Безопасны ли облака?

Что такое «безопасность в облаке» и «безопасность из облака»? Каковы риски аутсорсинга сервисов ИБ, механизмы контроля, российская практика? Что именно можно отдать на аутсорсинг и стоит ли доверять российским облачным провайдерам? Эти и другие вопросы обсуждались на дискуссионной панели «Безопасность в облачной среде» диспут-клуба «ИКТ из облака», организованного «Журналом сетевых решений/LAN».

Согласно оптимистичным прогнозам, уже через несколько лет многие отечественные организации будут приобретать услуги по модели «ИТ как сервис» (см. Рисунок 1), однако пока на облачные сервисы приходится лишь малая доля российского рынка ИТ. Как показывают опросы, во всем мире одним из главных препятствий для их широкого использования остаются проблемы, связанные с обеспечением информационной безопасности (см. Рисунок 2): до сих пор большинство руководителей крупных компаний уверены в недостаточной защищенности облачных сервисов.

Рисунок 1. Рынок облачных сервисов в России. Прогноз Orange Business Services.

Рисунок 2. Изменение ситуации с обеспечением безопасности облаков на мировом рынке.

Однако, согласно данным прошлогоднего исследования Symantec о распространенности облачных технологий среди российских предприятий малого и среднего бизнеса, 81% сотрудников уже так или иначе использует облака в рабочих целях. Такая ситуация заставляет задуматься о принятии определенных правил, направленных на защиту корпоративной информации. Многие из этих сотрудников в рамках своей профессиональной деятельности обращаются к популярным бесплатным облачным сервисам, а некоторые — к коммерческим облачным бизнес-приложениям. В частности, 44% опрошенных используют облачные хранилища файлов, а 41% — размещенные в облаке приложения.

Среди главных причин перехода на облачные решения называются снижение расходов по эксплуатации, повышение мобильности персонала, улучшение защиты данных (резервное копирование/восстановление), гибкость и удобство работы. В то же время респонденты выражают беспокойство относительно защищенности данных, их неприкосновенности, а также отсутствия контроля. Лишь четверть опрошенных уверены в безопасности информации, размещенной в облаке.

Что весомее — риски безопасности или преимущества облаков? Насколько в действительности серьезны проблемы, связанные с обеспечением безопасности облаков? Что такое «безопасность в облаке» и «безопасность из облака»? Каковы риски аутсорсинга сервисов ИБ, механизмы контроля, российская практика? Что именно можно отдать на аутсорсинг? Какие ограничения налагают регуляторы? Как обеспечить соответствие нормативным требованиям при трансграничной передаче данных и использовании облачных сервисов? Что можно вынести в облако и стоит ли доверять российским облачным провайдерам?

Эти и другие вопросы обсуждались на дискуссионной панели «Безопасность в облачной среде», в которой приняли участие Михаил Кадер (заслуженный системный инженер Cisco Systems), Максим Захаренко (генеральный директор «Облакотеки»), Сергей Мищук (технический директор DataLine), Антон Жбанков (старший технический консультант EMC), Михаил Орешин (член оргкомитета Russian Cloud Computing Professional Association, RCCPA).

БЕЗОПАСНОСТЬ ИЛИ ЭФФЕКТИВНОСТЬ БИЗНЕСА?

Информационная безопасность — это прежде всего процесс управления рисками. Абсолютная защищенность невозможна в принципе, поэтому нужно оценить, насколько те или иные факторы риска, в том числе связанные с облачными сервисами, влияют на жизнедеятельность конкретной компании. В целом ряде случаев преимущества облачной модели значительно перевешивают связанные с ней риски, в том числе и угрозы безопасности. Так, например, благодаря облакам стартап-компании могут динамично развивать свой бизнес, избегать крупных затрат на создание собственной инфраструктуры ИТ и быстро реагировать на новые требования рынка.

Сам по себе перевод сервисов и приложений вторичен. «Главное — возможность эффективного использования сервисов и приложений в процессе работы. Поскольку облачная модель очень перспективна, прежде всего с экономической точки зрения, порождаемые ею проблемы безопасности будут в конечном итоге разрешены, — уверен Михаил Кадер. — В любой компании имеется политика безопасности, которая при переходе к облачным сервисам соответствующим образом видоизменяется. Своя политика есть и у провайдера, и ею стоит поинтересоваться. Если адаптировать к облачной модели все существующие правила, то не будет причин бояться чего-то неизвестного».

Всегда возникает вопрос: о каких именно рисках идет речь? «Еще шесть-семь лет назад основное внимание фокусировалось на обеспечении конфиденциальности данных, в начале 2013 года много говорилось об их доступности, а теперь вновь широко обсуждается конфиденциальность. Мы переходим от парадигмы серверов к парадигме облаков, однако многие даже не могут точно сформулировать, что именно вызывает их опасения при переходе к облачной среде», — рассказывает Михаил Орешин.

Схожие проблемы обеспечения информационной безопасности возникают при внедрении модели BYOD и поддержке мобильной работы сотрудников. Периметр корпоративной сети сейчас раздвинулся вплоть до смартфонов и планшетов, но лишь немногие компании позаботились о том, чтобы на личных мобильных устройствах были установлены средства безопасности, тем более сертифицированные. Причем они не осложняют работу пользователей с корпоративными ресурсами. По прогнозу VMware, в 2014 году около 23% российских сотрудников станут полностью «мобильными». В течение последующих пяти лет этот показатель достигнет 40%, а в более долгосрочной перспективе — 56%. В конфликте бизнеса и безопасности побеждает то, что способствует достижению большей эффективности. Это утверждение справедливо и в отношении облачной модели в целом.

Даже если требования заказчиков в отношении безопасности, надежности и доступности облаков выполняются не в полной мере, у облачного сервиса все равно будут клиенты, поскольку он позволяет добиваться желаемых результатов, заключает Михаил Кадер. Например, даже крупнейшие компании, такие как HP и Cisco, ведут учет своих коммерческих сделок при помощи сервиса Salesforce.com. Именно благодаря повышению эффективности ведения бизнеса и достаточно высокому уровню безопасности (включая средства аутентификации) этому облачному провайдеру удалось привлечь столь крупные компании, которые к тому же конкурируют между собой на рынке. Таким образом, всё определяют потребности бизнеса.

В сегменте SMB облачная модель будет активно развиваться просто потому, что большинство малых и средних компаний не хотят тратить усилия на решение многочисленных задач, связанных с ИТ, поскольку те имеют лишь косвенное отношение к их деятельности. Уже сейчас это можно видеть на примере систем электронной почты: пользоваться сервисом, который предлагает провайдер, гораздо удобнее и надежнее, чем собственными почтовыми серверами.

Однако в любом случае облачные сервисы — это многочисленные риски, которые нельзя не учитывать. К ним относятся утрата заказчиком собственных компетенций и зависимость от внешнего поставщика услуг, отсутствие контроля над действиями удаленных администраторов и потоками информации за пределами корпоративной сети, несоответствие уровня ИБ на площадке провайдера корпоративной политике и требованиям регуляторов.

Компаниям (особенно крупным) следует тщательно взвешивать риски, учитывать надежность облаков и оценивать потенциальные убытки от возможных простоев. Совершенно необязательно выносить в облака сразу всё и вся. Поначалу можно ограничиться определенной долей информации и бизнес-процессов. Нередко классификация данных показывает, что большую их часть можно безбоязненно разместить в облаке, где уровень ИБ может быть заметно выше, чем в корпоративной среде. Дело в том, что в облаке данные «обезличены», а взломать хорошо защищенный коммерческий ЦОД значительно сложнее и дороже, чем проникнуть в корпоративную сеть.

