Rambler's Top100
Статьи
Лилия ПАВЛОВА  16 октября 2012

Д. Митрофанов (Ай-Теко): "Проблема рынка – в отсутствии комплексного предложения. Каждый держит в руках свой «кусочек пазла».

Эксперты расходятся во мнении, и порой диаметрально, относительно готовности участников рынка к обеспечению информационной безопасности в облаках. Чьи аргументы перевесят? Читайте полную версию Дискуссионного клуба темы номера "ИКС" №9'2012 "Дорожная карта облачной безопасности". Часть 1.


"ИКС": Как вы оцениваете готовность всех участников рынка (вендоры программно–аппаратных решений для инфобезопасности, системные интеграторы, провайдеры облачных услуг, их пользователи) к обеспечению информационной безопасности в публичных и гибридных облаках? Кто в этом «квартете» – ведущий, кто – отстающий?

Джабраил Матиев, руководитель группы информационной безопасности IBS Platformix: Прежде чем говорить о распределении мест, стоит уточнить список участников забега. На самом деле мы имеем дело даже не с квартетом, а с квинтетом: нельзя забывать о регуляторе, так как одним из важнейших элементов информационной безопасности является соответствие требованиям нормативных документов. Именно в области регуляции процесса нормативными документами есть некоторое отставание: пока что не разработаны российские нормативные требования по защите облачных сред. Надо отметить, что регулятор обещает разработать требования, но без широкого обсуждения с бизнесом и производителями требования могут быть оторванными от действительности. Провайдеры зависят от интеграторов, а интеграторы сильно зависят от того, что могут предложить вендоры. Вендоры предоставили эффективные решения защиты облачных сред, поэтому вся цепочка должна обеспечить хороший уровень защиты. Что касается пользователей, то они всегда являются точкой риска в любой системе. Необходимо создавать условия, при которых человеческий фактор не оказывает значительного влияния на защищенность системы.

Виталий Савченко, начальник отдела технического сопровождения продаж компании Veeam:  В данный момент  безопасность - это достаточно острый вопрос для облачных вычислений, и мне кажется, что именно конечные пользователи наиболее готовы к обеспечению информационной безопасности участниками рынка.
Облака не просто обеспечивают гибкость, но также являются  инфраструктурой, безопасность которой необходимо обеспечивать, которую необходимо интегрировать. Причем пользователи всегда  интересуются своими конкретными  прикладными проблемами, ответы на которые не всегда есть у других участников рынка. В этом "квартете" основной тон задают сейчас вендоры, поскольку еще не существует единого стандарта "облака", не понятно, под что писать продукты.

Алексей Иванов, руководитель проектов, департамент инфраструктурных решений, Digital Design: Готовность большинства из участников до сих пор далека от идеала. Далеко не все вендоры в области информационной безопасности на данный момент имеют отработанную схему предоставления своих решений в облаке. В основном это связано с нежеланием менять систему продаж. Поэтому конкуренция невысока, а значит, и цена подобной услуги еще не достигла достаточного минимума. Провайдеры не стремятся раскрывать свои внутренние процессы по организации информационной безопасности, что тормозит подключение крупных организаций. Многие пользователи до сих пор не понимают, какие же выгоды им принесет переход в облака. Системные интеграторы пытаются отслеживать всё происходящее, у них свое мнение насчет того, как могут быть реализованы те или иные функции облачных вычислений. Но они имеют воздействие только на пользователей, помогают им разбираться в хитросплетениях технологий, на иных участников рынка их влияние невелико.

Михаил Готальский, генеральный директор TrueConf: Как и на любом новом рынке, дольше всего к новым сервисам привыкают пользователи. Как всегда и во всем - сначала долгий процесс привыкания, потом не менее долгий и болезненный отвыкания. При использовании облаков информационная безопасность - обязательный элемент их включения в корпоративные бизнес-процессы. Как только пользователи увидят возможность безопасно и надежно использования облака, начнется массовое привыкание.

