Тезис 1. Только существенное повышение безопасности облачных технологий приведет к их широкому распространению

Александр Трошин
технический директор
компании “Манго Телеком"

Текущее положение дел, развитие технологических платформ и программно-аппаратного обеспечения облачных сервисов обеспечивают более чем достаточный уровень информационной безопасности, возможности вести мониторинг безопасности, создавать и управлять политиками информационной безопасности (разумеется, я говорю о серьезных провайдерах настоящих облачных сервисов).

Повышение этого уровня, неизбежно связанное с дополнительными затратами, практически ничего не даст потребителю, но негативно отразится на цене услуг (при сохранении срока окупаемости) или на инвестиционной привлекательности этого сегмента рынка, так как при сохранении тарифов замедлится возврат инвестиций. Результатом такого гипотетического шага может стать не широкое распространение, а замедление внедрения облачных технологий. Предприятиям надо не мечтать о большем уровне безопасности облачных сервисов, а подтягивать к их уровню защищенность своих информационных систем.

Главными же драйверами для массового проникновения облачных технологий   на   текущий момент я вижу развитие именно опорно-транспортных сетей передачи данных, повышение гарантированной скорости их работы и более широкий географический охват. Техническая и экономическая доступность ШПД к сети Интернет для большинства пользователей ПК и мобильных устройств, а также уверенность пользователей в исключительной надежности данного доступа рано или поздно подвигнут к широкому распространению облачных технологий.

Денис Безкоровайный
CISA, CISSP, CCSK,
технический консультант,
Trend Micro вРоссиииСНГ

С высказыванием частично согласен, так как повышение безопасности обязательное, но недостаточное условие. Сейчас большинство заказчиков только задумываются о тех рисках, с которыми они столкнутся при переходе к облачным сервисам, особенно публичным. Точно так же мало кто из провайдеров облачных услуг, в том числе в России, может в доступной форме изложить заказчику эти риски, а уж тем более открыто рассказать об используемых механизмах защиты своих сервисов и инфраструктуры. Повышение безопасности облачных сервисов возможно при активном участии двух сторон – заказчики, оценив риски, начнут применять решения, предназначенные для защиты данных и сервисов в облачной среде, снижающие эти риски до приемлемого уровня. Провайдеры облачных услуг, с другой стороны, начнут планомерно выполнять рекомендации и лучшие практики экспертов и профессиональных сообществ по защите облачных вычислений. Провайдерам недостаточно просто декларировать защищенность своих сервисов, ее еще необходимо подтвердить и убедить в этом своих потенциальных клиентов. Для популяризации облачных услуг провайдерам необходимо будет сделать процесс принятия решения о миграции в облако максимально простым для клиентов, а необходимым условием для этого решения является безопасность. Даже без учета вопросов безопасности переход в облако будет означать для большинства заказчиков, особенно среднего и крупного бизнеса, необходимость большой работы по планированию миграции, изменению процедур обслуживания, проработки юридических и многих других вопросов. Эти действия провайдеры облачных услуг не смогут выполнить за заказчика, но должны будут проработать вопросы безопасности, предоставить клиентам информацию, необходимую для анализа рисков. Без осознания клиентами возможности защиты данных и сервисов в облаке никакие экономические выгоды от использования облаков не смогут привести к существенному росту популярности облачных сервисов.

Тезис 2. Незашифрованные данные в облаке уязвимы

Артем Гарусев
исполнительный директор
CDNvideo

Если данные не зашифрованы пользователем, то с тезисом не согласен, так как за это отвечает провайдер.

Нередко, особенно в форумах, встречаются категоричные высказывания: "Чтобы я отдал свои данные какому-то провайдеру? Да никогда!" Кстати, подобные соображения, иррациональные в своей основе, долго препятствовали развитию аутсорсинга. Но постепенно недоверие к нему пропадает, и мы видим, что сервисные компании не стали каналом утечки данных. Сам тон таких суждений показывает, что их авторы не вполне понимают, что в информационной безопасности не бывает абсолютной защиты, а бывают только определенные риски и адекватные (или неадекватные) им меры противодействия.

С хранением незашифрованных данных у провайдера облачного сервиса связаны два риска. Первый состоит в том, что оператор сам воспользуется данными пользователя, например продаст их заинтересованной стороне. Второй – в том, что защита провайдера будет преодолена извне, и информация будет похищена или разрушена, несмотря на все усилия провайдера по ее защите. Давайте посмотрим на эти возможности, но при этом будем сравнивать их не с недостижимым идеалом, а с уровнем реальной защиты, которую может обеспечить своей информации сам ее владелец.

Думаю, сегодня риск "нарваться" на криминального провайдера настоящего облачного сервиса практически нулевой. Во всяком случае, если это достаточно сложный сервис, если он популярен у пользователей и/или если среди его клиентов есть известные компании. Такая возможность экономически бессмысленна. Во-первых, для разработки ПО и создания надежной, доступной и масштабируемой технической инфраструктуры нужно затратить очень большие деньги, и рисковать ими глупо. А для таких сервисов потеря доверия пользователей – это гибель. Во-вторых, хорошо работающий респектабельный облачный сервис сегодня может достаточно легко получать крупные инвестиции, что еще более обессмысливает "слив" пользовательских данных. Поэтому провайдер просто вынужден применять все мыслимые технические и организационные методы защиты, постоянно совершенствовать их, выделяя на это значительные ресурсы. Эта защита намного лучше, чем у подавляющего большинства организаций – владельцев контента.

О частных лицах и говорить нечего. Именно по этой причине преодолеть защиту облачного сервиса извне гораздо труднее, чем взломать персональный компьютер пользователя. Конечно, если пользователь принимает необходимые меры предосторожности: использует зашифрованные протоколы передачи данных, надежные пароли, не записывает их на бумажках и т.д.

В общем, такую оценку подтверждают сами пользователи, которые просто пользуются сервисами типа Gmail, Google Docs, Dropbox или iCloud. Более широкого распространения, чем Gmail и представить сложно. Конечно, эти данные анализируются для подбора рекламы, но это уже другая история. Угрозы потери или разрушения контента тут нет.

Валерий Конявский
директор ВНИИПВТИ, д.т.н.

С тезисом нельзя не согласиться. Незашифрованные данные вообще уязвимы – как в облаке, так и вне его. Более того, и зашифрованные данные уязвимы – и в облаке, и в Интернете, и в компьютере, и в телефоне, и в… Данные в электронном виде вообще уязвимы, такова природа цифровых (электронных) данных.

Здесь возможны две формулировки, а именно: 1) можно ли рассчитывать, что данные в облаке сохранят конфиденциальность без применения криптографии, или 2) появляются ли новые уязвимости при использовании облака?

Ответ на первый вопрос – "нет", на второй – "да". И теперь можно формулировать новые вопросы: "Как обеспечить конфиденциальность данных при использовании облачных технологий?" и "Какие новые уязвимости появляются при использовании облачных технологий и какими мерами по технической защите информации эти уязвимости можно блокировать?".

Хочется надеяться, что новая рубрика Cloud Security поможет найти ответы на эти вопросы.

И еще, от нас ждут ответов не на вопросы типа "Что делать?" – это давно и хорошо всем известно. Важно отвечать на вопрос "Как это сделать?". Вот успешного поиска ответов на вопрос "Как?" и хочется пожелать журналу в связи с открытием рубрики.

Тезис 3. Технология облачных вычислений снизит расходы и повысит спрос на новые IТ-продукты

Виктория Носова
консультант по безопасности
Check Point Software Technologies

Не могу сказать, что я согласна с данным тезисом на 100%. Облачные вычисления на данный момент – достаточно популярная технология. На первый взгляд, размещение своих сервисов на площадке провайдера позволяет экономить на собственных ресурсах. Но давайте подумаем, так ли это на самом деле?

Существует     несколько вариантов   использования подобных сервисов.

Первый – это аренда выделенного сервера в облаке. В целом данный вариант не сильно отличается от уже давно известного размещения собственных серверов на colocation.

Второй – воспринимаемый как облако – использование технологии виртуализации.

Как правило, многие заказчики решаются разместить в облаке не самые ключевые для бизнеса сервисы. Необходимо учитывать, что виртуальная машина (ВМ) не так быстро обрабатывает информацию, в отличие от физического сервера. И например, если заказчик решает виртуализировать в облаке несколько бизнес-задач, но на разных ВМ, следует учесть, что будет использоваться несколько операционных систем.

Представьте, вы виртуализовали 10 нетребовательных к ресурсам сервисов, например DNS, NTPD и т.д. То есть вы имеете 10 ВМ, каждая из них со своей копией операционной системы. И даже если не брать во внимание стоимость лицензий на ОС, например при использовании *nix-систем, придется администрировать и обновлять каждую ВМ в отдельности. Это, естественно, усложняет и удорожает ее администрирование. Очевидно, что использование одного сервера, консолидирующего несколько таких сервисов, будет более экономически оправданным, даже если придется уделить большее внимание настройками безопасности. Просто сравните стоимость на sharedhosting (когда множество пользователей разделяют ресурсы внутри одной операционной системы) и стоимость VPS (когда каждый пользователь получает свою собственную виртуальную систему в рамках физического сервера). Кроме того, решитесь ли вы разместить в облаках базу данных, требовательную к производительности? Особенно с учетом того, что там хранятся все ваши конфиденциальные данные, даже если провайдер вам пообещает самый высокий уровень защиты? Очень сомневаюсь.

Конечно, в некоторых ситуациях облака оправданны, но это отнюдь не панацея. Не гонитесь за модными тенденциями, принимайте решения взвешенно.

Олег Глебов
специалис ткомпании
“Информзащита"

С тезисом согласен, успешные проекты по внедрению облачных технологий подтолкнут развитие не только новых IТ-продуктов, но и уже имеющихся предложений. Можно смело прогнозировать новую жизнь для многих старых проектов, которые по тем или иным причинам не имели должного успеха. Такие перспективы напрямую связаны со снижением прежде всего затрат на создание динамичной инфраструктуры и ее поддержания. Ранее применительно к классическим инфраструктурам предложение массы IТ-услуг и продуктов требовало не только технологической базы, но и закладывания больших дополнительных мощностей. Эти резервные ресурсы были рассчитаны на компенсацию мощностей при пиковых нагрузках на инфраструктуру. Облачные технологии позволяют применять бизнес-модель on-demand (по необходимости), тем самым внедрение новых продуктов или расширение клиентской базы будут равномерно затрачивать все большие мощности. Такой подход сводит затраты лишь к текущим продуктам, которые требуются клиентам. Это заметно упростит для компаний введение сложных или перспективных услуг, так как текущие затраты под них будут минимальны и динамически рассчитаны.

При этом не будет привязанности к конкретной специфике решения или услуги. Будет это программный продукт или инфраструктурное решение, компания имеет четкое представление о стоимости развертывания и развития, исходя из количества клиентов. Примером может стать предложение по построению корпоративных инфраструктур, которые полностью располагаются в облаке. Для небольшого клиента покупка необходимого размера сети и мощностей является серьезным фактором, обеспечивающим снижение IТ-затрат. Тем самым высвобождается ресурс для ведения бизнес-процессов и задач. В классической модели развитие инфраструктуры выливается в очень крупный элемент бюджета, а для компании на старте работ – это серьезный сдерживающий фактор. Чем быстрее облачные технологии в России будут набирать обороты, тем больше можно ожидать чрезвычайно интересных проектов и стартапов для компаний, что может сказаться на ускорении и развитии смежных отраслей.

Андрей Азовский
технический директор компании
“Русские Навигационные Технологии"

В целом утверждение верно, облачные технологии действительно снижают общие расходы, причем как на разработку, так и на обслуживание, содержание, поддержку. За исключением двух нюансов: повышенные требования к интернет-каналу и обеспечение безопасности данных. Насчет интернет-канала все ясно: технологии не стоят на месте, и сейчас никого не удивить интернет-каналом в 1 Гбит. Но если случается сбой и канал рвется, работа на основе SaaS замирает. Что касается обеспечения безопасности данных – этот вопрос более тонкий. Ведь передавая свои данные в удаленную вычислительную систему, потребитель должен быть уверен в их сохранности и защищенности. Безусловно, степень сохранности в облаках выше из-за распределенного и дублированного хранения данных, и вероятность сбоя очень низка, но при критичном сбое можно безвозвратно потерять часть данных. Вопрос с защищенностью данных еще более острый. Уровень безопасности должен быть на порядок выше, чем в локальных приложениях, и затрагивает он как само облако, так и интернет-провайдеров, осуществляющих связь с потребителем. И тут расходы могут возрасти, чтобы обеспечить надлежащий уровень защиты. Кроме того, есть еще и психологический аспект, когда потребителю необходимо передать информацию вовне, он будет испытывать повышенный дискомфорт от самого факта удаленного расположения своей информации. Поэтому часть расходов ляжет на PR и, возможно, страхование рисков потребителя.

Спрос же на облачные продукты, кроме их конечной стоимости, определяется еще их функциональным объемом. На текущий момент функциональность большинства локальных сервисов выше, чем аналогичных облачных продуктов. Такая ситуация временна, поскольку данный вид программного обеспечения еще достаточно молод, и многие серьезные игроки рынка software активно устремляются в сферу SaaS, но в любом случае все решит потребитель, потребности которого также неуклонно растут, и он становится более требовательным как к функционалу продуктов, так и к их удобству и безопасности.

Тезис 4. Большинство организаций полагаются в основном на сторонних сервис-провайдеров

Александр Додохов
руководитель проекта,
компания “Аладдин Р.Д."

С тезисом не согласен: здесь имеется ряд объективных и субъективных факторов. К объективным можно отнести то, что провайдер облачной инфраструктуры управляет множеством информационных систем, возможно, принадлежащих конкурирующим организациям. С точки зрения компании-заказчика облачных услуг, персонал IT-подразде-ления провайдера является потенциальным злоумышленником, имеющим полный доступ к информации.

Субъективный фактор – менталитет российских компаний. Как правило, руководителя интересует защита коммерческой тайны, которая, по его мнению, является крайне востребованной у недоброжелателей и конкурентов. В связи с этим возникает фактор недоверия, который трудно преодолеть.

Существуют также другие проблемы: например, при использовании облака достаточно сложно выполнить требования законодательства по защите ПДн, вследствие чего возникают риски конфликтов с регуляторами.

Какие факторы более весомы, зависит и от компании, и от ее компетенции в области ИБ, но то, что вопросы обеспечения защиты собственной информации не стоит делегировать провайдеру облачных услуг, по-моему, достаточно очевидно.

Михаил Насонов
директор по развитию COMDI

С тезисом согласен. Ведь всегда быстрее и проще не изобретать велосипед, а воспользоваться услугами сторонних сервис-провайдеров, которые специализируются на создании и поддержке инфраструктуры и могут предоставить именно такое решение, которое необходимо для конкретной организации. Стоимость использования готового решения в большинстве случаев значительно меньше, чем создание и поддержка собственных.

Безопасность данных и конфиденциальность информации – одно из главных параметров при выборе сервис-провайдера. Именно поэтому сервис-провайдеры прикладывают массу усилий для создания безопасной и защищенной среды хранения и обработки данных, так как это напрямую влияет на их репутацию.

Тезис 5. Разворачивание частного облака требует значительных трудозатрат

Игорь Корчагин
руководитель группы обеспечения
безопасности информации, ведущий
инженер компании ИВК

В большинстве случаев компании, планирующие или осуществляющие переход на облачные вычисления, сталкиваются именно с трудоемкостью переноса существующей IТ-инфраструктуры в облачную среду. В настоящее время уже существует немало технических решений для построения частного облака от крупнейших игроков сферы IТ, но при этом для адаптации этих решений под бизнес-процессы организации требуются значительные трудозатраты и финансовые вложения. Компании, годами эксплуатирующей решение по автоматизации собственных бизнес-процессов, которое за весь период эксплуатации отлажено и достигло стабильности, трудно решиться на такой инновационный шаг, даже если перспективные затраты на обслуживание системы в облаке значительно ниже.

Как правило, такие компании видят следующие препятствия:

• сложность выбора поставщика и интегратора облачных вычислений в IТ-инфраструктуру организации;
• сложность интеграции частного облака с существующей унаследованной корпоративной IТ-инфраструктурой организации, что влечет необходимость перевода всех бизнес-процессов в облако;
• необходимость реализации высоких требований доступности сервисов в частном облаке;
• необходимость закупки нового высокопроизводительного оборудования;
• неопределенность в реализации требований по безопасности, необходимость проработки новой политики безопасности предприятия;
• необходимость реализации требований законодательства по защите конфиденциальной информации (ПДн, коммерческая тайна и др.) без выделения отдельного облака для систем, обрабатывающих информацию данной категории;
• необходимость переучивания сотрудников организации.

Будущее, вероятно, именно за облачными средами в IТ-инфраструктурах предприятий (как частных, так и публичных), но в настоящее время на такой переход способны организации, которые либо автоматизируют свои бизнес-процессы с нуля, либо располагают значительными финансовыми возможностями.