Решения , Санкт-Петербург и область ,  
0 

Угрозы и перспективы

Фото: pixabay.com
Фото: pixabay.com
Вопросы безопасности «облаков» как никогда волнуют бизнес-пользователей, однако препятствием для их распространения не станут.

В годовом отчете по информационной безопасности Cisco за 2018 год говорится, что атаки киберзлоумышленниками осуществляются через бреши в обороне, одна из причин появления которых — распространение «облачных» сервисов. Между тем, развитие «облаков» — технологический тренд, неизбежность которого уже не вызывает сомнений. Сокращение time-to-market (периода от начала разработки продукта до его выхода на рынок) и потребность в переходе от CAPEX к OPEX делают «облака» одним из самых быстрорастущих сегментов IT. Таким образом, и бизнес, и «облачные» провайдеры, и компании, работающие на рынке безопасности, оказываются перед лицом серьезнейшего вызова: как обеспечить безопасность активно растущих «облачных» инфраструктур и сервисов перед лицом растущего числа угроз.

Угрозы в ассортименте

По данным Сравнительного исследования Cisco решений безопасности в 2018 году, предприятия во всем мире все активнее используют инфраструктуру локальных и публичных «облаков». В 2017 году 27% респондентов отметили, что используют внешние частные «облака», в то время как в 2016 году доля таких ответов составляла 25%, а в 2015 — 20%. 52% опрошенных рассказали, что их сети размещены на локальном частном «облаке». При этом 36% таких организаций размещают в «облаке» от 25 до 49% своей инфраструктуры, а 35% — от половины до 74%. Понятно, что в таких условиях вопросы обеспечения безопасности переходят в разряд жизненно важных для бизнеса.

При этом список угроз, которые эксперты считают критически значимыми, огромен — от DDoS-атак до техногенных катастроф, которые приводят к физической потере оборудования и как следствие — данных. Александр Погребной, заместитель генерального директора «Газинформсервис», напоминает, что утеря физического контроля над оборудованием и ПО создает предпосылки для неправомерного доступа к информации в том числе со стороны внутренних пользователей провайдера.

Список угроз, которые эксперты считают критически значимыми, огромен — от DDoS-атак до техногенных катастроф, которые приводят к физической потере оборудования и как следствие — данных.

Видит такую угрозу и Иван Монахов, технический директор Attack Killer: «В контексте современных реалий важно отметить, что при использовании сервисов «облака» пользователь передает контроль над информацией провайдеру «облака», что несет в себе дополнительные риски для безопасности информации. Пользователь становится зависимым от провайдера и может потерять не только логический контроль над информацией, но и физический».

Но все же главной проблемой Монахов считает другое. «Основной недостаток проявляется в том, что ресурсы и компоненты пользователи разделяют с пользователями, которые им неизвестны на логическом уровне, что позволяет злоумышленнику, используя уязвимости внутри «облака», преодолеть механизм распределения ресурсов между пользователями и получить несанкционированный доступ к ресурсам, — убежден эксперт. — Однородность программного и аппаратного состава платформы означает, что каждый недостаток будет проявляться во всем «облаке» и потенциально будет влиять на всех пользователей услуг».

«Зарубежные «облачные» сервисы находятся вне юрисдикции РФ, что резко ограничивает возможности влияния на таких провайдеров в части исполнения требований по информационной безопасности. Кроме того, зарубежные «облачные» сервисы подвержены влиянию иностранных спецслужб, что создает риски утечек коммерческой тайны, интеллектуальной собственности, ноу-хау в интересах конкурентов. DDoS-атаки на сервисы одного заказчика, размещенные в «облаке», могут косвенно влиять на доступность ресурсов прочих заказчиков, размещенных в том же «облаке», — оценивает Александр Погребной последствия других угроз. — В остальном проблемы могут быть аналогичны варианту с локальным размещением (собственный ЦОД), а именно — использование устаревших версий ПО и протоколов, ошибки конфигураций ПО и оборудования и т.п.».

«Данные в «облаке» подвержены тем же угрозам, что и в корпоративном дата-центре, — соглашается Петр Щеглов, директор по продуктам Selectel. — Это утечки данных по вине легитимных пользователей, кражи паролей и информации с помощью вредоносных программ и методов социальной инженерии, DDoS-атаки, целевые кибератаки и прочее — список весьма широк. Кроме того, при использовании услуг «облачных» провайдеров появляются дополнительные риски, обусловленные размещением информации в общей инфраструктуре. Сложности могут создать и различия в политиках информационной безопасности заказчика и поставщика услуг. Однако провайдеры могут минимизировать как эти, так и неспецифические риски и повысить общий уровень информационной безопасности компании».

При использовании услуг «облачных» провайдеров появляются дополнительные риски, обусловленные размещением информации в общей инфраструктуре.

Иван Колегов, менеджер по продукту компании «Код безопасности», считает, что выделить какую-то наиболее значимую угрозу не получится. «В числе сложностей — и риски мультиарендности, и вопросы безопасности виртуализации, — говорит он. — Сама «облачная» инфраструктура, состоящая из множества компонентов, несет в себе дополнительные векторы атак на инфраструктуру. Это и гипервизор, и средство централизованного управления виртуализацией, и средства построения «облачных» инфраструктур. Также сложно выстроить модель нарушителя: во-первых, она включает в себя множество ролей, во-вторых, отличается для различных моделей «облачных» услуг (IaaS, SaaS и прочие)».

Человеческий фактор

Человеческий фактор, разумеется, тоже остается угрозой, как и во многих других случаях. «Реальность такова, что скорость развития и внедрения технологий так высока, что поддерживать квалификацию пользователей становится все сложнее. Человеческий фактор в большинстве случаев является основной причиной утери или компрометации данных, — утверждает Петр Щеглов. — Легкость доступа к инструментам для несанкционированного доступа также приводит к тому, что количество киберпреступлений в мире растет по экспоненте. Даже неподготовленный злоумышленник сегодня без проблем и существенных затрат может заказать мощную DDoS-атаку или приобрести профессиональные программы для взлома систем, в которых использованы самые передовые технологии — от анализа больших данных, получаемых в результате сканирования, до искусственного интеллекта, который управляет целевыми кибератаками».

Даже неподготовленный злоумышленник сегодня без проблем и существенных затрат может заказать мощную DDoS-атаку или приобрести профессиональные программы для взлома систем, в которых использованы самые передовые технологии.

Жить страшно, но можно

Впрочем, большое число угроз не означает, что необходимо отказываться от «облаков». Это было бы равносильно отказу от автотранспорта из-за угроз дорожных инцидентов. Эксперты видят пути и инструменты защиты.

«Надо понимать, что «облачные» решения имеют ряд объективных ограничений в рамках самой технологии реализации, — говорит Иван Монахов. — При этом для данной технологии (возможно даже в большей степени) уже сейчас видится существенным применение решений, обеспечивающих комплексную безопасность всей IT-инфраструктуры: предотвращение DDoS-атак, обнаружение уязвимостей веб-инфраструктуры статическим и динамическим методами анализа, активная защита от хакерских атак. Эффективным ответом на современные угрозы станет самообучающаяся и самоадаптивная система. Мы полагаем, что будущее уже началось и оно находится именно в этой плоскости».

Несмотря на большое число угроз, отказ от облаков, как считают эксперты, был бы равносилен отказу от автомобилей.

Иван Колегов среди действенных инструментов называет повышение прозрачности, контроль и мониторинг собственных ресурсов со стороны потребителей «облачных» услуг. «Важным инструментом является шифрование данных в «облаке», причем с контролем ключей на стороне потребителя, — добавляет он. — Вопросы шифрования в наших реалиях выглядят достаточно трудоемкими, в основном это обусловлено жесткими требованиями со стороны регулятора. Потому развитие нормативной документации в сторону защиты «облачных» инфраструктур поможет быстрее создавать инструменты для обеспечения безопасности. Также здесь стоит упомянуть модель «облачных» услуг «безопасность как услуга». Сегодня ее предоставляет множество провайдеров, их количество будет расти наряду с механизмами безопасности, которые они предоставляют».

Александр Погребной указывает на необходимость заключения Service Level Agreement (SLA) с подробным описанием условий предоставления сервиса и соглашения о неразглашении (NDA). Среди эффективных технологических инструментов он называет шифрование критичной информации, обрабатываемой в «облаке» — как в СУБД, так и при передаче информации по каналам связи, двухфакторную аутентификацию для доступа к данным, контроль целостности данных и мониторинг доступа к ним и т.д.

Инфраструктурный пазл

Заметим, что «облачные» провайдеры осознают значимость проблемы и со своей стороны делают многое, чтобы защитить своих клиентов.