Александр Трошин, технический директор «Манго Телеком»: Вендоры программно–аппаратных решений для ИБ, системные интеграторы и сервис–провайдеры услуг в целом готовы к обеспечению надлежащего уровня ИБ в рамках организации публичного и гибридного «облака». Обеспечиваемый сегодня уровень ИБ более чем достаточен для «ухода в облака» компаний среднего уровня, которые не оперируют большими объемами данных или с очень «быстрой» информацией. Так как в последнем случае определенные риски, несмотря ни на что, все равно есть. Вопрос готовности игроков рынка к обеспечению высокого уровня ИБ заключается уже не только и не столько в технической организации публичных и гибридных «облачных» сред, а скорее в области юридического урегулирования договоров на размещение виртуальных машин в «облаках», а также договоров на аренду этих ресурсов. Плюс договоры и SLA обязательно должны регулировать и такие важные вещи, как неразглашение определенной информации, ее утечка и прочее. Если все это должным образом отображено юридически, причем именно на этапе начала взаимодействия, если сервис–провайдер и заказчик оговарили все возможные бизнес–риски, тогда можно говорить о полноценной готовности к обеспечению ИБ. Риски же технические, касающиеся, например, наличия резервных каналов связи, сегодня уже не обоснованы, так как, скажем, даже в регионах России, особенно крупных, тот же ШПД на данный момент очень хорошо представлен, а качество этой услуги вполне успешно регулируется в рамках договорных обязательств между провайдером и заказчиком.
Если же вернуться к распределению ролей при создании публичных и гибридных «облаков», то программно–аппаратные комплексы сейчас представлены мощно, квалифицированные системные интеграторы, у которых работают профессионалы, тоже готовы воплотить любой каприз заказчика. Но не всегда участники рынка (например, те же заказчики!) могут полностью оценить весь спектр рисков при использовании публичных «облаков». Причем, заказчикам больше мешают не реальные риски, а какие то ничем не подкрепленные стереотипные страхи. Поэтому сегодня сервис–провайдеры, помимо всего прочего, должны уметь еще и грамотно декомпозировать риски, как реальные, так и надуманные – глядя на совершенно конкретные точки.

Сергей Щербина, заместитель генерального директора компании Esri CIS:  «Облака» - пример технологии, наиболее активно продвигаемой именно вендорами. Усилия крупнейших мировых компаний (Microsoft, IBM и других) по созданию комплексных решений для развертывания облачной инфраструктуры постепенно дают результаты, однако необходимо отметить, что распространение этой технологии идет неравномерно. Основные деньги делаются, в основном, на построении инфраструктуры. Бизнес-приложения и сервисы пока занимают меньшую долю, хотя и растут ощутимыми темпами. «Облака» - одна из технологий, которая требует больших усилий по изменению менталитета заказчиков, убеждению их в преимуществах новой модели организации корпоративного ИТ.
Существуют, однако, области, где «облачный» подход имеет очень хорошие шансы закрепиться. Во-первых, это сфера государственных ИТ. В России правительство прямо говорит о том, что открытое, электронное правительство должно базироваться на облачной платформе (будь то приложения, платформа, или инфраструктура). Многие ключевые направления развития государственных ИТ очень органично ложатся в «облако» (например, СМЭВ).  Кроме того, «облака» способны существенно приблизить реализацию идей стандартизации подходов и технологий ведомственных ИТ-систем, дать доступ к прикладным сервисам и данным пользователям на всех уровнях (федеральном, региональном, муниципальном).

