версия для печати
Сloud computing: безопасность за облаками?

Сloud computing: безопасность за облаками?

Бум на технологии предоставления интернет-сервисов по подписке продолжается: на смену парадигме SaaS, которая уже закрепилась в сознании продвинутого ИТ-сообщества как неотъемлемый элемент снижения затрат на ПО, приходит еще более заманчивая концепция cloud computing, благодаря которой заказчик освобождается от необходимости приобретать и поддерживать аппаратные средства, значительно снижая совокупную стоимость владения системой.

Возросшая популярность концепции сетевых вычислений объясняется вполне закономерным желанием российских компаний получить  свою толику преимуществ, пусть пока, возможно, мифических, от использования "облачных вычислений", которые обещают изменить их привычную бизнес-модель.

Несмотря на то, что cloud computing стали одной из самых обсуждаемых тем в ИТ-сообществе (заказчики, вендоры, операторы связи и обычные домашние пользователи находят в этой теме всевозможные точки пересечения интересов), общепринятого определения тому, что же считать услугами "облачных вычислений", до сих пор нет. Приверженцы cloud computing единодушны в одном: услуги данного типа имеют огромные преимущества перед прочими управляемыми сервисами и позволяют серьезно сокращать издержки, cвязанные с приобретением и сопровождением вычислительных мощностей. 

Так, по мнению ведущего консультанта Epicor Александра Горбачева, cloud computing – это как раз то, что называется синергией, выраженной в ИТ. Другими словами, cloud computing – это экстенсивная технология, которая при помощи интерфейсных решений упрощает жизнь. В рамках "облака" могут быть объединены сервисы самых разных поставщиков и различных назначений. Это означает, что каждый поставщик может вводить авторизацию пользователей на своём уровне, и заказчик будет пользоваться только теми возможностями, которыми позволит поставщик сервиса. Такие услуги должны поддерживать работу с виртуальными сетевыми ресурсами, предоставлять доступ к ресурсам через интерфейсы API, управлять этими ресурсами через API, давать некоторое представление о прикладных ресурсах в сети и поддерживать полномасштабное динамическое управление политиками на сетевых уровнях ISO/OSI.

Ключевым преимуществом cloud computing является снижение стоимости и повышение масштабируемости вычислительных ресурсов - заказчик получает возможность работать с виртуальными машинами  в "сетевом облаке" и постоянно расширять их количество, добавляя все новые процессоры. Наиболее привлекательны такие услуги для компаний уровня СМБ - стандартные пакеты услуг могут  быть очень востребованы на нишевых вертикальных рынках cо сравнительно небольшой маржинальностью. В этом случае cloud computing позволит не только снизить накладные расходы, связанные с поддержкой аппаратных и программных компонентов (зависит от типа предлагаемых услуг), но и увеличивать объем используемых ресурсов по мере необходимости. Такой подход позволит предотвратить крупные капитальные расходы на начальном этапе проекта, когда необходимо быстро запустить какую-либо услугу и выйти на рынок, не имея достаточного представления о том, насколько востребованным окажется этот сервис в перспективе.

Подушка безопасности для заказчика

Несмотря на колоссальные преимущества концепции cloud computing и связанных с ней услугами, существуют опасения по поводу отсутствия в этой области общепринятых стандартов и методов обеспечения гарантированного уровня безопасности. Так, подавляющее большинство потенциальных заказчиков (75% опрошенных, данные IDC, 2008) считают эту проблему ключевой, и именно она определяет степень готовности работать в "облаках".

"На данном этапе слова "сloud computing" и "безопасность"  - это антонимы, - выражает свою точку зрения Валентин Крохин, вице-президент по маркетингу LETA IT-company. - Если вы используете Сloud computing то можете забыть про безопасность своих данных. Связанно это с тем, что одним из столпов безопасности является то, что вы должны сами управлять данными, а в случае Сloud computing это невозможно. Вы отдаете данные на сторону, третьим лицам и что там с ней происходит де факто вам неизвестно, ведь вы даже сами удалить информацию не можете. Да и сама особенность технологии пока не подразумевает адекватной защиты данных, а уж про соответствие российским нормативным актам я даже не говорю, это просто разные вселенные".

Менее критичен Олег Коверзнев, менеджер по развитию бизнеса в области ЦОД компании Cisco, который считает, что определенности с безопасностью услуг сloud сomputing пока нет, как нет и единого мнения – что вообще называть такими услугами. Если выделить три типа услуг, построенных по принципу облачных вычислений – SaaS (Software as a Service, пример провайдера), PaaS ( Platform as a Service, пример провайдера – Google Apps Engine), IaaS (Infrustructure as a Service, пример провайдера – Amazon Elastic Cloud), то в каждом отдельном случае вопросы безопасности будут уникальны для отдельно взятой категории. А с учетом того, что в этой области дальше определений вопросы стандартизации пока не зашли, то реализация средств безопасности будет уникальна для конкретной платформы. Такого рода услуги представляют из себя целый ряд программно-аппаратных решений. Начальными шагами к обеспечению безопасности могут быть: во-первых, постепенная стандартизация основных архитектур предоставления услуг с выделением функциональных уровней (в том числе – подсистемы безопасности), а во-вторых, более четкое освещение методов защиты информации непосредственно провайдерами. С технологической точки зрения, существуют все необходимые средства, чтобы такие услуги были не менее безопасными, чем уже существующие Web-услуги.

"Основным вопросом, связанным с безопасностью пользователя в "облаке", может быть "где я нахожусь?", - cчитает Александр Горбачев, ведущий консультант компании Epicor. - Потому что в некоторый момент пользователю может быть совершенно непонятно, пользуется ли он встроенной обработкой или веб-сервисом. Если же это веб-сервис, то какой поставщик его предоставляет? Если возникает такой вопрос, то правильнее определить каждый сервис в виде списка используемых или доверительных ресурсов. Такие ограничения полностью совпадают с той политикой безопасности, которую мы используем по отношению к Java-скриптам или к безопасности web-страниц, или же к встраиваемым компонентам браузера. Наверняка вы встречали у своих друзей замусоренные до безобразия браузеры, которые, как новогодние ёлки, светятся всеми видами панелей: Yahoo, Yandex, Google, Adobe… Пока "облачные вычисления" еще не распространены столь широко, "облака" определяются на уровне поставщиков программ. Посмотрим, что будет дальше".

Риски использования  сloud computing

При использовании сервисов сloud computing возникают традиционные угрозы информационной безопасности, связанные с нарушением конфиденциальности, целостности и доступности данных. Специфика защиты этих сервисов заключается в том, что за обеспечение безопасности в подобных случаях отвечает не конечный пользователь, а провайдер.

Виктор Сердюк, генеральный директор "ДиалогНаука" приводит примеры некоторых рисков использования услуг сloud computing и возможные варианты их минимизации. Во-первых, это несоответствие требованиям законодательства и стандартам в области информационной безопасности. Так, при начале работы с провайдером, необходимо убедиться, что его автоматизированная система соответствует всем необходимым требованиям по безопасности информации, например ФЗ "О персональных данных", PCI DSS, ISO 27002 и др.

Во-вторых, серьезным риском является нарушение работоспособности инфраструктуры провайдера. При планировании применения услуг сloud computing необходимо удостовериться в том, что инфраструктура провайдера защищена от возможных сбоев и отказов. Заказчику важно получить гарантии максимального времени восстановления информации, в случае возникновения нештатных ситуаций.

И, наконец, в-третьих, самая распространенная на сегодняшний день угроза - несанкционированный доступ к информации, обрабатываемой на стороне провайдера. Как правило, провайдер предоставляет услуги одновременно большому количеству организаций, при этом все данные в большинстве случаев содержатся в одном хранилище. Поэтому необходимо проверить, что провайдер использует технологии защиты, обеспечивающие разграничение доступа к данным.

Могут ли описанные риски вытеснить сloud computing из бизнеса? По мнению экспертов компании "Лаборатория Касперского" это маловероятно, поскольку  такой сервис удобен пользователям и выгоден провайдерам. Отказ от него чреват изоляцией компании (и невозможностью вести бизнес) в той же степени, как и отказ от использования электронной почты в наши дни. Создание нового законодательства и строгих правил работы для провайдеров, а также технологий, делающих невозможной кражу пользовательских данных для сотрудников провайдера — гораздо более продуктивный подход, чем бойкот этой технологии. Сейчас не существует никаких ограничений для компаний, желающих выйти на рынок с предложением cloud-услуг. Однако через десять лет картина будет совершенно иная. Провайдеры, желающие предоставлять подобные услуги, будут вынуждены придерживаться строгих стандартов.

Рано или поздно, считает президент компании ABBYY Cергей Андреев, cloud computing будет включать в себя не только большие сервис-центры, которые сконцентрированы в какой-то точке, но и модель grid, когда компьютеры находятся в разных местах и соединены сетью. Это повышает эффективность их использования и является достаточно беспроигрышным сервисом.

Елена Гущина/СNews

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS