Rambler's Top100
Статьи
Евгения ВОЛЫНКИНА  05 апреля 2012

Р. Заединов (КРОК): «Опасность представляет не передача данных в облако, а недостатки во внутренней организации работы компании»

Об  информационной безопасности говорят как о главной проблеме, стоящей на пути использования облачных сервисов. Какова доля правды в этом утверждении? Читайте полную версию Дискуссионного клуба «ИКС», №3`2013, «Облака сосредотачиваются». Часть V.

? «ИКС»: «Есть ли сейчас на рынке продукты, обеспечивающие надежную защиту облачных сред? Какие проблемы в этой области еще предстоит решить?»
 
Андрей Свириденко, председатель правления SPIRIT: Думаю, что главным с точки зрения информационной безопасности является человеческий фактор. Если говорить о киберугрозах, то сегодня существуют целые классы программ по защите каналов, шифрованию данных, которые обеспечивают защиту облачных сред. Вместе с тем, при построении облачной инфраструктуры важно следовать в том числе и нормам законодательства, например, не использовать для связи с внешними сервисами рабочих станций, на которых обрабатываются данные, составляющие гостайну.


Олег Просветов, технический консультант Symantec: С точки зрения провайдера облака, подход к защите облачных сред не сильно отличается от защиты традиционной инфраструктуры, и набор продуктов для защиты остаётся тем же. Естественно, здесь есть своя специфика. В силу новизны почти полностью отсутствуют наработанные практики по организации защиты, и это можно назвать одной из главных проблем. С точки зрения пользователей облачных услуг решений по защите почти нет, либо они привязаны к одной конкретной услуге.


Сергей Точилкин, начальник отдела инфраструктурного программного обеспечения, «Открытые Технологии»: В облачной инфраструктуре могут и должны применяться традиционные средства защиты, однако виртуализация привносит новые угрозы, прежде всего - это атаки через гипервизор и средства управления облаком, а также защита от несанкционированных действий администраторов облачных сред. Новые угрозы требуют создания специфических средств. На рынке уже есть продукты, которые защищают облачные среды, но они не решают всех проблем. Нужно учитывать, что установка любых средств защиты на гипервизор входит в противоречие с самой идей гипервизора как минимальной операционной системы, задача которой эффективно распределять вычислительные ресурсы между виртуальными машинами и при этом минимизировать собственные накладные расходы на производительность. Задача контроля действий администраторов облачной среды должна решаться комплексно на всех уровнях: на уровне виртуальной машины, на уровне гипервизора, на уровне сетей физической и виртуальной, на уровне сети хранения данных, на уровне системы резервного копирования, на уровне средств управления облачной средой.


Евгений Озол, системный инженер, Digital Design: Во-первых, сами по себе облачные продукты в достаточной степени защищены. Есть ряд встроенных технологий, обеспечивающих безопасность. При грамотной настройке эти продукты дают достаточно серьезный уровень защиты. Плюс к этому есть дополнительные решения – системы обнаружения вторжения, антивирусы и т.п. Отдельно стоит отметить решения, которые приводят облачную инфраструктуру в соответствие с нормативными актами или, например, лучшими практиками. Однако надо отметить, что их не так много, и здесь есть куда развиваться. Многие вендоры открыли интерфейсы к своим продуктам для сторонних разработчиков, чтобы те могли создавать сопутствующие решения. Однако бурный рост таких решений только начинается.


Руслан Заединов, заместитель генерального директора, руководитель направления центров обработки данных компании КРОК: Когда речь идет про «облака», вопросу безопасности всегда уделяется особое внимание. Это происходит из-за недоверия к публичным «облакам» и вообще к передаче своих данных вовне. При этом безопасность в «облаке» обычно противопоставляют безопасности во внутренней корпоративной среде, подразумевая, что защита внутри компании надежнее. Это не всегда так. Зачастую системы информационной безопасности в компании создаются без опоры на международные или корпоративные стандарты, а значит, в защите есть пробелы. Важно понимать, что если такую систему перенести в «облако», проблемы не исчезнут. Опасность представляет не передача данных в «облако», а недостатки во внутренней организации работы компании: собственные пользователи, не соблюдающие осторожность при пользовании сервисами, плохо отлаженные процедуры работы с данными, бреши в настройках защиты. И, если говорить про недоработки в защите, у облачного провайдера их, скорее всего, будет меньше, ведь он, ощущая свою ответственность перед заказчиком, специально заостряет на этом внимание.


