Всех тянет в "облака", а банки смотрят…
Статья Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д." и Максима Чиркова, руководителя направления развития сервисов ЭП компании "Аладдин Р.Д."
Проблемы обеспечения безопасности препятствуют финансово-кредитным организациям более активно внедрять и осваивать облачные технологии
Развитие облачных сервисов в ИТ-среде стало практически трендом. Кто только не использует эти технологии: и малый бизнес, и крупные интернет-компании, и государственные организации! Плюсы очевидны. Прежде всего, экономия на развёртывании ИТ-инфраструктуры и гибкость. Однако в банковском секторе активность в этом вопросе почти не заметна. Объясняется всё достаточно просто: новые банки возникают не часто, а у существующих с ИТ более-менее порядок. При этом банки - одна из самых зарегулированных областей, и в ситуации, когда не всё очевидно с безопасностью в "облаках", в том числе с нормативной базой (как показало последнее разъяснение Минкомсвязи, это действительно так), рисковать они не готовы.
Видимо, до появления ясности с требованиями к безопасности облачных сервисов банки будут уделять больше внимания удалённому доступу к своим внутренним ресурсам и развитию интернет-сервисов, а в "облака" станут переносить то, что требует оперативного масштабирования и постоянной доступности. Следовательно, в настоящее время на первый план выходит безопасность.
В первую очередь необходимо определиться с подходами в решении вопросов ИБ при различных реализациях облачных сервисов.
Модель SaaS (Software as a Service, или "ПО как сервис") подразумевает всю обработку и хранение всех данных на стороне сервиса. В этом случае приходится полностью доверять мерам и технологиям защиты информации, принятым провайдером услуги, что в большинстве случаев не приемлемо для учреждений финансово-кредитного сектора. Использование SaaS возможно только в доверенных инфраструктурах, причём как в техническом плане, так и в организационно-правовом. Поэтому единственное применение этой модели в банковской сфере допустимо в реализации частных "облаков" в рамках объединённых групп, когда доверенный провайдер является подразделением или подведомственной организацией. При этом особое внимание необходимо уделить вопросам доступа к SaaS-сервису. Однозначно должна использоваться строгая двухфакторная аутентификация пользователей с помощью отчуждаемых носителей (USB-токенов или смарт-карт), например eToken и шифрованная передача данных. Причём это может быть HTTPS, VPN, шифрование на прикладном уровне браузерным плагином выборочных данных или же применение собственных прокси-серверов, которые защищают коммуникацию с провайдером.
Модель PaaS (Platform as a Service, или "Платформа как сервис"), как и SaaS, при обработке банковских данных возможна только в рамках доверенного провайдера.
И на неё также распространяются все вышеперечисленные подходы с некоторым расширением. Кардинально противоположна SaaS модель IaaS (Infrastructure as a Service, или "Инфраструктура как сервис"). В данном случае потребителю предоставляется готовая инфраструктура. Это может быть как виртуальная машина, так и целая сеть. При использовании подобной модели от недоверенного провайдера важно контролировать доступ на уровне гипервизора, иначе все попытки построить эффективную защиту будут сродни построению крепких ворот без забора. При этом действительно задача обеспечения информационной безопасности сводится к комплексному решению защиты удалённого подразделения банка с применением проверенных традиционных методов, использующихся в физических (невиртуальных) системах.
При использовании любой модели от недоверенного провайдера остро стоит вопрос хранения данных в "облаке" в зашифрованном виде. Особый интерес этому вопросу придает популярность сервисов Data as a Service и Database as a Service, которые не позволяют построить защищённое взаимодействие между провайдером и потребителем в соответствии с требованиями регуляторов в области ИБ. Единственно верным решением в этом случае представляется передача данных по открытым каналам связи в зашифрованном виде без использования HTTPS или VPN с сертифицированной российской криптографией. Такие решения имеются на рынке, например "КриптоБД" в режиме работы с шифрующим прокси. Их отличительной особенностью является то, что управление ключевой информацией производится администратором ИБ банка в рамках локальной инфраструктуры, а не в инфраструктуре провайдера.
В основном сценарии "КриптоБД" является средством криптографической защиты информации (СКЗИ), хранящейся в базах данных Oracle от несанкционированного доступа, и позволяет выполнить наиболее критичные требования стандарта PCI DSS, а также защитить персональные данные в системах, построенных на базе СУБД.