Контакты
Подписка
МЕНЮ
Контакты
Подписка

Корпорация в облаках: так ли это опасно?

Корпорация в облаках: так ли это опасно?

В рубрику "Облака" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Корпорация в облаках: так ли это опасно?

Согласно данным исследования IDG Enterprise, опубликованного журналом Forbes в августе 2013 г., 49% руководителей признают облака как стратегию трансформации бизнеса, 40% уже поручили своим IT-подразделениям изучить потенциал облачных технологий для их бизнеса. Не верят в облака лишь 5% опрошенных, а 6% – не определились с ответом. По оценке IDC, рынок облачных сервисов будет расти гораздо быстрее, чем весь рынок IT в сфере услуг, и к концу 2016 г. объем мирового рынка в сфере облаков превысит $460 млрд, демонстрируя среднегодовой темп роста в 50,8%.
Левон Дадаян
Технический директор IBS DataFort

Безопасны ли облака?

Несмотря на то что преимущества облачных вычислений очевидны, большинство компаний по-прежнему опасаются использовать облака из-за возможных проблем с информационной безопасностью. Но так ли они серьезны? Чтобы разобраться в этом вопросе, необходимо обратиться к самой природе облачных вычислений, так как облачные модели различаются по виду доступа и модели услуг и имеют принципиальные отличия с точки зрения безопасности.

Итак, по виду доступа выделяются четыре вида облаков: публичное, виртуальное частное, выделенное частное и гибридное. Кроме того, облака могут различаться по модели услуг: инфраструктура, предоставляемая как сервис (Infrastructure as a Service, IaaS); платформы, предоставляемые в виде сервиса (Platform as a Service, PaaS); программное обеспечение, предоставляемое в виде сервиса (Software as a Service, SaaS).


Какой вид облака выбрать, каждая компания определяет для себя исходя из совокупности целого ряда факторов: экономических, технических и организационных. Например, располагает ли она достаточными ресурсами для того, чтобы построить собственное частное облако и полностью контролировать его безопасность? Какие данные компания готова передать для обработки провайдеру облака, если речь идет об аутсорсинге вычислительных ресурсов? Как правило, уже на этом этапе, когда облачный проект только начинает обсуждаться и проводится оценка его потенциальных возможностей, многие вопросы информационной безопасности уходят сами собой. Во-первых, потенциальные пользователи облачных сервисов еще до обращения к вендору или провайдеру услуг получают детальную информацию по решениям в области защиты информации. Во-вторых, сам провайдер облачных сервисов предлагает базовый набор опций ИБ в рамках той услуги и модели облака, которую предпочтет заказчик.

Список требований

Приводим список минимальных требований ИБ, который, с нашей точки зрения, должен выполнять провайдер облачных услуг:

  • Физическая защита. "Железо", на котором будет реализована облачная IT-инфраструктура, должно находиться в защищенном помещении, где предусмотрены климат-контроль, противопожарные меры, бесперебойное питание, а также круглосуточное обслуживание всей инфраструктуры.
  • Физическое разделение ресурсов. Инфраструктура, в которой обрабатываются критически важные и конфиденциальные данные, физически должна располагаться отдельно от общей инфраструктуры, усиленная безопасность которой не предполагается.
  • Антивирусная защита. В случае SaaS и PaaS антивирусная защита должна быть обязательно.
  • Необходимо примененять в дополнение к обычным еще и средств защиты, созданных специально для виртуальных инфраструктур.
  • Безопасность данных. Доступ к системам и данным должен быть ограничен, а все обращения должны журналироваться.
  • Необходимо разделение пользователей по ролям, в соответствии с которыми выдаются права на доступ к ресурсам. Важная и конфиденциальная информация, располагающаяся в облаке, должна быть зашифрована.
  • Менеджмент изменений. Пользователи и администратор облачной инфраструктуры должны быть в курсе происходящих изменений как на стороне облачного провайдера, так и на собственных платформах.

Какое облако выбрать?

