Шторм или штиль: чего ждать от облаков?

1. Необходимо отметить, что сами по себе риски имеют различный характер в зависимости от категории информации и типа самого облака. Для информации, обрабатываемой в корпоративных ИС, риски одни, а для информации частных пользователей – другие.

Количество IТ-сервисов, потребляемых средней организацией, исчисляется десятками и будет только увеличиваться, а их типы будут становиться все более разнообразными. Очевидно, что при таких условиях роста использования облачных технологий и их вовлечения в бизнес-процессы организации повышается вероятность возникновения рисков ИБ.

С другой стороны, нельзя забывать, для чего и почему облака получают популярность и развитие среди корпоративных пользователей. В частности, они предназначены для минимизации рисков или их переноса на провайдера облачного сервиса. Поэтому, можно сказать, что для корпоративных пользователей следует ожидать не столько снижения уровня рисков, сколько их изменения и появления возможности их переноса.

Для частных пользователей облаков ситуация понятнее.

Тенденция в настоящий момент такова, что мобильные платформы приходят в нетипичные области нашей повседневной жизни. Например, компания Google объявила о создании Open Automotive Alliance, цель которого – способствовать внедрению ОС Android в автомобили. Уже сейчас в альянс вошли четыре крупных автоконцерна. На очереди холодильники, фотоаппараты и пр. Насколько глубоко мобильные платформы уже сейчас интегрированы в облачные технологии, известно из повседневного опыта.

Если обратиться к статистике количества всевозможного вредного кода на мобильных платформах, можно прогнозировать, что новые устройства будут подвержены всем текущим рискам. Кроме того, сложность администрирования и управления возросшим количеством устройств еще сильнее снизит уровень защищенности и, как следствие, повысит уровень риска при работе с облаками.

Так что прогноз для частных пользователей скорее неблагоприятный.

2. Пользователи облачных сервисов формируют спрос на все модели облаков, и очевидно, что уровень обеспечения ИБ будет развиваться у всех моделей.

С точки зрения ИБ существенным является наличие возможности предъявления специфических требований к провайдеру облачных услуг. Частные облака предоставляют больше возможностей в данном направлении, и в частности поэтому частные облака могут обеспечить более высокий уровень ИБ.

Нельзя не отметить, что появилось новое понятие – "персональные облака". Такой облачной структурой может стать домашнее сетевое хранилище или сервер с необходимыми функциональными возможностями.

3. Для минимального обеспечения безопасности информации в облаке необходимо контролировать доступ к данным, определять принимаемые меры защищенности и контроля над размещением. Поэтому ответом на вопрос "Что необходимо…?" является соблюдение договорных обязательств провайдером облачных услуг. Это необходимое и во многих случаях достаточное условие для обеспечения приемлемого уровня ИБ.

Также не менее важным аспектом является ознакомление с соглашением с оператором облачного сервиса. Как минимум с ним необходимо ознакомиться. У многих пользователей соглашения с провайдерами даже не вызывают вопросов. А ведь именно там определены вопросы доступа к данным и передачи третьим лицам.

4. Можно с уверенностью сказать, что спада не будет. Возможно, будет замедление роста в сегменте публичных облаков ввиду достижения определенного насыщения традиционными на данный момент услугами. С другой стороны, как я уже писал выше, все большее количество пользователей со своими устройствами становится клиентами облачным сервисов. Таким образом, определенные сегменты выйдут на новый виток развития.

1. Если данные зашифровать, то рисков при передаче и хранении не будет. Правда, тогда облако станет просто удаленным медленным диском. Если вам этого хватает – то в путь. К сожалению, преимуществами облачных сервисов в этом случае воспользоваться не удастся.

Если же вопрос сформулировать правильно – о возможности снижения рисков при использовании облачных сервисов, – то, конечно, ответ будет оптимистичным. Стоит ждать. Правда, не скоро. Пока риски только осознаются. До их снижения далеко.

Главный риск здесь – это отсутствие осознания того, что все, что попало в облако, останется там навсегда. Это бесспорное положение пока не укладывается в сознании человека. И с этим связаны самые большие риски, в том числе и риски нарушения прав пользователя.

Конечно, кроме этого, есть еще много вопросов – например, о защищенности взаимодействия защищенного клиента и незащищенного сервиса в защищенном облаке. Ну, и различные вариации на эту тему.

2. Лучше всего – "домашнее" облако. Вот его можно сделать защищенным.

3. Минимум – это создание доверенной среды как в ЦОД, так и у клиента. Возможно, сюда следует отнести и создание доверенного планировщика.

Совершенно необходимо обеспечить разделение функций по управлению безопасностью. Если мы хотим добиться приемлемого уровня защищенности, то есть только один путь – дать клиенту ненастраиваемый доверенный доступ. Ну, или заняться евгеникой и вывести новый тип пользователя – безошибочно выполняющего все требования ИБ.

4. Я ожидаю некоторого спада инвестиций в создание облачной инфраструктуры, но заметного роста в области предоставления услуг в защищенном виде. Думается, что 2–3 системы ЦОД, предоставляющие сегодня традиционные облачные сервисы, предложат рынку возможность использования сервисов защищенных. В то же время станет очевидным неуспех создания ведомственных облачных инфраструктур. Возможно, эта часть рынка будет замещена "гособлаком". Таким образом, новый виток развития современных инфраструктур информационного взаимодействия может быть связан с возвратом к виртуализации на ведомственном уровне, и развитием защищенных облачных сервисов в публичных инфраструктурах.

1. Уровень риска нарушения безопасности определяется соотношением угроз и уязвимостей, вероятностью наступления опасного события, уровня тяжести последствий нарушения безопасности и частоты наступления опасных событий. Все эти параметры постоянно находятся в динамике, каждая организация определяет соотношение расчетного уровня рисков с приемлемым. Говорить о снижении уровня риска конкретных технологий (в данном случае передачи и хранения) можно только для хорошо известных и широко применяемых технологических решений, при условии обобщения опыта использования многими предприятиями.

Каждая новая технология должна пройти определенные уровни зрелости. Облачные технологии также не смогут избежать этого эволюционного пути развития. С наработкой опыта появятся механизмы обеспечения безопасности работы с данными.

Для технологий передачи и хранения ценной для заказчика информации в "юной" облачной сфере необходимо использовать проверенные и научно обоснованные способы защиты данных на основе сертифицированных по требованиям ФСБ России продуктов. Все конфиденциальные данные должны передаваться и храняться в зашифрованном виде. Управление ключами шифрования должно производиться внутри контролируемого периметра организации.

2. В данной постановке, безусловно, частное облако. В нем можно контролировать все процессы, а главное – можно достичь приемлемого уровня рисков при работе в облаке.

3. Охота за интересующей злоумышленника информацией не прекращается ни на земле, ни на море. Охотника не остановит и облако. Рецепт один: шифрование. Дешифрование украденной информации может затянуться… Зная это, ее просто не будут воровать.

4. Прогресс остановить нельзя. Переход к облачным вычислениям будет затрагивать постоянно увеличивающееся число участников. Не думаю, что это будет "новый виток", по сути, "витка" (полного оборота) еще не было. Наблюдаются постепенное развитие облачных технологий и появление первых сервисов, ориентированных на использование в облаке. С накоплением опыта появятся новые, более проработанные рекомендации по безопасной работе в облаках. Возможно, появятся первые требования ИБ. Предстоит развитие облачных решений и понимание необходимости создания доверенных сервисов.

Облачные технологии, как и многое другое в сфере IТ, – чудесный и мощный инструмент. Практически коллайдер, если проводить какие-то аналогии. Штука очень хорошая, но вот нужна ли она вам? Сколько ни читаешь про облачные технологии, нигде нет анализа, при каком объеме информации и сервисных услугах нужно переходить в облака. Везде лишь рекламные лозунги о преимуществах, повышении, снижении и т.п. Жаль.

Давайте реально подумаем. Если компания работает с действительно огромными массивами данных, с ресурсоемкими сервисами и т.п., то им даже не надо ничего рассказывать, они и так в тренде, внимательно следят за новинками и сами бегают за поставщиками. А те, кому сегодня настойчиво предлагают уйти в облака, – это относительно небольшие компании, где не более пары тысяч пользователей, реального онлайнового потока данных нет, все базы данных не превышают нескольких сотен гигабайт и число сервисов не превосходит пары десятков. Да и то среди них лишь 3–4 критичны для бизнеса, а остальные не требуют какой-то особенной надежности и день простоя не обанкротит компанию.

Такой компании вполне достаточно пула из 7–8 серверов с небольшим NAS. Облака тут не нужны, хватит минимальной виртуализации. Конечно, благородная идея о том, чтобы собрать все в облако и сделать все "по-взрослому" витает в воздухе, но оно работает и так. Облако не снижает в данном случае затраты, а повышает их. Делать свое облако – неимоверные расходы на инфраструктуру. И на админов куда более высокой квалификации, чем при стандартном подходе. Отдавать в провайдерское облако – тоже не лучшее решение. И дело тут уже не только в облачных провайдерах, но и в провайдерах услуг связи. Доверия такого уровня, чтобы сделать свой бизнес провайдерозависимым, пока ни к кому нет.

А вот когда действительно нужно отдавать в облака, так это, например, когда требуется разместить интернет-сайт компании, сделать виртуальную среду для доступа сотрудников к почте и минимуму сервисов с мобильных устройств и пр. Но тут вопрос стоит не столько в самих облачных технологиях, сколько в поставщиках соответствующих услуг, которым без облаков просто не обойтись. И только развитие этого сектора рынка и появление конкуренции в предложении массовых и дешевых сервисов, даст развитие серьезным облачным дата-центрам в нашей стране, за которыми подтянутся и поставщики услуг связи. И вот тогда уход в облака станет массовым и коммерчески оправданным.

Так уж устроен прогресс, что технологии приходят вслед за тем, как сама идея становится привычной. Когда появились первые автомобили, слово "шофер" было синонимом чего-то сверхъестественного. А сегодня за пару недель можно выучиться управлять автомобилем и наличие водительского удостоверения уже является просто нормой. Но для этого прошло время и развились технологии, причем как в сфере автомобилестроения, так и в сфере строительства дорог, нормативной базы и пр., без чего автомобили просто немыслимы. И в облаках, точнее в российских облаках, технологии скоро сделают вопросы защиты данных, передачи, конфиденциальности и сохранности второстепенными, а на первый план для пользователя выйдет простой экономический расчет целесообразности перехода на новые технологии.