Если взглянуть на облачную среду с технологической точки зрения, то условия работы приложений не сильно отличаются от традиционных. Бизнес-системы также запускаются на отдельных вычислительных мощностях, только в облаке они становятся виртуальными. Данные по-прежнему хранятся на серверах, но теперь они могут быть распределены на несколько вычислительных узлов или наоборот, упакованы большим количеством на один мощный сервер. Именно поэтому многие эксперты считают, что защита информации в облаке должна быть построена по тем же принципам, что и защита традиционных систем, а разница состоит лишь в организационных моментах, связанных с механизмами предоставления сервисов.
Фактически задачу защиты облака можно разделить на две составляющие: обеспечение безопасности функционирования оборудования и безопасности данных. «Провайдер должен реализовать защиту своего аппаратно-программного комплекса от несанкционированного вторжения, модификации кода, взлома ИТ-системы, чтобы обеспечить защиту данных клиента. Клиент, в свою очередь, при необходимости размещения каких-либо важных и секретных данных, может использовать технологии шифрованию для защиты от несанкционированного доступа к ценной информации. Только такой комплекс мер позволит обеспечить безопасность данных в облаке», – говорит заместитель генерального директора телекоммуникационной компании Caravan Андрей Касьяненко.
Использование шифрования при передаче данных
Источник: Symantec, 2012
Таким образом, защита данных – задача, решение которой ложится на плечи не только оператора, но и самого клиента. При этом в каждом отдельном случае могут использоваться свои методы защиты данных, которые будут отличаться в зависимости от вида используемых облачных сервисов.
Частное облако
Проще всего гарантировать безопасность в частной облачной среде. Ведь при работе с собственным облаком мы получаем лишь преимущества от сервисной модели, а также виртуализации вычислительных ресурсов и хранилищ данных. При этом вся ценная информация остается внутри компании. Она может покидать сеть только в строго определенных случаях и, как правило, вовсе не сохраняется на конечных устройствах, например, при работе с виртуальным рабочим столом. «В частном облаке можно реализовать не только полный функционал платформы и приложений, но и обеспечить максимальный набор средств защиты, – комментирует Марк Ривкин, руководитель группы баз данных технологического консалтинга Oracle СНГ Oracle. – В частном облаке можно использовать и кодирование данных, и защиту данных от администратора, и кластерное решение, и резервирование для обеспечения катастрофоустойчивости, и аудит операций, и маскирование данных, и, конечно, весь арсенал аутентификации и разграничения прав пользователей».
В действительности современные программные решения позволяют делать многое. Даже сами системы управления базами данных открывают возможности для виртуализации и повышения операционной гибкости. В частности, такие функции как Run-Time Privilege Analysis и Data Redaction, позволяют организациям определять реально используемые привилегии и роли доступа к данным, в том числе, хранящимся в облачной среде. Устанавливая минимум привилегий и исключая ненужные права доступа, компании могут сохранить полный спектр и целостность своих бизнес-процессов, одновременно не допуская к данным лишних лиц. Как отмечают специалисты Oracle, при этом нет необходимости как-либо модифицировать код приложений.
Однако не стоит забывать, что частная облачная структура требует наличия квалифицированных кадров, которые смогут обслуживать уровень серверов, обеспечивать безотказную и эффективную работу виртуализационного ПО, а также отвечать за работу самих бизнес-приложений в облачной среде и поддерживать нужный уровень сервиса. Как следствие, они же должны быть крупными и опытными специалистами в сфере облачной безопасности. Увы, далеко не во всех организациях такое возможно, и поэтому сегодня все более популярными становятся публичные облака.
Публичное облако
Главная особенность публичной облачной среды состоит в том, что за ваши данные отвечает другая организация, которая обеспечивает их хранение и передачу по требованию. В связи с тем, что ценная информация регулярно покидает фактический периметр корпоративной сети, для нее требуется дополнительная защита. Увы, ни одно публичное или гибридное облако в принципе не может обеспечить тот же уровень безопасности, что и частное, в котором защита может достигать такого же уровня, что и в традиционных, развернутых на предприятии, системах. Поэтому для повышения уровня безопасности в публичном облаке сервис провайдеры часто вынуждены прибегать к ограничению функционала предоставляемых сервисов.
Тем не менее, для многих организаций возможность обеспечения облачной безопасности со стороны провайдера является важным преимуществом. «В последнее время значительно усилились опасения относительно того, что данные, размещенные в облачных хранилищах, могут быть уязвимы и контролироваться со стороны пользователей других государств, – говорит Стив Розье, директор департамента консалтинга, Verint Systems. – Но те организации, которые делают шаг назад, как правило, приходят к выводу, что большинство провайдеров облачных технологий являются экспертами в обеспечении безопасности, и немногие компании обладают навыками, сравнимыми с компетенцией провайдеров облачных технологий».
Технология защиты
Впрочем, при продуманной стратегии и наличии достаточного потенциала в сфере ИТ современные технологии позволяют обеспечить в облачной среде практически любой уровень безопасности, вплоть до самых высоких требований к защите персональных данных. «Дело в том, что в облачных вычислениях всегда можно четко указать зону ответственности участников и определить требования на каждом структурном уровне предоставления облачных услуг. Средства реализации таких требований есть уже сегодня. При этом акцент должен быть на безопасном размещении и использовании прикладного ПО. Именно уровень прикладного ПО предоставляет доступ к данным, ценным для потенциального нарушителя и именно прикладное ПО находится на передней линии доступа и подвержено максимальной опасности», – Илья Трифаленков, директор Центра информационной безопасности R-Style
Наиболее распространенные риски, имеющие отношение к облачным средам, представлены такими инцидентами как кражи виртуальных машин с использованием съемных носителей, изменения сетевой топологии ИТ-инфраструктуры с использованием только программных настроек, атаки на ИТ-сервисы в обход сетевых механизмов защиты. «Данные риски снижаются благодаря защите на всех уровнях построения виртуальной среды: аппаратного обеспечения, системного ПО виртуализации (гипервизора), внутри самой виртуальной инфраструктуры, в системе управления и системе хранения», – отмечает Руслан Заединов, заместитель генерального директора, руководитель направления ЦОД и облачных вычислений компании «Крок».
Рост рынка сервисов облачной безопасности
Источник: Infonetics Research, 2012
Современные решения позволяют создавать межсетевые экраны для виртуальных машин, также производить постоянный мониторинг и оперативно реагировать на инциденты на виртуальных машинах. Как отмечают эксперты «АйТеко», такие решения называются System Information Event Management SIEM. Они представлены продутыми IBM QRadar, Security Vision, ArcSight и другими. «Подобные системы собирают сообщения со всех средств защиты организации, в том числе и из виртуальной инфраструктуры, коррелируя и ранжируя инциденты для быстрого и взвешенного принятия решений в зависимости от ситуации», – говорит Аркадий Прокудин, заместитель руководителя Центра компетенции информационной безопасности компании АйТи.
Соответствие требованиям
Развитие компетенций российских ЦОД и рост облачного рынка более чем на 30% в год при основном опасении клиентов в сфере безопасности доказывает, что технически защиту организовать несложно. «Нужно использовать резервное копирование, шифрование данных на этапах хранения и передачи; регулярно сканировать свое программное обеспечение на наличие уязвимостей, использовать межсетевые экраны и другие средства, – говорит Рустэм Хайретдинов, CEO компании Appercut Security. Для большинства организаций стоит вопрос соблюдения требования российских регуляторов и получения соответствующих лицензий ФСБ и ФСТЭК. Во многом трудность данного процесса препятствует переходу в облака, однако все больше центров обработки данных начинают предоставлять гарантии защиты данных вплоть до K2 и используют это как конкурентное преимущество. Таким образом, несмотря на существующие сегодня сложности, рынок неизбежно движется к переносу в облака не только информации различных организаций, но и ответственности за ее защиту.
Поделиться
