|
|
Обзор подготовлен
Технологии виртуализации и рынок SaaS (программное обеспечение как услуга) развиваются крайне высокими темпами. Они обещают клиенту простоту и комфорт в использовании, а также немалую. Но, как и все новое, способны причинить немало неудобств, сопряженных, в том числе, с информационной безопасностью.
Технология виртуализации представляет собой принципиально новое решение, не только кардинально изменяющее подход к инфраструктуре, но и позволяющее увеличить ее гибкость и эффективность за счет одновременного запуска нескольких виртуальных систем на одной физической. Виртуализация – технология сравнительно новая, но уже опробованная и успевшая прижиться в России.
Что касается SaaS, то в настоящее время сложно говорить о сколько-нибудь сформировавшемся рынке таких услуг в России, несмотря на периодические попытки оценить его. Сравнительно долго аренда ПО вообще не была востребована, но дефицит ИТ-бюджетов на заметно повысил интерес ряда клиентов к данному решению. Впрочем, "облако" может принести не только выгоды, но и "ночной кошмар" в плане безопасности (по выражению генерального директора Cisco Джона Чемберса).
Очевидно, что развитие виртуализации заставляет пользователя по-новому взглянуть на многие, казалось бы, решенные для ИТ вопросы. Директор по развитию продуктов компании BellIntegrator Алексей Лебедев говорит о том, что технология виртуализации, несомненно, имеет влияние на реализацию ИБ пользователя, однако ответить однозначно, является ли оно положительным или отрицательным, нельзя - все зависит от вида виртуализации и решаемых с ее помощью задач.
Текущую ситуацию на рынке специалисты склонны рассматривать по-разному. Большинство сходятся во мнении, что виртуализация приносит дополнительные риски, однако имеет место и более позитивный взгляд. Так, Алексей Лукацкий, менеджер по развитию бизнеса Cisco, говорит о том, что наличие технологии виртуализации никакого влияния на ИБ-пользователя не оказывает: "Основные игроки рынка виртуализации (VMware, Citrix и т.п.) и так имеют в своем портфолио защитные технологии, которых зачастую достаточно для основного потребителя – ИТ-департаментов. Регуляторы же обходят вниманием эту технологию, не понимая ее и боясь, а, следовательно, не выпуская для нее никаких руководящих документов”. Директор департамента развития и маркетинга "Элвис-Плюс" Роман Кобцев убежден, что необходимость применения отдельных подходов к обеспечению безопасности "это не кошмар, а возможность по-новому взглянуть на технологии и средства ИБ".
Со своей стороны, руководитель отдела маркетинга проекта SoftlineCloudServices Антон Марченко отметил, что компании-производители ПО в сфере ИБ уделяют много внимания обеспечению безопасности в виртуализированных средах, ими применяются различные подходы для защиты как самого гипервизора, так и одной виртуальной машины от другой, поэтому на рынке непрерывно появляются новые продукты, призванные защитить виртуализированную инфраструктуру. Очевидно, что рост предложения обусловлен спросом. Особенно виртуализация заслуживает серьезного внимания со стороны корпоративного клиента, как крупных предприятий, так и среднего и малого бизнеса, сталкивающегося с теми же высоко актуальными проблемами защиты информационных активов компании от возможных атак злоумышленников.
Глава российского представительства Eset Михаил Дрожжевкин отмечает, что системы безопасности выстраиваются таким образом, чтобы расходы на внедрение средств были адекватны стоимости защищаемой информации, и в некоторых случаях приобретать слишком дорогие средства защиты просто невыгодно. К сожалению, репутационный урон при утечке данных может быть непоправимым, что в большей степени касается крупных компаний. Несмотря на высокие темпы развития средств информационной защиты, Антон Марченко вынужден признать, что в целом ситуацию можно оценить как удовлетворительную, потому что "современные технологии защиты немного отстают от требований по защите виртуализированных сред".
Безусловно, основные проблемы могут быть решены при грамотном подходе, полагают специалисты. Необходимо помнить о том, что помимо ответственности сотрудников ИБ-отдела важным аспектом становится вопрос доверия провайдерам облачных сервисов: клиент принимает решение о передачи конфиденциальных данных предприятия и должен самостоятельно принимать решения, опираясь на сведения о том, где будет храниться его информация и кто будет иметь к ней доступ, тем более, тем более, что все еще не существует общемировых признанных стандартов в области безопасности "облака".
Если в мире SaaS – это востребованная и динамично развивающаяся технология, то в России пока с осторожностью относятся к новым предложениям. Сегодня отечественный рынок SaaS находится в самой начальной стадии формирования. Генеральный директор SecurIT Алексей Раевский отмечает, что практически все крупные вендоры предлагают возможность использования их продуктов по модели SaaS, поэтому возникающие риски связаны с тем, что данные компании, в том числе конфиденциальные и критичные для бизнеса, находятся не под контролем этой компании. Соответственно, появляются новые угрозы, связанные с доступностью и конфиденциальностью этих данных.
Константин Пичугов, менеджер по развитию продуктов "Код Безопасности", отмечает, что, несмотря на существование двух преимуществ решений виртуализации – возможности изолировать недоверенные среды и наблюдать за ними, а также защитить сети от атак с подменой MAC-адреса, у них есть и серьезные недостатки. Во-первых, отмечает специалист, в виртуализованной среде все ресурсы собраны на одном сервере и предметом атаки становится гипервизор. Если злоумышленник захватывает его, то в большинстве случаев средства, установленные внутри виртуальных машин (антивирусы, межсетевые экраны, IDS/IPS), уже неспособны защитить данные. Во-вторых, появляется новая роль – администратор виртуальной инфраструктуры, с новыми неконтролируемыми на уровне операционной системы виртуальной машины правами. Он может стать мишенью для хакера. В-третьих, по словам эксперта, не все средства защиты эффективны для специфических атак в виртуальной среде – например, хакер с зараженной виртуальной машины может начать атаковать другие виртуальные машины, и если все эти компьютеры находятся на одном сервере виртуализации, то трафик с данными будет зациклен внутри сети, а традиционные межсетевые экраны не смогут перехватить его. "От подобного вида атак нужны файрволлы для виртуальных сред – агентские приложения можно установить на защищаемые машины (ресурсоемкое решение) или виртуализировать сам межсетевой экран/антивирус/IDS (SecurityVirtualAppliance), контролирующий работу виртуальных сред", - объясняет он.
Михаил Башлыков, руководитель направления информационной безопасности компании "Крок", уверен, что существующие сегодня технологии неспособны в полной мере удовлетворить требования потребителя: "Рынок находится в состоянии ожидания комплексного продукта, который будет ориентирован на работу именно в виртуальной среде". Роман Кобцев отмечает, что "облачные" технологии порождают ряд новых рисков, которые не всегда возможно устранить традиционными средствами, в первую очередь, за счет сужения возможности использования традиционных средств защиты, проблемы доступа администраторов к серверам и приложениям, проблемы конфиденциальности и целостности удаленного доступа, проблемы обеспечения интернет-доступности и пр. Таким образом, продукты ИБ для облачных вычислений должны, как минимум, отвечать следующим требованиям: обеспечивать защиту доступа на уровне управления инфраструктурой "облаков", контролировать сетевые взаимодействия, защищать инфраструктуру "облаков", осуществлять мониторинг и управление ИБ, создавать доверенную среду.
Конечно, при передаче на аутсорсинг части функций необходимо четко разграничивать критичные для организации функции, связанные с конфиденциальной информацией, коммерческой тайной, мониторингом и аудитом систем безопасности, и прочие, среди которых Дмитрий Савченко, руководитель направления системы и методы обеспечения информационной безопасности компании "Микротест", выделяет фильтрацию контента, анти-спам, антивирус, возможно, решения по контролю уровня ИБ.Кроме того, для виртуальных сред уже появляются стандарты безопасности (от Microsoft, Citrix, VMware и независимых вендоров) для лучшего конфигурирования, а в США есть черновой стандарт обеспечения безопасности "облачных" платформ.
Практического опыта в передаче части функций ИБ на аутсорсинг у отечественных компаний нет, и оценить здесь риски очень сложно. Существует фактор недоверия новым системам возможность не только утери или кражи информации, но и попросту обмана. Если для индивидуальных пользователей работа с различными SaaS-сервисами несет в основном преимущества, то корпорациям сложней решить вопросы доверия, так как поставщик услуг получает полный допуск ко всей информационной среде заказчика. Также очевидно, что чем меньше организация, тем проще принимается решение по работе с SaaS. Основным потребителем стоит считать небольшие компании, вынужденные экономить на собственных ИТ-службах и локальном ПО.
Руководитель группы продаж Центра компетенции информационной безопасности компании "АйТи" Аркадий Прокудин считает, что к передаче на аутсорсинг функций отдела ИБ готово большинство средних компаний, с которыми уже не справляется один администратор, но еще не настолько крупные, чтобы держать штат экспертов под эгидой ИБ-департамента. "Такие компании уже созрели для передачи ИБ в руки специалистов. Однако опять-таки боязнь утечки конфиденциальных данных, которые будут защищать сторонние люди, превалирует над пониманием необходимости организации профессиональной защиты", - говорит он.
Совершенно очевидно, что по мере развития "облачных" технологий в России следует ожидать концептуально новых решений в области информационной безопасности. В настоящее время оценить эффективность разработок не представляется возможным, существующие же традиционные средства способны обеспечить только часть требований клиентов к ИБ.
Екатерина Немерич