Валерий Андреев, заместитель директора по науке и развитию, ЗАО ИВК: К сожалению, этим квартетом все дело не заканчивается. Из всего этого квартета о готовности могут доложить, как минимум, три участника. Действительно, вендоры уже давно рекомендуют свои решения к внедрению, зазывая всех, в том числе, в целом решенными проблемами ИБ и надежностью. Системные интеграторы, заботясь о своем бизнесе, также не прочь отрапортовать о готовности, доверяя вендорам. Провайдеры облачных услуг в определенной степени являются системными интеграторами, поэтому их парадигма подобна, правда, они движутся в сторону частных облаков, побуждая к решению о миграции в облака крупный бизнес и госструктуры. И только пользователь (заказчик) пока что не определился с готовностью. Основная проблема очевидна. В квартете не хватает пятого участника - регулятора. Или, если хотите, гаранта нашей облачной безопасности, проработавшего вопросы ИБ, выпустившего необходимые руководящие документы (регламенты, стандарты и пр.), а также удостоверившегося в том, что конкретная реализация частного (публичного, гибридного и т.д.) облака отвечает этим РД, т.е. проведшего необходимые проверки конкретного решения. Это нормальная практика, давно работающая в области ИБ в РФ. На сегодняшний день этот регулятор сильно запаздывает, причем не только в РФ, но вообще в мире. Да, создан CSA, работает комиссия Евросоюза, но пока что результата нет. Т.к. в РФ эти процессы всегда запаздывают, то нам ждать еще неопределенно долго. Эта неопределенность отрицательно сказывается на облачном бизнесе в целом, и на российском особенно.

Артем Гарусев, исполнительный директор компании CDNvideo: Защита всегда совершенствуется по мере усиления «атакующей» стороны и улучшения понимания связанных с этим рисков. С таким пониманием есть серьезные проблемы. Сейчас много говорят о том, что «облака» не могут быть защищены уже потому, что для них пока нет общепринятой модели угроз. Для традиционных систем методики построения таких моделей есть. Но это теория. На практике же доля организаций, которые разработали модель угроз, и поддерживают ее в актуальном состоянии, ничтожно мала.
На мой взгляд, сейчас наиболее готовы именно сервис-провайдеры. Причины вполне рациональные. Для провайдера нарушение ИБ – это огромный репутационный риск, который, учитывая жесточайшую конкуренцию, может обернуться даже выходом из бизнеса. Ни одна другая сторона не мотивирована в такой степени. Кроме того, у серьезных провайдеров все аспекты деятельности максимально автоматизированы, все находится под двойным и тройным перекрестным контролем со стороны специальных программно-аппаратных комплексов. При этом необходимость минимизировать участие человека и возможности проявления «человеческого фактора» опять-таки вытекает из природы бизнеса. Более того, вся ИТ-система провайдера все чаще создается как целое – от проработки архитектуры и ТЗ, до реализации и передачи в эксплуатацию.  Концептуальное единство всей системы и отсутствие в ней унаследованных компонент серьезно упрощают задачу ИБ и устраняют источник множества уязвимостей.

Александр Колыбельников, эксперт по информационной безопасности «Микротест»:  В этой отрасли тон задают, конечно, вендоры. Это связано с тем, что все остальные участники этого рынка пользуются конкретными решениями и им крайне сложно сформировать какое-либо свое решение без участия производителя. Грубо говоря, на том, что производят вендоры, и собирается облако. Соответственно, в этом квартете ведущий – безусловно, вендор, а остальные вынуждены пользоваться тем, что предлагает вендор. По моему мнению, обеспечение информационной безопасности в облаках – это лишь зарождающийся сегмент рынка и, в связи с этим, зарождающийся новый класс решений. Для примера: по оценке IDC, рынок облаков в России за прошлый год составил  $ 15 млн., что означает, что на безопасность в этой сфере идет миллиона два, не больше. Это очень узкий сегмент и очень маленькие деньги, чтобы разработать серьезное решение для защиты. И, естественно, тут все ориентируются на крупнейших международных вендоров, и все ожидают готовых решений именно от них. Соответственно, они появятся, но это случится только тогда, когда будет понятно, что рынок самих облаков сформирован, он большой и решения по безопасности востребованы. Потому что потребителем, по факту, является пользователь, но используют эти решения все промежуточные звенья, в том числе провайдеры облачных сервисов, ну и, конечно, их внедряют системные интеграторы.

Дмитрий Митрофанов, заместитель директора СЦ по производству компании "Ай-Теко": На сегодняшний день драйверами рынка являются клиенты и интеграторы. Вендоры идут за их потребностями, и это естественно: большинство из них работает через партнеров, соответственно, именно партнеры являются для них «барометром» рынка. А партнеры, в свою очередь, взаимодействуют с клиентами и хорошо представляют себе их потребности – текущие и будущие. Задача системных интеграторов и провайдеров облачных услуг сегодня в какой-то мере просветительская: нужно рассказывать потенциальным клиентам о новых возможностях, которыми обладают современные решения в этой сфере, развенчивать мифы и вносить ясность. Специфика рынка такова, что первыми в бой идут провайдеры ИТ-сервисов, предлагая инновационные решения и формируя определенную потребность и у конечных пользователей (какие услуги нужны, что оптимально использовать), и у интеграторов и вендоров (функциональность ПО и оборудования, сертификация специалистов, разработка отраслевых стандартов). Так как интеграторы более гибки и мобильны в развитии бизнеса, чем крупные вендоры, они предпринимают попытки создать собственные облачные решения – чтобы восполнить нехватку таковых у вендоров. Таким образом, проблема рынка – в отсутствии комплексного предложения, удовлетворяющего все запросы клиентов. Каждый держит в руках свой «кусочек пазла».

Антон Разумов, Руководитель группы консультантов по безопасности Check Point Software Technologies Ltd: Длительное время защита, которую могли предложить провайдеры облачных услуг, фактически представляла собой пакетные фильтры, т.е. была на уровне 90-х годов. Разумеется, это тормозило вывод в облака сервисы с достаточно конфиденциальными данными. В настоящее время ситуация изменилась. Например, для VMware уже не один год существуют полноценные решения, включающие в себя не только межсетевой экран, но и систему предотвращения атак, возможность безопасного удаленного доступа и даже систему предотвращения утечки данных. А недавно аналогичные возможности стали доступными и пользователям сервиса Amazon AWS.

Вячеслав Медведев, аналитик компании "Доктор Веб": Я бы добавил к указанному квартету еще и пятого участника — поставщика услуг доступа. Ширина канала доступа к поставщику облачных услуг существенно влияет на возможность применения тех или иных решений безопасности. Так, передача информации между компанией и поставщиком облачных услуг требует применения шифрования данных или использования VPN — для минимизации риска перехвата либо компрометации данных. Но, к сожалению, не в любом месте мира имеется Интернет с нужной шириной канала — и как минимум мобильные пользователи (включая руководство компаний) могут остаться без защиты. Возвращаясь к вопросу готовности участников вышеперечисленного квартета, можно сказать, что ни один из его участников не готов к жизни в облаке. Наиболее готовы разработчики и поставщики решений безопасности. На данный момент имеется достаточное количество решений в этой области, и их применение способно обеспечить надежную техническую защиту данных. Готовы и интеграторы — используя имеющиеся решения, они могут обеспечить для клиента уровень безопасности не меньший, чем при работе с локальными сервисами. На самом деле это неудивительно. Дело в том, что, как это ни парадоксально, любая компания, в которой были удаленные или мобильные пользователи, по сути являлась поставщиком услуг облачной защиты для этих пользователей и подразделений. Вопрос как тогда, так и сейчас упирается не в отсутствие необходимых решений, а в комфортность работы пользователей и готовность клиентов услуг платить за гарантию безопасности. Так, например, поставщики облачных услуг строят ЦОДы с соблюдением TIER III — и это обеспечивает устойчивое функционирование самого ЦОДА. Но эти же поставщики, как правило, не готовы брать на себя ответственность за уровень качества предоставляемых услуг, ограничиваясь лишь декларациями. И их вполне можно понять. Сам ЦОД вполне можно защитить от тех же DDoS-атак — и серверы, размещенные внутри ЦОДа, будут устойчиво функционировать во время атаки, но компания-клиент может быть на время этой атаки отрезана от ЦОДа — хотя бы по причине переполнения канала (не будем брать во внимание возможность физического нарушения канала связи). Ее потери от приостановки деятельности будут весьма значительными — и поставщики услуг не готовы их компенсировать. И таких вопросов множество: как гарантировать удаление данных из бекапов поставщиков услуг, как гарантировать отсутствие возможности доступа администраторов поставщика услуги к данным компании... Еще более тяжелой выглядит ситуация на стороне потенциальных клиентов облачных услуг. Облачные услуги с самого начала продвигались как полностью безопасные, и в сознании клиентов сформировалось мнение, что сама передача сервисов в облако уже гарантирует безопасность. Что, естественно, далеко не так. Передача сервисов действительно позволяет обеспечить бесперебойность работы сервисов и необходимый объем ресурсов в любой момент времени — но передача сервисов в облако в большинстве случаев увеличивает требования к безопасности. Как минимум за счет того, что сеть становится территориально распределенной и требует мер по обеспечению как безопасности передачи данных, так и доступности каналов передачи в любой момент времени. И это накладывается на уже имеющуюся недооценку опасности в области вирусных инфекций и действий инсайдеров. И если состояние на стороне провайдеров услуг постепенно улучшается, в том числе и по причине наличия конкуренции между поставщиками, то на стороне клиентов, пожалуй, можно говорить о его ухудшении. Рост компаний и их переход к новым видам деятельности должен вызывать не только и не столько внедрение новых сервисов безопасности. Должен осуществляться переход к контролируемой и управляемой системе безопасности — системе безопасности адаптивного типа. Но для этого требуются как огромное количество специалистов по безопасности (причем доступных в любом месте мира, где бы ни действовала компания), так и понимание бизнес-сообществом необходимости перехода на новую модель безопасности.