БЕЗОПАСНОСТЬ В ОБЛАКЕ

Безопасность облаков обеспечивается прежде всего за счет управления рисками и соответствия требованиям законодательства. «Мы предоставляем вычислительные мощности в среде VMware и защищенные каналы VPN. В завершающей стадии находится проект создания сегмента облачной среды, соответствующего требованиям ФСТЭК по хранению персональных данных, — рассказывает Сергей Мищук. — При управлении рисками ИБ мы руководствуемся здравым смыслом и теми же практиками, которые уже зарекомендовали себя при предоставлении традиционных сервисов ЦОД. Обеспечение безопасности облачных приложений — в первую очередь задача владельца приложений. Как правило, им является клиент коммерческого ЦОД. Мы, как провайдер облачной вычислительной инфраструктуры, обеспечиваем безопасность на своем уровне (изоляция сетей, протоколирование действий администраторов, резервное копирование и т. д.), но к самим приложениям доступа обычно не имеем». «Если последний использует платформу IaaS, — добавляет Максим Захаренко, то он в основном и отвечает за ее безопасность, а в случае SaaS безопасность должен заведомо гарантировать провайдер сервиса».

Сегодня облачные провайдеры охотно обсуждают с потенциальными клиентами вопросы ИБ и, более того, сами поднимают эту тему, пытаясь аргументированно убедить заказчиков в том, что уровень безопасности в облаке существенно выше, чем в корпоративном ЦОД, где применяются и постоянно обновляются самые современные защитные средства. К тому же, например, утечка целого ряда категорий данных, хранимых в облаке, не нанесет серьезного ущерба бизнесу компании, а по сравнению с рисками потерь по вине инсайдера ее вероятность намного ниже.

«Атаки хакеров являются причиной лишь нескольких процентов инцидентов, связанных с нарушением ИБ. Гораздо чаще такие проблемы возникают вследствие «человеческого фактора». Если подсчитать, сколько сотрудников имеют доступ к корпоративной информации, то окажется, что и вариантов утечек очень много, — предостерегает Максим Захаренко. — Исключая крупные компании, лишь относительно небольшое число организаций имеют собственную политику ИБ. Кроме того, ее реализация на практике оставляет желать лучшего, а внутренняя политика безопасности и защиты данных не выстроена должным образом — в таком случае переход в облако не усугубит, а только улучшит ситуацию. В отличие от сисадмина, облачный провайдер несет хоть какую-то финансовую ответственность, и в контракте с ним можно зафиксировать те или иные условия, касающиеся ИБ».

Подавляющее большинство проблем вызвано действиями сотрудников компаний при их работе с внутренними информационными ресурсами, подтверждает Михаил Кадер. Это прямые потери. «Уровень безопасности и надежности в крупных ЦОД заведомо выше, чем в SMB. Центры обработки данных в состоянии поддерживать сложные и дорогостоящие системы ИБ и сертифицировать их, — отмечает Максим Захаренко. — Наконец, между провайдером и клиентом подписывается «соглашение о неразглашении« (Non-Disclosure Agreement, NDA), где детализируется, в частности, как и какой доступ к данным клиента провайдер может получить в той или иной ситуации, как этот факт регистрируется, какие применяются штрафные санкции в случае нарушений». Практика такой ответственности провайдера, несомненно, будет постепенно нарабатываться.

Сконцентрировать данные в облаке и организовать их защиту — значит, получить более надежную, безопасную и контролируемую среду по сравнению с офисной, когда они распределены по разным ПК и филиалам. Вместе с тем существуют и определенные требования российского законодательства. Заказчики пользуются облаками ради повышения эффективности бизнеса, но это может противоречить нормативным требованиям.

«К сожалению, обеспечить в облаке защиту информации, доступ к которой ограничен (например, данных госучреждений) в соответствии с законодательством РФ, пока непросто, — рассказывает Михаил Кадер. — Во-первых, нужен доверенный транспорт от клиента до облака. Его обеспечивает только шифрование, причем сертифицированное ФСБ. Программных клиентов для мобильных устройств с такой сертификацией немного, а сертифицированных реализаций SSL практически нет. Во-вторых, для данных требуется обеспечить защиту внутри ЦОД. Стандартные средства для этого — межсетевые экраны, IPS и прочие инструменты. Но как сертифицировать виртуализированные межсетевые экраны, если в гипервизорах полно дыр?»

Эти проблемы (сертификация по ISO 15408, «Общие критерии») не решены и за рубежом. Мы оказываемся в ситуации, когда ограниченное количество межсетевых экранов сертифицировано на соответствие конкретным облачным средам, причем с достаточно низким классом. Говорить о сертификации шлюзов VPN пока тоже преждевременно. Поэтому провайдеры вынуждены устанавливать выделенные аппаратные средства безопасности, сертифицированные на соответствие нормативным требованиям, но такой подход ломает всю облачную модель сервисов. Вместо облачной структуры всё решение опять оказывается привязано к конкретному ЦОД.

Таким образом, доступность и безопасность можно обеспечить имеющимися на рынке средствами, но, если не нарушать идеологию облака, это будет плохо сочетаться с российской нормативной базой. Облако — эффективный механизм предоставления ресурсов, однако привязка к конкретным центрам обработки данных негативно влияет на эффективность.

И этим список фундаментальных проблем не исчерпывается. Как считают эксперты, традиционные модели разграничения прав доступа не обладают необходимой степенью надежности, даже в так называемых доверенных системах (Trusted Systems). Это касается и облачной модели. Сейчас безопасность гарантируется (и то с определенными оговорками) только при физическом разделении систем. Специалистам по ИБ следует признать, что степень доверия к «доверенным системам» недостаточна для того, чтобы переходить в облака. Так, в ЦБ РФ служба безопасности выступает даже против внедрения виртуализации на собственных площадках банка, поскольку в этом случае теряется способность контролировать системы и видеть, что в них происходит. В этой ситуации может быть полезна реструктуризация систем — разделение их на физически изолированные зоны, каждая из которых построена по облачным принципам.

Но жизнь не стоит на месте. Хотя, как показал недавний опрос «Журнала сетевых решений/LAN», многие российские (около 30%) заказчики не пользуются услугами коммерческих ЦОД из соображений безопасности, для клиентов ЦОД эти проблемы не так актуальны — ими обеспокоены лишь 12% респондентов. Для 17% опрошенных опасения относительно безопасности их данных становятся причиной обращения к сервисам зарубежных ЦОД. Иначе говоря, российские заказчики переносят данные в облако в том числе и с целью повышения их конфиденциальности и, как следствие, обеспечения безопасности своего бизнеса, который неуверенно чувствует себя в нашей стране.

То, что за рубеж утекают не только капиталы, но и информация, не остается без внимания. О регулировании облаков задумывается государство. Минкомсвязи дорабатывает нормативные документы, согласно которым данные российских госучреждений могут находиться только в ЦОД, расположенных на территории РФ.

Кроме того, для обеспечения конфиденциальности данных при их трансграничной передаче требуется шифрование. Однако зарубежные криптоалгоритмы не рассматриваются в качестве средств защиты, а российские очень сложно экспортировать, поясняет Михаил Кадер. Если облако находится в странах, подписавших европейскую конвенцию о защите данных, то вынос туда персональных данных допускается, поскольку эти страны считаются благонадежными. Однако вывод данных за рубеж не отменяет требований по защите данных, а этим должен заниматься их владелец. Таким образом, переложить ответственность за обеспечение ИБ на провайдера не удастся.

Если за рубеж перемещаются данные, не подпадающие под действие законодательства РФ, то компания может это делать без ограничений. Однако в любом случае российские заказчики, особенно из сегмента SMB, хотят заключить понятный им договор в рамках привычного правового поля, что будет способствовать созданию локальных ЦОД, считают эксперты.

Для снижения рисков ИБ в качестве компенсационных механизмов контроля могут применяться следующие меры: заключение соглашений NDA и определение порядка уничтожения конфиденциальной информации по окончании действия сервисного контракта, включение в контракт права на периодический аудит ИБ по согласованным критериям, четкое разделение зон ответственности по расследованию и действиям сторон при возможных инцидентах безопасности, внедрение решений для контроля действий удаленных администраторов и др. Наконец, необходимо тщательно продумывать все условия соглашений SLA.

БЕЗОПАСНОСТЬ ИЗ ОБЛАКА

Обеспечение безопасности (в том числе информационной) корпоративных данных, которые находятся в облаке, и услуги информационной безопасности, оказываемые из облака, — две совершенно разные задачи. Второе направление сейчас активно развивается, отмечает Михаил Кадер. Мониторинг безопасности, учет инцидентов и предоставление отчетов компании — потребителю услуг являются частью такого сервиса.

Пока лишь небольшое число компаний (обычно это крупные организации и операторы связи) внедряют средства мониторинга информационных систем в целом и мониторинга ИБ в частности (например, Security Operation Center, SOC). Остальные даже не смогут узнать, например, о произошедшей у них утечке данных. Что же касается облачных провайдеров, то круглосуточный мониторинг зачастую предлагается в качестве одного из дополнительных сервисов, который позволяет повысить уровень информационной безопасности предприятия.

«Если облако рассматривается как платформа для приложений, то для него требуется обеспечить минимальный уровень безопасности — например, гарантировать сохранность данных. Если же оно становится платформой для сервисов безопасности, то набор услуг будет совершенно иным», — подчеркивает Михаил Кадер.

Теперь появилась возможность получать сервисы информационной безопасности из облака — «ИБ как услуга» (Security as a Service, SECaaS). «Мы начали предпринимать определенные шаги в данном направлении и предлагаем, например, Trend Micro Deeep Security as a Service. В частности, заказчиками SECaaS могут стать компании, которым слишком дорого или сложно обеспечивать свою собственную информационную безопасность и проще поручить эту задачу провайдеру, опираясь на SLA и NDA», — рассказывает Максим Захаренко.

Российские организации проявляют интерес к аутсорсингу услуг центра мониторинга и управления событиями безопасности (Security Operations Center, SOC). По оценкам экспертов, при типичном бюджете на ИБ в 5–10% от общего ИТ-бюджета аутсорсинг SOC обойдется вдвое дешевле приобретения собственных решений (хотя через 4,5 года затраты сравняются) и к тому же позволит воспользоваться экспертизой и опытом провайдера.

К аутсорсингу ИБ обращаются из-за нехватки собственного персонала, с целью организации бесперебойной работы сервисов (24×7), а также для обеспечения высокого уровня доступности, быстрого запуска сервисов, снижения зависимости от своих специалистов и сокращения управленческих затрат. На аутсорсинг можно отдавать управление рисками ИБ, контроль за выполнением нормативных требований, обеспечение работоспособности систем ИБ, их администрирование, мониторинг и реагирование на инциденты.

В России облачные сервисы безопасности еще только начинают развиваться, рассказывает Михаил Кадер, однако очень часто все упирается в невозможность составления адекватных соглашений SLA. Между тем в мире такие сервисы активно используются, например, для фильтрации доступа к различным ресурсам. К этому сервисному облаку могут подключаться, например, устройства, обслуживающие школы. Кроме того, в облаке уже работает большое количество антивирусных движков. Интересная технология, которая хорошо реализуется в облаке, — проверочное выполнение недоверенного программного кода в изолированной среде (sandboxing) перед пропуском его к пользователю.

Для малых и средних предприятий облачные сервисы безопасности гораздо эффективнее с экономической и технологической точек зрения и предоставляют более широкие возможности для защиты бизнеса, чем собственная система ИБ. Через два-три года эта тема будет активно обсуждаться.

Не первый год в России применяются системы Web-фильтрации и контентной фильтрации, установленные у провайдера. В облака давно выносятся системы антиспама и электронная почта с соответствующими механизмами защиты. Другие же сервисы только начинают развиваться, в том числе SOC. Пока не ясно, насколько активно они будут использоваться через год-два. Однако базовые облачные сервисы ИБ уже достаточно зрелы, считает Максим Захаренко. Каждой компании остается только сравнить, какое сочетание средств облачной и «локальной» безопасности будет для нее оптимальным по финансовым затратам, минимизации рисков и возможности реализации.

На самом деле часто речь идет об использовании каких-то определенных ресурсов из облака, например баз URL. При этом сам сервис работает локально. «Сервисы безопасности в облаке мы пока размещать не умеем, — считает Михаил Кадер. — Еще редки случаи, когда весь сервис ИБ находится в облаке и туда перенаправляется трафик пользователя. Таких коммерческих услуг в нашей стране еще очень мало».

НАДЕЖНОСТЬ ОБЛАКА

Заказчики нередко сомневаются не только в безопасности облаков и облачных сервисов, но и в их надежности. Краеугольным камнем остается доверие к провайдеру. Привлекаемые более высокой надежностью сервиса, предсказуемостью контрагентов, внятностью SLA и законодательства, меньшими рисками, некоторые предприятия отдают предпочтение крупным зарубежным облачным провайдерам, которые уже сейчас несут ответственность, например, за обеспечение требуемого уровня доступности данных.

Между тем даже российские облачные провайдеры способны обеспечить большую надежность и сохранность данных, чем многие предприятия. «У DataLine уровень доступности, указанный в SLA, составляет «три девятки». В соглашении об уровне сервиса предусматриваются не только параметры доступности и производительности, но также оговаривается политика резервного копирования. За потерю находящихся в облаке данных предусмотрено взыскание штрафа в размере полного месячного платежа при недоступности сервиса, — рассказывает Сергей Мищук. — По умолчанию все данные резервируются. В случае особых требований заказчика возможно изменение периодичности и технологии резервного копирования или использование таких решений, как метрокластер — географически распределенный кластер виртуализации с дублированием всех компонентов (в том числе задействованных линий связи) путем разнесения их по двум разным площадкам и синхронизации данных на уровне СХД по FC SAN. Таким образом обеспечивается катастрофоустойчивость с RTO не более 15 мин. для виртуальной машины и сохраняется вся функциональность «живой» миграции и гибкости в масштабировании виртуального ресурсного пула. (см. Рисунок 3). Конечно, эти услуги предоставляются за дополнительную плату».

Рисунок 3. NetApp Metrocluster в ЦОД DataLine — распределенный катастрофоустойчивый кластер виртуализации. Стопроцентное резервирование серверных вычислительных ресурсов на каждой площадке, выделенные ВОЛС между ЦОД, дублированные контроллерные пары СХД с идентичными наборами дисков на каждой из площадок.

Безусловно, провайдер может нести ответственность, предусмотренную условиями SLA, но вряд ли штрафные санкции в виде скидок или льгот устроят клиента, возражает Михаил Орешин. Метрокластер защищает от физического сбоя СХД с уровнем готовности «пять девяток», дополняет Антон Жбанков, однако системы хранения корпоративного класса и так обладают высокой надежностью. Кроме того, метрокластер не защищает от «логических сбоев»: например, если администратор ошибочно отформатирует диск (или это сделает злоумышленник), его содержимое будет автоматически реплицировано на удаленную площадку. «Серьезная проблема состоит в том, что в России практически нет облачных архитекторов, способных грамотно спроектировать и построить надежную и безопасную облачную среду», — считает Антон Жбанков. Однако большинство участников дискуссии не разделяют этого мнения.

ЗАКЛЮЧЕНИЕ

Не теряющая своей актуальности тема безопасности в облачной среде не впервые становится предметом обсуждения в рамках круглых столов и дискуссионных панелей, организуемых нашим журналом (см. статью автора «Облачные сервисы: безопасность и надежность» в декабрьском номере «Журнала сетевых решений/LAN» за 2012 год и статьи Валерия Коржова ««Мир ЦОД – 2011»: чем опасны облака?» и ««Мир ЦОД»: защита в ЦОД» в шестых номерах еженедельника «Computerworld/Россия» за 2011 и 2013 годы). Цель таких дискуссий — выявление актуальных задач и поиск путей их решения в прямом диалоге между ИТ-специалистами организаций из различных отраслей и экспертами ведущих ИТ-компаний.

Широкое распространение ЦОД и облачных технологий означает новый виток развития в технологиях ИБ. В новых условиях приходится говорить не о защите периметра, а о защите данных. Безопасную работу требуется обеспечить не только для корпоративного ЦОД и сотрудников предприятия, но и для мобильных пользователей. Активное развитие облачных сервисов — еще один стимул для роста рынка средств ИБ, который дает возможность заработать целому ряду игроков, невзирая на кризисы и спады. Причем облачные сервисы безопасности будут постоянно совершенствоваться. Это одна из тех тенденций, которые определяют развитие рынка на ближайшие два-три года.

Сергей Орлов — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru.