Cloud Security: взгляд на российский рынок

Сергей Халяпин
руководитель системных инженеров
компании Citrix Systems

1. Облачные технологии находят все большее применение не только в публичной сфере, но и в корпоративном секторе. Совершенствование технологий виртуализации и рост пропускной способности каналов открывает перед частными облаками широкие перспективы. На первый план выходит безопасность облачных сервисов – основным фактором, тормозящим развитие последних, является отсутствие решений ИБ для таких сред. В облаке сложно выявить привычный периметр защиты; ключевое внимание необходимо уделить вопросам безопасности, доступности и защиты данных при передаче. Одним из важнейших шагов в реализации проекта и снижении его стоимости является построение процессной модели для формализации этой задачи. Недостаточно вдумчивая работа на этом этапе приведет к созданию неэффективных решений, цена которых очень высока. Что до технической составляющей, перед поставщиками услуг стоит задача обеспечения конфиденциальности, доступности и целостности данных на всем пути от дата-центра до пользователя. Облачные решения должны базироваться на современных стандартах безопасности – шифровании, антивирусной защите, блокировке атак, обеспечении безопасности пользовательских рабочих мест. Наилучшим подходом здесь будет использование виртуальных десктопов – по сути, защита рабочего места непосредственно в ЦОД. Также следует уделить внимание доступности. Сбои в работе сервисов случались и у весьма уважаемых компаний. При разработке проекта частного облака нужно предусмотреть альтернативные варианты доступа в случае аппаратных и иных сбоев. В любом случае, задачи улучшения безопасности и снижения стоимости проекта будут находиться в конфронтации друг с другом. Для достижения цели заказчик и потребитель должны объединить усилия. Безопасность облаков будет складываться из стандартных элементов защиты систем, и, несмотря на достаточно хорошо отработанные методики, агрегация этих решений может потребовать новых подходов в сфере ИБ.

2. Рынок услуг ИБ обеспечивает ежегодный прирост, и не стоит классифицировать компании в зависимости от сферы их деятельности: эффективные решения в области ИБ – потребность предприятия любого масштаба. Рост наблюдается не только в крупном бизнесе, но и в секторе СМБ. Облачные сервисы для решения задач ИБ есть уже сейчас. К ним относятся средства по обеспечению безопасности электронной почты и по контролю Web-трафика, возможности антивирусной защиты и блокировки злонамеренного ПО, поставляемые, как сервис. Грамотно выстроенная информационная система становится серьезным конкурентным преимуществом для любой компании. Именно поэтому перспектива развития рынка ИБ, в том числе и в облаках, существует.

Михаил Воронков
менеджер по развитию бизнеса
компании Orange Business Services
в России и СНГ

1. Для обеспечения безопасности данных для компаний является обязательным соблюдение всех соответствующих требований (например, требования ФЗ № 152). К сожалению, большинство компаний пытаются экономить на информационной безопасности и часто забывают о том, что в случае несоблюдения всех этих требований, кроме штрафных санкций соответствующих государственных органов, есть еще репутационные и бизнес-риски, величина которых в сумме будет намного выше потенциальных расходов. Поэтому стоит все очень аккуратно взвесить, прежде чем экономить.

2. Рынок услуг информационной безопасности в России есть. На нем работают как отечественные, так и западные компании. Есть несколько компаний, которые целенаправленно работают в сфере облачных услуг. Операторы также с интересом относятся к данному сектору, однако пока их внимание сосредоточено в первую очередь на решениях по фильтрации трафика и блокировке вредоносного контента.

Алексей Демин
управляющий корпоративными продажа
микомпании G Data Software в России и СНГ

1. До тех пор пока в России не будет развита облачная инфраструктура, говорить о снижении стоимости облачных проектов не приходится. Сейчас, к сожалению, сложилась такая ситуация, что безопасность данных, хранящихся на облачных серверах, тем выше, чем дальше от нашей страны эти ресурсы расположены. Во всяком случае, если есть что терять (если данные имеют реальную ценность), то хранить их внутри страны значительно опаснее, чем за ее пределами. Только с повышением конкуренции и активным приходом на этот рынок западных и, кстати, восточных игроков их отечественные коллеги начнут постепенно понимать, что же такое эти облака и что именно требуется клиенту. Безопасность – это далеко не в первую очередь вопрос выбора средств защиты. Выбрать сейчас есть из чего. Самое главное – подход к организации процесса обработки этих данных: разграничение прав доступа, понимание сотрудниками ответственности за утечку данных, своевременное обновление программных средств, контроль соблюдения всех правил и инструкций. Так можно значительно повысить степень надежности системы безопасности данных, сделав ее не только эффективной, но и менее затратной.

2. В России вообще традиционно с сервисом все было довольно плохо. Только сейчас начали появляться первые ростки, засеянные иностранными компаниями. За ними пошли и отечественные наиболее прогрессивные владельцы бизнеса, имеющие связи с иностранными партнерами. Лет через 15–20, когда рабочие места в сфере услуг займет следующее поколение, мы увидим качественный сдвиг. Сейчас же сервис практически в любой отрасли экономики отрицает важность клиента, не имея к нему часто даже элементарного уважения. Причина кроется в отсутствии настоящей конкуренции. Более глубокие причины проблем с сервисом мы здесь рассматривать не будем. Как только на российском рынке появятся серьезные игроки с качественными предложениями, что-то начнет меняться. Сегодня, к сожалению, в основной массе услуги только выглядят настоящими, а на деле все оборачивается "недокрученными гайками". Основная масса операторов связи, за редким исключением, ставит задачу максимально выжать клиента с самого начала работы с ним. Потенциальным клиентам я бы порекомендовал для начала поинтересоваться, что именно предлагается в странах с развитой экономикой в пределах бюджета, который готовы "освоить" местные поставщики.

Антон Карданов
директор по информационной
безопасности компании Bell Integrator

1. Создание частного облака внутри больших организаций не является тривиальной задачей. Специалистам IT-отделов необходимо выяснить потребности всех подразделений компании в IT-ресурсах, оценить возможность переноса приложений в облачную среду, изменить существующие процедуры управления IT и решить много других задач, в том числе вопросы обеспечения безопасности виртуальной инфраструктуры.

Самый простой и дешевый на сегодняшний день способ создания частного облака – это виртуализация IT-инфраструктуры (виртуализация серверов, виртуализация сетевого оборудования и т.п.). Но при переводе традиционной IT-инфраструктуры в виртуальную остаются некоторые традиционные вопросы обеспечения ИБ и добавляются новые. Из традиционных вопросов можно выделить неограниченные права администраторов виртуальной инфраструктуры, в том числе неограниченный доступ к пользовательским данным.

Из новых вопросов ИБ можно отметить безопасное функционирование гипервизора на серверах, обеспечивающего независимое функционирование виртуальных машин, безопасное функционирование системы управления виртуальной инфраструктурой. В традиционной IT-инфраструктуре если отказал один сервер – все остальное продолжает работать. А что произойдет при крахе системы централизованного управления виртуальной IT-инфраструктурой, при взломах гипервизора? А если у нас не частное облако с десятками серверов и сотней виртуальных машин, а публичное с тысячами серверов и десятками тысяч виртуальных машин? Все эти вопросы нетипичны для традиционной IT-инфраструктуры. С одной стороны, облачные вычисления – это экономия и легкость в управлении и мониторинге ресурсов, с другой – это новое направление, в котором возникают нетипичные задачи.

2. Несомненно, на рынке существует спрос на временные вычислительные мощности, так как это позволяет получить именно то количество ресурсов, которое необходимо для решения конкретной задачи. А с учетом того, что с использованием данных ресурсов может обрабатываться информация, являющаяся конфиденциальной, к ним предъявляются требования и по их безопасности.

На сегодняшний день есть ряд предложений от ведущих операторов связи по переходу к построению IT-систем на основе облака. Это, как правило, решения по созданию частных облаков, услуги по резервированию, а также предложения в сфере обеспечения их безопасности.

Рынок, пока, развит не так сильно, как рынок традиционной ИБ, но с учетом роста потребности в нем следует ожидать его расширения в самое ближайшее время.

Николай Фокин
генеральный директор
компании “Корп Софт" (Cloud4You)

1. Прежде всего посмотреть на эту проблему нужно с профессиональной стороны. Каждый должен заниматься своими задачами, и задачи надежности и безопасности лучше всего знают профессионалы в этой области. Каким образом использование частного облака относится к этому? Профессиональные облачные сервисы строятся с учетом отсутствия единой точки отказа. Это означает, что любой компонент, обеспечивающий работу сервиса, дублируется с избыточностью, необходимой для обеспечения параметров надежности. Проект, который хочет и должен стартовать на надежной основе, не должен заново проходить достаточно непростой путь для достижения гибкости и надежности (в том числе и по времени), который за него прошли большие команды профессиональных специалистов, создавая облачные технологии.

Задача безопасности и снижения стоимости фундамента проекта решается облачными технологиями за 5–10 минут – именно такое время необходимо для развертывания основы надежности, стабильности, безопасности, а следовательно, и эффективности проекта. Клиента больше не волнуют проблемы издержек проектирования, профессиональные и кадровые проблемы подготовки специалистов для технологического ведения проектов, клиент сэкономил время и практически все технологические затраты, получил прочный фундамент и ничем не ограничивающие его возможности. На мой взгляд, это очень эффективное решение задачи.

2. Безусловно есть. Наряду со стандартными технологическими решениями облачный сервис, как фундамент построения IT-инфраструктур, предоставляет возможность на своей основе консолидировать уже существующие логические решения, оперативно предоставлять эти сервисы своим клиентам. Причем реальную выгоду от этого получают обе стороны – и те, кто разрабатывает эти решения, и те, кто их получает. Сейчас развивается технология предоставления услуг безопасности как SaaS (например, услуга Anti-DDoS). Максимум оперативности и простоты прежде всего получают поставщики технологий безопасности, оформляя свои решения шаблонными методами виртуализации в облаке, но вместе с тем и клиенты получают оперативность их развертывания и внедрения на своих практических задачах. Более того, облачные технологии позволили с максимальной простотой комбинировать и наращивать технологии безопасности. До недавнего времени задача выливать проектирование в реальные решения была трудоемкой. С облачными технологиями эта задача теперь тривиальная и требует минимума усилий, финансовых и временных затрат.

Дмитрий Шепелявый
директор департамента по
работе с коммерческими
организациями компании Oracle СНГ

1. Наряду с защитой информации в социальных сетях и обеспечением безопасности мобильных технологий постановка задачи по защите данных в облаках является одной из трех основных тенденций на рынке ИБ в настоящее время.

Степени зрелости облачных услуг на западном и российском рынках различаются, но от этого требования к ИБ не меняются. Когда в России будут использовать полноценные облачные сервисы, проблема безопасности станет еще острее и с точки зрения российского законодательства, и с точки зрения менталитета российских компаний.

Безопасность мобильных технологий – еще одна важнейшая задача. Все чаще и чаще конечными устройствами становятся не ПК, а планшеты, смартфоны. Уходит в прошлое традиционный подход к обеспечению ИБ, который представлял собой периметр-крепость. Сегодня понятие периметра размыто, границ почти нет.

Но проблема безопасности в облаке, как она сейчас представлена в умах заказчиков, скорее надумана. При разработке облачных архитектур, технологий виртуализации и обмена информацией протоколы обеспечения безопасности уже встроены, надо только умело применить их. Сложность кроется в отношениях между аутсорсером и заказчиком. Необходимо четко распределить ответственность, контроль, проанализировать риски, обеспечить компенсации, страховку и т.д. Предполагаю, что грамотное взаимодействие будет сформировано в России через несколько лет.

2. К этому времени cloud из нашумевшего модного, но всего лишь слова превратится в ежедневные реалии бизнеса. Предоставление услуг по безопасности как облачного сервиса при этом будет неотъемлемой частью самих IT-услуг а облаке.

Большое преимущество облачных вычислений в том, что профессионализм самого заказчика в области ИБ некритичен. Заказчик лишь получает услугу. Важен профессионализм провайдера. Он должен обеспечить глобальную политику безопасности на основе новейших технологий и последних требований. В целом при переходе на облачную архитектуру уровень безопасности IT-структуры существенно вырастет.

Все компании, которые чего-либо боятся, уже разместили в зарубежных ЦОД наиболее критичные данные. А компаниям, которым бояться нечего, абсолютно все равно, где находится конфиденциальная информация. Имеет значение только стоимость обслуживания, качество услуг и разграничение юридической ответственности с провайдером.

Клиенты все больше заботятся о комплексности и взаимосвязанности средств обеспечения безопасности. Хотя сам этот тезис не нов, но до последнего времени все вопросы безопасности в основном решались нишевыми средствами защиты, которые плохо интегрировались между собой. В результате возникал эффект слабого звена в цепочке.

Сейчас безопасность становится сквозной – с уровня оборудования до уровня бизнес-приложения – с помощью единых взаимосвязанных, настраиваемых с единых консолей политик безопасности, средств защиты.

Игорь Егорьичев
ведущий менеджер
департамента маркетинга
ОАО “РТКомм.РУ"

2. Наличие любого информационного поля подразумевает наличие проблематики обеспечения безопасности тех данных, которые имеют обращение в этом поле. Таким образом, на вопрос о наличии в России рынка средств обеспечения ИБ можно однозначно ответить утвердительно.

В настоящее время отмечается тенденция роста использования облачных технологий в сфере ИБ – главным образом за счет антивирусных продуктов.

Еще один современный, новейший тренд на базе облачных технологий активно продвигают компании – производители мобильного оборудования, контента для мобильных устройств и операторы мобильной связи. Решение основано на принципе создания резервной копии данных/контента пользователя и ее удаленного хранения. Никаких проактивных действий, направленных на недопущение деструктивных действий в сторону оборудования и контента пользователя не подразумевается.

Тем не менее проблема защиты информационного поля (неважно, корпоративного или частного) не может быть ограничена только использованием антивирусного ПО и брандмауэров. Именно они сейчас составляют основную долю (около 70–75%) в структуре затрат на обеспечение ИБ. К необходимым методам обеспечения ИБ с использованием облачных технологий можно отнести такие услуги, как IPS/IDS, Anti-DDoS и т.п. И они только начинают набирать силу.

Российский сегмент облачных технологий в сфере ИБ в настоящее время можно охарактеризовать так: количество предложенных решений велико, а спрос пока мал. И основными причинами этого, на мой взгляд, являются сокращение потенциальными клиентами своих бюджетов на обслуживание IT-инфраструктуры (ввиду кризиса) и крайне низкая информированность как о современных типах угроз информационному полю, так и о самих облачных технологиях вообще. В этом плане российский бизнес практически ничем не отличается от западного.

События 2010–2011 гг., связанные с вопросами ИБ, позволяют проследить следующую тенденцию на ближайший год: угрозы в сфере ИБ будут расти, как в количественном, так и в качественном аспекте. Будет увеличиваться угроза финансовому сектору (онлайн-банкинг, интернет-платежи), вырастет количество сложных по своей организации DDoS-атак, усилятся фишинг и спаминг.

Такой ситуацией, сложившейся на стороне российских потенциальных клиентов, должны воспользоваться компании, предоставляющие услуги ИБ, в том числе и на базе облачных технологий. Таким образом, предложение будет формировать рынок спроса. А то, насколько удастся заинтересовать потенциальных клиентов в рекламируемых технологиях и сформировать серьезный потребительский рынок, напрямую зависит от качества решений, способности сервисов противостоять увеличивающемуся потоку деструктивной активности.

Мария Сидорова
заместитель руководителя направления
“Защита виртуальных инфраструктур"
компании “Код Безопасности"

1. Облачные вычисления, как правило, строятся на основе технологий виртуализации. Поэтому при обеспечении безопасности данных в частных облаках не обойтись без применения специализированных инструментов защиты, способных нейтрализовать специфические угрозы среды виртуализации. Среди прочих необходимо упомянуть НСД к данным виртуальных машин через взлом гипервизора, а также через средства управления инфраструктурой виртуализации. Снизить стоимость проекта по защите информации позволит грамотная настройка платформы виртуализации. Она может быть выполнена IT-администраторами двумя способами:

• вручную, но на это потребуется продолжительное время, постоянный контроль и соответствующие затраты на поддержание соответствия IT-инфраструктуры принятым ИБ-политикам;
• с помощью специальных средств защиты информации и с функциями автоматизации настроек и контроля выполнения политик.

2. В России существует несколько типов подобных услуг, которые условно можно назвать Security-as-a-Service. Основными направлениями являются защита от спама, антивирусная защита, фильтрация URL-адресов и защита от DDoS-атак. Положительной тенденцией развития этого рынка можно считать появление все большего количества решений по защите виртуализированных и облачных инфраструктур со специальными моделями лицензирования типа SaaS, позволяющими поставщикам облачных услуг предложить более полный спектр услуг в сфере ИБ, а заказчикам – значительно сэкономить.

Кирилл Степанов
технический директор
компании Novell СНГ

1. Если говорить именно о частном облаке (работающем в собственных ЦОД организации, то есть внутри защищенного периметра), то никаких особенных отличий в части обеспечения ИБ не возникает. По сути, приходится решать те же задачи, что и ранее, только физические серверы заменяются виртуальными машинами (число их при этом обычно растет). Путем экономии времени и средств (как и в обычной, невиртуализированной инфраструктуре) может стать реализация единой автоматизированной системы управления учетными записями пользователей (Identity Management) и интеграция с ней системы управления конфигурацией виртуальных (и физических) машин.

Такой подход позволяет автоматизировать рутинные операции по администрированию облака, исключить операторские ошибки и гарантировать соответствие реальной конфигурации принятым в организации политикам и регламентам ИБ. Чего, собственно, и требуют стандарты серии ISO 27000.

2. Лично я пока такого рынка не вижу. Причин тому может быть много, но главная из них – зарегулированность рынка услуг связи и обеспечения ИБ. Требования постоянно меняются и зачастую противоречат друг другу. Чего стоит одна только неопределенность в требованиях, возникшая после внесения поправок в № 152-ФЗ летом 2011 г.!