Шторм или штиль: чего ждать от облаков?
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
Согласно исследованиям компании IDC, в европейских странах и США затраты на обслуживание облаков в 2014 г. достигнут $100 млн. Гиганты Amazon и Google начнут разделяться по специализации, вводя всё новые облачные сервисы для бизнеса. Так ли необходимы облака бизнесу и как обстоят дела на российском рынке облачных решений, редакция журнала "Information Security/Информационная безопасность" узнала у экспертов рынка, попросив их ответить на несколько вопросов:
- Стоит ли ждать снижения уровня риска при передаче и хранении данных в облаке?
- Какая модель организации облаков лучше с точки зрения безопасности?
- Что необходимо для минимального обеспечения безопасности информации в облаке?
- Прогноз 2014: спад или новый виток развития облаков?
![](http://www.itsec.ru/archive/p2014/images/autor-ib-1-2014-korolkov.jpg)
1. Необходимо отметить, что сами по себе риски имеют различный характер в зависимости от категории информации и типа самого облака. Для информации, обрабатываемой в корпоративных ИС, риски одни, а для информации частных пользователей – другие.
Количество IТ-сервисов, потребляемых средней организацией, исчисляется десятками и будет только увеличиваться, а их типы будут становиться всё более разнообразными. Очевидно, что при таких условиях роста использования облачных технологий и их вовлечения в бизнес-процессы организации повышается вероятность возникновения рисков ИБ.
С другой стороны, нельзя забывать, для чего и почему облака получают популярность и развитие среди корпоративных пользователей. В частности, они предназначены для минимизации рисков или их переноса на провайдера облачного сервиса. Поэтому, можно сказать, что для корпоративных пользователей следует ожидать не столько снижения уровня рисков, сколько их изменения и появления возможности их переноса.
Для частных пользователей облаков ситуация понятнее.
Тенденция в настоящий момент такова, что мобильные платформы приходят в нетипичные области нашей повседневной жизни. Например, компания Google объявила о создании Open Automotive Alliance, цель которого – способствовать внедрению ОС Android в автомобили. Уже сейчас в альянс вошли четыре крупных автоконцерна. На очереди холодильники, фотоаппараты и пр. Насколько глубоко мобильные платформы уже сейчас интегрированы в облачные технологии, известно из повседневного опыта.
Если обратиться к статистике количества всевозможного вредного кода на мобильных платформах, можно прогнозировать, что новые устройства будут подвержены всем текущим рискам. Кроме того, сложность администрирования и управления возросшим количеством устройств ещё сильнее снизит уровень защищённости и, как следствие, повысит уровень риска при работе с облаками.
Так что прогноз для частных пользователей скорее неблагоприятный.
2. Пользователи облачных сервисов формируют спрос на все модели облаков, и очевидно, что уровень обеспечения ИБ будет развиваться у всех моделей.
С точки зрения ИБ существенным является наличие возможности предъявления специфических требований к провайдеру облачных услуг. Частные облака предоставляют больше возможностей в данном направлении, и в частности поэтому частные облака могут обеспечить более высокий уровень ИБ.
Нельзя не отметить, что появилось новое понятие – "персональные облака". Такой облачной структурой может стать домашнее сетевое хранилище или сервер с необходимыми функциональными возможностями.
3. Для минимального обеспечения безопасности информации в облаке необходимо контролировать доступ к данным, определять принимаемые меры защищённости и контроля над размещением. Поэтому ответом на вопрос "Что необходимо…?" является соблюдение договорных обязательств провайдером облачных услуг. Это необходимое и во многих случаях достаточное условие для обеспечения приемлемого уровня ИБ.
Также не менее важным аспектом является ознакомление с соглашением с оператором облачного сервиса. Как минимум с ним необходимо ознакомиться. У многих пользователей соглашения с провайдерами даже не вызывают вопросов. А ведь именно там определены вопросы доступа к данным и передачи третьим лицам.
4. Можно с уверенностью сказать, что спада не будет. Возможно, будет замедление роста в сегменте публичных облаков ввиду достижения определённого насыщения традиционными на данный момент услугами. С другой стороны, как я уже писал выше, все большее количество пользователей со своими устройствами становится клиентами облачным сервисов. Таким образом, определённые сегменты выйдут на новый виток развития.
Конявский
![](http://www.itsec.ru/archive/p2014/images/autor-ib-1-2014-konyavskii.jpg)
1. Если данные зашифровать, то рисков при передаче и хранении не будет. Правда, тогда облако станет просто удалённым медленным диском. Если вам этого хватает – то в путь. К сожалению, преимуществами облачных сервисов в этом случае воспользоваться не удастся.
Если же вопрос сформулировать правильно – о возможности снижения рисков при использовании облачных сервисов, – то, конечно, ответ будет оптимистичным. Стоит ждать. Правда, не скоро. Пока риски только осознаются. До их снижения далеко.
Главный риск здесь – это отсутствие осознания того, что всё, что попало в облако, останется там навсегда. Это бесспорное положение пока не укладывается в сознании человека. И с этим связаны самые большие риски, в том числе и риски нарушения прав пользователя.
Конечно, кроме этого, есть ещё много вопросов – например, о защищённости взаимодействия защищённого клиента и незащищённого сервиса в защищённом облаке. Ну, и различные вариации на эту тему.
2. Лучше всего – "домашнее" облако. Вот его можно сделать защищённым.
3. Минимум – это создание доверенной среды как в ЦОД, так и у клиента. Возможно, сюда следует отнести и создание доверенного планировщика.
Совершенно необходимо обеспечить разделение функций по управлению безопасностью. Если мы хотим добиться приемлемого уровня защищённости, то есть только один путь – дать клиенту ненастраиваемый доверенный доступ. Ну, или заняться евгеникой и вывести новый тип пользователя – безошибочно выполняющего все требования ИБ.
4. Я ожидаю некоторого спада инвестиций в создание облачной инфраструктуры, но заметного роста в области предоставления услуг в защищённом виде. Думается, что 2–3 системы ЦОД, предоставляющие сегодня традиционные облачные сервисы, предложат рынку возможность использования сервисов защищённых. В то же время станет очевидным неуспех создания ведомственных облачных инфраструктур. Возможно, эта часть рынка будет замещена "гособлаком". Таким образом, новый виток развития современных инфраструктур информационного взаимодействия может быть связан с возвратом к виртуализации на ведомственном уровне, и развитием защищённых облачных сервисов в публичных инфраструктурах.
Сабанов
![](http://www.itsec.ru/archive/p2014/images/autor-ib-1-2014-sabanov.jpg)
1. Уровень риска нарушения безопасности определяется соотношением угроз и уязвимостей, вероятностью наступления опасного события, уровня тяжести последствий нарушения безопасности и частоты наступления опасных событий. Все эти параметры постоянно находятся в динамике, каждая организация определяет соотношение расчётного уровня рисков с приемлемым. Говорить о снижении уровня риска конкретных технологий (в данном случае передачи и хранения) можно только для хорошо известных и широко применяемых технологических решений, при условии обобщения опыта использования многими предприятиями.
Каждая новая технология должна пройти определённые уровни зрелости. Облачные технологии также не смогут избежать этого эволюционного пути развития. С наработкой опыта появятся механизмы обеспечения безопасности работы с данными.
Для технологий передачи и хранения ценной для заказчика информации в "юной" облачной сфере необходимо использовать проверенные и научно обоснованные способы защиты данных на основе сертифицированных по требованиям ФСБ России продуктов. Все конфиденциальные данные должны передаваться и храняться в зашифрованном виде. Управление ключами шифрования должно производиться внутри контролируемого периметра организации.
2. В данной постановке, безусловно, частное облако. В нём можно контролировать все процессы, а главное – можно достичь приемлемого уровня рисков при работе в облаке.
