Аналитическая компания Gartner с 2008 года в качестве одной из главных ИТ-тенденций выделяет развитие виртуализации и облачных технологий. Долгое время их приложение к отечественной действительности представлялось весьма нетривиальной задачей. Однако на сегодняшний день, наконец, мы можем говорить о том, что актуальность «облаков» в России планомерно растет.

Операторы предлагают клиентам, как физическим, так и юридическим лицам, воспользоваться облачными сервисами на базе собственной вычислительной инфраструктуры. При этом сервисы различаются «степенями свободы» пользователя при построении процесса обработки данных. По этому принципу сервисы делятся на 3 основных типа:

• Инфраструктура как сервис (Infrastructure as a service, IaaS). Клиенту предоставляются в аренду ресурсы вычислительной инфраструктуры (в виде виртуальных серверов), инфраструктуры хранения данных, а так же сетевой инфраструктуры, на которых клиент может развертывать и выполнять произвольное ПО;
• Платформа как сервис (Platform as a service, PaaS). Клиенту предоставляется в аренду среда для развертывания ПО, разработанного с использованием поддерживаемых вычислительной инфраструктурой инструментов и языков программирования;
• Программное обеспечение как сервис (Software as a service, SaaS). Клиенту предоставляется доступ к прикладному ПО, развернутому на ресурсах вычислительной инфраструктуры. Доступ клиента к развернутому ПО может осуществляться посредством специально разработанного клиентского ПО (в том числе, для мобильных платформ) или через web-браузер.

В связи с тем, что информация часто является чрезвычайно критичным активом, вопросы обеспечения информационной безопасности при предоставлении сервисов клиентам выходят на первый план. Действительно защищенным облачный сервис является только в том случае, если обеспечен комплекс организационно-правовых и технических мер безопасности для всех архитектурных уровней вычислительной инфраструктуры (аппаратное обеспечение, среды виртуализации, операционные системы, системы управления базами данных (СУБД), прикладное ПО как на стороне оператора, так и на стороне клиента, а также непосредственно сами данные).

Взаимная ответственность

Независимо от того, какой сервис предоставляется клиенту, технические меры защиты на уровне аппаратного обеспечения и сред виртуализации реализует оператор. Однако на более высоких архитектурных уровнях в зависимости от типа предоставляемого сервиса ответственность за обеспечение информационной безопасности частично переходит на сторону клиента. При этом для сервиса IaaS ответственность клиента будет максимальной, для SaaS – минимальной.

По желанию клиента оператор может предоставить дополнительные услуги по повышению уровня безопасности предоставляемого сервиса. Например, межсетевое экранирование, VPN, IPS/IDS, защита от DDoS, резервное копирование данных или иные сервисы, необходимые для обеспечения процессов информационной безопасности. Набор дополнительно предоставляемых услуг безопасности фиксируется в договоре и определяется клиентом, исходя из его требований к процессу обработки информации или модели угроз.

Важно понимать, что пользуясь облачными сервисами, для достижения требуемого уровня безопасности клиенту необходимо реализовать достаточно широкий перечень мер защиты на своей стороне. Чаще всего они начинаются с выполнения рекомендаций оператора и заканчиваются разработкой дополнительных организационных и технических мер. Например, сбор согласий на обработку персональных данных с их субъектов, защита конечных устройств обработки информации, определение политики разграничения доступа к собственным информационным ресурсам и другие.

Таким образом, защищенность получаемого сервиса во многом зависит от самого клиента, и полностью переложить ответственность на оператора невозможно. Оператор может предоставить клиенту защищенную вычислительную инфраструктуру, обеспечить ее соответствие различного уровня требованиям. Однако никогда не сможет гарантировать успешное прохождение проверки регуляторов или отсутствие утечек информации, вызванных некорректно настроенными правами доступа. Гарантии могут быть предоставлены только в зоне ответственности самого оператора. Так, например, предоставляемая оператором вычислительная инфраструктура может быть аттестована по требованиям безопасности.

Впрочем, это не является поводом отказываться от данного вида услуг. Облачные сервисы представляют собой удобный инструмент, который позволяет при правильном подходе быстро и надежно обеспечить бизнес ИТ-инфраструктурой. А также снизить затраты на информационную безопасность за счет использования созданной оператором системы защиты.