ЛУЧШЕЕ, ЧТО МОЖНО сделать, — это снизить риск, обеспечив макси­мальный уровень защиты для самых уязвимых данных
Источник: CipherCloud

Поэтому предприятия, поставщики облачных приложений и стартапы, специализирующиеся на информационной безопасности, активно предлагают идеи по повышению защищенности облаков.

Главная сложность в том, что провайдеру облачного ПО в виде сервиса необходимо «видеть» данные, чтобы делать с ними что-то полезное. Например, текстовый процессор должен иметь возможность «прочитать» документ, чтобы предложить возможность проверки орфографии. Оператор сервиса онлайн-хранения должен иметь возможность просматривать хранимые документы, чтобы организовать по ним поиск. Поскольку оператору облачного сервиса рано или поздно нужен будет доступ к реальным данным, есть опасность, что их может перехватить недобросовестный служащий, хакер или сотрудник государственного ведомства.

В результате на некоторых предприятиях отказываются от потенциальной экономии и удобств, обеспечиваемых облачными приложениями, и возвращаются к локальному ПО. Согласно августовскому докладу организации Information Technology & Innovation Foundation, американская индустрия облачных вычислений в предстоящие три года может потерять 22-25 млрд долл. из-за сомнений в безопасности, имеющихся у потенциальных клиентов.

Чтобы решить проблему, операторы SaaS и их клиенты обращаются к новому поколению решений безопасности для облаков.

Такие решения можно разделить на две основные категории: локальные шлюзы, шифрующие или токенизирующие (токенизация — замена уязвимых данных на «подставные» с возможностью восстановления, доступной только владельцу) информацию до передачи облачному оператору, и программно-аппаратные шифровальные комплексы, которые ограничивают доступ оператора к данным, предоставляя заказчику контроль над ключами.

Прокси и шлюзы

Для организации прокси, или шлюза, систему шифрования можно установить на самом предприятии, в подконтрольном ему центре обработки данных, либо даже на виртуальной машине у облачного провайдера вроде Amazon. Корпоративные пользователи, которым нужен доступ к предпочитаемым ими облачным сервисам, переадресуются на прокси, где, прежде чем отправиться в глобальную сеть, данные прозрачно для пользователя шифруются или токенизируются, а на обратном пути раскодируются.

Особенно привлекателен этот подход для компаний из Европы, где нормативные акты ограничивают перемещение данных через государственные границы.

Облачный провайдер не видит данные в исходной форме, даже когда работает с ними. Поставщики криптосистем применяют различные приемы, позволяющие операторам работать с данными даже в зашифрованном виде.

Американская компания CipherCloud, один из ведущих поставщиков таких систем, в третьем квартале текущего года добилась повышения выручки на 200% по сравнению с тем же периодом прошлого года, после того как Сноуден публично уличил Агентство национальной безопасности США в тотальном перехвате информации из Интернета.

«Это был наш лучший квартал за всю историю, особенно в Европе и Азии», — признался старший вице-президент компании Пейдж Лейдиг. По сведениям генерального директора компании Правина Котари, сейчас 2 млн конечных пользователей применяют шлюзы CipherCloud, которые обеспечивают безопасность для многих популярных облачных сервисов, включая Salesforce, Chatter, Gmail, Office 365, Amazon Web Services и Box.net.

Шлюз CipherCloud реализует наиболее востребованную провайдерами SaaS функциональность, в частности поиск и сортировку. Данные, передаваемые облачному приложению, защищаются с помощью симметричного шифрования — метода, на порядки более надежного, чем асимметричное, которое широко применяется для защиты интернет-коммуникаций.

Заказчик также может воспользоваться токенизацией. В отличие от шифрования, когда данные преобразуются по математическим формулам, токенизация — это своего рода метод шифровальной книги: для каждого элемента данных, которые надо защитить, генерируется замена из некоторой таблицы соответствий, известной только владельцу. Токенизация нередко применяется для защиты номеров социальной страховки или банковских карт.

Компания быстро разрабатывает коннекторы для связи с разными облачными сервисами, а также предлагает инструментарий, с помощью которого клиенты сами могут настроить доступ к любому нужному им сервису.

