В последнее время вопрос о переходе к модели облачных вычислений перешел в сугубо практическую область. Все больше и больше компаний или целых государств (и Россия, к слову, в их числе) иногда осознанно, иногда нет используют те или иные ИТ‑сервисы, часто не подозревая об их жизненном цикле и механизмах, их порождающих. Новости тоже изобилуют заявлениями о переносе в облака части или даже всей ИТ-инфраструктуры заказчиков.
Однако при этом возникает множество проблем, и одна из важнейших — обеспечение безопасности. По мнению многих, это и есть ключевое препятствие для развития облачных технологий.
Вместе с тем ситуация не вполне однозначна. С одной стороны, использование облачной модели несет много проблем, связанных с поддержанием канонической триады «конфиденциальность — целостность — доступность». Для целого ряда их пока не существует простых и однозначных методов решения. С другой стороны, уже накоплен немалый практический опыт. Ведь многие компании, в том числе и российские, часто сами того не осознавая, давно используют облачные среды. Например, ИТ-инфраструктура холдинга «Северсталь» представляет собой классическое частное облако, а построено оно было в 2004 г., когда сама тема еще не была на слуху. Сервис SWIFT, который используют все без исключения банки, также давно стал облачным. И таких примеров очень много. При этом целый ряд задач, связанных с обеспечением информационной безопасности, решать оказывается даже проще, чем при традиционном подходе к построению ИТ‑инфраструктуры. Так что бороться с облаками контрпродуктивно, а иногда и просто вредно. К тому же очень многие средства по обеспечению безопасности сами мигрируют в облака.
Возможные опасности
В своем докладе на IV Межотраслевом форуме директоров по информационной безопасности, который состоялся в конце мая 2011 г., Михаил Козлов, управляющий партнер консалтинговой компании «Развитие бизнеса. РУ», отметил: при использовании публичных и гибридных облаков главной очевидной проблемой становится потеря контроля над периметром сети. Ситуация усугубляется тем, что провайдер услуг часто сам арендует мощности у других компаний, и это очень усложняет контроль или даже делает его вовсе невозможным.
В случае облака имеет место высокий уровень консолидации ИТ-ресурсов, что существенно повышает уязвимость всей инфраструктуры. Причем это в равной степени касается всех моделей предоставления услуг.
Также возрастает уязвимость перед злонамеренными инсайдерами, так как появляется категория сотрудников, имеющих привилегированный доступ к данным и соответственно возможность их уничтожить, исказить в корыстных целях или попросту похитить. По мнению Forrester Research, именно они представляют основную угрозу. И эта угроза также касается всех моделей предоставления услуг. В случае публичных и гибридных облаков данное обстоятельство усугубляется отсутствием механизмов контроля над сотрудниками провайдера. Именно эту проблему Михаил Козлов считает ключевой, поскольку средства контроля деятельности администратора полностью отсутствуют во всех без исключения популярных гипервизорах виртуализации. Практически отсутствует контроль и над операторами СХД, как физических, так и виртуальных.
Евгений Климов, вице-президент Сообщества профессионалов в области информационной безопасности (RISSPA) на II Конференции «Технологии виртуализации/Cloud computing», проведенной компанией AHConferences в июне 2011 г., также обратил внимание на то, что у многих популярных публичных облачных сервисов отсутствуют или слабо развиты средства контроля доступа. В качестве примера он привел SalesForce и ряд сервисов Google. А ведь сервисы Google уже несколько раз взламывали.
Возможны также регуляторные риски. В Евросоюзе, например, запрещено выводить финансовую информацию за его пределы. В Швеции пошли еще дальше, не разрешив размещать такого рода данные за ее границами. В России не все ясно с персональными данными. Многие вопросы недостаточно отражены как в самом законе, так и в подзаконных актах. Совершенно не проработаны и вопросы, связанные с предъявлением претензий в случае потери или утечки таких данных. Кроме того, часто применение сертифицированных средств защиты информации невозможно, и это тоже ведет к появлению трудноразрешимых проблем.
Евгений Климов обратил внимание и на то, что некоторые облачные провайдеры оставляют за собой право на целый ряд, скажем так, сомнительных в юридическом плане действий. Например, в договорах Google провайдер может разглашать данные пользователей, не берет на себя никаких обязательств по обеспечению их сохранности и может в любой момент прекратить предоставление тех или иных сервисов.
Проблему представляет также изоляция данных в виртуальной среде и их неконтролируемая миграция между разными виртуальными машинами в рамках одной физической системы. Это существенно усиливает риск случайной утечки и попадания их в другое подразделение или в другую компанию, если речь идет о публичном или гибридном облаке. Кроме того, в виртуальных средах невозможно или малоэффективно использование многих традиционных средств поддержания информационной безопасности, например антивирусного ПО. Это ведет к снижению производительности и к росту затрат на лицензирование.
Еще одна серьезная проблема — использование небезопасных протоколов обмена данными. Пока не выработаны стандарты, что также представляет проблему для функционирования систем, направленных на поддержание информационной безопасности, в частности на защиту от утечек данных. Отсутствие стандартов затрудняет взаимодействие между разными облачными сервисами, что представляет серьезную технологическую проблему. Амбиции разных игроков этого рынка пока создают непреодолимое препятствие.
Возможно и появление новых, пока неизвестных рисков, что связано с быстрым развитием технологий. На смежном рынке систем виртуализации этими вопросами стали заниматься лишь последние года два, хотя активное внедрение данных технологий началось более шести лет назад.
По мнению Михаила Козлова, очень серьезной проблемой является качество самой инфраструктуры, как в мире в целом, так и в России. ЦОД, реально обеспечивающих приемлемый уровень доступности, крайне мало. То же самое относится и к каналам связи, особенно за пределами крупных городов. А комбинация этих проблем порождает сложности с резервированием мощностей, что еще и усугубляется отсутствием стандартов обмена данными. Это, считает г-н Козлов, не позволяет размещать в облаке бизнес-критичные системы. Как показывают некоторые опросы, 70% их участников в той или иной форме опасаются размещать критичные данные в облачных средах, причем основной причиной этого были названы опасения за сохранность и конфиденциальность данных. Эти цифры привел в своем выступлении Евгений Климов.
И эти риски уже вышли из области страшилок. В последнее время имело место несколько успешных атак, которые нанесли большой ущерб и имели широкий резонанс. Самой масштабной из них был сбой в системе аутентификации пользователей облачных сервисов Microsoft, в результате чего их пользователи (которых без малого полмиллиарда) могли заходить в чужие учетные записи. Масштаб и возможные последствия этого инцидента неизвестны до сих пор. Уже в текущем году произведен взлом сети Sony Playstation Network, целью которого была кража персональных данных и финансовой информации пользователей. Этот инцидент затронул более 77 млн человек. Несколько позже произошел взлом аналогичной сети компании Sega, хотя масштаб был заметно скромнее. Но и тут число пострадавших шло на сотни тысяч. Несколько раз взламывались учетные записи потребителей услуг сервисов Google, которыми пользуются уже не только индивидуальные потребители, но и компании. Amazon, другой известный провайдер облачных услуг по моделям IaaS и PaaS, допустил потерю данных клиентов, среди которых подавляющее большинство представляют компании.
Практика безопасности в облаке
Михаил Козлов в качестве вывода в своем выступлении отметил, что от парадигмы обеспечения безопасности периметра стоит переходить к защите данных. В качестве практических мер он советовал провести ранжирование корпоративных данных и составить перечень наиболее критичных, которые нежелательно переносить в облако, по крайней мере публичное. Хотя все, что связано с тестовыми средами (включая тестирование обновлений для ключевых систем) или разработкой, можно переносить в облако уже сейчас, даже если речь идет о такой чувствительной к конфиденциальности данных и к тому же зарегулированной сфере, как банковская. Естественно, если речь не идет об использовании реальных актуальных данных из продуктивных систем.
Также, по мнению Михаила Козлова, чрезвычайно полезным будет использование технологий дедупликации. Это будет способствовать и существенному снижению объемов передаваемых данных, радикально снижая затраты на услуги облачных сервисов, плата за которые, как известно, обычно взимается соответственно объему данных.
Известный разработчик Дмитрий Завалишин (многим он больше известен как DZ) на IV Межотраслевом форуме директоров по информационной безопасности поделился своим успешным опытом хранения информации в разных облачных сервисах от разных поставщиков (естественно, если такая возможность есть; проблема взаимодействия между разными облачными сервисами, как уже было сказано выше, не просто существует, но и стоит весьма остро, так что данное решение из разряда труднореализуемых). Он привел пример одной из систем, в создании которой принимал участие. Если имена клиентов хранятся на одном сервисе, а фамилии на другом, то их кража по отдельности бессмысленна. Без второй части эти данные были совершенно бесполезны. К тому же такой подход устранял целый ряд проблем, связанных с соответствием требованиям законодательства по защите персональных данных.
Также приводился реальный пример того, как облачные сервисы использовались в качестве своего рода кэша при обмене данных между филиалами. Это снимает проблему, связанную с возможной недоступностью облачного сервиса, так как данные продолжают находиться в компании. Снижается и риск кражи данных из облака.
Кроме того, по мнению Дмитрия Завалишина, передача части функций во внешнюю компанию позволяет переложить многие проблемы на поставщика. Он привел аналогию с собственными программистами и аутсорсингом разработки. Если собственные программисты бездельничают, но при этом находятся на рабочем месте, привлечь их к ответственности крайне сложно. А когда речь идет о внешних разработчиках, то их работа просто не оплачивается. Хотя применительно к передаче в облако такой эффект даже в идеальном случае требует целого ряда условий, которые не всегда легко выполнимы.
Для этого необходимо внедрение сервисного подхода или хотя бы его элементов, что само по себе является не слишком простой задачей. Без этого не может быть и речи о выработке соглашений об уровне сервиса (или SLA), а это тоже довольно сложная и многоступенчатая процедура, которая занимает много времени. К тому же в российских условиях вопросы, связанные с несоблюдением SLA со стороны поставщика услуги, очень далеки от решения. И это даже если речь идет о серьезных инцидентах, связанных с недоступностью сервисов, потерями или кражей данных. По крайней мере, реальных прецедентов, когда провайдер возместил ущерб потребителю услуги, пока зафиксировано не было. Возможное решение — страхование рисков, благо такую услугу постепенно начинают оказывать и у нас. В одном из ближайших номеров мы рассмотрим ее более подробно.
Алексей Волков, старший менеджер управления обеспечения бизнеса по направлению «защита информации» торгового дома «Северсталь-Инвест», в своем докладе на IV Межотраслевом форуме директоров по информационной безопасности подчеркнул, что проблему доверия к аутсорсеру можно решить, используя модель инсорсинга, или внутреннего аутсорсинга, приведя в пример холдинг «Северсталь», куда входит его компания. Многие вопросы решаются проще хотя бы потому, что речь идет о взаимоотношениях между структурами одного холдинга. Это если не снимает полностью, то существенно упрощает решение и такой серьезной проблемы, как обеспечение соблюдения корпоративных политик в области информационной безопасности, что становится серьезной проблемой при классическом аутсорсинге.
При создании облачных сред важная задача — обеспечение надежной аутентификации пользователей. Ведь нецелевое использование облачных ресурсов является весьма серьезной проблемой, причем не только связанных с безопасностью. Учитывая, что оплата услуг идет исходя из объема потребленных услуг, это ведет и к перерасходу средств.
В холдинге «Северсталь» эту задачу решили, внедрив комбинацию технологий VPN и инфраструктуры с использованием открытых ключей (PKI). Это решило задачу безопасного доступа к корпоративным ресурсам из любого места с любого устройства. При этом у пользователя нет возможности копировать информацию на личное устройство, что снимает проблему утечки данных в случае потери клиента. Для крупных территориально распределенных компаний со сложной структурой такая технология оптимальным образом сочетает безопасность с удобством использования, хотя довольно дорога и сложна во внедрении. Кроме того, использование средств криптозащиты потребовало получения всех необходимых для этого лицензий. Имеются также значительные ограничения на использование устройств на целом ряде популярных мобильных платформ.
Однако технология доступа на базе PKI — не единственно возможная. Есть множество более простых, дешевых и быстро внедряемых решений, например на базе Kerberos или протоколов взаимной идентификации оборудования. Среди них и решения для многофакторной аутентификации, если она необходима. Вместе с тем безопасность и удобство использования — на нынешней стадии развития качества трудносочетаемые. А это существенно усложняет задачу внедрения средств защиты, как технических, так и организационных.
Проблему неработоспособности традиционных средств защиты в облачных средах можно решить, применяя облачные же сервисы, благо такие есть, и немало. Компания Symantec, например, имеет, по крайней мере на уровне деклараций, облачные версии практически всей своей линейки продуктов по поддержанию безопасности и непрерывности бизнеса, включая средства защиты от вредоносного ПО, спам-фильтры, DLP‑системы, средства резервного копирования и много другое. Отставание у конкурентов Symantec в процессе миграции в облако если и есть, то очень небольшое. Тем более что этот процесс начался еще до того, как к облакам было приковано внимание маркетологов. По мнению эксперта «Лаборатории Касперского» Магнуса Калькуля, еще в 2007 г. стало ясно, что использование традиционного подхода к антивирусному ПО, с использованием сигнатур, не позволяет бороться со многими типами угроз, особенно с высокой скоростью заражения, и при этом ведет к разрастанию антивирусных баз и потреблению системных ресурсов. И тогда же антивирусы начали использовать облачные технологии для детектирования и нейтрализации вредоносов. Примерно в то же время подобные метаморфозы начали происходить и с другими классами систем. Например, уже к 2008 г. SaaS-версии были практически у всех DLP‑систем. О проекте внедрения такой системе в транснациональной компании писал и наш журнал (Жанлука д’Антонио, FCC Group: «Мы не шпионим за сотрудниками, мы защищаем бизнес»//Intelligent Enterprise, № 19—20/2009).
Коллективная ответственность за безопасность
Олег Кузьмин,
директор департамента информационной безопасности компании «Ай-Теко»Раньше было принято считать, что в облаках обеспечить безопасность информации просто. На сегодняшний день большинство экспертов в области ИБ признали эти утверждения ошибочными.
Особое внимание следует уделить вопросам разграничения ответственности между пользователями и провайдерами облачных ресурсов в зависимости от конкретной модели облачных вычислений (IaaS, PaaS или SaaS). Разнообразие облачных решений включает в себя такие измерения, как:
- внутреннее или внешнее хранение данных;
- специальные или открытые технологии построения облака;
- наличие периметра;
- собственная или внешняя поддержка облака.
При этом необходимо учитывать не только новые, не известные ранее угрозы, но и последствия возможного сочетания их между собой и со старыми угрозами. Все чаще стали возникать и правовые вопросы взаимоотношений между заказчиком облачных услуг и исполнителем. Поэтому здесь крайне важна предварительная юридическая проработка вопросов взаимоотношений с провайдером, касающаяся обеспечения ИБ.
Когда виртуальные машины клиентов переносятся в облако, периметр и его защита в нашем привычном понимании действительно теряют смысл. Значит, необходимо использовать методы защиты непосредственно самих данных. При этом в виртуальной среде возможна неконтролируемая миграция между разными виртуальными машинами этих защищаемых данных в рамках одной физической системы. То есть для понимания защиты данных необходимо дополнительно учитывать абсолютно все компоненты каждой физической системы, отдельно взятой. В общем понимании задачи обеспечения ИБ следует разделить на задачи, возлагаемые на провайдера облачных услуг, и задачи его клиента.
В задачи провайдера может входить:
- строгая аутентификация и авторизация пользователей (в том числе администраторов);
- защита информации, передаваемой по каналам связи;
- безопасность виртуальной среды.
А в задачи клиента — обеспечение непосредственно в его виртуальных пространствах следующих мер:
• защита от вредоносного кода.
- программный межсетевой экран;
- обнаружение и предотвращение вторжений;
- контроль целостности;
- анализ журналов;