Rambler's Top100
Статьи ИКС № 09 2012
Илья ТРИФАЛЕНКОВ  18 сентября 2012

Практикум облачной безопасности

О специфике облачной безопасности, спроса, рисков. О защите виртуальных сред. Об использовании облачных сервисов от разных провайдеров. О миграции сервисов. Об ответственности и рисках потребителя. О балансе между инфобезопасностью и комфортом пользования. О готовности рынка.

Илья ТРИФАЛЕНКОВ, начальник отдела информационной безопасности «Ростелекома» О специфике облачной безопасности. В дополнительной защите, связанной со спецификой облачных вычислений, нуждаются, несомненно, системы управления. С нашей точки зрения, к ним должны предъявляться наиболее жесткие требования и применяться полный набор механизмов защиты в соответствии с моделью угроз.


Из трех моделей предоставления облачных сервисов наиболее высокий уровень безопасности – в SaaS, поскольку именно в этой модели реализовано разделение администрирования на прикладном и инфраструктурном уровне, возможность предоставления услуги заданного SLA, разделение зон ответственности оператора и пользователя.  

О защите виртуальных сред. Легкость разворачивания виртуальных ресурсов часто приводит к тому, что с ними обращаются гораздо менее ответственно, чем с реальными. Это касается, например, размещения резервных копий виртуальных машин в открытом виде и в доступных местах. Специфические риски виртуализации, связанные с атакой на гипервизор, рассматриваются скорее теоретически, реальных случаев ущерба от таких атак не зафиксировано. Тут такая же ситуация, что и с криптографией: проверки идут на устойчивость алгоритмов, а потери – от элементарной кражи ключей.

О специфике спроса. Крупные коммерческие компании и госструктуры не работают в публичных облаках, скорее – в гибридных. Специфика в том, что коммерческие компании прежде всего защищают коммерческую тайну, а государственные – персональные данные. Из этого следуют несколько разные подходы к этапности работ и набору механизмов защиты.

О специфике рисков. Что касается рисков облачной модели, то это риски, связанные с оператором, и риски, связанные с другими пользователями облачных услуг. Необходимо заметить, что наличие дополнительных типов рисков не обязательно ведет к усилению интегральных рисков, поскольку в облачной архитектуре типовые риски могут быть существенно снижены. Условием этого является четкое распределение зон ответственности оператора и пользователя, отражение в SLA максимально конкретных требований и метрик безопасности.

Об использовании облачных сервисов от разных провайдеров. Целесообразность работы с несколькими провайдерами сомнительна и требует обоснования – ведь при построении корпоративных систем никто, как правило, не стремится использовать конкурирующие решения одной и той же задачи. Провайдеры таких сложных услуг по определению должны быть достаточно крупными организациями с опытом работы на рынке, так что риск, связанный с неспособностью оператора обеспечить услугу, минимален. А проблемы при использовании нескольких провайдеров велики.

О миграции сервисов. Начинать нужно с тех сервисов, применение которых обеспечивает больший экономический эффект. При этом основная проблема – договориться с оператором о параметрах SLA, особенно если до этого они в корпоративной среде не специфицировались,  а воспринимались умозрительно, в терминах «чтобы все работало».

Об ответственности и рисках потребителя. Есть элементы, которые в любом варианте остаются на стороне пользователя. Это терминалы в том или ином виде. Можно организовать мощный набор механизмов защиты, который будет бесполезен, если на клиентской стороне не контролируется, кто и как получает доступ к терминальным устройствам.

О балансе между инфобезопасностью и комфортом пользования. Разумный баланс обеспечивается на основе анализа рисков. Общих рекомендаций тут не существует, поскольку все сильно зависит от того, какая информация и в каких целях обрабатывается. Средства защиты мобильных приложений быстро развиваются, и уже сейчас есть вполне эффективный инструментарий. Хотелось бы при этом заметить, что далеко не со всеми приложениями удобно работать с мобильных устройств, так что проблема хотя и актуальная для ряда случаев, но вряд ли определяющая.

О готовности рынка. На сегодняшний день есть набор вендорских решений инфобезопасности как отечественного, так и неотечественного производства. И даже есть сертифицированные решения. Роль системных интеграторов в связи с распространением облачных технологий сейчас не меняется: они выполняют привычные для них функции. Единственно, при широком внедрении облачных технологий количество заказчиков падает, поэтому заинтересованность интеграторов невелика. Операторы за прошлый год сделали огромный шаг к созданию реальных облачных сервисов, а пользователи начали осознавать свою выгоду. Тем не менее этот путь и тем и другим еще предстоит пройти. 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!