• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

Теперь нет классического подхода к информационной безопасности

Так считает Артем ПЛЕТНЕВ, операционный директор по ИТ ГК «Рольф», завершившей «ровно в половине двенадцатого» (в конце июня 2012 г.) перенос в гибридное облако HP приложений, ранее работавших на 200 серверах в корпоративном ЦОДе холдинга.

– Как повлиял на выбор облачной модели размер компании? И в чем специфика обеспечения инфобезопасности для этой модели?

– Наша компания пошла по пути гибридного облака именно потому, что размер уже не позволяет нам пользоваться стандартными услугами публичного облака – необходим точечный, система за системой, подход к построению облачных сервисов. Отсюда гибридное сочетание моделей SaaS, PaaS, IaaS. Перенос нашей ИТ-инфраструктуры в гибридное облако НР стал первым и пока что единственным успешно завершенным проектом такого масштаба во всей России. Процесс миграции приложений и услуг занял около шести месяцев, и сейчас система безопасности HP и внутренние процессы работают безупречно. С точки зрения ИБ мы руководствовались корпоративными требованиями: прежде всего важно понимать, что защищать и от кого, а также максимально соответствовать требованиям российского законодательства.

– Основными сдерживающими факторами при переходе предприятий на публичные облачные сервисы аналитики называют сомнения в надежности хранения персональной и финансовой информации, нежелание впасть в зависимость от провайдера облачных услуг, опасения снижения доступности сервисов или нарушения функциональности, необходимость внесения изменений в корпоративные инструкции… Оказались ли какие-то из этих страхов мифами, развеять которые поможет опыт вашей компании?

– Согласен, что при использовании публичных облаков непонимание того, где находятся ваши данные, порождает сомнение в их безопасности. Поэтому в нашем случае идею публичных облаков сразу отвергли. Если говорить про опасения, связанные с доступностью, функциональностью и т.д., то, на мой взгляд, 2/3 времени непосредственно перед запуском проекта необходимо потратить на проверку и тестирование систем в облаке всеми имеющимися средствами, потому что потом, уже в боевом режиме, очень трудно, а порой и невозможно в разумное время вернуть все назад. В этом смысле есть определенная зависимость от провайдера, но опять-таки все должно быть тщательно проверено до промышленного запуска. Все остальное регулируется договорными отношениями и вашим профессионализмом. Доверяйте компаниям не по лозунгам, а по реальному опыту и отзывам, тогда не будет зависимости и опасений.

– Как вы считаете, с каких сервисов лучше начинать переход в публичное облако и на каком этапе перехода неизбежно участие системного интегратора?

– Я бы предложил начать с самого «простого», например с электронной почты. Это классический пример облачного SaaS-сервиса, тем более что рынок по этому сервису уже стал конкурентным, а это позволяет попробовать разные решения и сравнить их. Для обслуживания нашего холдинга в ЦОДе HP применяются и физические серверы, на которых работают «тяжелые» приложения (такие как SAP, Oracle), и виртуальные серверы, используемые для остальных приложений и для тестирования. Отказоустойчивая архитектура каналов данных обеспечила бесперебойный доступ к услугам и приложениям, перенесенным в облако. Среди них система Microsoft Exchange, услуги которой сейчас предоставляются по модели SaaS, а также ERP-системы SAP и «1С». Дальнейшие планы развития этого проекта предполагают перевод на модель PaaS баз данных Microsoft SQL Server, Oracle и некоторых других приложений.

К системным же интеграторам я пока отношусь осторожно и рекомендовал бы начать с компаний, которые непосредственно разрабатывают такие технологии и инструменты. Российский рынок в этом вопросе еще молод, и интеграторам надо накопить опыт.

– Какие участки должен обезопасить сам пользователь облачных сервисов?

– Прежде всего это разделение ответственности. Сегодня «классический» подход к безопасности, когда мы закрываем внешний периметр и считаем, что компания защищена, уже не действует. Убедившись в полной безопасности, которую гарантирует облачный провайдер, поняв механизмы защиты каналов связи провайдера, можно полностью сконцентрироваться на конечных рабочих местах, с которых выполняется ввод данных, получение отчетности, печать, и эффективно построить их защиту – это должен сделать сам пользователь облачных сервисов.

– Как минимизировать риски при использовании облачных приложений от разных провайдеров? Каковы ваши пожелания вендорам решений инфобезопасности, системным интеграторам, провайдерам?

– На мой взгляд, облачный провайдер должен быть один, и он максимально полно настраивает системы безопасности под себя. Защитить все и вся невозможно, здесь нужен подход, при котором максимальное количество проблем вы можете устранить минимальными усилиями. Не надо стараться объять необъятное, важно понять, провести всесторонний анализ и действовать направленно, только это дает эффект. Самая лучшая система безопасности – та, которую знают досконально. Есть реальные примеры, когда хорошая система безопасности негативно влияла на производительность бизнеса только по причине неквалифицированной настройки и тестирования.

– Каких «подводных камней» при переходе к облачной модели предоставления услуг можно избежать, какие есть «пути отступления» в случае нарушения трех правил ИБ (конфиденциальность, целостность, доступность)? Какие пункты необходимо отразить в SLA? Что бы вы порекомендовали компаниям, идущим «в облака» вслед за вами?

– Прежде всего надо понимать нормы законодательства, потому что это первое препятствие на пути к облакам (взять хотя бы требования по защите персональных данных). Второе: три правила нарушать нельзя ни при каких условиях, исключений быть не должно, нужно сделать все, чтобы конфиденциальность была соблюдена, целостность контролировалась, а доступность была подтверждена процедурами по работе с информацией. Сделать это несложно, но надо понимать, что кроется за этими терминами, у каждой компании свои подходы и требования. В нашем случае зоны ответственности HP и «Рольф» разграничены, права доступа к приложениям и данным жестко определены, а получившаяся инфраструктура соответствует требованиям текущей редакции 152-ФЗ. В конце каждого отчетного периода «Рольф» получает детализированные счета за использованные ИТ-ресурсы гибридного облака с указанием всех задействованных систем, емкости систем хранения и резервного копирования, а также количества почтовых ящиков. Кроме того, провайдер каждый месяц предоставляет нам отчет по выполнению SLA. Кстати, благодаря этому проекту мы смогли вывести из эксплуатации устаревшее оборудование серверов и систем хранения и освободить помещение, которое прежде занимал корпоративный ЦОД, для расширения бизнеса.

– Доступность ИТ-приложений везде, где есть подключение к Интернету, в том числе с мобильных устройств сотрудников – это и безусловное удобство, и дополнительные риски публичных облачных услуг. Как найти разумный баланс между безопасностью и комфортом пользования?

– Доступность приложений из Интернета существовала и до облаков, и здесь ничего не изменилось. Есть проверенные средства защиты и разумный подход: а нужен ли этот доступ извне? То же самое касается и мобильных устройств. Но сегодня я не готов широко использовать мобильный доступ, так что баланса пока нет, есть крен в сторону безопасности: на мой взгляд, открывать корпоративную сеть для доступа со всех мобильных устройств пока рано!