Рубрикатор |
Статьи | ИКС № 03 2012 |
Евгений АКИМОВ  | 13 марта 2012 |
Защита в облаках – дело тонкое
Традиционно считается, что массовому внедрению облачных сервисов в России мешают главным образом соображения безопасности. О том, на каком уровне в действительности находится сейчас безопасность облаков и какие возможны прогнозы на этот счет, рассказывает заместитель директора Центра информационной безопасности компании «Инфосистемы Джет» Евгений АКИМОВ.
– Как неудовлетворенность заказчиков уровнем безопасности облачных сервисов влияет на ситуацию на рынке решений по защите этой сферы?
– Ситуации с информационной безопасностью разных ИТ-систем и архитектур повторяются с завидным постоянством. Несколько лет назад был настоящий бум внедрения ERP-систем. Причем в проекты этих внедрений часто даже вносился специальный раздел, посвященный безопасности, но его содержание обычно было поверхностным и формальным. И только после двух-трех лет эксплуатации ERP-систем, в течение которых произошли реальные инциденты, стали запускаться настоящие проекты по обеспечению их безопасности. Сейчас к двух-трехлетнему возрасту подходят многие проекты по созданию виртуальных сред, и мы уже видим тот же сценарий развития событий в плане обеспечения их ИБ. У облачных сервисов, по крайней мере в России, пока такой истории эксплуатации нет, однако я думаю, что они будут исключением из вышеописанного правила. Компании, которые перешли на виртуальные архитектуры и даже не успели вернуть резко понизившийся уровень ИБ на «довиртуальный», готовы сделать следующий шаг и перейти на облачную модель предоставления/получения ИТ-сервисов, но именно нерешенный вопрос безопасности их останавливает. Поэтому появление эффективного решения по обеспечению безопасности облаков может «нажать спусковой крючок» и даст возможность бизнесу получить существенную экономию от новой перспективной модели ИТ-услуг.
– Какие меры российские провайдеры публичных облачных сервисов принимают, чтобы обеспечить информационную безопасность своих клиентов?
– На нынешнем этапе основная ниша публичных облаков во всем мире – это частные пользователи, для которых вопрос цены обычно важнее соображений безопасности, и поэтому для провайдеров таких сервисов внедрение систем защиты информации клиентов – не главный приоритет. Но они уже пристально смотрят в этом направлении, поскольку, если они хотят выйти на корпоративный рынок даже малого бизнеса, не говоря о среднем, то им сначала придется решить проблемы безопасности. Причем не только технологические проблемы с внедрением тех или иных решений, но и проблемы доверия потенциальных клиентов. На мой взгляд, сейчас мы находимся в точке перегиба, когда компании начинают рассматривать возможность использования публичных облачных сервисов. Именно рассматривать. Делать реальные шаги в облака они пока не готовы, и провайдеры это прекрасно понимают.
– Ну а сами средства защиты можно предоставлять как облачный сервис?
– Да, конечно. Многие подсистемы защиты можно построить как набор сервисов безопасности. То есть пользователям не нужно будет, к примеру, покупать антивирус и устанавливать его на все свои защищаемые узлы, достаточно будет просто подключить услугу из облака. Такая смена парадигмы чрезвычайно полезна в реалиях современных информационных систем, требующих быстрого развертывания и расширения по требованию, упрощения обслуживания и сохранения инвестиций. Если облако реализовано на основе виртуальной среды, пользователи могут сами активировать сервисы контроля целостности, межсетевого экранирования, обнаружения вторжений и антивирусного сканирования на уровне платформы виртуализации, и при этом нет необходимости развертывать данные сервисы защиты на каждой виртуальной машине. Например, если пользователь размещает свое веб-приложение в облаке, он может легко подключить услугу по обнаружению вторжений на свои веб-серверы. Для пользователей большой плюс – то, что им не нужно заниматься поиском и выбором решения, производить его настройку, обновление, обслуживание. В случае публичных облаков возможна также монетизация сервисов безопасности – предоставление их корпоративным заказчикам. Развитием такой облачной системы защиты может стать переход к модели SaaS (Security as a Service – не путать с Software as a Service), в которой сервисы безопасности предоставляются в качестве отдельных услуг пользователям как данного защищенного облака, так и других внешних систем.
– Какие основные задачи должны решать средства защиты данных в частных и публичных облаках?
– В публичных облаках в первую очередь необходимо обеспечить конфиденциальность данных. Именно это сложнее всего сделать, но без обеспечения конфиденциальности провайдеру трудно будет завоевать доверие клиентов. Клиент со своей стороны может прибегнуть к шифрованию информации, передаваемой в облако. Это существенно снизит риск компрометации.
В частных облачных средах проблемы защиты данных решаются проще, ведь частное облако находится на территории заказчика, где круг лиц, которые теоретически могут иметь доступ к данным, ограничен. Но и в этом случае обеспечение конфиденциальности информации тоже находится на переднем плане, поскольку и в частном облаке нужно тщательно следить за тем, кто, когда и какие действия в информационной системе производил.
– Каков сегодня уровень доверия клиентов к облачным провайдерам?
– Даже у малых и средних компаний – очень невысокий, не говоря уже о крупных, которые предъявляют высокие требования к конфиденциальности своей информации и вряд ли перейдут на использование публичных облаков. Однако в течение двух-трех лет ситуация может радикально измениться. Во-первых, в силу развития технологий уровень защиты информации в облачных средах, в том числе в публичных облаках, несомненно, повысится. Во-вторых, должен повыситься и уровень доверия к провайдерам. Пусть сейчас у них нет должной репутации, но любая репутация зарабатывается. Эти провайдеры уже работают с частными пользователями, через некоторое время могут начать работать и с небольшими организациями, которые при этом не так сильно рискуют и соображения экономии могут «перевесить». Если в течение двух-трех лет такой работы сколько-нибудь серьезных инцидентов не произойдет, то можно будет сделать вывод, что данный провайдер эффективно использует современные технологии, правильно организует работу своих специалистов и тем самым обеспечивает адекватный уровень защиты. И значит, такому провайдеру могут доверять и более крупные компании. Крупные корпоративные заказчики и холдинги в обозримом будущем будут склонны строить частные облака для собственных нужд.
– Как должна строиться система защиты данных в облачных средах?
– Построение системы защиты для облака – задача нетривиальная. Состав и конфигурация этой системы сильно зависят от инфраструктуры облака, типа предоставляемых облачных сервисов (IaaS, PaaS или SaaS) и способа их доставки пользователям. Поэтому приступать к ее созданию нужно после изучения объекта защиты и его декомпозиции на защищаемые уровни. Для облачных вычислений выделяют клиентский уровень, уровень приложения, уровень платформы и/или инфраструктуры. Далее для каждого уровня выявляют угрозы, анализируют их актуальность, разрабатывают специфичные для данного уровня механизмы защиты. Для облаков немаловажно управление конфигурациями безопасности и событиями ИБ: поскольку облачные инфраструктуры и взаимодействие внутри них очень многообразны, автоматизация процессов управления позволяет существенно повысить уровень защищенности информации, обрабатываемой в облаке.
Если по модели IaaS клиенту предоставляется как услуга целый сервер, то он может использовать собственную систему защиты данных, а если в облаке предлагаются услуги SaaS (в данном случае Software as a Service), когда пользователи работают только с предоставленными им приложениями, то тогда именно провайдер должен обеспечивать защиту «от и до», а пользователю в этой ситуации остается только полагаться на провайдера. Есть и промежуточный вариант – облако типа PaaS, где добавляется уровень платформы и провайдер должен обеспечить защиту только виртуальной инфраструктуры, а механизмы защиты приложений и разграничения доступа будут уже в ведении пользователя.
– Какие проблемы в области защиты данных в облаках еще предстоит решить?
– Для облачных сред до сих пор нет типовых решений. Разные вендоры для разных платформ предлагают разные варианты продуктов с пересекающимся функционалом, а это сильно усложняет реализацию проекта. То есть первая проблема, которую, на мой взгляд, надо решить, – это стандартизация механизмов информационной безопасности для облаков. Такие наработки есть, например, в США, где облачные сервисы активно внед-ряются в работу государственных структур. В принципе работа над адаптированным для России вариантом стандарта по защите виртуальных сред, который можно будет распространить и на облака, уже началась.
– Существуют ли коробочные решения для организации информационной защиты в облаках, или такие системы всегда уникальны?
– Ряд вендоров уже предлагает такие решения для облачных сред, позволяющих предоставлять услуги PaaS. Однако уровень защиты данных и приложений пользователей в этих облаках сильно зависит от конкретной реализации последних. Самая сложная задача – это организация защиты в облаках типа SaaS, она всегда требует индивидуальной «заточки» и настройки. Но в любом случае полнофункциональное решение, обеспечивающее действительно адекватный уровень защиты, нельзя построить с помощью какого-то одного продукта. Это сложная конструкция, напоминающая даже не пирамиду или домик из кубиков, а мозаику, причем края у кусочков этой мозаики нечеткие. Построение такой системы требует интеграции и взаимоувязывания нескольких продуктов защиты от разных производителей, организации их совместной работы с приложениями пользователя. Полагаю, что такую работу лучше доверять профессионалам.