«Все начинается с физического контроля доступа к носителям информации. Эффективность наших решений в этой области подтверждена международным сертификатом PCI DSS. Кроме того, у нас есть все разрешительные документы ФСТЭК и ФСБ, и мы активно сотрудничаем с крупнейшими разработчиками систем защиты информации, совместно внедряя различные программно-аппаратные комплексы для защиты сервисов заказчиков, — рассказывает Петр Щеглов. — Если провайдер «облачного» сервиса, как Selectel, имеет в собственности дата-центры, владеет волоконно-оптической сетью и организует связь с внешними сетями через нескольких магистральных операторов, он может выстроить качественную систему защиты от DDoS-атак. К сожалению, отношение к этой проблеме остается достаточно поверхностным, хотя DDoS-атаки — один из первых шагов в перехвате информации и установлении контроля над информационной системой. В Selectel мы создали систему, которая эффективна в предотвращении всех известных типов атак. За последние два года она отразила более 200 крупных атак мощностью свыше 10 Гбит/сек каждая, а объем очищенного трафика вырос в пять раз».

Такое внимание провайдеров к вопросам защиты клиентов вполне объяснимо: часть ответственности ложится и на их плечи. «Информационная безопасность систем, размещенных в «облачном» сервисе, является обязанностью и провайдера, и заказчика, — уверен Петр Щеглов. — Только при продуктивном взаимодействии обеих сторон можно говорить об эффективной защите данных. На наш взгляд, это взаимодействие надо строить не в логике элементарного разграничения ответственности, а тщательно планировать совместную работу по обслуживанию деталей «инфраструктурного пазла» как на этапе планирования проекта, так и в дальнейшем на практике. Сегодня в зависимости от компетенции «облачного» провайдера его уровень ответственности может быть разным. При этом мы уверены, что роль облачных провайдеров в вопросах обеспечения информационной безопасности будет только расти».

Информационная безопасность систем, размещенных в «облачном» сервисе, во многом зависит от эффективности взаимодействия заказчика и провайдера.

Новые горизонты

И все же вопрос доверия облакам еще стоит достаточно остро. «На сегодняшний день ключевым сдерживающим фактором переноса вычислительных систем компаний в «облака» является вопрос доверия. На наш взгляд, обеспечив должный уровень комплексной информационной безопасности с понятными механизмами контроля за инфраструктурой, рынок «облачных» решений способен выйти на качественно новый уровень востребованности. Мы считаем, что этот процесс уже начался и в ближайшее время мы увидим бурный рост в облаках», — прогнозирует Иван Монахов.

«Для крупных государственных компаний вопросы безопасности являются сдерживающим фактором и очень серьезным, в особенности когда рассматривается возможность использования зарубежных «облачных» сервисов. Для средних и маленьких компаний вопросы безопасности не столь критичны, — уверен Александр Погребной. — В то же время, согласно последним отчетам Gartner, объем глобального «облачного» рынка (SaaS+PaaS+IaaS) имеет тенденцию к постоянному росту, что говорит о заинтересованности в данном виде услуг, следовательно, возникающие вопросы безопасности будут так или иначе подниматься и находить свое решение, чтобы не становиться препятствием для бизнеса».

«Распространение «облачных» инфраструктур сейчас повторяет путь виртуализации: вначале были непонятны преимущества, потом появились и начали решаться вопросы безопасности, затем пришло повсеместное распространение. Сейчас внедрение «облаков» находится на этапе решения задач обеспечения безопасности. Это подтверждает и наше недавнее аналитическое исследование, — рассказал Иван Колегов. — По его данным, более половины респондентов назвали вопросы безопасности основной причиной, сдерживающей переход в облака. Когда вендоры предоставят удобные средства защиты информации, не накладывающие дополнительных обременений на «облачные» инфраструктуры, с прозрачными сценариями использования этих средств защиты, тогда можно будет говорить о повсеместном переходе в «облака». Многие вендоры, в том числе и мы, работают в данном направлении, поэтому ситуация обязательно изменится в течение ближайших лет».

Как показали исследования аналитиков, более половины респондентов назвали вопросы безопасности основной причиной, сдерживающей переход в «облака».

«Тема информационной безопасности сегодня горяча как никогда, — подтверждает Петр Щеглов. — Многие заказчики сомневаются, что облака достаточно безопасны для хранения конфиденциальных данных. Несмотря на это компании и коммерческие провайдеры активно развивают «облачные» инфраструктуры, мировой и российский рынок «облаков» растут на десятки процентов в год. Бизнес прагматичен, и связанные с применением «облачных» технологий выгоды перевешивают опасения, справедливые и не очень».

Таким образом, вопросы безопасности вряд ли станут сдерживающим фактором в развитии «облаков». Более того, развитие средств защиты и внимание самих «облачных» провайдеров к вопросам обеспечения информационной безопасности уже качнуло чашу весов в сторону позитива. Так, 57% опрошенных Cisco специалистов по безопасности отметили, что размещают сети в «облаке» из-за более высокого уровня защиты данных. При этом об удобстве использования и возможностях масштабирования заявили менее 50% респондентов.
 

Содержание
Закрыть