Публичные облака: бояться нельзя идти?

17 октябрь, 2014 - 12:10Игорь Дериев

Ситуация в стране вынуждает компании двигаться в облака быстрее. Однако перед использованием публичных облаков по-прежнему возникают вопросы и сомнения, связанные с информационной безопасностью. И именно эти опасения часто становятся причиной принятия негативного решения. Безусловно, задаваться подобными вопросами следует, поскольку гибридная инфраструктура (а это наиболее типичный сценарий для современного состояния ИТ) более сложна, а значит, может быть подвержена каким-то дополнительным рискам. Тем не менее, большинство страхов основаны на чисто психологических факторах или недопонимании сути и типичной организации облаков. Что же необходимо знать и на что следует обращать внимание заказчику?

Несанкционированный доступ к данным

Стоит ли бояться утечки данных из облака провайдера? В достаточно большой степени этот риск преувеличен, поскольку хорошо известно, что основным источником утечек являются сотрудники компаний. Они не только имеют доступ к данным, но и понимают их ценность. Персонал же облачного оператора, в силу специфики его деятельности, часто не обладает данными о размещаемой в облаке информации, к тому же, он подвергается более жесткому отбору и контролю.

Публичные облака: бояться нельзя идти?

Кроме того, уже появились технологии, которые физически не позволяют облачному оператору получить доступ к клиентским данным. Например, в Облаке De Novo доступен сервис технической защиты данных клиентов SecureCloud. Основой данного сервиса является четкое разграничение полномочий между тремя физически и юридически различными субъектами:

  • клиент Облака управляет генерацией криптографических ключей для доступа к своим данным и политиками их использования, в том числе выдачи ключей виртуальным машинам в Облаке в момент их запуска; все хранящиеся на дисках данные зашифрованы, их дешифровка производится в оперативной памяти VM; ключ дешифровки хранится только в оперативной памяти работающей VM и разрушается при ее выключении или перезагрузке;

  • провайдер KMS (Key Management System) хранит ключи и выдает их в соответствии с установленными клиентом политиками, но не имеет доступа к зашифрованным виртуальным дискам; инфраструктура управления ключами, которой владеет провайдер KMS, находится за пределами Украины;

  • облачный оператор поддерживает соответствующую инфраструктуру, хранит диски с зашифрованными данными, но не имеет доступа к ключам.

Таким образом, кроме заказчика никто не сможет получить доступа к его данным. Кроме того, такая схема позволяет быстро и надежно сделать данные невосстановимыми даже без физического доступа к их носителю, что защищает их даже на случай изъятия оборудования.

Последнее — один из рисков, специфических для украинских реалий, и, в общем случае, миграция в облако позволяет нивелировать его практически полностью. Представители «Майкрософт Украина» сообщали о всплеске интереса к облачным сервисам именно в данном контексте в конце 2013 — начале 2014 гг. Стоит отметить, что надежную защиту данных обеспечивают не только ЦОД, находящиеся вне украинской юрисдикции. Благодаря природе IaaS, невозможно выделить оборудование, «принадлежащее» конкретному заказчику, а виртуальные диски равномерно «размазаны» по массиву из сотен накопителей и восстановить их можно только, полностью воссоздав исходную инфраструктуру и ее логическую конфигурацию. Со своей стороны, и сам заказчик может предпринять ряд дополнительных мер. Кроме очевидной необходимости выбирать оператора с соответствующей репутацией, можно применять шифрование, в том числе, полнодисковое на уровне виртуальных машин, использовать двухфакторную аутентификацию и другие традиционные меры.

Разрушение данных вследствие аварий и перебои в работе облака

По-видимому, в самой природе человека заложено считать находящееся под рукой более защищенным. В общем случае это, конечно, не так и, чтобы не опускаться уж до совсем бытовых контр-примеров, вспомним о существовании персональных банковских сейфов. Для облаков же ситуация, фактически, обратная. Эффект масштаба сказывается не только на удельной стоимости ресурсов, но и на качестве функционирования сервиса. Огромные сертифицированные ЦОД, стандартизованное оборудование, промышленные технологии, высокопрофессиональный персонал и минимизация человеческого фактора делают облачную инфраструктуру гораздо надежнее, чем самостоятельно построенные ИТ-комплексы.

