Rambler's Top100
Статьи ИКС № 09 2012
Михаил ЕМЕЛЬЯННИКОВ  18 сентября 2012

Не по дороге с облаками

Продавцы облачных сервисов убеждают нас, что корпоративные заказчики уже просто-таки рвутся в облака… Но до сих пор нет ни одного внятного, обоснованного и убедительного ответа на крайне простые, очевидные вопросы.

Михаил ЕМЕЛЬЯННИКОВ, консалтинговое агентство «Емельянников, Попова и партнеры»Все эти годы вдвижения новых сервисов в умы и деньги заказчиков вместо ответов мы получаем то, что классик мировой революции называл эклектической похлебкой, – общие слова про колоссальный опыт и ответственность разработчиков, про неизбежность научно-технического прогресса и светлое будущее аутсорсинга… Все эти слова останутся лишь общими словами, пока не станет ясно:

1. Что происходит с данными, загруженными в облако, после выполнения действий, назначенных заказчиком (обработки, проведения вычислений, нажатия клавиши Delete на ПК пользователя, работающего с облачной инфраструктурой)?

2. Какими конкретно механизмами обеспечивается разграничение доступа к информации в облаке между пользователями всех этих SaaS/IaaS/PaaS и вообще XaaS, кто и как подтвердил их надежность?

3. Как обеспечивается безопасность виртуальной архитектуры внутри облака, нейтрализуются атаки на гипервизор, ограничиваются права суперпользователя, и почему бы не продать нашу информацию конкурентам, которые получают всё по запросу в том же облаке?

4. Кто и как управляет ключами шифрования при закрытии канала передачи данных в облако? Почему это не АНБ/ЦРУ/«Моссад»/BND/MI5-MI6 (список продолжите сами)?

Перечень вопросов не исчерпывающий, и касается он только конфиденциальности. Но, как только вы поднимаете глаза вверх и смотрите на белогривых лошадок, у любого ИТ- или ИБ- директора в здравом уме и твердой памяти появляются нехорошие мысли про доступность и целостность. Перечень вопросов стремительно растет:

5. Кто конкретно и как отвечает за неизменность ваших данных в облаке? Чем это подтверждается?

6. Что вы будете делать, когда у вас не окажется доступа к Интернету?

7. Что вы будете делать, когда провайдер откажет вам в услуге?

8. Что вы будете делать, когда ваши данные бесследно исчезнут?

9. Что вы будете делать, когда решите «найти себе другого провайдера, честного» и мигрировать к нему? Как вы перенесете свои данные и перенесете ли вообще?

Отсутствие внятных ответов на все выше поставленные вопросы заставило меня вернуться к соображениям годичной давности, изложенным на одной из профильных конференций. Я не нашел не только тридцать три, но и три отличия от того, что происходит сегодня. Для информационных технологий и информационной безопасности с точки зрения нейтрализации возникающих угроз год – период огромный. И если за это время на технологические вызовы нет соответствующей реакции, зато заметен рост агрессивности маркетинга, это неспроста. И у меня, как у специалиста по безопасности, появился новый вопрос к провайдерам облачных услуг: а как и где заказчик может познакомиться с логами событий безопасности, связанными с его конкретно данными? Они вообще-то есть? И как там с таргетированными атаками, всякими новыми Stuxnet, Flame, Gauss? Ведь красть с колхозного поля всегда легче, чем с личной делянки.

Боюсь, что до получения не просто ответов, а обязательств, закрепленных в договорах с провайдерами, публичные облака останутся областью применения для почтовых сервисов и личных файлов, а про международные корпорации, перенесшие в них свою информационную инфраструктуру (названия, по понятным причинам, не раскрываются), нам придется верить продавцам воздуха облаков на слово. 
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: