Насколько уникальна задача обеспечения информационной безопасности (ИБ) «облачных» вычислений? Этот вопрос волнует сегодня большинство заказчиков. Глобальная индустрия ИТ активно рекламирует «облака» как экономически выгодное решение. Однако каковы риски, связанные с переходом к этой модели предоставления услуг и какие элементы инфраструктуры нуждаются в особой, дополнительной защите, вызванной спецификой «облачных» вычислений?

Большинство участников индустрии ИБ уже выводят на рынок соответствующие решения. Попробуем разобраться, какие именно участки «облачных» информационных систем нуждаются, по мнению поставщиков, в специфических средствах обеспечения безопасности.

Технический консультант McAfee в России и СНГ Михаил Чернышев напоминает, что при организации «облачных» информационных систем в 80% используются вполне традиционные средства — серверы, сети, СУБД и средства виртуализации. Таким образом, решение вопросов безопасности в «облаках» как минимум не приходится начинать с нуля. Многие решения уже созданы и оказываются вполне универсальными. Другое дело, что средств виртуализации, сумевших получить признание специалистов и обладающих промышленным уровнем надежности, сегодня, по мнению Чернышева, не так уж и много.

Защита «облаков» — вопрос ресурсов

По сути, вопрос заключается в том, какую долю вычислительных ресурсов следует резервировать для обеспечения работы защитных систем. И не приведет ли достижение максимально возможного уровня безопасности к чрезмерной нагрузке, препятствующей эффективной работе бизнес-приложений, ради которых, собственно, и затеваются «облачные» проекты.

В McAfee, активно продвигающей на рынке собственные разработки для защиты сетей, серверов и виртуальных сред, полагают: «облачные» коммуникации достаточно эффективно может защитить высокопроизводительный межсетевой экран, дополненный системой защиты от вторжений. Что же касается обеспечения безопасности работы серверов (ресурсы которых всегда должны быть доступны для выполнение клиентских задач), то очевидно: критически важные приложения обязаны работать быстро и надежно.

Антивирус не должен превращаться в «вирус»

Но как этого добиться? Михаил Чернышев утверждает: «Нужно быть предельно аккуратными с нагрузкой серверов чем-либо кроме самих приложений». Подобной «аккуратности» могут, в частности, содействовать «динамические белые списки» приложений. Подобные системы безопасности (McAfee Application Control или другие близкие по функционалу решения) просто не дают разрешения на запуск в «облаке» неизвестного (а часто и вредоносного) исполняемого кода. Если же действительно требуется обеспечить работу на «облачных» серверах новых приложений, администратор легко сделает это: современные системы безопасности позволяют гибко настраивать исключения и обновлять серверы согласно действующим ИТ-политикам.

Не менее важным элементом «облачной» безопасности оказывается защита виртуальной среды. Внимание, которое ИТ-специалисты уделяют этой проблеме, вполне объяснимо. Достаточно оценить ресурсы, необходимые для обеспечения работы традиционного антивирусного решения и умножить полученные цифры на все виртуальные рабочие станции или серверы. Понятно, что «линейное» масштабирование оказывается слишком дорогим выходом из положения. В таком случае антивирус сам превращается в «вирус», поглощающий существенные объемы вычислительных ресурсов.

Одним из наиболее популярных ныне решений является перенос нагрузки по сканированию на выделенное ядро антивирусной системы, что позволяет, по оценкам специалистов McAfee, экономить до 30% всей вычислительной мощности, на которую мог бы претендовать «обычный» антивирусный пакет, установленный на каждую виртуальную систему. Что же, экономия практически трети ресурсов — серьезный аргумент. А значит, предприятиям, запускающим собственные частные «облака», при проектировании таких систем следует уделять особое внимание принципам организации антивирусной защиты. Разумеется, та же задача актуальна и для поставщиков «облачных» сервисов. Однако в первом случае речь идет о расходах, которые несет заказчик.

Конфиденциальность, доступность, целостность

Конфиденциальность должна обеспечиваться по всей цепочке, включая поставщика «облачного» решения, потребителя и связывающих их коммуникаций.

Задача поставщика — обеспечить как физическую, так и программную неприкосновенность данных от посягательств третьих лиц. Не случайно «облачные» дата-центры как правило проектируются с опорой на самые современные стандарты безопасности (включая вопросы шифрования, а также упомянутые средства антивирусной защиты и защиты от хакерских атак).
В свою очередь потребитель должен ввести в действие «на своей территории» соответствующие политики и процедуры, исключающие передачу прав доступа к информации третьим лицам. В этом смысле объективные преимущества «облаков» не следует смешивать с избавлением заказчика от каких бы то ни было усилий по обеспечению безопасности собственного информационного периметра.

«Облака» не отменяют и необходимости поддержания в адекватном состоянии соответствующей инфраструктуры и ПО, призванной гарантировать защиту пользовательских рабочих мест. Включая обеспечение достоверности и конфиденциальности соединения с «облачным» ресурсом, надежно «прикрытое» от атак третьих лиц. «В целом, — советует Денис Романовский, — должны быть определены минимальные стандарты, соответствие которым будет означать достаточный, объективно определенный уровень безопасности».

«План Б»

Доступность «облачных» услуг — новая задача для ИТ-служб и информационной безопасности предприятий. Ведь гарантированное предоставление сервиса — результат усилий, предпринимаемых не только самим предприятием, но и поставщиком.

Серьезные сбои в работе оборудования даже у крупных поставщиков «облачных» услуг уже происходят. В мировой практике «облачных» вычислений известны случаи, когда потребитель в течение длительного времени не мог получить доступ к приложениям. А банальное «отключение Интернета» по вине провайдера (не обязательно — провайдера, непосредственно обслуживающего заказчика, виноват может оказаться и магистральный оператор) может сделать работу с «облачными» ресурсами невозможной в принципе.

Очевидно, что перед началом проектов, связанных с выносом тех или иных ИТ-сервисов в «облака», заказчикам следует оценить подобные риски, провести тщательную инвентаризацию приложений (зафиксировав список критически важных для бизнеса), и только затем принимать решения о том, как выстраивать свое «облачное» ИТ-будущее.

И здесь снова многое зависит от клиента. Денис Романовский рекомендует в обязательном порядке разрабатывать «планы Б», «пусти отхода». Альтернативный интернет-провайдер, находящийся в «горячем резерве», альтернативный поставщик «облачного» решения, прозрачное управление поддержанием архивных копий данных, страхование, жесткие условия ответственности в соглашениях с поставщиками — обязательные элементы безопасности в «облаках».

— В целом, нужно понимать: никакое «облачное» решение никогда не обеспечит стопроцентной гарантии доступности, — напоминает Романовский. — Однако и традиционные решения точно также уязвимы, поскольку их работа неизбежно связана с проблемами в сфере коммуникаций, риском выхода из строя оборудования и человеческим фактором.

«Облако» + «облако» +…

Задачи обеспечения целостности информации в случае применения отдельных «облачных» приложений, можно решить — благодаря современным архитектурам баз данных, системам резервного копирования, алгоритмам проверки целостности и другим индустриальным решениям. Но и это еще не все. Новые проблемы могут возникнуть в случае, когда речь идет об интеграции нескольких «облачных» приложений от разных поставщиков.

Действительно, каждый поставщик отвечает только за «свои» данные и сервисы, но при этом вовсе не обязан задумываться о том, как ведет себя агрегированная «облачная» инфраструктура на стороне заказчика. Проблемы других провайдеров — это их проблемы.

Кто должен решать многочисленные вопросы интеграции? По мнению Дениса Романовского, заинтересован в этом прежде всего сам заказчик. При этом объединять «облачные» сервисы от разных провайдеров в стремлении обеспечить должный уровень безопасности, — выгоднее всего при участии третьих сторон. В том смысле у ИТ-интеграторов с появлением «облаков» работы меньше не станет. Интегрировать придется в любом случае.

— Вопросы безопасности для «облачных» должны стать объектом внимания двух ответственных сторон — поставщика и потребителя, — резюмирует Романовский. — Решаться они должны за счет соответствующих соглашений, а также с применением соответствующих организационных и технических стандартов. Уровень же применяемых подходов и средств защиты должен определяться исходя из критичности облачных приложений для бизнеса.

Кто ответит за безопасность?

«С одной стороны, — говорит руководитель направления программно-технических решений компании LETA Андрей Макаренко, — все тяготы по обеспечению необходимого уровня безопасности ложатся на плечи провайдеров. Однако при этом не стоит забывать о том, что пока еще есть проблемы с доступностью и сохранностью данных при таком подходе предоставления сервиса. Эти проблемы связаны с начальной стадией развития предоставления «облачных» ресурсов для компаний и выражаются в отсутствии единого стандарта по обеспечению ИБ в «облаках» и контролю их выполнения».

Какие гарантии в таком случае могут предоставить «облачные» провайдеры, если отраслевых стандартов еще нет? «Имеются различные сообщества, — отвевает Макаренко, — предлагающие свои рекомендации для обеспечения необходимого уровня безопасности данных пользователей в «облаках». В качестве примера можно привести сообщество Cloud Security Alliance, в которое входит большое количество мировых производителей аппаратно-программных решений. CSA уже создало обширный набор рекомендаций, доступных в том числе и российским специалистам по ИБ. В целом, Россия пока что еще очень сильно отстает по своему уровню использования и построения «облаков» от Запада. Но это дает нам шанс использовать, к моменту создания российского «облачного» рынка, опыт наших зарубежных коллег.

Механизмы, контроль и аудит

— Первый слой системы, — поясняет ведущий технический консультант Symantec Сергей Лисачев, — призван отвечать за реализацию политик и осуществлять постоянный контроль механизмов аутентификации, безопасности устройств и правил защиты информации во всех корпоративных облачных сервисах. Второй слой (слой защиты) — это место аутентификации пользователей и устройств для предоставления доступа к «облаку». На этом слое начинает активно работать «движок политик», применяющий правила при помощи соответствующих технологий — защиты конечных точек, аутентификации, DLP или шифрования данных. Наконец, третий слой будет отвечать за мониторинг и контроль за соблюдением требований. Это позволит постоянно контролировать насколько эффективно применяются политики в «облаке», предоставляя возможность фиксировать, документировать и составлять отчеты о любых событиях, связанных с безопасностью, с целью обеспечения соответствия и поддержки процесса управления безопасностью.

Претензия на отраслевой стандарт? В Symantec пока признаются, что эта концепция пока находится в стадии разработки. Пока же компания предлагает решения по защите конечных точек (рабочих мест пользователей и других устройств, подключенных к сети), предотвращению утечек данных, аутентификации пользователей, которые также могут использоваться для зашиты частных и публичных «облаков».

Люби и саночки возить

Подведем некоторые итоги.
— «Облака» формируются из стандартных блоков, методы защиты которых по-отдельности достаточно хорошо отработаны индустрией. Однако агрегированные конструкции требуют новых подходов в сфере ИБ.
— «Облака» — вовсе не «волшебная палочка», избавляющая заказчика от решения вопросов информационной безопасности. Напротив, новый инструментарий требует тщательного аудита, трезвой оценки рисков и применения новых «средств обороны»;
— Отраслевые стандарты в сфере обеспечения ИБ в «облаках» только формируются. А значит, к решению вопросов обеспечения целостности данных, а также доступности «облачных» сервисов следует подходить «штучно»;
— Провайдеры «облачных» услуг готовы нести ответственность за свой «участок», однако в случае интеграции нескольких «облачных» решений от разных поставщиков формирующаяся система требует особого внимания с точки зрения обеспечения эффективной, безопасно работы;
— Как и прежде, заказчикам «облачных» сервисов, скорее всего, не обойтись без услуг компаний-интеграторов. В том числе и в вопросах обеспечения информационной безопасности.