Публичное
Как правило, интерес к такому виду облака проявляют представители СМБ, которые не могут разместить свои данные в частном облаке в условиях ограниченного IT-бюджета или рассматривают его как дополнительный вычислительный ресурс под разовый проект. Используя такое облако необходимо понимать, что оно предоставляет лишь отдельные виртуальные машины, причем через публичный интернет.


Добавим, что гарантированного объема ресурсов и непрерывности бизнес-процессов, а также сохранность конфиденциальных данных в этом случае получить довольно сложно. Кроме того, этот вид облака отличает низкий уровень прозрачности и контроля, поэтому чаще всего клиенты ограничивают использование публичного облака до приложений, которые не являются критически важными (CRM, электронной почты и коллективной работы). В публичном облаке крайне нежелательно размещение IT-систем, которые являются "ядром" для бизнеса компании.

Частное
Частное облако – это физически или логически выделенный пул вычислительных ресурсов с возможностью создания различных конфигураций IT-инфраструктуры и доступом по физически или логически разделенной сетевой инфраструктуре.

Отчет Центра экономических и бизнес-исследований (CEBR) свидетельствует, что уже к 2015 г. благодаря облачным вычислениям экономика развитых европейских стран будет получать дополнительно по 177,3 млрд евро в год. Важно отметить, что львиная доля этих средств будет обеспечена за счет освоения частной и гибридной моделей облачных вычислений.

В частном облаке четко определены границы как в плане доступа к облаку, так и в плане потребления ресурсов. Частное облако может являться собственностью компании, которая его эксплуатирует, а также браться в аренду у третьей стороны. Оно может физически находиться как в юрисдикции владельца, так и вне ее. Эксплуатация сервисов в частном облаке может осуществляться как самой компанией, так и третьей стороной. В случае внешнего управления облачными сервисами гарантия со стороны провайдера (облачного оператора) прописывается в соглашении по уровню сервиса, что позволяет защитить финансовые потери в случае сбоев сервиса. Частное облако является наиболее оптимальной моделью для крупной корпорации.


Гибридное
Гибридное облако позволяет объединить собственное частное облако и облако, арендуемое у провайдера, в единую инфраструктуру. Например, в облаках хранится "резерв" IT-инфраструктуры, который активируется в случае сбоя основной.

Гибридные облака представляют интерес для компаний, которые уделяют особое внимание резервированию, возможности разнесения прикладных систем по разным инфраструктурам, часть которых реализована на собственном оборудовании, а часть – на арендованном. Такой вид облака дает возможность воспользоваться лицензиями провайдеров на системное ПО виртуализации и управления, предоставляемое в рамках услуги, и не платить за собственные лицензии.

Подводя итоги, можно уверенно говорить о том, что сейчас полностью подготовлена почва для того, чтобы и коммерческие, и государственные организации использовали возможности облачных вычислений. Наиболее оптимальной моделью по типу услуг является IaaS (инфраструктура как сервис), так как именно в рамках этой модели давно отработаны методики предоставления сервисов провайдерами, есть четкие механизмы миграции. Практически отсутствуют проблемы того, что оборудование от разных вендоров может конфликтовать между собой, есть понимание того, как обеспечить безопасность данных в облаке. И что немаловажно – есть возможность наглядно проиллюстрировать преимущества размещения инфраструктуры в облаке, главное из которых – возможность управлять прозрачным и предсказуемым IТ-бюджетом. Если рассматривать конкретные примеры, то в рамках предоставления облака как услуги, а не проекта, мы можем комплексно реализовать такие средства защиты облачной инфраструктуры, как защита виртуализации, VPN, межсетевое экранирование. Это одни из самых затратных с точки зрения внедрения и поддержки статьи, поэтому клиент облачных услуг получает их в виде сервиса. Кроме того, в качестве опциональных услуг можно предложить антивирусную защиту виртуальных машин, cбор и хранение событий вычислительной среды, шифрование данных, подготовку и внедрение полного комплекса решений по ФЗ-152 и PCI DSS, аттестацию по ФЗ-152 и защиту от DDoS.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2014

Приобрести этот номер или подписаться

Статьи про теме