Пользователи контролируют ключи

Вопросы безопасности – одно из главных препятствий на пути реализации проектов на основе «облачных» вычислений. Прежде чем отправлять в «облако» важные процессы, предприятия хотят быть уверены в том, что их данным и приложениям ничто не угрожает.

Внутренние (Private) и внешние (Public) «облака», тарифицируемые в соответствии с потребляемыми ресурсами, могут обеспечить предприятиям привлекательную прибавочную стоимость. Дополнительные выгоды состоят в снижении расходов на приобретение аппаратного и программного обеспечения, а также других компонентов инфраструктуры ИТ, в более эффективном использовании имеющихся ресурсов, снижении эксплуатационных затрат и повышении производительности благодаря упрощению процесса масштабирования ресурсов.

Несмотря на такие очевидные преимущества, многие организации все еще с сомнением относятся к внедрению «облачных» сервисов, ведь новые рабочие процессы становятся причиной появления неизвестных ранее брешей в системе безопасности, которые невозможно предотвратить с помощью традиционных защитных механизмов. Опрос, проведенный компанией IDC в конце прошлого года на 202 немецких предприятиях, показал, что ИТ-специалисты основными сдерживающими факторами такого внедрения считают угрозы безопасности, боязнь потери контроля над данными, а также вытекающее из этого нарушение требований соответствия политикам и контролю ИТ (Compliance). Подобный скепсис возникает в тех случаях, когда речь заходит о переносе в «облако» ресурсоемких приложений (например, систем управления взаимоотношениями с клиентами), ведь в результате в «облако» приходится перемещать все связанные с этими решениями данные.

Проблема контроля над сохраняемыми данными актуальна не только во внешних, но и в частных внутрикорпоративных «облаках» — по сути, в любой виртуальной инфраструктуре. При организации такого хранилища внутри предприятия нужно быть уверенным, что посторонние не получат доступа к финансовой информации. Поэтому, помимо защиты работающих экземпляров в «облаке» и доступа к ним, требуется обезопасить сами данные. Наиболее эффективная защита обеспечивается с помощью шифрования; особенно эффективно полное шифрование внешних монтируемых ресурсов хранения данных.

Прежде всего необходимо обеспечить управление ключами, которое должно осуществляться отдельно от образа в виртуальной машине из «облака», чтобы можно было гарантировать действительно надежную защиту данных. Специализирующаяся в этой области компания Trend Micro предлагает решение Secure Cloud для управления ключами на основе правил, включающее как традиционную 128-разрядную технологию шифрования AES, так и сервер для управления ключами. Такой подход позволяет разделить обязанности, что дает возможность удерживать контроль над сохраненными данными.

Решение включает в себя агента, выполняющегося в реальном времени (Runtime Agent). Он загружается в виртуальной машине совместно с образом в «облаке» и с монтируемым зашифрованным хранилищем. Для того чтобы монтировать и расшифровывать сохраненные данные, агент отправляет на управляющий сервер запрос ключа (Key Request). Этот запрос содержит информацию о выполняемом экземпляре, в том числе сведения о центре обработки данных, об образе, на основе которого запущен экземпляр, а также идентификационный номер и наименование ресурса хранения, информацию о точке монтирования, о настройках системы, о безопасности и правилах. На основе всей этой информации управляющий сервер принимает решение о выдаче ключа агенту или отказе.

Доступ к данным получают только владельцы ключа кодирования. Основу для принятия решений составляют задаваемые пользователем правила (Policies), определяющие, в зависимости от степени конфиденциальности защищаемых данных, будут ли запрашиваться лишь глобальные параметры (ЦОД, образ) или более детальные, вплоть до возможности принятия решения в режиме ручного управления. Благодаря такому подходу пользователи любых «облачных» сред — внешних, внутренних или гибридных структур — могут надежно сохранять конфиденциальную информацию без организации чрезмерно сложной инфраструктуры безопасности для защиты этих данных.

Если предприятия используют много образов, прибегают к услугам нескольких провайдеров «облаков» одновременно или из соображений безопасности хотят отделить данные разных отделов, то сервер для управления ключами они могут разместить в собственном ЦОД.

В этом случае им придется самостоятельно устанавливать и администрировать образы и соответствующие директивы. В настоящее время компания Trend Micro уже предлагает управление ключами в качестве услуги и размещает серверы в своих ЦОД. В дальнейшем сервис по управлению ключами наверняка будет предоставляться и другими провайдерами.

Можно ли доверять «облакам»?

Комментирует Игорь Гонебный — руководитель направления по работе с технологическими партнерами компании «Аладдин Р.Д.»:

"Так или иначе, у каждого пользователя «облачных» услуг возникают два важных вопроса: насколько надежны эти сервисы и в какой мере им можно доверять. Причем последнее сомнение, как правило, касается не только обеспечения информационной безопасности переданных в «облако» данных, но и их доступности, отказоустойчивости и защищенности среды, где они находятся. Зашифровать данные несложно, но как быть, если вдруг диск с зашифрованной информацией выйдет из строя? Поэтому многие компании зачастую не готовы переместить в «облако» свои данные, особенно критичную для бизнеса информацию.

Наиболее популярным вариантом решения этой проблемы является создание собственного частного «облака» (private cloud), в котором достаточно просто обеспечить требуемую безопасность и надежность. Если же компания решает обратиться к услугам сервис-провайдера и его общедоступным «облакам», то повысить свою «защищенность» она сможет путем подписания с ним соглашения SLA, где должны быть оговорены и гарантированы все релевантные аспекты обеспечения защищенности данных и их доступности, а также предусмотрены штрафные санкции для тех случаев, когда обязательства не будут выполняться.

Предоставление пользователям возможности управления безопасностью в зависимости от типа используемых данных и «облачных» сервисов, безусловно, является большим плюсом. Например, компания сможет самостоятельно определять, какие данные она будет шифровать в «облаке», как осуществлять аутентификацию пользователей и т.д. Что же касается разграничения доступа к тем или иным данным, то и это решается достаточно просто — за счет правильной реализации механизмов аутентификации пользователей в «облаке», например посредством смарт-карт или USB-ключей".