`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

«Облака»: преимущества и риски безопасности

Статья опубликована в №44 (710) от 8 декабря

+11
голос

«Облачные» вычисления, являясь, по сути, не новой технологией, а новой методикой доставки ИТ-услуг, имеют ряд особенностей, которые одновременно и упрощают обеспечение безопасности, и предполагают дополнительную оценку рисков в таких областях, как целостность и сохранность данных, безопасность персональной информации, соответствие регуляторным требованиям и пр.

«Облака» преимущества и риски безопасности

«Облачные» вычисления становятся все более популярными, особенно в последнее время, когда ограниченность финансовых ресурсов вынуждает компании оптимизировать затраты. По оценкам аналитиков, их рынок в 2009 г. составит около 17 млрд долл., а к 2013 г. достигнет 44,2 млрд. Принимая во внимание, что значительная часть «облачных» сервисов востребована в Европе (971 млн евро в 2008 г., до 6,005 млрд – в 2013 г.), Европейское агентство по сетевой и информационной безопасности (European Network and Information Security Agency, ENISA) исследовало риски, связанные с такого рода сервисами.

Оценка безопасности «облачных» вычислений проводилась с учетом трех основных тенденций и сценариев: 1) миграции среднего бизнеса на «облачные» сервисы, 2) влияния «облачных» вычислений на устойчивость обслуживания, 3) использования «облачных» вычислений в системах eGovernment, eHealth и прочих социально значимых масштабных проектах.

Многие аналитики, в том числе специалисты Gartner, отмечают, что важнейшими аргументами за миграцию SMB на «облачные» сервисы являются снижение стоимости и высокая масштабируемость, а наибольшее беспокойство вызывают вопросы конфиденциальности информации и ответственности за инциденты с используемой инфраструктурой. Специфические препятствия к внедрению подобной модели доставки ИТ-услуг имеются и у правительственных организаций – в частности, это проблема безопасности обработки персональных данных граждан в «облаке». Более того, правовые и регуляторные нормы не позволяют перенести в «облака» ряд приложений eGovernment. Тем не менее и государственные структуры, и SME осознают реальность того, что многие их сотрудники будут использовать такие сервисы независимо от официальной политики. Таким образом, чтобы полностью задействовать технологический потенциал «облачных» вычислений, требуется надлежащий уровень информационной безопасности.

С другой стороны, специалисты отмечают, что «облачные» вычисления сами по себе дают целый ряд преимуществ в вопросе организации системы безопасности. Прежде всего играет роль большой масштаб «облачных» систем, позволяющий при том же объеме инвестиций обеспечить качественную и унифицированную защиту на всех уровнях (фильтрации трафика, развертывания заплаток и обновлений, управления гипервизорами и образами виртуальных машин и т. д.). При этом гораздо дешевле организовать своевременное реагирование на инциденты, эффективную защиту периметра, контроль физического доступа. Еще одно важное преимущество – быстрое интеллектуальное масштабирование ресурсов, благодаря которому можно оперативно выделять дополнительные мощности, в том числе и для системы безопасности (оптимизации трафика, аутентификации, шифрования и пр.), что особенно актуально для противодействия DDoS-атакам. Кроме того, крупные провайдеры (Cloud Provider, CP) «облачных» вычислений обычно предлагают стандартизованный открытый интерфейс для управления услугами безопасности, что создает более доступный рынок для подобных сервисов. Свою лепту вносят и системы виртуализации – образы виртуальных машин и модули ПО могут в соответствии с используемыми настройками автоматически обновляться, причем эта процедура занимает значительно меньше времени, чем в обычных клиентских системах.

Одним из очевидных рисков безопасности «облачных» вычислений эксперты считают потерю управляемости, ведь клиент передает отдельные рычаги управления ИТ-системой провайдеру, а соглашения об уровне обслуживания (SLA) зачастую не содержат обязательств, связанных с безопасностью. Более того, не всегда прозрачные действия СР могут вызвать дополнительные сложности в части соответствия стандартам. К тому же пока предлагается не так много инструментов, процедур, стандартных форматов интерфейсов, которые гарантируют переносимость данных, приложений и служб. Это усложняет (даже в теории) миграцию от одного провайдера к другому либо на собственные ИТ-ресурсы и провоцирует возникновение зависимости.

Впрочем, если риски, связанные с деятельностью провайдеров, в какой-то мере можно отследить еще на этапе выбора поставщика услуг, то технологически обусловленные недостатки систем «облачных» вычислений обойти вряд ли удастся. Прежде всего, любая крупная система представляет собой желанную цель для разного рода злоумышленников, и, хотя вероятность пробить усиленную защиту меньше, чем в случае малых систем, ущерб от них может оказаться гораздо серьезнее. Поскольку ключевым моментом «облачных» вычислений является совместное использование ресурсов, возникают риски отказа механизмов изоляции хранилищ, памяти, маршрутизации разных арендаторов. Справедливости ради отметим, что подобные атаки немногочисленны, поскольку реализовать их значительно труднее, чем на традиционные ОС. Остро стоит и вопрос защиты данных – во-первых, доступ к интерфейсам управления и данным осуществляется через Интернет, а системы удаленного доступа, как и браузеры, имеют собственные уязвимости. Во-вторых, пользователю сложно проверить практику работы с данными у провайдера, особенно если деятельность связана с массивным обменом информацией. И в-третьих, запрос на удаление данных, как правило, не подразумевает их полного физического уничтожения; периодическая очистка хранимых копий также не всегда возможна, что означает бoóльшие риски для клиента, чем при работе с собственным оборудованием. Ну и, разумеется, нельзя сбрасывать со счетов человеческий фактор – в случае «облачных» вычислений несанкционированная деятельность инсайдеров может привести к особо тяжелым последствиям, а надежной защиты от этого не предвидится.

Универсальных средств пока нет и от других угроз, тем не менее европейские эксперты разработали ряд рекомендаций по минимизации рисков, связанных с миграцией на «облачные» вычисления, предполагающих четкое разделение сфер ответственности клиента и провайдера в вопросах безопасности. Естественно, разные типы сервисов – приложение как услуга (SaaS), платформа как услуга (PaaS) и инфраструктура как услуга (IaaS) – требуют совершенно разных подходов.

Наименьший спектр задач в cфере безопасности возлагается на пользователей услуг PaaS – в их ведении рекомендовано оставлять поддержку системы управления учетными записями пользователей и управление платформой аутентификации. За физическую инфраструктуру, ее безопасность и доступность, управление заплатками ОС, исполнение политик безопасности, конфигурацию и поддержку платформы безопасности (правила брандмауэра, настройка IDS/IPS и пр.), мониторинг и управление входом в систему отвечает провайдер.

На пользователей SaaS, помимо этого, возлагается ответственность за соответствие контента внутренним регуляторным требованиям. В случае же IaaS в ведении провайдера остаются исключительно поддержка физической инфраструктуры (вплоть до хост-систем), ее безопасность и доступность. Остальные элементы безопасности, в том числе процедуры управления гостевыми ОС (включая политики безопасности), их мониторинг и конфигурация, реализация конкретных функций (брандмауэра, IDS/IPS , антивируса, фильтрации пакетов и пр.) должны обеспечиваться клиентом самостоятельно.

Нужно также отметить, что и летний отчет Gartner и отчет ENISA особо указывают: пользователи обязаны требовать от провайдеров «облачных» вычислений прозрачности в вопросах безопасности и избегать вендоров, которые не могут (или не хотят) обеспечить детальное информирование. Квалификация разработчиков политик безопасности, технические механизмы и процесс управления рисками, уровень тестирования сервиса, возможности вендора по выявлению непредвиденных уязвимостей и мониторингу аномальной активности, соответствие регуляторным требованиям, возможности провайдера по хранению и обработке данных в рамках определенной юрисдикции, изоляция данных, средства обеспечения непрерывности бизнеса – вот основные факторы, на которые необходимо обращать внимание при миграции в «облака».

Ну а государственным структурам не помешает убедиться еще и в том, может ли провайдер предоставить исчерпывающую информацию и контроль за текущим физическим размещением данных, поддерживает ли он принятую схему их классификации, гарантирует ли полную изоляцию ресурсов клиента (т. е. без совместного использования физических компьютеров), поддерживается ли двухфакторная аутентификация и выполняет ли провайдер требования спецификаций ISO 27001/2.

+11
голос

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT