• Новости
• Блоги
• Аналитика
• Новости компаний
• В СНГ и в мире
• Анонсы

А. Иванов (Digital Design): "Все компании хотят получить максимально безопасную услугу. Другой вопрос - как заказчик будет оценивать уровень защищенности?"

У экспертов примерно общий взгляд на специфику облачной безопасности для SMB, Enterprise и госструктур. А с каких сервисов начинать переход в облако? Здесь мнения экспертов заметно расходятся. Читайте полную версию Дискуссионного клуба темы номера "ИКС" №9'2012 "Дорожная карта облачной безопасности". Часть 5.

"ИКС": Какова специфика обеспечения безопасности в публичной облачной среде для крупных коммерческих и государственных компани, для предприятий SMB?

Александр Трошин, технический директор «Манго Телеком»: Для SMB вопросов быть не должно. Все просто регулируется в рамках договора между заказчиком и сервис–провайдером. А для государственных компаний имеется специфика. Различные ГОСТы и предписания регулируют их деятельность и диктую некие стандарты, тяжело реализуемые в рамках «облачных» структур. Например, предписание в каком нибудь НИИ может выглядеть так: «на этом участке нельзя коммутировать частную сеть с сетью Интернет». И в данный момент обойти это практически невозможно, потому что создание публичного «облака» подразумевает конвергенцию внешней и внутренней сетей. По этим причинам уровень информатизации определенных ведомственных структур ниже, чем уровень информатизации структур коммерческих, которые принимают на себя такие риски и сами пытаются эти риски минимизировать с помощью имеющихся инструментов и специалистов.

Алексей Филатенков, начальник отдела ИБ, Открытые Технологии:  К сожалению, мне не известны даже попытки выйти госсектора или корпоративного уровня в публичный облачный сервис с данными, которые требовали хотя бы минимальной защиты - это всегда контролируемая инфраструктура системы. Для СМБ-сегмента достаточно известных на текущий момент средств обеспечения безопасности (тут важнее цена услуги).

Алексей Иванов, руководитель проектов, департамент инфраструктурных решений, Digital Design: Вне зависимости от размера, все компании хотят получить максимально безопасную услугу. Другой вопрос, каким образом конечный заказчик будет оценивать уровень защищенности.

Для крупных компаний основным критерием оценки безопасности облачной среды остается ее открытость для изучения. Они не будут покупать «кота в мешке», не будут подключаться к облачному провайдеру, не проанализировав методы и качество защиты собственных данных. Снижение стоимости владения сервисом может стать аргументом для крупной компании, но только если он не является бизнес-критичным.

Для государственных компаний одной открытости может быть недостаточно. Провайдер должен будет удовлетворять специфическим требованиям по защите информации, таким как поддержка сертифицированных алгоритмов шифрования, использование сертифицированного оборудования. Но даже и этого может быть мало. Государственные компании, как правило,неохотно рассматривают возможности облачных сервисов, для них важнее стабильность. Чтобы убедить их перевести в облака хотя бы второстепенные приложения, потребуется много усилий.

Наибольший отклик облака могут найти у компаний SMB–сегмента, если те поймут, что переход позволит им существенно сэкономить без потери качества,учитывая, что формирование собственной инфраструктуры с приемлемым уровнем безопасности обходится довольно дорого.

Валерий Андреев, заместитель директора по науке и развитию, ЗАО ИВК: Тяжелейший вопрос. Так как существует специфика в "раздаче" сервисов конкретного облака по определенной модели, то и обеспечение ИБ будет зависеть от этого. А вот с предприятиями SMB, на мой взгляд, все просто. Они должны идти по модели SaaS, поэтому не должны думать об ИБ, все проблемы должен решать за них провайдер! В этом смысле рынок SMB в публичном облаке чем-то напоминает крупный бизнес и госструктуры в частном облаке. Модели будут близки. SMB не сможет построить частное облако, а крупный бизнес на захочет идти в публичное, вот и все.

