|
|
Обзор подготовлен
Облачные платформы вызвали серьезный резонанс на ИТ-рынке, породив волну дискуссий о целесообразности и эффективности их использования. Не последнее место в этих обсуждениях занимает вопрос о безопасности облака: после переломного 2010 года компании смирились с тем, что облачные платформы небезопасны по своей сути, но есть ли уже готовые рыночные решения для обеспечения их защиты?
ИБ-решения для облачных платформ в определенной степени были на рынке и раньше – во времена расцвета виртуализации. Тогда, согласно опросу CNews Analytics , ведущие игроки высказывались сдержанно-оптимистично о виртуальных решениях и SaaS для ИБ, считая, что подобные тренды позволят по-новому взглянуть на технологии и средства защиты информации. На фоне растущего спроса предполагалось, что ИБ-вендоры смогут выпустить единые комплексные решения для контроля виртуализированной инфраструктуры. Без них ситуация признавалась «удовлетворительной», поскольку ИБ-технологии образца 2010 года несколько отставали от требований по защите таких сред.
Со смещением фокуса в сторону SaaS ИБ-сектор должен был получить новый толчок к росту – по состоянию на 2010 год российский рынок находился в самой начальной стадии формирования. Существовавшие тогда решения были неспособны в полной мере удовлетворить требования потребителя, а облачные технологии породили ряд новых рисков, которые не всегда возможно устранить традиционными средствами, в первую очередь, за счет сужения возможности их использования, проблемы доступа администраторов к серверам и приложениям, проблемы конфиденциальности и целостности удаленного доступа, проблемы обеспечения интернет-доступности.
В 2010-2011 году в России произошло несколько публично освещаемых развертываний облачных платформ и внедрений подобных решений в существующую ИТ-инфраструктуру крупных предприятий в финансовом, телеком и ритейл-секторе. Уровень зрелости пока оценить нельзя, однако масштаб самих инициатив позволяет считать, что отечественные ИТ-директоры стали воспринимать облака не как пилотные решения, а как коммерческие продукты. Кроме того, существенно вырос уровень доверия облакам. Тем не менее, до планки развитых рынков – североамериканского и европейского - не хватает еще как минимум 3-4 лет интенсивного развития.
С одной стороны, на рынок оказывает влияние то, что сами стандарты, на основе которых можно строить ИБ-решения для облаков, в России отсутствуют. Так, в США ассоциация Cloud Security Alliance выпустила уже вторую версию матрицы средств контроля за облаками (Cloud Controls Matrix (CCM), представляющую собой перечень существующих ИБ-технологий, практик и иных разработок, связанных при этом с отраслевыми стандартами, требованиями регуляторов и иных определяющих директив (ISO 27001/27002, PCI DSS, HIPAA и COBIT). С помощью такого документа ИТ-отдел может составить регламенты для ИБ в облаках.
С другой стороны, современные российские заказчики предъявляют неспецифические требования к облачным ИБ-решениям – так, если брать в расчет, что каждая компания старается прогнозировать риски, специфические для ее деятельности, и зачастую все они имеют общий характер и связаны с ИБ, то в контексте SaaS самым главным будет доступность сервиса, хотя сам по себе этот фактор не входит сферу ИБ.
Многие компании на рынке предлагают SLA 99,9%, но необходимо интерпретировать цифры вместе с другими аспектами, например, прозрачностью договора, финансовыми и иными обязательствами поставщика облачных услуг. Второй аспект, который волнует компании при миграции в облака, касается страхов, связанных с передачей баз данных в чужие руки, утечки информации, разглашения или уничтожения данных. Однако, как отмечают в Softline, сейчас более 60% всех утечек конфиденциальной информации происходит по вине сотрудников компании. В дата-центрах провайдеров SaaS система безопасности отвечает всем современным требованиям, поскольку в помещениях ЦОД установлена интегрированная система охраны (датчиками оборудован как периметр, так и двери внутренних помещений, при срабатывании датчика выдается звуковое сообщение, которое дублируется визуальными средствами; сообщение о срабатывании датчика записывается в системный журнал, пропускной режим на таких объектах очень серьезен).
Олег Калядин, эксперт по криптографической защите, бизнес-аналитик Infowatch, утверждает, что полнофункциональное использование популярных SaaS решений всегда означает потерю конфиденциальности, так как обработка информации происходит непосредственно на «чужих» серверах, а информация к этому моменту должна быть в открытом, незашифрованном виде, иначе серверные приложения не смогут с ней работать. «Максимум, что себе может позволить пользователь, желающий сохранить конфиденциальность своей информации, - это использование этих систем для хранения данных. При этом сами сведения должны размещаться уже в зашифрованном виде,- поясняет он. - Если говорить вообще об облачных технологиях, то конфиденциальность можно обеспечить только в том случае, если облако полностью принадлежит компании, которая использует соответствующие сервисы. Но даже тогда строгая конфиденциальность не соблюдается: данные обрабатываются в доверенной среде, но допущенных к ним может оказаться больше, чем установлено».
Андрей Демидов, директор по развитию компании "Апостол Медиа", указывает на более широкий круг ИБ-проблем, в частности, недостаточную формализацию процессов управления на предприятии, противодействие организационной культуры внедрению информационной системы и необходимость изменения технологии бизнес процессов, при этом основным риском является возможная недоступность сервиса SaaS-решения, что выражается в показателе надежности функционирования систем.
Общемировой рынок средств защиты воспринял «облака» еще в 2009 году – с выходом уже упомянутой матрицы Cloud Security Alliance в отрасли в США появился также черновая версия проекта правил по выявлению критических аспектов работы в облачных средах от Национального института стандартов и технологий (NIST) - Security Guidance for Critical Areas of Focus in Cloud Computing.
С тех пор попадающие под описание этих документов ИБ-решения претерпели изменения – это не только средства для защиты и контроля конфигурации серверов и виртуальных машин, но и продукты для защищенной аутентификации с целью обеспечения разграниченного доступа к критичным данным, которые помещены в «облако». По мнению аналитиков Gartner, такие технологии сейчас востребованы только в крупном бизнесе, а СМБ, который пользуется уже готовыми PaaS/SaaS-продуктами, видит только «верхушку» защиты, причем в Gartner выделяют прямую зависимость между стоимостью подписки на облачный сервис и уровнем его защищенности (чем она выше, тем больше шансов, что его провайдер реализовал в нем высокий класс защиты и в его работе все максимально открыто, без «подводных камней»).
Кривая цикла для ИБ-средств защиты облака
Источник: Gartner, 2011
Анализируя выпущенную в 2011 году «кривую цикла» (Hype Cycle), российские клиенты и игроки рынка ИБ отмечают, что отрасль по-прежнему находится в состоянии начального развития – новые технологии расположены слева от пика развития, а старые, более зрелые – на пологой части кривой справа.
По прогнозам Gartner, в ближайшие 10 лет ИБ-рынок пройдет пик, и управление рисками в «облаках» станет упорядоченным. Так, будут приняты стандарты, согласно которым будут создаваться продукты для обеспечения безопасности данных в облаке, они станут однотипными (вследствие повсеместной сертификации), увеличится надежность виртуализированных сред за счет их переноса к инфраструктурным провайдерам, появятся средства контроля и расследования инцидентов в ИБ в облаках как внутренних, так и внешних, а на массовом рынке будут предложены контентно-ориентированные решения для SaaS/PaaS (защита от утечек, фильтрация доступа на уровне прокси, NAC и прочее), которые будут интегрироваться с существующими DLP-решениями. На развитие вышеописанных аспектов будет потрачено минимум 2-5 лет.
Олег Глебов, специалист департамента маркетинга компании «Информзащита», считает, что для России на сегодняшний день очень актуальными становятся технологии частных облаков и архитектур, где в виде данных выступает критичная информация. Более простые услуги, подобные SaaS, на сегодняшний день не дают четкого понимания безопасности и ответственности провайдера и используются компаниями именно с этим учетом, то есть без конкретных пожеланий в безопасности.
"Вопрос об информационной безопасности в модели публичных облаков на сегодняшний день не имеет положительного ответа по нескольким причинам",- уверен Павел Ерошкин, начальник управления информационной безопасности компании «Техносерв». По его словам, из-за отсутствия юридической базы, регулирующей отношения между владельцами информационных активов и операторами, предоставляющими вычислительные мощности, важнейший вопрос о разграничении ответственности не сможет быть разрешен, например, при попытке посчитать ущерб от аварии на стороне оператора центра обработки данных.
«Рискоориентированный подход к защите информации в России находится в зачаточном состоянии, адекватная оценка финансового ущерба, особенно для государственных ведомств, кажется маловероятной», - говорит он, добавляя, что компании не хотят доверять оператору ни бизнес-процесс, ни конфиденциальные данные. Доказывая свою точку зрения, эксперт отмечает, что в случае размещения вычислительных ресурсов за пределами РФ возникают вопросы трансграничной передачи данных, вывоза криптографических средств за рубеж (соответствующее положение таможенного союза о порядке ввоза и вывоза криптосредств), вопрос оценки адекватности мер защиты иностранным оператором (ст.12 152-ФЗ). Более того, в России отсутствуют сертифицированные средств защиты информации, позволяющие строить SaaS-решения: сами технические средства уже давно разработаны и успешно используются, в основном, иностранными провайдерами сервисов безопасности, однако, требований к сертификации таких средств защиты информации до сих пор не сформулированы и едва ли появятся в ближайшее время.
По мнению опрошенных CNews клиентов, применяющих облака или рассматривающих такую возможность, в 2011 году технологиями, развивающими ИБ-направление в области облачных вычислений, стали разработки шлюзов и экранов для защиты облака (Cloud Security Gateways), ПО для управления мобильными устройствами (Mobile Device Management) и системы для защиты частного облака.
С развитием технологии и понимания заказчиком задач и реализаций прогноз на 2012 год предполагает рост влияния на ИБ таких направлений как защита приложений на основе подписки (Application Security as a Service), защита контейнеров данных инфраструктурных облаков (IaaS container Encryprion), дальнейший рост развития файрволлов для облаков при условии, что агрегатором всего станут комплексные ИБ-решения для облака и управления рисками в нем.
Михаил Демидов/CNews Analytics