Денис Безкоровайный полагает, что многие опасности при использовании облачных технологий связаны в основном с управлением виртуальными машинами
Денис Безкоровайный полагает, что многие опасности при использовании облачных технологий связаны в основном с управлением виртуальными машинами

Впрочем, некоторые эксперты считают, что виртуализация вычислений не добавляет новых угроз по сравнению с классическими клиент-серверными архитектурами. Такого мнения, например, придерживается Кирилл Керценбаум, специалист по продажам решений IBM Security: «В виртуальных средах существуют те же угрозы, что и в физических, поэтому для решения проблем достаточно корректно перенести уже существующие технологии защиты в новую среду виртуализации".

Основной задачей переноса существующих решений в облако является не только разработка новых технологий защиты, но и учет природы виртуализации. То есть для контроля сетевого трафика недостаточно установить межсетевой экран на входе в узел облака, но также нужно контролировать с его помощью и обмен сообщениями внутри узла между виртуальными машинами. Для популярной платформы виртуализации VMware возможность подобного инструмента встраивания средств безопасности есть — технология vShield; гипервизоры других производителей подобных возможностей пока не предоставляют.

Впрочем, есть и специалисты, которые считают, что переход в облака несет в себе новые угрозы. В частности, Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» порекомендовал задуматься над тем, что будет с бизнесом при отсутствии доступа в Интернет, если провайдер откажет в доступе к данным или данные по каким-либо причинам будут утрачены.

Действительно, это новые типы угроз, защититься от которых довольно сложно. Кроме того, есть целый набор угроз для пользовательских данных со стороны персонала оператора облака. Эти угрозы признают практически все.

Денис Безкоровайный, технический консультант Trend Micro в России и СНГ, проанализировал опасности, которые возникают при использовании облачных технологий и связаны в основном с управлением виртуальными машинами. Например, при использовании виртуализации может возникнуть опасность нападения из одной виртуальной машины на другую. Кроме того, при восстановлении сохраненной среды ее система может устареть и стать более уязвимой для атак в момент включения; к тому же разные виртуальные машины имеют доступ к информации разных уровней конфиденциальности, и эти правила нужно строго контролировать. Есть еще несколько новых рисков, связанных с технологией виртуализации и передачей виртуальных машин по сети. Они должны быть учтены и минимизированы при построении облачной инфраструктуры.

На первый взгляд, перечисленные мнения противоречат друг другу, тем не менее их можно совместить. Просто нужно помнить, что каждый из экспертов обсуждает "свои" облака. Для внутренних облаков новых рисков действительно почти нет — для их защиты нужны классические средства защиты, такие как антивирусы и межсетевые экраны, но только доработанные с учетом особенностей виртуализации. Когда же говорят о рисках внутренних атак сотрудниками оператора и проблемах доступ к Интернету, то это относится к арендованным облакам. Однако перечисленные экспертами риски также относятся и к хостингу, то есть это риски не облачных технологий, но бизнес-модели аренды. В то же время хостинг является вполне популярным продуктом, несмотря на риски, поэтому и облака могут стать не менее популярными.

Следует отметить, что уже появляются продукты, которые позволяют сохранить наиболее ценные сведения даже в облаках. Компания "Аладдин РД» представила инструментарий, позволяющий шифровать самые ценные данные на специальном сервере, через который и устанавливается соединение с арендованной базой данных. Сейчас продукт интегрирован с облачным сервисом Oracle CRM On Demand и является продолжением системы шифрования избранных полей баз данных, которые уже несколько лет компаниям предлагает на рынке (см. также "Криптобаза», Computerworld Россия, № 40, 2010). Перенесение этой технологии в облака позволит пользователям сервисов держать наиболее ценные данные под контролем. Появление подобного продукта является хорошей иллюстрацией того, что в облаках можно использовать защитные механизмы, разработанные для защиты корпоративных приложений — достаточно правильно их интегрировать.

Действительно новыми являются риски, связанные с управлением облаком, поскольку злоумышленники могут использовать автоматизированную систему управления облаком для достижения своих целей — именно в этой части и нужно создавать новые защитные механизмы, которые должны решать указанные экспертами проблемы. Однако задачи управления облаком тесно связаны с самой технологией облака, а поэтому и сами эти защитные инструменты должны разрабатывать создатели облачных технологий. Пока подобных инструментов не предложил ни один из облачных вендоров, но они должны появиться уже в самой близкой перспективе.

Поделитесь материалом с коллегами и друзьями