версия для печати
Проблемы безопасности в облачных средах

Проблемы безопасности в облачных средах

"Облачные" системы постепенно переходят в статус мейнстрим-решений. Рост числа подобных проектов вызывает синхронное увеличение количества и масштаба ИБ-проблем. Часть их имеет вполне классическое происхождение, остальные же спровоцированы реалиями российского рынка.

Основные проблемы в области ИБ при реализации облаков можно разделить на два направления. С одной стороны, это проекты построения частных облаков, с другой – использование публичных сервисов SaaS, PaaS и IaaS.

По-прежнему в числе главных рисков – доступность сервиса и обеспечение адекватных мер защиты данных. Консервативно настроенные клиенты не стремятся передать "чувствительную" для бизнеса информацию за периметр своей сети и доверить ее стороннему серверу, управляемому другой организацией, работающей порой даже в чужой стране.  Тем не менее, подавляющее большинство компаний осознают, что именно провайдеры, предоставляющие услуги специализированных дата-центров, уделяют значительно больше внимания безопасности, производительности и контролю доступа к приложениям (например, использованию пропускной способности сети, отказоустойчивости, модернизации инфраструктуры, резервному копированию, аварийному восстановлению и т. д.), чем порой ограниченные в возможностях ИТ-отделы.

Дата-центры постоянно контролируются внешними организациями, в отличие от ИТ-отделов предприятий клиентов (включая, например, соответствие стандартам ISO27001, SAS70, постоянный внешний аудит и т. д.). Кроме того, такие предприятия предоставляют соответствующий уровень обслуживания (SLA) (например, по времени доступности сервиса, конфиденциальности и т. д.). В случае несоблюдения данных требований на них налагаются серьезные финансовые и коммерческие санкции.

Облака уязвимы

Одна из серьезных проблем, с которой сталкиваются компании, внедряющие облачные решения, заключается в уязвимости серверов, на которых разворачиваются облачные платформы. Так, по данным отчета Ponemon Institute, 67% компаний из 682 респондентов из США, признали, что их частные облака недостаточно защищены из-за неправильной конфигурации межсетевых экранов, при этом ИТ-специалисты в 54% случаев не имеют представления о том, как исправить это. В итоге, как выясняется, 19% опрошенных знают о том, что их «облака» уже взламывали.

Как защищено ваше облако?

Источник: Ponemon Institute, 2011

Хрестоматийными примерами провалов в области обеспечения информационной безопасности "облаков" стали случившиеся в 2011 году инциденты с сервисами Sony PlayStation Network и Qriocity, а также отключившийся на несколько дней Amazon EC2. Пока эти случаи не привели к тотальному отказу от облачных проектов со стороны бизнеса, но лишний раз напомнили клиентам, рассматривающим перенос своей инфраструктуры на удаленные сервера, что для таких решений требуется более серьезный подход в плане оценки провайдера и вендора.

Кто отвечает за ИБ облака?

Источник: Ponemon Institute, 2011

Так, по мнению Джея Хайзера (Jay Heiser), вице-президента Gartner по исследованиям, современным облачным провайдерам предстоит пройти еще длинный путь в развитии, чтобы у заказчиков появилась уверенность в их возможностях оперативного восстановления после сбоев. В качестве иллюстрации он приводит пример Google, которая в начале 2011 года пережила довольно существенное нарушение работы сервиса Gmail, из-за чего около 0,02% пользователей не могли получить доступ к письмам в течение четырех дней (хотя в конечном итоге почта была восстановлена полностью).

«Провайдерам придется отвечать за то, что они делают, и показывать, как они защищают свои облачные системы, управляют хранящимися в них данными, удаляют их и как осуществляется внутренний контроль над этими процессами», - утверждает он, подчеркивая, что срок восстановления такой малой доли потерянной информации в 4 дня наводит на размышления о том, сколько времени потребуется, если случится более глобальный инцидент – по аналогии, если пострадает 1% пользователей Gmail, почта заработает только спустя 200 дней, считает аналитик.

В этой связи от любого облачного провайдера потребуется четкая программа действий, позволяющая решить проблемы с ИБ в кратчайшие сроки – поводом к этому является возрастающая активность различных преступных групп, которые готовы атаковать облака. «Перекладывая задачи по хранению данных или управлению базами на третьих лиц, компании, безусловно, экономят на издержках и могут повысить свою эффективность. Но перекладывая контроль за информацией на облачного провайдера, корпоративные клиенты часто забывают применять в таких проектах свои бизнес-практики в области управления рисками и защиты – они не задают нужных вопросов поставщику облачных услуг», - признается Джим Ривис (Jim Reavis), исполнительный директор Cloud Security Alliance.

Ключевые аспекты миграции в облачную среду для компании.

  1. Способы  обеспечения безопасности хранимых данных (шифрование, резервное копирование, архивирование, целостность).

  2. Способы защиты данных при передаче, в том числе и внутри облака.

  3. Способы определения  и гарантии подлинности пользователя.

  4. Способы изоляции пользователей (как данные и приложения одного клиента отделены от данных и приложений других клиентов):

    •   способы предотвращения  несанкционированного взаимодействия между виртуальными машинами и хостами

    •   способы предотвращения  слежения со стороны хоста

    •   способы предотвращения  слежения со стороны виртуальной машины

    •   способы предотвращения атак в облаке (при недостаточной изоляции в облаке существует возможность выполнить DDoS-атаку)

  5. Реакция на происшествия и ответственность перед пользователями.

  6. Следование нормативно-правовым документам, применяемым к ИБ в сфере облачных вычислений. 

Источник: Orange Business Services, 2011

Соответственно, рынку требуются специальные отраслевые стандарты, по которым можно будет судить об адекватности и соответствии того или иного решения клиенту, работающему в определенном секторе экономики. Поэтому заказчики массово начнут обращаться к облакам, когда поймут, что уровень ИБ там или выше, чем внутри организации, или такой же, но по более низкой стоимости, считают в PriceWaterCoopers.

Безопасность облаков в России

В ходе опроса CNews интеграторов, развивающих облачные проекты, а также их клиентов, оценки топ-10 ключевых рисков перехода в облака несколько разделились. Интеграторы смогли выделить основные проблемы для частных облаков. Основной блок связан с тем, что на рынке нет стандарта построения облака (есть только различного рода предписания), решения для защиты создаются под определенные виды облаков (это сужает возможность выбора архитектуры для компании), при этом у клиентов отсутствует полная уверенность в сохранности хранимых в облаке данных.

«В случае с частными облаками подразумевается консолидированная обработка данных в рамках ИТ-инфраструктуры одной компании или группы. Даже с учетом нормативной базы, традиционно отстающей от современных технологий информатизации в общем, и в области информационной безопасности в частности, полное удовлетворение требований законодательства возможно, что подтверждается переходом ряда государственных ведомств на централизованное сосредоточение вычислительных мощностей на базе собственных центров обработки данных. Такие решения тщательно планировались и разрабатывались совместно с регуляторами в области информационной безопасности - ФСТЭК и ФСБ», - объясняет Павел Ерошкин, начальник управления информационной безопасности компании «Техносерв».

По его словам, для частного облака задачи информационной безопасности остаются практически теми же: защита периметра и борьба с инсайдом, тогда как при использовании внешних (публичных) облаков у ИТ-инфраструктуры в компаниях отсутствует периметр, который привыкли охранять. «Соответственно требуются новые подходы, базирующиеся на защите не периметра, а данных. На первый план выдвигается не столько возможность управлять данными, сколько уверенность в том, что неавторизованное лицо не сможет получить к ним доступ. Для этого используются элементы шифрования данных, системы мониторинга виртуальной инфраструктуры и ряд других, современных методов защиты», - говорит он.

Олег Глебов, специалист департамента маркетинга компании «Информзащита», считает, что для SaaS сервисов основной проблемой становится вопрос доверия провайдеру – ведь  все средства защиты находятся у него в ведении и поэтому без надежных систем шифрования и контроля доступа к данным многие компании еще несколько лет не будут готовы переносить в облако провайдера услуг критичные данные. Он полагает, что при смещении используемой модели облака в сторону IaaS (по прогнозам это - одно из самых перспективных направлений) важнейшим фактором ИБ станет контроль пользователей и администраторов сети.

Со стороны заказчиков, уже развернувших облака, ситуация с безопасностью таких решений выглядит иначе. Евгений Смирнов, начальник управления информационных технологий ГК «Связной», предлагает разделить все риски на четыре группы: несоответствие закону об обработке  персональных данных, несоответствие закону о коммерческой тайне, риски, связанные с ведением бизнеса  и риски, связанные с доступностью облака. В первой группе возникают проблемы физического нахождения данных клиентов сервиса, лицензирования деятельности провайдера облака, уведомления клиентов об обработке предоставляемых ими сведений этому провайдеру и связанных со всеми этими процессами юридическими оформлениями договоров. Вторая группа дополняет эти риски тем, что несоответствие закону о коммерческой тайне, предполагающему ее передачу в бумажном виде под подпись, не позволит предъявить претензию облачной компании в разглашении бизнес-секретов.

В числе рисков, связанных с ведением бизнеса, господин Смирнов отметил, что в России права на здание принадлежат  владельцам ЦОДа и нет гарантий  о защите прав потребителей услуг коммерческих ЦОДов в случае смены владельцев недвижимости, плюс ко всему, в случае споров по недвижимости возможны перерывы в работе ЦОДа (облака) – отключение энергоснабжения, демонтаж оборудования, а если ЦОД (и облако) расположены за пределами России, появляются риски, связанные с непропусканием трафика через границу государства.

Как можно убедиться из вышесказанного, серьезных различий между тем, что происходит на развитых рынках США и Европы, и российскими реалиями нет, однако, как он считает, добавляется проблема отсутствия нормативных документов, регламентирующих обработку информации в облачных средах, со стороны российских регуляторов, что затрудняет выполнение требований российского законодательства, а также использование облачных сред в государственных учреждениях. По этой причине бизнес-сообщество должно инициировать создание и утверждение таких документов. 

Михаил Демидов/CNews Analytics


Сергей Шерстобитов

Сергей Шерстобитов:

Из облаков пытаются сделать панацею от всех проблем, во что многие уже не верят

На вопросы CNews ответил Сергей Шерстобитов, генеральный директор компании «Информзащита».

CNews: Какие факторы являются точками роста российского рынка информационной безопасности  и как они могут повлиять на бизнес компаний, оказывающих услуги в области ИБ?

Сергей Шерстобитов: Наиболее значимым фактором роста является стремление к соответствию определенным требованиям, установленным регуляторами, которых достаточно много. Заказчикам при этом приходится непросто, так как упор в требованиях иногда делается на формальное соответствие, не обеспечивающее реальную защищенность бизнеса, а выполнение некоторых требований способно существенно снизить эффективность выполнения некоторых бизнес-процессов. Это вынуждает искать компромиссные решения, как удовлетворяющие регуляторов, так и соответствующие реальным потребностям, что дает консультантам ИБ простор для продуктивной работы.

Другим фактором роста является существенно увеличившийся спрос на услуги и решения по ИБ со стороны государства, что связано с активной модернизацией информационных систем министерств и ведомств, а также с реализацией проектов «электронного правительства». Сейчас уже достаточно большое количество госуслуг оказывается через интернет, количество таких госуслуг будет только расти, поэтому государством инициируются проекты по обеспечению безопасности этих сервисов, так как с их помощью можно получить доступ, например, к персональным данным граждан.

Есть и другие, менее значительные факторы, но даже перечисленных двух достаточно для устойчивого роста рынка ИБ, как минимум, в перспективе 2-3 лет, что открывает хорошие возможности для всех игроков рынка.

Естественно, мы стараемся максимально использовать эти возможности. Наша выручка в 2010 году выросла более чем на 60%, про результаты 2011 года говорить пока рано, но рост тоже будет на десятки процентов.

читать полное интервью

Toolbar | КПК-версия | Подписка на новости  | RSS