К примеру, стандартные SLA Microsoft Azure и De Novo декларирует доступность на уровне 99.95%. Такой показатель сегодня, пожалуй, наиболее характерен. Важно понимать, высокая надежность обеспечивается самой их архитектурой. Так, в Облаке De Novo отсутствуют нерезервированные точки отказа. Сетевое оборудование дублируется по схеме 2N, обеспечивается четырехкратное резервирование Интернет-каналов. Применяются дисковые массивы среднего уровня от А-брендов, ресурсы СХД также дублируются (2N), диски объединены в RAID 6 или RAID DP (N+2).

При выборе облачного провайдера стоит помнить и об особенностях приложений, которые вы планируете размещать в облаке. Для веб-ориентированных приложений вполне подойдет ферма из множества узлов с непостоянной производительностью, тогда как классические корпоративные приложения нуждаются в надежных операционных средах с предсказуемым поведением. Соответственно, провайдер IaaS-сервисов корпоративного класса обязан защитить каждую отдельную VM, на которой работает такое приложение, обеспечить ее отказоустойчивость, а также достаточную и стабильную производительность и надежную изоляцию рабочих нагрузок как внутри клиентского прикладного ландшафта, так и между разными клиентами.

Сетевые атаки

Это достаточно обширная тема, рассмотрение которой необходимо начать с того, что прояснить сферы ответственности. IaaS, в отличие, скажем, от того же SaaS, их четко разделяет между оператором и заказчиком. За первым остается только физический уровень, касающийся функционирования облака как такового, обеспечения его отказоустойчивости (на аппаратном уровне и уровне виртуализации), а также защиты от внешних атак (в основном, DoS).

Защита же развернутой в облаке инфраструктуры заказчика находится целиком на совести последнего, хотя оператор может предложить ему проверенные специализированные решения. Это, к примеру, могут быть виртуальные сетевые устройства для защиты периметра или организации отдельных зон безопасности внутри виртуальной сети, реализующие функции брандмауэра и пр.

Публичные облака: бояться нельзя идти?

Особое внимание, конечно, нужно уделить защите коммуникационного канала между двумя частями гибридной инфраструктуры. Ситуация, впрочем, не слишком отличается от соединения двух филиалов или разнесенных технологических площадок. Национальные операторы, ввиду своей географической близости и специализации, могут допускать подключение по выделенным линиям, что является наиболее безопасным и надежным вариантом. В случае использования Интернета, задача решается с помощью усиленной аутентификации, VPN и других традиционных средств. Например, в ЦОД De Novo даже разрешается размещать собственное сетевое оборудование, чем пользуется около 20% заказчиков.

Совершенно отдельный вопрос — защита прикладных сервисов, реализованных в облачной инфраструктуре и доступных непосредственно из Интернета. Здесь могут потребоваться как сравнительно традиционные решения для усиления аутентификации, контроля за почтовым и веб-трафиком, так и специализированные, к примеру, API-шлюзы для обеспечения безопасности в рамках SOA-решений.

Логическое разрушение данных

Вспомнить об этой проблеме в данном контексте стоит из двух соображений. Во-первых, в силу виртуальной природы облака, о защите данных от логического разрушения нередко забывают, хотя вероятность повреждения данных в результате сбоев прикладного ПО или ошибок человека в облаке ничуть не меньше чем в корпоративной инфрастурктуре. Как уже говорилось, в облаке может выполняться автоматическая репликация данных, но она призвана решать исключительно задачи оператора по исполнению своих SLA. Во-вторых, облако само по себе предоставляет исключительные возможности для организации резервного копирования и обеспечения катастрофоустойчивости — начиная от создания снимков виртуальных дисков и оперативного развертывания виртуальной инфраструктуры из резервных копий, и заканчивая использованием готовых услуг Backup-as-a-Service и Disaster Recovery-as-a-Service, которые предоставляются некоторыми операторами.

В заключение осталось добавить, что облака по самой своей сути располагают к всевозможным тестам и экспериментам. Операторы, как правило, предлагают привлекательные условия для апробации своих сервисов, отсутствует опасность заморозить средства в ненужных оборудовании и лицензиях. И, возможно, это лучший способ разобраться с вопросами безопасности — ее специфическими аспектами, которые могут возникнуть при миграции части инфраструктуры, инструментах и возможностях, доступных в конкретном облаке, способах решения основных задач.