Защита в зависимости от облачной модели

Рынок облачных сервисов растет быстрыми темпами, поэтому и вопросы безопасности их использования стоят очень остро. На территории Российской Федерации работа с такими сервисами имеет свою специфику в силу законодательных требований обязательной защиты информации, например, персональных данных, врачебной тайны и т.д. В первую очередь необходимо определиться с подходами к решению вопросов ИБ при различных реализациях облачных сервисов.

Модель "ПО как сервис" (Software as a Service, SaaS) подразумевает обработку и хранение всех данных на стороне провайдера. В данном случае приходится полностью доверять принятым им мерам и технологиям защиты информации. Использование SaaS для обработки, скажем, персональных данных — причем как в техническом плане, так и в организационно-правовом — возможно только в доверенных инфраструктурах. Поэтому единственным применением этой модели представляется реализация частных облаков, когда доверенный провайдер является подразделением или подведомственной организацией вышестоящего органа.

При этом особое внимание следует уделить вопросам доступа к сервису SaaS. Для его защиты необходима строгая двухфакторная аутентификация пользователей с помощью отчуждаемых носителей (USB-токенов или смарт-карт), например, eToken, и передача данных в зашифрованном виде. Для этой цели подходят HTTPS или VPN с поддержкой сертифицированной "российской" криптографии, шифрование выборочных данных на прикладном уровне посредством подключаемого модуля браузера или же описанное автором статьи решение с применением собственных proxy-серверов, которые защищают коммуникацию с провайдером.

Модель "платформа как сервис" (Platform as a Service, PaaS), как и SaaS, при обработке персональных данных применима только при работе с доверенным провайдером. И на нее тоже распространяются все вышеперечисленные подходы (с некоторым расширением).

Кардинальную противоположность SaaS представляет модель "инфраструктура как сервис" (Infrastructure as a Service, IaaS). В данном случае потребителю предоставляется готовая инфраструктура. Это может быть как виртуальная машина, так и целая сеть. При обращении к услугам недоверенного провайдера следует контролировать доступ на уровне гипервизора, иначе все попытки построить эффективную защиту будут сродни построению крепких ворот без забора. При этом задача обеспечения информационной безопасности сводится к комплексной защите удаленного подразделения с применением зарекомендовавших себя традиционных методов, применяемых в физических системах.

В случае недоверенного провайдера при использовании любой модели актуально хранение данных в облаке в зашифрованном виде. Особую остроту этому вопросу придает популярность общедоступных сервисов Data as a Service и Database as a Service, которые не предусматривают защищенного взаимодействия между провайдером и потребителем в соответствии с требованиями регуляторов в области ИБ. Когда HTTPS или VPN с сертифицированной "российской" криптографией не используется, единственно возможным решением представляется передача данных по открытым каналам связи в зашифрованном виде. И такие предложения имеются на рынке — например, "Крипто БД" в режиме работы с шифрующим посредником (proxy). Отличительная особенность этих решений заключается в том, что управление ключами осуществляется администратором ИБ в рамках локальной инфраструктуры, а не в инфраструктуре провайдера.