версия для печати
Кто гарантирует неприкосновенность облаков?

Кто гарантирует неприкосновенность облаков?

«Облачные» технологии инспирировали по-настоящему «долгоиграющий» тренд по сравнению с остальными технологическими трендами последних 10 лет в ИТ. Восприятие подобных решений крупными заказчиками, среди которых есть и компании госсектора, стало меняться в сторону нейтрального или умеренно положительного, однако для преодоления скепсиса провайдерам требуется решить самую главную проблему – обеспечить защиту хранящихся данных в «облаке».

Весь 2011 г. и первое полугодие 2012 г. отечественные вендоры  облачных решений наблюдали устойчивый рост спроса на решения для оптимизации ИТ-инфраструктуры со стороны бизнеса, но столкнулись с тем, что не всегда заказчики отдают себе отчет в том, что хотят получить от поставщика или вендора. Мировой же рынок облачных решений за этот период пережил галопирующий рост и, преодолев «условную» петлю (имеется в виду основание первого излома графика гиперцикла технологий по методологии Gartner, “избавление от иллюзий”), стал глобальным – его тренды в той или иной степени сейчас применимы к практически любому локальному рынку.

Не является исключением и Россия, где аналитики прогнозируют резкий скачок предложения  облачных услуг в перспективе до 2015 г. – по оценкам IDC, он будет 34-кратным: с $35 млн по итогам 2010 г. до $1200 млн в 2015 г. Формально, к этому времени Россия достигнет так называемой точки «плато продуктивности», тогда как Запад будет находиться в ней уже несколько лет – он выйдет туда не позднее 2013 г.

Впрочем, как замечают аналитики, прежде чем достичь повторного роста (то есть выхода к «плато»), российским облакам придется элиминировать достаточно заметные факторы, тормозящие развитие отрасли. По состоянию на  середину 2012 г. они приводят к тому, что, по оценкам ассоциации вендоров ПО BSA, Россия остается в арьергарде лидеров по качеству регулирования облачной индустрии (16 место из 24 возможных в 2011 г.), а из-за недостаточного и несовершенного проникновения ШПД в регионах облачные услуги продолжают оставаться нишей, в которую требуются достаточно большие капиталовложения.

Исправить ситуацию может программа Минкомсвязи, направленная на повсеместное распространение  широкополосного доступа во всей России, но срок ее выполнения определен 2018 г., и многие эксперты сомневаются в том, что она сыграет сколько-нибудь заметную роль в этом процессе. «Ряд игроков предоставляют облачные сервисы, но концептуально проблема состоит в том, что оператор должен определиться с тем, какие приложения он «выносит» в облака и кто будет их потреблять», - уверен Теодор Шелл, член совета директор компании «Энфорта».

Облака не «священная корова»

По мнению Алексея Сапожкова, руководителя направления по продвижению стратегических инициатив IBM в России и СНГ, облака в силу предопределенности развития рынка являются нишевым решением, которое не может занять место традиционных ИТ-ресурсов – он отвел им  80% в ИТ-инфраструктуре предприятий, а 20% остались у привычных решений, но пропорция различается от профиля компании и степени ее вовлеченности в современные технологии. Так, если у нее есть опыт использования "частного" облака, то рано или поздно она перейдет к применению "публичного", что приведет к тому, что будущее останется за традиционными ИТ и гибридными облаками.

Того же мнения придерживается Антон Жбанков, ведущий специалист EMC, считающий, что между частным и публичным облаками нет принципиальной разницы. Однако для повсеместного применения таких продуктов пока еще не дошло: бизнес должен понять, какими облаками он может пользоваться без дальнейших рисков в виде неисполнения директив регулятора и существующей практики ведения дел в отрасли.

Сама же тема безопасности облака как инфраструктуры, то есть всего того, что связано с хранением конфиденциальных данных и непрерывности предоставления сервисов, встает перед большинством потребителей, независимо от того, коммерческая ли это компания или государственная, в полный рост. Денис Безкоровайный, вице-президент RISSPA, приводит данные совместного исследования IE и Forrester Research, согласно которому уязвимости в области ИБ в облаках отпугивают 80% потенциальных заказчиков таких решений в России (второе место с 70% занимает несовершенство законодательной базы и третье место с 43% – недостаточная зрелость бизнес-процессов ИТ-провайдеров).

По его мнению, на практике многие российские поставщики облаков все еще выступают в роли владельцев лайнера "Титаник" в момент его кораблекрушения, уверяя заказчиков в том, что их сервисы защищены и надежны, поэтому с ними надо налаживать взаимодействие в области обмена практиками мирового уровня для повышения защищенности данных в облачной среде. Если изобразить схему управления рисками в облаке в виде ледяной горы, то вершина айсберга будет состоять из примерно 8 аспектов (среди которых безопасности отводится 6), тогда как нижняя основная часть будет полностью «закрыта» взаимодействием с провайдером.

Схема управления рисками в облаке

Источник: RISSPA, 2012

Из основных аспектов защиты облака сегодня выделяются анализ рисков – для этого нужно разрабатывать процесс единовременной и периодической оценки процессов и мер ИБ провайдеров облачной инфраструктуры на основании методик, включающий в себя анализ архитектуры, используемой в их решениях, процессов, результатов проведенных внешних и внутренних аудиторских проверок. Это особенно важно, отмечает Бескоровайный, поскольку они имели место быть далеко не у каждого провайдера, а также сам SaaS-поставщик услуги может использовать стороннее решение (или решения) для организации своего – так было с рядом иностранных файлообменных сервисов, которые на несколько дней стали недоступны после отключения части дата-центров Amazon Web Services из-за разгула стихии в ряде регионов США в 2012 г.

Другим риском, на который стоит обратить внимание заказчику, является раскрытие информации по запросу правоохранительных органов – выдача данных одних клиентов провайдера не должна затрагивать других в технологическом плане (то есть, само предоставление услуги не должно никаким образом прерываться), а сам процесс раскрытия должен быть урегулирован только с официальными органами власти.

Наконец, немаловажной частью безопасности «облака» является то, как провайдер управляет уязвимостями ПО, установленного на серверах – заказчик вправе анализировать защищенность инфраструктуры и согласовывать внутренние сроки распространения обновлений на своих компьютерах с теми, которые предоставляет провайдер.

Неприятности случаются

Алексей Сапожков уверен, что централизация ресурсов в облаке ставит новые вопросы к защите информации, но существующие отделы ИБ в компаниях знают только, как обеспечить сохранность данных в физической среде. "Как это будет в виртуальной среде? Докажите, что это безопасно!", - так выглядит основная риторика специалистов в области ИБ, когда они сталкиваются с необходимостью переписать корпоративные инструкции под требования облаков, имея на руках только лишь руководящие документы образца 1970-х годов, где про облачные решения не было ни слова.

По этой причине от заказчика требуется проверять план обработки инцидентов на стороне провайдера и исполнение SLA – в договоре должны быть четко определены и разделены обязанности сторон, даны определения того, что считается инцидентом в ИБ, а также меры, которые провайдер обязуется предпринимать в случае возникновения такой ситуации с детальной технической информацией (виды коммуникаций, контрольные сроки исполнения и так далее).

Но еще более актуальной является превентивная возможность избежать ИБ-инцидента путем мониторинга событий облачной инфраструктуры, например, нарушения политик защиты и контроля доступа, или целостности данных. Тесно связано с этим и направление восстановления после ИТ-катастрофы – теперь компаниям следует включать в стратегию непрерывности бизнеса и то, как будет работать в таких условиях облачный провайдер, - с каким приоритетом он будет восстанавливать информацию, как он «отпустит» клиента, какие компенсации будут оформлены в случае таких сбоев и многое другое.

По мнению Антона Жбанкова тема безопасности также актуальна в контексте активного задействования облачных сервисов пользователями мобильных устройств, которые вытесняют традиционные десктопы. В условиях растущей популярности публичных облачных хранилищ, используемых как универсальная память для разных устройств, безопасность облака стоит, по его словам, как никогда остро: эксперт приводит в пример данные об инцидентах популярного в корпоративной и частной среде сервиса Dropbox, занимающего более 10% рынка облачного бэкапа данных по оценкам аналитиков, в лицензионном соглашении которого есть пункт о доступности всех загруженных в файлообменник файлов поставщику услуги, которая появилась спустя 2 месяца (в июле 2011 г.) после обнаружения несанкционированной возможности видеть контент сотрудниками Dropbox. Похожие примеры касаются деятельности Apple, Microsoft и Google в их публично доступных облаках. "Запретить использовать уже оцененные за удобство продукты невозможно, но их применение надо контролировать", - резюмировал Жбанков.

Михаил Демидов

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS