14.03.2014

Шторм или штиль: чего ждать от облаков?

"Information Security", № 1, март, 2014<br>
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."

Согласно исследованиям компании IDC, в европейских странах и США затраты на обслуживание облаков в 2014 г. достигнут $100 млн. Гиганты Amazon и Google начнут разделяться по специализации, вводя всё новые облачные сервисы для бизнеса. Так ли необходимы облака бизнесу и как обстоят дела на российском рынке облачных решений, редакция журнала "Information Security/Информационная безопасность" узнала у экспертов рынка, попросив их ответить на несколько вопросов:

  1. Стоит ли ждать снижения уровня риска при передаче и хранении данных в облаке?
  2. Какая модель организации облаков лучше с точки зрения безопасности?
  3. Что необходимо для минимального обеспечения безопасности информации в облаке?
  4. Прогноз 2014: спад или новый виток развития облаков?
Сергей Корольков
Технический директор ЗАО "ДиалогНаука"

1. Необходимо отметить, что сами по себе риски имеют различный характер в зависимости от категории информации и типа самого облака. Для информации, обрабатываемой в корпоративных ИС, риски одни, а для информации частных пользователей – другие.

Количество IТ-сервисов, потребляемых средней организацией, исчисляется десятками и будет только увеличиваться, а их типы будут становиться всё более разнообразными. Очевидно, что при таких условиях роста использования облачных технологий и их вовлечения в бизнес-процессы организации повышается вероятность возникновения рисков ИБ.

С другой стороны, нельзя забывать, для чего и почему облака получают популярность и развитие среди корпоративных пользователей. В частности, они предназначены для минимизации рисков или их переноса на провайдера облачного сервиса. Поэтому, можно сказать, что для корпоративных пользователей следует ожидать не столько снижения уровня рисков, сколько их изменения и появления возможности их переноса.

Для частных пользователей облаков ситуация понятнее.

Тенденция в настоящий момент такова, что мобильные платформы приходят в нетипичные области нашей повседневной жизни. Например, компания Google объявила о создании Open Automotive Alliance, цель которого – способствовать внедрению ОС Android в автомобили. Уже сейчас в альянс вошли четыре крупных автоконцерна. На очереди холодильники, фотоаппараты и пр. Насколько глубоко мобильные платформы уже сейчас интегрированы в облачные технологии, известно из повседневного опыта.

Если обратиться к статистике количества всевозможного вредного кода на мобильных платформах, можно прогнозировать, что новые устройства будут подвержены всем текущим рискам. Кроме того, сложность администрирования и управления возросшим количеством устройств ещё сильнее снизит уровень защищённости и, как следствие, повысит уровень риска при работе с облаками.

Так что прогноз для частных пользователей скорее неблагоприятный.

2. Пользователи облачных сервисов формируют спрос на все модели облаков, и очевидно, что уровень обеспечения ИБ будет развиваться у всех моделей.

С точки зрения ИБ существенным является наличие возможности предъявления специфических требований к провайдеру облачных услуг. Частные облака предоставляют больше возможностей в данном направлении, и в частности поэтому частные облака могут обеспечить более высокий уровень ИБ.

Нельзя не отметить, что появилось новое понятие – "персональные облака". Такой облачной структурой может стать домашнее сетевое хранилище или сервер с необходимыми функциональными возможностями.


3. Для минимального обеспечения безопасности информации в облаке необходимо контролировать доступ к данным, определять принимаемые меры защищённости и контроля над размещением. Поэтому ответом на вопрос "Что необходимо…?" является соблюдение договорных обязательств провайдером облачных услуг. Это необходимое и во многих случаях достаточное условие для обеспечения приемлемого уровня ИБ.

Также не менее важным аспектом является ознакомление с соглашением с оператором облачного сервиса. Как минимум с ним необходимо ознакомиться. У многих пользователей соглашения с провайдерами даже не вызывают вопросов. А ведь именно там определены вопросы доступа к данным и передачи третьим лицам.

4. Можно с уверенностью сказать, что спада не будет. Возможно, будет замедление роста в сегменте публичных облаков ввиду достижения определённого насыщения традиционными на данный момент услугами. С другой стороны, как я уже писал выше, все большее количество пользователей со своими устройствами становится клиентами облачным сервисов. Таким образом, определённые сегменты выйдут на новый виток развития.

Валерий
Конявский

Научный руководитель ВНИИПВТИ, научный консультант ОКБ САПР

1. Если данные зашифровать, то рисков при передаче и хранении не будет. Правда, тогда облако станет просто удалённым медленным диском. Если вам этого хватает – то в путь. К сожалению, преимуществами облачных сервисов в этом случае воспользоваться не удастся.

Если же вопрос сформулировать правильно – о возможности снижения рисков при использовании облачных сервисов, – то, конечно, ответ будет оптимистичным. Стоит ждать. Правда, не скоро. Пока риски только осознаются. До их снижения далеко.

Главный риск здесь – это отсутствие осознания того, что всё, что попало в облако, останется там навсегда. Это бесспорное положение пока не укладывается в сознании человека. И с этим связаны самые большие риски, в том числе и риски нарушения прав пользователя.

Конечно, кроме этого, есть ещё много вопросов – например, о защищённости взаимодействия защищённого клиента и незащищённого сервиса в защищённом облаке. Ну, и различные вариации на эту тему.

2. Лучше всего – "домашнее" облако. Вот его можно сделать защищённым.

3. Минимум – это создание доверенной среды как в ЦОД, так и у клиента. Возможно, сюда следует отнести и создание доверенного планировщика.

Совершенно необходимо обеспечить разделение функций по управлению безопасностью. Если мы хотим добиться приемлемого уровня защищённости, то есть только один путь – дать клиенту ненастраиваемый доверенный доступ. Ну, или заняться евгеникой и вывести новый тип пользователя – безошибочно выполняющего все требования ИБ.

4. Я ожидаю некоторого спада инвестиций в создание облачной инфраструктуры, но заметного роста в области предоставления услуг в защищённом виде. Думается, что 2–3 системы ЦОД, предоставляющие сегодня традиционные облачные сервисы, предложат рынку возможность использования сервисов защищённых. В то же время станет очевидным неуспех создания ведомственных облачных инфраструктур. Возможно, эта часть рынка будет замещена "гособлаком". Таким образом, новый виток развития современных инфраструктур информационного взаимодействия может быть связан с возвратом к виртуализации на ведомственном уровне, и развитием защищённых облачных сервисов в публичных инфраструктурах.

Алексей
Сабанов

Заместитель генерального директора компании "Аладдин Р.Д."

1. Уровень риска нарушения безопасности определяется соотношением угроз и уязвимостей, вероятностью наступления опасного события, уровня тяжести последствий нарушения безопасности и частоты наступления опасных событий. Все эти параметры постоянно находятся в динамике, каждая организация определяет соотношение расчётного уровня рисков с приемлемым. Говорить о снижении уровня риска конкретных технологий (в данном случае передачи и хранения) можно только для хорошо известных и широко применяемых технологических решений, при условии обобщения опыта использования многими предприятиями.

Каждая новая технология должна пройти определённые уровни зрелости. Облачные технологии также не смогут избежать этого эволюционного пути развития. С наработкой опыта появятся механизмы обеспечения безопасности работы с данными.

Для технологий передачи и хранения ценной для заказчика информации в "юной" облачной сфере необходимо использовать проверенные и научно обоснованные способы защиты данных на основе сертифицированных по требованиям ФСБ России продуктов. Все конфиденциальные данные должны передаваться и храняться в зашифрованном виде. Управление ключами шифрования должно производиться внутри контролируемого периметра организации.

2. В данной постановке, безусловно, частное облако. В нём можно контролировать все процессы, а главное – можно достичь приемлемого уровня рисков при работе в облаке.


