Безопасность является одним из наиболее серьезных аргументов против использования облачных технологий. Тема эта расщепляется на несколько более частных вопросов, некоторые из которых мы обсудили с директором Центра технологий безопасности IBS Дмитрием Романченко.

Отличается ли ситуация с безопасностью в частном облаке по сравнению с той, которая имеет место при широком использовании технологий виртуализации?

Существует каноническое определение облачных вычислений, которое было дано NIST. Оно касается модели предоставления ИТ-сервиса. Виртуализация является одной из технологий, используемых в процессе предоставления таких услуг. В этой связи парадигма облачных вычислений несет в себе совокупность рисков информационной безопасности, обусловленных в том числе виртуализацией ресурсов. Если под частным облаком понимать ведомственное или корпоративное облако, не имеющее выходов в интернет, то ситуация полностью контролируема. В случае, когда ведомственное / корпоративное облако содержит в том числе сервисы, предоставляемые внешним пользователям (не сотрудникам) то все риски начинают играть.

Насколько осложняет ситуацию с безопасностью передача инфраструктуры на аутсорсинг?

Давайте определимся с термином безопасность. Если брать каноническую триаду «конфиденциальность, целостность, доступность информации», то переход в облако позволяет добиться повышения степени доступности информации и частично повышения гарантий ее целостности, так что по крайней мере по двум параметрам при переходе в облако ситуация улучшается.

Когда речь идет о передаче на аутсорсинг, то необходимо, прежде всего, уточнить, о каком облаке идет речь: публичном, ведомственном, частном, гибридном. К примеру, внутриведомственный (внутрикорпоративный) аутсорсинг, когда ИТ-сервисы филиалов или дочерних компаний переводятся в облако, и для обслуживания созданного ландшафта нанимается (создается) аутсорсинговая компания, способствует стандартизации сервисов и повышению уровня безопасности.

Вопрос внешнего аутсорсинга — это вопрос SLA (в том числе в части вопросов обеспечения безопасности), а также вопрос доверия к данному провайдеру. Доверие, в свою очередь, определяется составом и качеством предоставляемых провайдером сервисов безопасности, а также возможностью и технологией аудита безопасности. В случае положительного решения данных вопросов, аутсорсинг может гарантировать должный уровень безопасности.

Практика аутсорсинга инфраструктуры давно и хорошо отработана рынком. Однако, анализируя ситуацию с тем, как предоставляют сервисы крупнейшие игроки российского рынка, видно, что каждый из них проводит границу между основными и дополнительными сервисами (в том числе сервисами безопасности) по-своему.

Но ведь в общем случае клиент не может никак повлиять на многие ключевые параметры безопасности у аутсорсера, включая кадровую политику, то, как и где хранятся данные (а они вполне могут физически находится на одной СХД с данными конкурента), правильно ли производится удаление данных при снятии носителей с эксплуатации. Как быть с этим?

Вы правы, вопрос доверия к облачному сервису — это одна из основных обсуждаемых тем. В этой связи очень интересны те инициативы, которые развивает Cloud Security Alliance (CSA). Они связаны, как с построением общепринятой матрицы контролей в части безопасности, так и технологиями и инструментами аудита.

Раз речь зашла о CSA, можно ли назвать какие-то очевидные недостатки в модели угроз для облачных сред, которые недавно были выпущены этой организацией?

Я бы не взял на себя смелость критиковать эти предложения, учитывая, что в CSA входят уважаемые организации и эксперты. Разрабатываемые документы носят рекомендательный характер. Но сама инициатива CSA по стандартизации состава угроз видится полезной, в том числе и для российской практики, учитывая, что на настоящий момент нормативная база ФСТЭК России в вопросах безопасности облачных вычислений находится в стадии формирования.

Насколько близко к истине утверждение, что традиционные средства защиты информации в облачной среде или не работают вовсе, или работают плохо?

Рассматривая вопрос о средствах защиты информации в облачной среде, стоит иметь в виду, что есть два варианта: использование интегрированных в среду средств защиты информации, или использование наложенных средств.

В идеале хотелось бы, чтобы средства защиты были интегрированы в среду виртуализации и управления облаком, все это было сертифицировано (именно с этим больше всего вопросов, так как не ясно, по каким критериям), и таким образом подтверждена безопасность всей конструкции. Наложенные средства защиты сейчас активно разрабатываются за рубежом и в России, идет процесс их сертификации.

Также необходимо иметь в виду, что в облаке, наряду со всеми классическими угрозами, действуют и специфические. Это связано с использованием виртуализации, с распределенной обработкой данных и способами предоставления самих услуг. Пул решений и средств защиты информации в облаке шире, чем в классической инфраструктуре. Наиболее красивым лично мне видится подход VMWare, когда компания предоставила интерфейсы, которые позволяют включать внешние средства защиты в базовые функции управления виртуализированными ресурсами: управления ресурсами памяти, вычислительной мощностью, виртуальными сетевыми интерфейсами, единицами хранения данных. Используя эти интерфейсы, сторонние компании могут разработать и сертифицировать свои средства защиты информации. Примером такого решения является продукт vGate от компании «Код безопасности».

Есть на рынке комплексные решения, как, например, от компании TrendMicro. Они содержат целый пул средств, работающих на уровне гипервизора, и потому оказывают минимальное влияние на производительность всего прикладных сервисов.

Вместе с тем, использование специализированных решений для среды виртуализации не отменяет возможность использование классических наложенных средств защиты на уровне отдельных виртуальных машин. В таком рассмотрении вопрос применимости указанных средств — это обычный вопрос совместимости ПО и гостевой операционной системы.

Есть ли помимо 152-ФЗ какие-либо нормативные акты, которые регламентируют использование облачных решений?

ФЗ-152 и соответствующая нормативная база ФСТЭК России и ФСБ России определяют требования по защите персональных данных без привязки к облачной модели предоставления сервиса. В настоящее время имеет место определенная активность со стороны регуляторов относительно выработки требований по защиты информации, ориентированных на использование в среде виртуализации и в облаке. Однако, конечные нормативные документы, насколько мне известно, пока не появилось. В этой связи на настоящее время продуктивным видится подход сведения (насколько это представляется технически возможным) процесса обработки персональных данных в облаке к классической модели многопользовательской системы с расширенным спектром угроз. В ряде случаев такое приближение видится вполне правомерным и технически реализуемым.