Облачные технологии предъявляют новые вызовы к облачной инфраструктуре. Хотя эти угрозы нашли отражение в нормативных документах, чиновники часто формально подходят к реализации защиты. Возможно, ситуацию поможет переломить помощь провайдеров публичных облачных услуг, которые накопили экспертизу по облачной безопасности.
Одна из новых угроз ИБ связана с распространением облачных систем. В случае, если речь идет об использовании частного облака, требуется внедрение средств защиты для виртуальной среды. Например, применение обычных антивирусов в этом случае нецелесообразно, так как придется устанавливать программу на каждую виртуальную машину, что приведет к резкому падению производительности системы. Необходимо вынести нагрузку, создаваемую ядром антивирусной системы, на специальную, выделенную виртуальную машину и избавить все остальные от необходимости расходовать ресурсы на поддержку процессов безопасности.
С технической точки зрения этот вопрос решается просто – на рынке есть множество решений, разработанных для защиты виртуальных сред. Но технологии развиваются столь быстро, что заказчики не успевают вовремя адаптироваться к новым угрозам. «Компетенции не хватает не только госсектору, но и остальным участникам этого рынка. Компании имеют некоторое представление о том, какие меры защиты нужно принимать, но о готовности крупных инфраструктур обнаруживать инциденты и реагировать на них говорить не приходится. Эта общая проблема, свойственная и российскому, и зарубежному рынку облачных технологий», – комментирует заместитель технического директора Positive Technologies Дмитрий Кузнецов.
Очень часто во властных ведомствах подходят с формальной точки зрения к выполнению требований ИБ. «Давайте откроем любой интернет-форум, на котором обсуждаются вопросы информационной безопасности, и посмотрим, какие темы на нем затрагиваются, – предлагает Дмитрий Кузнецов. – Более 90% вопросов звучат примерно так: «Поделитесь «рыбой» политики ИБ – руководство поручило написать бумагу, а я не знаю, как она пишется», «Как проходит проверка ФСТЭК/ФСБ/»Роскомнадзора»/»Банка России» и какие бумаги нужно готовить для проверяющих», «Как получить лицензию ФСЬТЭК/ФСБ».
Внедрение новейших средств защиты также сдерживает особенность финансирования госструктур, считает заместитель генерального директора компании «Элвис Плюс» Сергей Вихорев: «Средства несанкционированного получения информации развиваются бурно, средства защиты стараются не отставать и парировать возникающие угрозы, а вот бюджеты госструктур формируются в октябре-ноябре на год вперед и это сдерживает внедрение новейших средств и методов защиты».
Конечно, стоит отметить, что в некоторых ведомствах уровень ИБ обеспечивается на должном уровне. «В нашей компании госзаказ занимает около 40% оборота. Честно скажу, что я не видел, чтобы госструктуры подходили к решению вопросов безопасности информации чисто формально. Наоборот, иногда приходится сдерживать пыл некоторых рьяных чиновников, указывая на нецелесообразность введения таких жестких требований», – отмечает Сергей Вихорев.
Проблема заключается в том, что большинство властных организаций не обращается к специалистам по ИБ вовсе, поэтому оценить «среднюю температуру по больнице» сложно. Есть общее ощущение, что ситуация улучшается, но пока мерам ИБ уделяется еще недостаточное внимание.
Десять требований к государственным облакам
Поскольку для госсектора характерен бюрократизм и формальное выполнение требований, следует обратиться к законодательству, регламентирующему обеспечение ИБ. Ключевой документ в этой области – приказ №17, в котором указано 13 групп мер по обеспечению защиты. Один из этих «блоков» посвящен защите виртуализованной среды, и предусматривает внедрение антивирусной защиты, управление потоками информации внутри виртуальной инфраструктуры и по ее периметру, разбиение виртуализированного пространства на сегменты для работы отдельных пользователей, внедрение средств аутентификации и регистрации событий безопасности и т.д. В общей сложности насчитывается десять требований.
Меры защиты | Класс защищенности | ||||
---|---|---|---|---|---|
1 | 2 | 3 | 4 | ||
1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации | + | + | + | + |
2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин | + | + | + | + |
3 | Регистрация событий безопасности в виртуальной инфраструктуре | + | + | + | |
4 | Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры | + | + | ||
5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией | ||||
6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | + | + | ||
7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций | + | + | ||
8 | Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры | + | + | ||
9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | + | + | + |
Следует отметить, что перечень мер может быть сокращен в зависимости от класса защищенности, который будет выбран для той или иной государственной информационной системы (ГИС). Это, в свою очередь, зависит от модели угроз, которую разработает само учреждение. Кроме того, в документах не прописаны, какие именно инструменты ИБ должны быть внедрены для выполнения мер приказа №17. Необходимые категории средств защиты более подробно прописаны в других нормативных актах, но на практике решение о соответствии защиты выбранному классу защищенности и модели угроз будут принимать контролирующие органы. Пока непонятно, будут ли эти проверки ограничиваться проверкой документации или будут проходить «боевые» испытания систем ИБ, например, с помощью пентестов.
Опасные соседи в публичных облаках
Отдельно стоит рассмотреть ситуацию, когда учреждение пользуется не внутренними облаками, а услугами провайдера публичных услуг. В этом случае арендованные виртуальные машины одного заказчика соседствуют с ВМ других клиентов на одном и том же сервере. Даже если сама компания обеспечивает должный уровень защиты, злоумышленник может взломать соседний виртуальный сервер и далее провести атаку уже изнутри облачной инфраструктуры.
«Приведу стандартный пример из практики пентестов, – делится опытом Дмитрий Кузнецов. –Нужно получить доступ к веб-приложению, а оно не содержит серьезных уязвимостей, но развернуто на сервере хостинг провайдера, где есть еще несколько веб-сайтов, половина из которых не защищена совсем. Получив доступ к уязвимому “соседу”, мы получаем возможность доступа к операционной системе сервера, а на нем – куча отсутствующих обновлений безопасности. Результат – контроль над сервером и над всеми развернутыми на нем веб-сайтами», – делится опытом Дмитрий Кузнецов.
В данном случае ответственность ложится на провайдера услуг ЦОД. На этом рынке работают десятки крупных и сотни небольших организаций, и каждая организация предлагает свою собственную конфигурацию ИБ, так как единых стандартов не существует. При этом некоторые провайдеры вовсе отказываются гарантировать безопасность, а в договорах об уровне оказания услуг (SLA) можно найти такие пункты:
«Лицензиат обязан самостоятельно предпринимать должные меры, обеспечивающие безопасность его Персонального дискового пространства и предотвращающие несанкционированный доступ к нему третьих лиц. Лицензиар не несет ответственности за возможные сбои и перерывы в работе Сервиса и вызванные ими потерю информации. Лицензиар не несет ответственности за любой ущерб компьютеру Лицензиата, мобильным устройствам, любому другому оборудованию или программному обеспечению, вызванный или связанный с использованием Сервиса, не гарантирует сохранность файлов и папок с файлами Лицензиата на Персональном дисковом пространстве Лицензиата, а также не несет ответственность за утрату файлов и папок с файлами».
Внешние провайдеры под надзором государства
Очевидно, что нужно выработать единые требования для облачных провайдеров, работающих с госсектором. Соответствующий законопроект был подготовлен в Минкомсвязи весной 2014 г., а в ноябре, как ожидается, он будет направлен на рассмотрение в Госдуму. Провайдерам, работающим с госсектором, необходимо будет получить две лицензии: на осуществление деятельности по технической защите конфиденциальной информации и предоставлению услуг связи (выдается ФСТЭК) и на осуществление деятельности по разработке, производству и распространению шифровальных средств (выдает ФСБ). Кроме того, такая компания должна располагать как минимум двумя дата-центрами на территории РФ и отвечать требованиям финансовой устойчивости. Кроме того, они должны будут выполнить требования приказа №17 по защите информационных систем госучреждений.
Из облачных провайдеров, соответствующих перечисленным критериям, будет сформирован пул поставщиков для госсектора, куда войдут 3-5 крупных компаний. Один из участников будет назначен гарантирующим поставщиком на случай, если в конкурсе госведомства не окажется других участников. Таким образом, бюрократизм чиновников при выполнении требований ИБ будет преодолен, так как эти задачи будет выполнены сторонними компаниями, работающими на коммерческом рынке.