Александр Бондаренко, технический директор компании LETA: В настоящий момент публичные облака в основном представляют сервисы, рассчитанные на массового потребителя или небольшие организации, которые стремятся сэкономить на стоимости инфраструктуры или программного обеспечения. Эти потребители не особо озабочены вопросами информационной безопасности и поэтому не сильно интересны крупным интеграторам или поставщикам программно-аппаратных решений.  Другое дело частные облака, построенные на технологиях виртуализации. Здесь на рынке уже представлены основные западные игроки, предлагающие решения, позволяющие обеспечить защиту виртуальных/облачных инфраструктур, хотя, конечно же, этот сегмент отрасли находится на стадии активного развития и многое еще может поменяться в раскладе игроков, решений и услуг.

Дмитрий Слободенюк, директор компании ARinteg: Следует отметить, что инфраструктура многих компаний зачастую не готова к полноценному переходу в «облака». Особенно это характерно для регионов, так как эффективная работа «облака»  требует быстрых и стабильных каналов связи, что есть далеко не везде.
При работе с облачными технологиями многие специалисты ИТ обеспокоены потерей контроля над частными средами, недостаточной защитой данных в публичных инфраструктурах, многие опасаются размещать данные, для которых необходимо соблюдение требований регулирующих органов, в облачные центры обработки данных (ЦОД).  Здесь важен комплексный подход для решения вопросов безопасности облачных сред  и повышения доверия к частным, публичным и гибридным облачным инфраструктурам. Для грамотного выстраивания работы важно прилагать усилия как минимум в четырех направлениях: обеспечение защиты не только ЦОДов и сетевых подключений, но и подключаемых к облачным сервисам устройств,  а также ускорение разработки унифицированных стандартов в области защиты облачных данных.
Постоянно увеличивающееся количество различных устройств, переводимых в «облака», и тенденции к использованию личных устройств для работы создают еще ряд проблем для обеспечения безопасности в облачных средах. Это и комплексное управление идентификаторами пользователей, и новые виды вредоносного ПО, и постоянно увеличивающееся количество онлайн-атак, для борьбы с которыми требуются новые уровни обеспечения безопасности. Для того, чтобы минимизировать подобного рода риски, важно повышать защиту устройств, включая настольные и мобильные ПК, путем защиты данных и ограничения доступа к информации и приложениям.

Владимир Алеев, главный архитектор бизнес-решений: центры обработки данных, ОАО «СИТРОНИКС»: Пока уровень информационной безопасности в публичных «облаках» неудовлетворительный. Исключения составляют государственные услуги, размещаемые в «облаках» компаний-агентов правительства и отвечающие законодательным требованиям по защите данных пользователей (граждан и организаций).  Пользователи коммерческих облачных услуг не могут непосредственно влиять на уровень информационной безопасности, обеспечиваемый SaaS-провайдерами (операторами услуг), но могут оказывать на них давление через рыночные механизмы. Специальные решения по безопасности для SaaS-приложений практически отсутствуют, что объясняется отсутствием общепринятой нормативной базы и наработанных методик. Ключевым событием будет принятие международных стандартов  по информационной безопасности в этой области, которые сейчас разрабатываются и ожидаются в 2013 году. До этого остается не так много времени.

Михаил Башлыков, руководитель направления информационной безопасности компании КРОК: Однозначно сложно выделить ведущих и отстающих этого «квартета», поскольку готовность является следствием баланса между тем, что предлагают вендоры, системные интеграторы и провайдеры и тем, что необходимо пользователям. На данный момент рынок только зреет: пользователи не всегда могут четко сформулировать свои потребности, да и предложения не всегда отвечают их запросам.

Владимир Ткачев, технический директор VMware, Россия и СНГ: По исследованиям аналитических агентств, обеспечение безопасности действительно является одной из ключевых преград для развития публичных и гибридных облачных моделей. Мы учитывали это при разработке стека решений для построения облаков и обеспечение безопасности всегда являлось для нас приоритетной задачей. В контексте "программных ЦОДов", которые являются фундаментом для построения масштабируемых облаков с контролируемым уровнем сервиса, говорить о готовности аппаратных компонентов не имеет особого смысла, за редким исключением - уже сейчас концепция развития линейки продуктов VMware подразумевает возможность использования любого  оборудования для обеспечения работоспособности и связанности ЦОДа. Пользователи еще относятся с опаской к переходу на облачные технологии, но, тем не менее, есть исследования и данные, которые указывают на то, что уровень безопасности может даже повыситься с переходом к гибридной модели облака, ввиду, например, жесткого регулирования у провайдера услуг. Из всего квартета, пожалуй, наиболее подготовленными к обеспечению безопасности являются именно провайдеры - они вынуждены делать на этом акцент для привлечения потребителей. Готовность во многом определяется комплексом организационных мер, но и не менее важным является выбор платформы для предоставления сервисов. Системные интеграторы же, напротив, стараются удовлетворять потребностям массового рынка, который пока еще с опаской относится к инновационным технологиям. Как следствие - интеграторы в отстающих в общей массе, тем не менее, есть некоторые выбивающиеся из общей картины компании, которых уже можно условно переквалифицировать в поставщиков услуг.

Илья Трифаленков, начальник отдела информационной безопасности ОАО «Ростелеком»: На сегодняшний день есть набор вендорских решений по ИБ как отечественного так и неотечественного производства. И даже есть сертифицированные решения. Роль системных интеграторов в связи с распространением облачных технологий сейчас не меняется: они выполняют привычные для них функции. Единственно, при широком внедрении облачных технологий количество заказчиков падает. Так что их заинтересованность невелика. Операторы за прошлый год сделали огромный шаг в создание реальных облачных сервисов, а пользователи начали осозновать свою выгоду. Тем не менее, этот путь и тем и другим еще предстоит пройти.

Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems: Если говорить честно, то сегодня не готов почти никто кроме, может быть, вендоров, которые имеют в своем портфолио соответствующие решения для обеспечения отдельных вопросов облачной безопасности. Пользователи опасаются передачи своих ключевых компетенций в облако, предпочитая если и отдавать, то только хостинг сайта, может быть почту, иногда телефонию. На большее они пока не готовы. Да и провайдеры услуг тоже пока не готовы брать на себя ответственность и давать гарантии за сохранность переданной им информации и доступность оказываемых ими услуг.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!