3. Охота за интересующей злоумышленника информацией не прекращается ни на земле, ни на море. Охотника не остановит и облако. Рецепт один: шифрование. Дешифрование украденной информации может затянуться… Зная это, её просто не будут воровать.
4. Прогресс остановить нельзя. Переход к облачным вычислениям будет затрагивать постоянно увеличивающееся число участников. Не думаю, что это будет "новый виток", по сути, "витка" (полного оборота) ещё не было. Наблюдаются постепенное развитие облачных технологий и появление первых сервисов, ориентированных на использование в облаке. С накоплением опыта появятся новые, более проработанные рекомендации по безопасной работе в облаках. Возможно, появятся первые требования ИБ. Предстоит развитие облачных решений и понимание необходимости создания доверенных сервисов.
![](http://www.itsec.ru/archive/p2014/images/autor-ib-1-2014-reshetnikov.jpg)
Облачные технологии, как и многое другое в сфере IТ, – чудесный и мощный инструмент. Практически коллайдер, если проводить какие-то аналогии. Штука очень хорошая, но вот нужна ли она вам? Сколько ни читаешь про облачные технологии, нигде нет анализа, при каком объёме информации и сервисных услугах нужно переходить в облака. Везде лишь рекламные лозунги о преимуществах, повышении, снижении и т.п. Жаль.
Давайте реально подумаем. Если компания работает с действительно огромными массивами данных, с ресурсоемкими сервисами и т.п., то им даже не надо ничего рассказывать, они и так в тренде, внимательно следят за новинками и сами бегают за поставщиками. А те, кому сегодня настойчиво предлагают уйти в облака, – это относительно небольшие компании, где не более пары тысяч пользователей, реального онлайнового потока данных нет, все базы данных не превышают нескольких сотен гигабайт и число сервисов не превосходит пары десятков. Да и то среди них лишь 3–4 критичны для бизнеса, а остальные не требуют какой-то особенной надёжности и день простоя не обанкротит компанию.
Такой компании вполне достаточно пула из 7–8 серверов с небольшим NAS. Облака тут не нужны, хватит минимальной виртуализации. Конечно, благородная идея о том, чтобы собрать всё в облако и сделать всё "по-взрослому" витает в воздухе, но оно работает и так. Облако не снижает в данном случае затраты, а повышает их. Делать свое облако – неимоверные расходы на инфраструктуру. И на админов куда более высокой квалификации, чем при стандартном подходе. Отдавать в провайдерское облако – тоже не лучшее решение. И дело тут уже не только в облачных провайдерах, но и в провайдерах услуг связи. Доверия такого уровня, чтобы сделать свой бизнес провайдерозависимым, пока ни к кому нет.
А вот когда действительно нужно отдавать в облака, так это, например, когда требуется разместить интернет-сайт компании, сделать виртуальную среду для доступа сотрудников к почте и минимуму сервисов с мобильных устройств и пр. Но тут вопрос стоит не столько в самих облачных технологиях, сколько в поставщиках соответствующих услуг, которым без облаков просто не обойтись. И только развитие этого сектора рынка и появление конкуренции в предложении массовых и дешёвых сервисов, даст развитие серьёзным облачным дата-центрам в нашей стране, за которыми подтянутся и поставщики услуг связи. И вот тогда уход в облака станет массовым и коммерчески оправданным.
Так уж устроен прогресс, что технологии приходят вслед за тем, как сама идея становится привычной. Когда появились первые автомобили, слово "шофёр" было синонимом чего-то сверхъестественного. А сегодня за пару недель можно выучиться управлять автомобилем и наличие водительского удостоверения уже является просто нормой. Но для этого прошло время и развились технологии, причём как в сфере автомобилестроения, так и в сфере строительства дорог, нормативной базы и пр., без чего автомобили просто немыслимы. И в облаках, точнее в российских облаках, технологии скоро сделают вопросы защиты данных, передачи, конфиденциальности и сохранности второстепенными, а на первый план для пользователя выйдет простой экономический расчёт целесообразности перехода на новые технологии.