Ирина Момчилович, генеральный директор Rainbow Security: Задача обеспечения безопасности данных в облаке значительно отличается от стандартной схемы защиты корпоративных ресурсов, так как понять, где именно находится ценная для компании информация, очень сложно. При использовании любых облачных сервисов периметр безопасности «размывается», поэтому обычные средства защиты для облаков не эффективны. Главным объектом защиты сегодня становится информация, находящаяся в облаке, и доступ к ней обязательно должен контролироваться, для чего крайне необходимо обеспечить строгую аутентификацию пользователей. При этом само облако должно быть доступно для клиента в любое время и из любой точки, где есть Интернет. Строгая аутентификация может быть реализована с помощью одноразовых паролей (OTP, one-time password) с использованием бесконтактных смарт-карт, токенов, статических паролей, системы «вопрос-ответ». Подобные средства безопасности уже представлены на современном рынке ИБ несколькими вендорами. А поскольку рынок облачных услуг медленно, но верно набирает популярность, то следует ожидать, что в ближайшее время будут появляться сертифицированные средства обеспечения защиты данных в облаке, соответствующие всем нормативным стандартам. В дальнейшем это, возможно, превратится в отдельную отрасль информационной безопасности, обеспечивающую обработку и защиту конфиденциальных данных на публичных вычислительных ресурсах. Валерий Андреев, заместитель директора по науке и развитию компании ИВК: Защита облачных сред — процесс, который уже начался. Но проблема не решена, и отрицать это глупо. Проблема большая, особенно в РФ. Возможно, 2012 год даст некоторую ясность в этом вопросе, и регулятором будут разработаны требования по защите и руководящие документы, на основании которых можно будет оценивать защищенность тех или иных «облаков». ИТ рынок движется в этом направлении, чего не скажешь о регуляторе. Пока никаких положительных сигналов здесь нет. Хотя появляются решения, обеспечивающие защищенность «облачных» сред. Это тоже особенность национального «облака». Встречается и сильное пессимистическое утверждение: мол, безопасность облачной инфраструктуры — это спекуляция. Конечно, это не так. Но без четких требований опровергнуть такие высказывания почти невозможно. Во многом из-за этой проблемы «облака», даже частные, не так широко «шагают по стране» как могли бы.


Георгий Гаджиев, эксперт бизнес-направления вычислительных систем и систем хранения данных компании «Микротест»: Средства защиты облаков есть, однако их немного. Основной предмет интереса заказчиков – криптошлюзы, отделяющие инфраструктуру провайдера от внешних каналов передачи данных. Все это оборудование должно быть аттестовано по требованиям ФСТЭК. Здесь есть некоторые сложности: можно закупить аттестованные по отдельности средства обеспечения безопасности, но в комплексе решение из этих компонентов не будет соответствовать нормам. Этим часто пользуются провайдеры. В этом отношении больше возможностей у системных интеграторов, у которых есть соответствующие разрешения, им проще аттестовать комплексные решения.


Илья Федорушкин, заместитель коммерческого директора ОАО «РТКомм.РУ»: Безопасность в облаках – это удобная формулировка для того, чтобы не использовать подобные решения, но не более того. Например, в нашем случае ЦОД, в котором располагаются облачные сервисы, хорошо защищен от различного рода сетевых угроз, имеет необходимые уровни резервирования, в нем регламентированы организационные вопросы безопасности. Для компаний, которым важна также безопасность между ЦОД и пользователем мы предоставляем защищенные IP VPN соединения. Но, как известно, обеспечить 100% уровень безопасности де-факто не возможно ни для какой архитектуры или технологии. Разумные компании оценивают баланс «удобно-выгодно-безопасно» и принимают решения. Постоянные обвинения облаков в отсутствии безопасности мне напоминают ситуацию с технологией VoIP 10 лет назад. Про VoIP тоже говорили, что отсутствие безопасности не даст этой технологии возможности широкого применения. Постепенно вопросы сокращения расходов и удобный функционал, предоставляемый технологией, отодвинул вопросы безопасности на задний план. Полагаю, что подобная тенденция ждет и облачные услуги.


Всеволод Тепляков, менеджер проектов группы компаний «КОРУС Консалтинг»: Безусловно, апологеты классического подхода лукавят, когда заявляют о том, что облачные сервисы не обеспечивают надежную информационную безопасность и надежность доступа. Дело в том, что многие крупные игроки мирового рынка облачных сервисов инвестируют значительные суммы как в поддержание текущего уровня информационной безопасности, так и в развитие современных технологий ее обеспечения. Происходит это из-за того, что акции таких крупных провайдеров торгуются на открытых рынках. Стоит случиться хотя бы одной ситуации, когда уровень безопасности ставится под сомнение, это может послужить причиной краха компании-провайдера. Что же касается надежности доступа к сервису, то любая уважающая себя компания-провайдер всегда указывает в SLA конкретные гарантии предоставления доступа.
Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!