3. Охота за интересующей злоумышленника информацией не прекращается ни на земле, ни на море. Охотника не остановит и облако. Рецепт один: шифрование. Дешифрование украденной информации может затянуться… Зная это, её просто не будут воровать.

4. Прогресс остановить нельзя. Переход к облачным вычислениям будет затрагивать постоянно увеличивающееся число участников. Не думаю, что это будет "новый виток", по сути, "витка" (полного оборота) ещё не было. Наблюдаются постепенное развитие облачных технологий и появление первых сервисов, ориентированных на использование в облаке. С накоплением опыта появятся новые, более проработанные рекомендации по безопасной работе в облаках. Возможно, появятся первые требования ИБ. Предстоит развитие облачных решений и понимание необходимости создания доверенных сервисов.

Игорь Решетников
Президент ООО "Нефтегазсофтсервис"

Облачные технологии, как и многое другое в сфере IТ, – чудесный и мощный инструмент. Практически коллайдер, если проводить какие-то аналогии. Штука очень хорошая, но вот нужна ли она вам? Сколько ни читаешь про облачные технологии, нигде нет анализа, при каком объёме информации и сервисных услугах нужно переходить в облака. Везде лишь рекламные лозунги о преимуществах, повышении, снижении и т.п. Жаль.

Давайте реально подумаем. Если компания работает с действительно огромными массивами данных, с ресурсоемкими сервисами и т.п., то им даже не надо ничего рассказывать, они и так в тренде, внимательно следят за новинками и сами бегают за поставщиками. А те, кому сегодня настойчиво предлагают уйти в облака, – это относительно небольшие компании, где не более пары тысяч пользователей, реального онлайнового потока данных нет, все базы данных не превышают нескольких сотен гигабайт и число сервисов не превосходит пары десятков. Да и то среди них лишь 3–4 критичны для бизнеса, а остальные не требуют какой-то особенной надёжности и день простоя не обанкротит компанию.

Такой компании вполне достаточно пула из 7–8 серверов с небольшим NAS. Облака тут не нужны, хватит минимальной виртуализации. Конечно, благородная идея о том, чтобы собрать всё в облако и сделать всё "по-взрослому" витает в воздухе, но оно работает и так. Облако не снижает в данном случае затраты, а повышает их. Делать свое облако – неимоверные расходы на инфраструктуру. И на админов куда более высокой квалификации, чем при стандартном подходе. Отдавать в провайдерское облако – тоже не лучшее решение. И дело тут уже не только в облачных провайдерах, но и в провайдерах услуг связи. Доверия такого уровня, чтобы сделать свой бизнес провайдерозависимым, пока ни к кому нет.

А вот когда действительно нужно отдавать в облака, так это, например, когда требуется разместить интернет-сайт компании, сделать виртуальную среду для доступа сотрудников к почте и минимуму сервисов с мобильных устройств и пр. Но тут вопрос стоит не столько в самих облачных технологиях, сколько в поставщиках соответствующих услуг, которым без облаков просто не обойтись. И только развитие этого сектора рынка и появление конкуренции в предложении массовых и дешёвых сервисов, даст развитие серьёзным облачным дата-центрам в нашей стране, за которыми подтянутся и поставщики услуг связи. И вот тогда уход в облака станет массовым и коммерчески оправданным.

Так уж устроен прогресс, что технологии приходят вслед за тем, как сама идея становится привычной. Когда появились первые автомобили, слово "шофёр" было синонимом чего-то сверхъестественного. А сегодня за пару недель можно выучиться управлять автомобилем и наличие водительского удостоверения уже является просто нормой. Но для этого прошло время и развились технологии, причём как в сфере автомобилестроения, так и в сфере строительства дорог, нормативной базы и пр., без чего автомобили просто немыслимы. И в облаках, точнее в российских облаках, технологии скоро сделают вопросы защиты данных, передачи, конфиденциальности и сохранности второстепенными, а на первый план для пользователя выйдет простой экономический расчёт целесообразности перехода на новые технологии.