Безопасность в облаках: над чем нам работать?

Говоря об "облаках", как правило, обсуждаются характерные для них виды угроз. Действительно ли речь должна идти о качественно новых угрозах или это все же типовые угрозы, просто "отягощенные" эффектами масштаба, многоплатформенности и т.д.? Способно ли в таком случае постепенно расширяющееся использование "облаков" послужить заметному качественному и количественному развитию ИБ-индустрии?

Ответ. На оба вопроса ответ положительный. Затрону только один пример - вопрос доверия и доверительных отношений в терминах инфраструктуры открытых ключей. Переход к облачным вычислениям ставит перед ИБ-сообществом новые задачи, корректное решение которых способно существенно поднять качество таких доверенных сервисов, как аутентификация, службы доверенного времени, службы валидации сертификатов ключей подписи (СКП) и т.д. Говоря коротко, "облака" являются шансом создания Единого пространства доверия не только к СКП, но как Единого пространства доверенных сервисов. Одна из актуальных задач при переходе в облачным вычислениям – предоставление транссистемного защищенного доступа к облачным сервисам, размещенным в публичном облаке. Мировой опыт показывает, что в качестве решения этой нетривиальной задачи необходимо вводить уровни доверия и соответствующих гарантий аутентификации пользователей, а управление доступом при таком подходе сводится к приведению в соответствие уровня доверия аутентификации и уровня доверия сервисов, к которым пользователю необходимо предоставить доступ. Такой подход нуждается прежде всего в серьезной доработке российской нормативно-правовой базы, но я уверен, что это будет сделано, причем в ближайшие годы.

Как разграничиваются зоны ответственности поставщика услуги и заказчика? Есть ли у заказчика возможность контролировать соответствие предлагаемого уровня ИБ его требованиям? Какое влияние использование "облачных" технологий и услуг оказывает на задачи и деятельность подразделений и служб ИБ?

Ответ. Если кому-то кажется, что вся ответственность лежит на поставщике облачной услуги, то это далеко не так. Например (возвращаясь к п.1), прежде чем заключать договор о предоставлении определенных услуг, особенно с правовыми последствиями, многим корпоративным заказчикам придется привести в соответствие свою систему управления доступом, политики безопасности и многое другое или принять предложенные "правила игры" провайдера. Для того, чтобы доверие заказчика (в техническом плане – в терминах ИБ) к провайдеру было поднято на определенный уровень, специалисты по ИБ заказчика должны обладать недюжинной квалификацией, одних бумажных сертификатов и внешней "прозрачности" будет недостаточно. Также в сфере ответственности специалистов по ИБ заказчика составление и контроль договора SLA с провайдером и многие другие вопросы…

Каким должен быть документ, регулирующий взаимоотношения между заказчиком и провайдером облачных услуг с точки зрения обеспечения ИБ? О чем говорит практика выработки и использования таких документов?

Ответ. Применительно к облачным вычислениям практика в РФ небогата, нет известных и проработанных юридически и технически типовых договоров SLA, многие вопросы по-прежнему решаются на общем доверии или "по понятиям". Отсутствие стандартов и какой-либо нормативной базы, понятных и научно-обоснованных моделей угроз, нарушителя и многих других необходимых документов также не способствуют развитию массовой практики.

За рубежом наработан определенный опыт в области формирования нормативной базы и стандартов, регулирующих предоставление облачных услуг. На что могут сегодня опираться пользователи и провайдеры "облачных" услуг, выстраивая свои отношения и обеспечивая информационную безопасность "облачной" инфраструктуры? Какие вопросы требуют регулирования в отечественном законодательстве? Имеет ли это существенное значение для развития рынка?

Ответ. Еще раз повторюсь: в мире нет международных и даже федеральных стандартов по безопасности облачных вычислений. Может быть они и существуют, но только как корпоративные стандарты. К сожалению, не видел даже отраслевых стандартов по данной теме, хотя искал тщательно. То, что у нас называют "стандартами" - это заблуждение. Чаще всего, это рекомендации, на данном этапе развития практического оказания облачных услуг другого ждать не приходится, по мере накопления опыта и научной проработки вопроса появятся и требования, а потом и стандарты. На сегодняшний день условно можно считать "стандартизованными" 3 вида модели предоставления облачных услуг – IaaS, Paas, Saas, - только потому, что их повторили в нескольких странах уважаемые разработчики стандартов класса NIST. Отсутствие нормативной базы в России ненамного отстает от такого же отсутствия на западе. Работать в "облаках" сегодня как провайдерам, так и заказчикам приходится "вслепую", практически "по понятиям".