой облачной системы защиты может стать переход к модели SaaS (Security as a Service – не путать с Software as a Service), в которой сервисы безопасности предоставляются в качестве отдельных услуг пользователям как данного защищенного облака, так и других внешних систем.

– Какие основные задачи должны решать средства защиты данных в частных и публичных облаках?

– В публичных облаках в первую очередь необходимо обеспечить конфиденциальность данных. Именно это сложнее всего сделать, но без обеспечения конфиденциальности провайдеру трудно будет завоевать доверие клиентов. Клиент со своей стороны может прибегнуть к шифрованию информации, передаваемой в облако. Это существенно снизит риск компрометации.

В частных облачных средах проблемы защиты данных решаются проще, ведь частное облако находится на территории заказчика, где круг лиц, которые теоретически могут иметь доступ к данным, ограничен. Но и в этом случае обеспечение конфиденциальности информации тоже находится на переднем плане, поскольку и в частном облаке нужно тщательно следить за тем, кто, когда и какие действия в информационной системе производил.

– Каков сегодня уровень доверия клиентов к облачным провайдерам?

– Даже у малых и средних компаний – очень невысокий, не говоря уже о крупных, которые предъявляют высокие требования к конфиденциальности своей информации и вряд ли перейдут на использование публичных облаков. Однако в течение двух-трех лет ситуация может радикально измениться. Во-первых, в силу развития технологий уровень защиты информации в облачных средах, в том числе в публичных облаках, несомненно, повысится. Во-вторых, должен повыситься и уровень доверия к провайдерам. Пусть сейчас у них нет должной репутации, но любая репутация зарабатывается. Эти провайдеры уже работают с частными пользователями, через некоторое время могут начать работать и с небольшими организациями, которые при этом не так сильно рискуют и соображения экономии могут «перевесить». Если в течение двух-трех лет такой работы сколько-нибудь серьезных инцидентов не произойдет, то можно будет сделать вывод, что данный провайдер эффективно использует современные технологии, правильно организует работу своих специалистов и тем самым обеспечивает адекватный уровень защиты. И значит, такому провайдеру могут доверять и более крупные компании. Крупные корпоративные заказчики и холдинги в обозримом будущем будут склонны строить частные облака для собственных нужд.

– Как должна строиться система защиты данных в облачных средах?

– Построение системы защиты для облака – задача нетривиальная. Состав и конфигурация этой системы сильно зависят от инфраструктуры облака, типа предоставляемых облачных сервисов (IaaS, PaaS или SaaS) и способа их доставки пользователям. Поэтому приступать к ее созданию нужно после изучения объекта защиты и его декомпозиции на защищаемые уровни. Для облачных вычислений выделяют клиентский уровень, уровень приложения, уровень платформы и/или инфраструктуры. Далее для каждого уровня выявляют угрозы, анализируют их актуальность, разрабатывают специфичные для данного уровня механизмы защиты. Для облаков немаловажно управление конфигурациями безопасности и событиями ИБ: поскольку облачные инфраструктуры и взаимодействие внутри них очень многообразны, автоматизация процессов управления позволяет существенно повысить уровень защищенности информации, обрабатываемой в облаке.

Если по модели IaaS клиенту предоставляется как услуга целый сервер, то он может использовать собственную систему защиты данных, а если в облаке предлагаются услуги SaaS (в данном случае Software as a Service), когда пользователи работают только с предоставленными им приложениями, то тогда именно провайдер должен обеспечивать защиту «от и до», а пользователю в этой ситуации остается только полагаться на провайдера. Есть и промежуточный вариант – облако типа PaaS, где добавляется уровень платформы и провайдер должен обеспечить защиту только виртуальной инфраструктуры, а механизмы защиты приложений и разграничения доступа будут уже в ведении пользователя.

– Какие проблемы в области защиты данных в облаках еще предстоит решить?

– Для облачных сред до сих пор нет типовых решений. Разные вендоры для разных платформ предлагают разные варианты продуктов с пересекающимся функционалом, а это сильно усложняет реализацию проекта. То есть первая проблема, которую, на мой взгляд, надо решить, – это стандартизация механизмов информационной безопасности для облаков. Такие наработки есть, например, в США, где облачные сервисы активно внед-ряются в работу государственных структур. В принципе работа над адаптированным для России вариантом стандарта по защите виртуальных сред, который можно будет распространить и на облака, уже началась.

– Существуют ли коробочные решения для организации информационной защиты в облаках, или такие системы всегда уникальны?

– Ряд вендоров уже предлагает такие решения для облачных сред, позволяющих предоставлять услуги PaaS. Однако уровень защиты данных и приложений пользователей в этих облаках сильно зависит от конкретной реализации последних. Самая сложная задача – это организация защиты в облаках типа SaaS, она всегда требует индивидуальной «заточки» и настройки. Но в любом случае полнофункциональное решение, обеспечивающее действительно адекватный уровень защиты, нельзя построить с помощью какого-то одного продукта. Это сложная конструкция, напоминающая даже не пирамиду или домик из кубиков, а мозаику, причем края у кусочков этой мозаики нечеткие. Построение такой системы требует интеграции и взаимоувязывания нескольких продуктов защиты от разных производителей, организации их совместной работы с приложениями пользователя. Полагаю, что такую работу лучше доверять профессионалам.

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!