Облачные сервисы: мода или необходимость?

Переход к облачным вычислениям является эволюционным развитием распределённых компьютерных систем. Современные информационные системы характеризуются развитием сервисов различного назначения. Модели развития облачных сервисов существенно зависят от типа облака. Рассмотрим два крайних случая.

Частное облако, как правило, используется для оптимизации использования имеющихся или арендованных вычислительных ресурсов. Публичное облако характеризуется упрощением и унификацией предоставляемых пользователям сервисов, чаще всего доступ к ним организуется за плату. Главным стимулом к использованию публичных облачных сервисов является экономия ресурсов на создание своей вычислительной инфраструктуры и использование только необходимых сервисов в минимальнодостаточных объёмах.

Непрерывная доступность является главным преимуществом облачных сервисов для пользователя перед традиционными компьютерными системами. Доступность можно отнести к необходимым условиям развития и существования облачных сервисов.

С точки зрения перехода на современные сервисы и их круглосуточной доступности, переход к облачным моделям является необходимостью. Пример № 1: сдача обязательной отчетности частным предпринимателем. В любое удобное время зашел в облачный сервис, заплатил небольшую сумму – сдал. Пример № 2: здравоохранение и еще ряд отраслей, которым необходимо пользоваться информационными ресурсами и типовыми сервисами, а своих достаточных вычислительных мощностей и установленного программного обеспечения у них не имеется. Примеров можно привести много.

Однако доступность в понимании специалиста по информационной безопасности – это, прежде всего, управление доступом пользователей, а уже потом обеспечение доступа успешно прошедшим процедуры идентификации и аутентификации легальным пользователям. Для облачных сервисов требования к корректности реализации функций управления доступом существенно повышаются. В частности, критичными становятся сервисы идентификации и аутентификации пользователя. Повышенные требования диктуют развитие сервисов обеспечения доступа на основе цифровых сертификатов доступа и реализации механизмов аутентификации с применением цифровой подписи. Одной из нерешенных проблем, уже реально сказывающейся на темпах развития облачных сервисов, является проблема трансляции доверия к идентификации и аутентификации при обращении к облачным сервисам из корпоративной сети. Необходимо выработать правила, согласно которым уровень доверия к идентификации и аутентификации пользователя должен быть не ниже уровня доверия, выдвигаемого прикладной программой или сервисом, к которым облаком предоставляется доступ.

Вспомним, что обеспечение безопасности информации основано на выполнении трех основных критериев: доступности, конфиденциальности и целостности информации при ее обработке, передаче и хранении.

Несмотря на привлекательность, темпы использования облачных сервисов не столь высоки, как ожидалось. Одним из сдерживающих факторов являются проблемы обеспечения целостности и конфиденциальности данных, хранимых и обрабатываемых в облаке.

Целостность данных может быть обеспечена с помощью проверок, например, контрольных сумм. Однако для публичного облака доверие к такому способу проверки весьма трудно обеспечить. Все более распространенными и современными способами обеспечения целостности становятся методы, использующие электронную подпись. Для обеспечения контроля целостности данных в облаке необходимо создать сквозную систему доверия к электронным подписям.

Конфиденциальность данных традиционно обеспечивается с помощью шифрования. Проблемой в данном случае является распределение ключей шифрования данных. Известные решения предполагают применять схемы доверенного распространения ключей шифрования только внутри защищенного периметра, но никак не в публичном облаке. В противном случае уровень доверия должен быть понижен, что существенно уменьшает привлекательность применения публичных облаков для обработки и хранения информации ограниченного доступа.

Таким образом, развитие облачных сервисов можно признать необходимостью, однако для успешного их применения необходимо помнить и о перечисленных проблемах информационной безопасности.