«Наша цель — сделать так, чтобы на работе пользователей деятельность системы шифрования никак не сказывалась, — подчеркнул Котари. — То есть самому пользователю никаких дополнительных действий выполнять не придется. Все операции вроде поиска, сортировки и формирования отчетов работают как обычно, но сами данные в облаке целиком зашифрованы».

По мнению Котари, CipherCloud от других отличает поддержка более широкого круга облачных сервисов — «ведь большинству заказчиков нужно не единственное облачное приложение».

Похожий подход у канадской компании PerspecSys. Ее шлюз позволяет шифровать и токенизировать данные, оставляя часть открытыми. PerspectSys предлагает готовые механизмы связи с сервисами Oracle CRM On Demand, Salesforce.com, Xactly Incent, Cornerstone on Demand и Oracle Fusion. Обычно подобные шлюзы приобретаются и устанавливаются локально пользователем облачных сервисов, но в последнее время и их операторы выражают желание предлагать подобные возможности.

«Мы заключили партнерские договоры с операторами SaaS, изъявившими желание предложить сервис в премиум-версии с усиленной защитой данных, и сейчас помогаем встроить нашу технологию в их системы», — сообщил генеральный директор PerspectSys Дэвид Канеллос.

Кроме того, некоторые глобальные поставщики размещают шлюзы PerspectSys от имени своих заказчиков в определенных странах.

«В ряде государств есть законы, запрещающие передачу данных за границу, — отметил Канеллос. — Поэтому заказчики нередко передают задачу управления шлюзом PerspectSys провайдеру управляемых услуг».

Подобно CipherCloud, PerspectSys предлагает инструментарий, позволяющий компаниям создавать адаптеры для связи с новыми облачными приложениями.

Еще один подход, — пользоваться методами шифрования, сохраняющими возможность поиска и сортировки данных. Например, компания Vaultive предлагает подобный шлюз для Office 365 Exchange, а в дальнейшем собирается поддержать и другие облачные продукты Microsoft.

Сейчас Vaultive может работать с почтовыми ящиками, календарем, заметками и списками заданий. «Поддерживаются все основные возможности, которые нужны пользователям Exchange, — подчеркнул сооснователь, директор по стратегии компании Бен Матцкел. — В частности, это раскрытие электронных документов, хранение для судебных нужд, персональные архивы, фильтрация, защита данных от потери. Все эти функции в большинстве случаев требуют определенного уровня доступа к реальным данным».

В Vaultive, по его словам, применяют стандартные криптографические алгоритмы и инструменты в сочетании с хэшами и метаданными таким образом, что приложения могут обрабатывать зашифрованную информацию, как если бы это был открытый текст.

«Таким образом можно индексировать и сортировать данные, создавать отчеты, объединять и коррелировать информацию из разных источников, — сообщил Матцкел. — Если вам нужна какая-то функция, требующая передачи реального текста приложению, например проверка орфографии, это можно реализовать на самом прокси».

Но у данного метода есть и недостатки.

«Многие алгоритмы шифрования, сохраняющие возможность обработки данных, недостаточно защищены, — признает Цион Гонен, директор по стратегии компании SafeNet. — Приходится идти на компромисс, выбирая между безопасностью и сохранением функциональности. Но это все же лучше, чем ничего, когда вам нужен поиск по документам в облаке».

Проблема еще и в том, что сохранить можно не всю функциональность. Ни один вид шифрования, например, не позволит обеспечить работоспособность систем проверки орфографии, поэтому обычно соответствующие функции переносят на прокси.

«Но этот способ не совсем удобен и отнимает много времени, — отмечает Гонен. — К тому же каждый раз, когда поставщик облачного приложения выпускает новую версию, связывать с нею систему проверки орфографии приходится заново».

Шифровальные комплексы

Для компаний, в которых готовы временно предоставлять оператору данные в открытом виде для обработки, ряд производителей предлагают операторам программно-аппаратные комплексы шифрования информации. Это физические или виртуальные машины, шифрующие и дешифрующие данные, заботящиеся о том, чтобы при хранении информация была надежно закодирована. При этом доступа к ключам шифрования у оператора нет.

Среди поставщиков таких систем — израильская компания Porticor и американские Gazzang и Vormetric.

Компании, работающие в сильнорегулируемых отраслях — медицинской и финансовой, одними из первых начали применять шифровальные комплексы, отмечает Ариэл Дан, сооснователь, исполнительный вице-президент Porticor.

«Porticor устанавливается в качестве дополнительного экземпляра виртуальной машины в технологической среде оператора, — сообщил он. — Все, что проходит через нашу систему, шифруется, а все, что возвращается к оператору, — декодируется».

Таким образом, все данные, хранимые оператором, зашифрованы, и ключей у него нет. Нет их и у Porticor — ключами распоряжается только клиент. Раскрывается лишь минимальный объем данных и на короткое время. Есть теоретическая возможность, что хакер с глубоким знанием облачного приложения захватит данные в период обработки, но для этого понадобились бы значительные усилия.

«Данные защищены от хакеров благодаря чрезвычайной сложности взлома», — отметил Дан.

В качестве фактора, отличающего решение Porticor от других, в компании называют применение уникального алгоритма, который позволяет передавать ключ от клиента системе Porticor в зашифрованном виде, так что, даже если его украдут, с его помощью нельзя будет декодировать хранимые данные.

Еще один поставщик шифровального комплекса — компания Gazzang, работающая в основном с клиентами из финансовой отрасли и здравоохранения, а также с операторами используемых ими облачных сервисов.

Один из ее клиентов — компания ScenarioNow, предоставляющая услуги финансового планирования. Она пользуется комплексом Gazzang zNcrypt для защиты своих инструментов с тех пор, как было решено предложить их в облачном варианте.

«Естественно, наших клиентов прежде всего заботит сохранность их финансовой информации», — подчеркнул Патрик Салливэн, глава ScenarioNow.

ZNcrypt создает дополнительный уровень безопасности, позволяя предприятиям регламентировать, как и когда облачный оператор может осуществлять доступ к их данным.

«К примеру, оператор SaaS может обращаться к данным для нормальной повседневной обработки, а для резервного копирования или чего-то подобного — только по специальному разрешению, — объясняет глава Gazzang Ларри Уорнок. — Когда, например, запрашивается одновременно больше 50 записей, вы, скорее всего, отнесете это к запрещенным действиям. Когда диспетчер ключей шифрования поддерживает политики безопасности, у оператора SaaS даже есть возможность запросить многофакторную аутентификацию для определенных функций».

В числе поставщиков SaaS, работающих с Gazzang, — компании Appcelerator, Castlight, Everbridge и Fireapps.

Средства защиты данных Vormetric корпоративные клиенты в основном применяют локально — в этом случае ключами шифрования распоряжается менеджер по безопасности, и ни у кого в ИТ-департаменте нет доступа к уязвимой информации. Как утверждают в Vormetric, среди ее клиентов — 18 компаний из перечня Fortune 25, в том числе четыре из пяти крупнейших банков.

Инструменты Vormetric также все шире применяются поставщиками SaaS для защиты своих облачных приложений с передачей контроля над ключами заказчику. Помимо собственно шифрования и защиты ключей, комплекс Vormetric реализует мелкогранулированный механизм контроля доступа. «Только авторизованные пользователи, процессы и приложения имеют право 'видеть' данные», — подчеркивает клава Vormetric Алан Кесслер.

До совершенства еще далеко

Когда речь идет о безопасности, абсолютных гарантий не существует. Даже если поставщик уверяет, что не имеет доступа к ключам шифрования, это может быть не совсем так, отмечает Адриан Санабриа, аналитик 451 Research: «Нет гарантий, что отсутствует резервный ключ, к которому есть доступ у самого поставщика или правительственных структур».

В частности, в компании RSA в связи с разоблачениями, сделанными Сноуденом, недавно были вынуждены предостеречь клиентов от использования некоторых своих продуктов, поскольку применяемый в них генератор случайных чисел имел «черный вход» для АНБ.

Даже аппаратные системы шифрования могут быть скомпрометированы — на этапе изготовления чипов или на стадии проектирования.

«А еще есть продукты-копии, вроде фальшивого оборудования Cisco, которые выглядят в точности как оригиналы, но внутренности у них другие», — добавил Санабриа.

Таким образом, лучшее, что можно сделать, — это снизить риск, обеспечив максимальный уровень защиты для самых уязвимых данных, считает аналитик.