Артем Гарусев, исполнительный директор компании CDNvideo: Госсектор обязан следовать требованиям нормативной базы, особенно если организация имеет дело с гостайной. Насколько я знаю, для «облачной» среды такой базы еще нет. Крупные коммерческие организации обычно уже имеют серьезную систему ИБ, ролевую модель управления доступом и политики безопасности, системы аутентификации (все чаще – с аппаратными ключами), электронной подписи и т.д. Естественно, все это им надо распространить на «облако». В SMB же всех этих сложностей нет. Здесь нужен надежный сервис-провайдер и хоть какая-то дисциплина в назначении и сохранении стойких паролей. И нужно проинструктировать людей, чтобы они понимали, где находятся основные опасности, где проходит граница дозволенного. А дальше надо постараться, чтобы как можно меньше информации хранилось вне облака. Так надежнее.

Александр Колыбельников, эксперт по информационной безопасности «Микротест»:  Дело в том, что в настоящий момент для ряда коммерческих и государственных компаний создана нормативная база, которая предъявляет определенные требования. Это известный всем закон о защите персональных данных и некоторые отдельные нормативные акты. Соответственно, все элементы защиты должны быть в соответствии с законами. Что касается предприятий SMB, то тут все отдается на откуп руководителю.

Денис Безкоровайный, технический консультант Trend Micro в России и СНГ: Для крупных компаний с развитой службой ИБ переход в облако – это задача поиска условий, при которых данные и информационные системы компании будут защищены как минимум не хуже, чем в собственном ЦОДе. Для малого бизнеса переход в облака, по крайней мере к некоторым провайдерам, будет означать существенное повышение уровня ИБ, ведь SMB-компании просто не имеют достаточных ресурсов для самостоятельного решения всех необходимых вопросов ИБ, хотя и сталкиваются практически с теми же рисками, что и крупные компании.

Владимир Удалов, руководитель направления корпоративных продуктов в странах развивающихся рынков «Лаборатории Касперского»: В каком бы сегменте – крупный бизнес, государственный сектор, SMB – организация ни работала, она, по большому счету, никак не может повлиять на методы обеспечения безопасности непосредственно самой SaaS-платформы, так как этими вопросами занимается владелец платформы – провайдер SaaS-сервиса. На что компания может повлиять – это, во-первых, внутренние политики, регламентирующие, например, кто из сотрудников имеет доступ к данным в облаке, или информацию какого уровня секретности можно хранить в облаке, а во-вторых, это безопасность эндпоинтов – то есть всех тех рабочих станций, ноутбуков, смартфонов, с которых сотрудники подключаются к облаку.

Вот на этих двух аспектах и должны быть сосредоточены все усилия организации по обеспечению «безопасности» облачного сервиса.

Федор Гриценко, директор управления аутсорсинга ФК СЦ компании "Ай-Теко": С точки зрения информационной безопасности, всем клиентам требуется примерно одинаковый уровень защиты – наивысший. Однако более крупные компании и госструктуры, у которых большие объемы данных и многое зависит от бесперебойной работы бизнес-приложений, обращают особое внимание на такие параметры, как пропускная способность, скорость и стабильность. Поэтому для операторов более значимо деление клиентов не по уровням требуемой безопасности, а по масштабу бизнеса. 

Поставшики облачных сервисов, предоставляемых госструктурам и крупному бизнесу, должны иметь  сертификаты на соответствие в основном оценочным стандартам: таким, как ISO 27001, SAS 70, PCI DSS, Cobit. Для ИТ-сервисов, предоставляемых через интернет с использованием шифровальных средств, в ряде случаев требуются и лицензии ФСБ, сертификация ФСТЭК средств защиты. Аттестация информационных систем на соответствие определенному уровню информационной безопасности обязательна для систем обработки и передачи данных, составляющих коммерческую или государственную тайну.

Антон Разумов, Руководитель группы консультантов по безопасности Check Point Software Technologies Ltd: Определенная специфика, безусловно, имеется. В частности, для компаний меньшего размера регуляторами предъявляются и меньшие требования. Либо сертифицированные ФСТЭК решения не нужны вовсе, либо требования к ним снижены (к примеру, ниже класс ИСПДН). Технически же, малым компаниям так же нужны и полноценные stateful межсетевые экраны, системы предотвращения атак, средства построения VPN, предоставления удаленного доступа...

Вячеслав Медведев, аналитик компании "Доктор Веб": Можно сказать, что перевод в облако поднимает риски для компаний СМБ-сектора до уровня рисков крупного бизнеса. Действительно, любая крупная компания имеет филиалы, так или иначе подсоединенные к центральному серверу/серверам. Организация ЦОД крупной компании ничем не отличается от организации ЦОД поставщика облачных услуг. Фактически крупные компании уже являются облачными, только обслуживание облака осуществляет внутреннее подразделение, а не провайдер услуг. И именно поэтому для многих таких компаний логичен шаг по переходу на внешнего поставщика услуг или выделение подразделения во внешнюю структуру и превращение его во внешнего поставщика.

Крупные компании имеют множество связей между своими подразделениями, и эти связи сильно уязвимы. СМБ-компании во многих случаях состоят из одного офиса и имеют только одну точку для атаки снаружи — корпоративный шлюз. Переход СМБ-компаний в облако открывает их миру и хакерам. В связи с ростом рисков СМБ-компании при переходе в облако должны резко увеличить свои затраты на ИТ — при этом должна увеличиться как доля затрат на закупку и внедрение, так и доля затрат на сопровождение систем безопасности.

Владимир Алеев, главный архитектор бизнес-решений: центры обработки данных, ОАО «СИТРОНИКС»: В крупных компаниях проявляются угрозы, связанные с численностью персонала и сложной иерархической оргструктурой. Для парирования возникающих рисков приходится применять не столько технические, сколько организационно-технические мероприятия. Среди них контроль за пользовательскими учетными записями и предоставленными или делегированными правами, контроль за доступом к информационным ресурсам со стороны сотрудников (включая неудачные попытки входа), разделение прав и контроль за его соблюдением, проведение регулярных формальных аудитов безопасности, контроль за используемыми пользовательскими устройствами для доступа к облачными сервисам и строгое регламентирование использования  таких устройств, соблюдение государственных стандартов по криптозащите данных,  контроль за работой привлеченных сотрудников (временный персонал, аутсорсеры, инсорсеры и др.). Перед небольшими и средними компании чаще всего стоят задачи быстрого и гибкого реагирования на новые потребности для развития бизнеса и экономии непроизводительных расходов. В этой связи при использовании публичных облачных сервисов главная задача SMB состоит в защите данных от конкурентов в течение сравнительно небольшого промежутка времени, пока эти данные сохраняют актуальность.  

Михаил Башлыков, руководитель направления информационной безопасности компании КРОК: Зачастую размер компании не влияет на  специфику ИБ, однако чем крупнее заказчик, тем выше у него требования к обеспечению отказоустойчивости облачной среды.

Также стоит отметить, что для государственных организаций может возникнуть необходимость в аттестации соответствующей автоматизированной системы, а реализовать это в публичном облаке в рамках существующей нормативно-правовой базы невозможно. Таким организациям может быть предложена услуга по построению частного облака.

Владимир Ткачев, технический директор VMware, Россия и СНГ: Госкомпании требуют сертификации комплексного решения, что достаточно проблематично в условиях динамических ЦОДов. Так как на старте инвестиции в ИТ не столь велики, и может даже не быть необходимости в собственном ИТ-персонале, то SMB скорее предпочтут потреблять SaaS или PaaS. Enterprise же заинтересован в IaaS, так как эта модель является логичным расширением собственного ЦОД.

Алексей Лукацкий, бизнес-консультант по безопасности Cisco Systems: Крупные компании хотят больше контроля и гарантий, чем SMB. На них могут быть наложены ограничения в виде соответствия каким-либо стандартам или нормативным актам, которые должен соблюсти и облачный провайдер. Но с технической точки зрения разницы в обеспечении ИБ крупного и малого бизнеса в облаке нет.

Илья Трифаленков, начальник отдела информационной безопасности ОАО «Ростелеком»: Крупные коммерческие компании и госструктуры не работают в публичных облаках, скорее – в гибридных. Специфика в том, что коммерческие компании прежде всего защищают коммерческую тайну, а государственные – персональные данные. Из этого следуют несколько разные подходы к этапности работ и набору механизмов защиты.

"ИКС": С каких сервисов целесообразно начинать переход в публичное облако компаниям разных вертикальных рынков и разного размера? Какие основные проблемы возникают в процессе перехода?

Александр Трошин, технический директор «Манго Телеком»: Здесь нужно отталкиваться от того, какие сервисы востребованы компанией–заказчиком. Обычно они разделяются на базовые и специфические, нужные для решения определенных бизнес–задач. Специфические — это ERP, CRM и проч. А базовые — авторизация, аутентификация пользователей, управление правами, организация доступа в Интернет и т. д. Поэтому предпочтительнее начинать все же со стандартных инфраструктурных решений. Это более предсказуемо, чем какая то специализированная ИС, с которой могут быть определенные сложности в эксплуатации. Их причина в том, что даже для самых опытных экспертов в компании все характеристики годами развивающейся в компании CRM или ERP–системы зачастую не очевидны; как правило, далеко не все особенности эксплуатации этих систем задокументированы и пр. Поэтому лучше начать с базовых сервисов, а потом постепенно развертывать какую то тестовую среду для специализированных систем и клонировать, либо виртуализировать машины. А уже после тестов принимать какие то решения.

Роман Крючков, технический директор группы USN: Конечно, в начале пути всегда будут возникать проблемы. Как часто бывает в новом деле – невозможно предусмотреть появление всевозможных ошибок и ограничений. Поэтому начинать надо с тех сервисов, которые наименее критичны для работы компании. В свою очередь, из этих сервисов нужно выбирать те, по которым уже есть какие-либо наработки. Здесь я подразумеваю электронную почту. Также достаточное количество успешных практик, на мой взгляд, существует в сфере офисных приложений, таких как Microsoft Office и прочих подобных.

Антон Хрипунов, руководитель направления Центров Обработки Данных компании CTI: Для компаний малого и среднего размера можно начать переход в облако с перевода корпоративной телефонии и центров обработки вызовов. Подобные сервисы из облака уже реализованы облачными провайдерами в виде сервисов "облачная АТС" и "облачный центр обработки вызовов". Следующим шагом может быть перевод рабочих мест в облако в виде решений виртуализации рабочих мест с интегрированными средствами корпоративной телефонии. Самым ответственным шагом для клиента останется перевод бизнес-приложений в облако. Таким образом, поэтапно бОльшая часть ИТ-ресурсов окажется в облаках, а ИТ-персонал в бОльшей степени сосредоточится уже на развитии ИТ, нежели на поддержке компонентов ЦОД.

Алексей Иванов, руководитель проектов, департамент инфраструктурных решений, Digital Design: Перевод в облака целесообразно начинать с наименее критичных сервисов,  чтобы была возможность на практике попробовать как технологию, так и конкретного провайдера без большого риска потери или компрометации корпоративных данных. Такими сервисами могут быть, например,  второстепенные приложения по управлению административно-хозяйственной деятельностью.

Проблемы, возникающие при переходе в облака, можно разделить на технические и административные. В технической области следует отметить необходимость грамотного перестроения инфраструктуры для работы по новой модели и схемы взаимодействия с другими системами. Из административных проблем наиболее типичным является сопротивление финансирующей стороны и консерватизм пользователей сервиса.

Михаил Готальский, генеральный директор TrueConf: Самое главное - необходимо перенести все сервисы, которые используются всеми распределенными подразделениями компании. Но, в ряде случаев, может потребоваться усовершенствование этих сервисов.

Сергей Щербина, заместитель генерального директора компании Esri CIS: Здесь возможны различные подходы. Так, хороший эффект дает перенос в облако сервисов, повседневно используемых большинством сотрудников, и по своей сути предполагающих распределенный характер их использования. К таким сервисам можно отнести системы документооборота или электронную почту. Во-вторых, это приложения, связанные с использованием значительных вычислительных ресурсов, которые задействуются по мере необходимости. Примеры: проведение видеоконференций или подготовка бухгалтерских или аналитических отчетов. Третий путь – это размещение в облаке данных и сервисов для их использования сотрудниками различных подразделений, создание информационных порталов в облачной среде. Примером может служить корпоративный геопортал. Каждая из этих категорий сервисов может рассматриваться в качестве первоочередного «кандидата» на перенос в облако.

Валерий Андреев, заместитель директора по науке и развитию, ЗАО ИВК: Разные модели облака предусматривают различные подходы в деле миграции. Например, некоторые структуры идут по пути формирования частного облака с моделью IaaS. Здесь основной уклон идет в сторону формирования, прежде всего,  высокодоступного, отказоустойчивого и производительного ЦОД. Информационные сервисы организации (почта, КИС, бухгалтерия и пр.) в этом случае переносятся в первую очередь. Важным аспектом здесь является проведение аудита информационных ресурсов организации на предмет необходимости (целесообразности) миграции унаследованных приложений в облако. Часто это не требуется, т.е. затраты на перенос приложения в облака становятся сравнимыми с созданием нового. Положительным моментом также является возможность формирования в процессе миграции комплексной системы ИБ, построенной на новых принципах и средствах.

Артем Гарусев, исполнительный директор компании CDNvideo: Во-многом это зависит от отрасли. Скажем, компании, работающие на рынке Интернет-видео, нуждаются в «облачном» хранилище видеоматериалов, интегрированном с сетью доставки контента, с системами подготовки контента (CMS), как это сделано в сервисе Cloud4Video. Этот сервис может применяться и в других отраслях, например, в розничной Интернет-торговле (видеопрезентации и видеоинструкции), в консалтинговом бизнесе (учебные материалы, записи вебинаров), в дистанционном обучении.

Во всех этих случаях в облако переносятся существенные для бизнеса функции. Думаю, это общее правило. Ведь переходить на новую архитектуру, переводя туда незначительные десятостепенные приложения – все равно, что снижать свой вес, подстригая ногти. Усилия есть, а эффекта нет.

Федор Гриценко, директор управления аутсорсинга ФК СЦ компании "Ай-Теко":  Подход традиционный для аутсорсинга: передавать надо все непрофильные процессы и задачи. Если говорить об IT, то в первую очередь – то, что проще всего  выделить из инфраструктуры (меньше интегрировано). По нашему опыту, оптимальная последовательность выглядит так: сервисы коммуникаций, медиа, сервисы услуг, сервисы планирования и контроля проектов, сервисы обмена знаниями по проектам, сервисы предоставления контента по теме, бизнес-приложения. Она верна для различных компаний независимо от отраслей и объемов их деятельности.

Антон Разумов, Руководитель группы консультантов по безопасности Check Point Software Technologies Ltd: Конечно, проще всего перейти на вирутализацию сервисов. Например, небольшая компания вполне может отказаться от собственной почтовой инфраструктуры и использовать Google Apps. Впрочем, не только малые компании. Например, я знаю крупный Украинский банк, который осуществил подобный переход много лет назад и считает это весьма эффективным решением.

Вячеслав Медведев, аналитик компании "Доктор Веб": Пожалуй, с файловых серверов, сервисов работы с клиентами и партнерами, а также веб-сервисов. Все эти сервисы требуют обеспечения высокой устойчивости работы и защиты данных от атак — и тем самым идеально соответствуют возможностям, предоставляемым ЦОД. А вот перенос почтовых серверов должен идти во вторую очередь, так как доступность почтового сервера определяет в современном мире возможность работы сотрудников компании. При переходе необходимо протестировать (в периоды пиковых нагрузок) доступность и скорость работы сервисов — время получение документов, скорость запуска почтовых клиентов и время получения выборок писем и данных из бизнес-систем.

Владимир Алеев, главный архитектор бизнес-решений: центры обработки данных, ОАО «СИТРОНИКС»: В настоящее время публичные облачные сервисы нацелены преимущественно на горизонтальные рынки без явной специализации по индустриальным сегментам. Имеются и исключения - например, облачные сервисы для построения бюджетов региональных и муниципальных администраций, но рынок в России ещё слишком мал для глубокой специализации.  Наиболее развиты публичные сервисы для поддержки  коммуникаций и совместной работы сотрудников компании, мобильного персонала, антивирусной защиты электронной почты (компания с распределенными офисами). Целесообразно начинать «путь в облака» именно с них. Для SMB имеются привлекательные предложения по бухгалтерскому учёту на базе 1C.

Владимир Ткачев, технический директор VMware, Россия и СНГ: Как и при переходе на технологии виртуализации, всегда имеет смысл начинать с некритичных сервисов, таких как тестирование, разработка, приложения второго эшелона.

Илья Трифаленков, начальник отдела информационной безопасности ОАО «Ростелеком»: Начинать нужно с тех сервисов, применение которых обеспечивает больший экономический эффект. При этом основная проблема – договориться с оператором о параметрах SLA, особенно если до этого они в корпоративной среде не специфицировались,  а воспринимались умозрительно в терминах «чтобы все работало».