Согласно результатам исследований Агентства по охране окружающей среды США (U.S. EPA) эффективность использования физических серверов составляет в среднем 5—10% и современные многоядерные серверы только усугубляют проблему, в то время как виртуализация поднимает этот показатель до 90%. При этом виртуальная инфраструктура, как утверждает компания EMC, обходится заказчику в два-три раза дешевле, чем физическая. Казалось бы, налицо “железная” мотивация внедрения новой передовой технологии — виртуализации.
Однако мы решили посмотреть на виртуализацию еще и как фактор риска, влияющий на защищенность ИТ-инфраструктуры, и провести среди своих читателей опрос, с тем чтобы получить представление о том, как в целом оценивают российские корпоративные пользователи ИБ-риски, связанные с внедрением технологии виртуализации ИТ-ресурсов (ВИТ).
Прежде всего, можно утверждать, что для российских пользователей виртуализация не является совсем уж новой: примерно треть принявших участие в опросе уже используют эту технологию в своих компаниях. Из тех, у кого есть собственный опыт ВИТ, двум третям эта технология облегчила решение задач обеспечения ИБ, а оставшейся трети наоборот — утяжелила. Мнения о влиянии ВИТ на решение ИБ-задач у тех, кто оценивает ее достоинства и недостатки умозрительно, разделились примерно поровну между ожидающими от ВИТ облегчения и усложнения. Примерно 11% опрошенных затруднились дать свою оценку.
Качественные оценки влияния ВИТ на затраты по обеспечению корпоративной ИБ представлены на диаграмме. Важно отметить, что никто из пользователей виртуализованной ИТ-среды не считает, что затраты на ИБ после внедрения неоправданно увеличились. Зато эффективность доступных сегодня на рынке средств защиты виртуальных сред пользователи оценивают осторожно, если не сказать скептически. Более 64% респондентов затруднились дать свою оценку их эффективности, а голоса тех, кто использует ВИТ вновь разделились примерно поровну (разница в пользу оптимистов составила 2%).
Безусловно, на ответы о влиянии ВИТ на защищенность корпоративной ИТ-среды и на оценку качества представленных на рынке специализированных средств защиты ВИТ оказывает уровень квалификации специалистов, занятых обеспечением ИБ в компаниях. Данные опроса говорят о том, что примерно половина участников полагает, что ИБ-специалисты их компаний готовы обеспечить защиту виртуализированных ресурсов, 39% опрошенных отказали в такой квалификации своим ИБ-службам, оставшиеся 11% затруднились с оценкой.
Известно, что виртуализация дает наибольший эффект при ее применении в больших масштабах, таких как ЦОДы, при этом чем крупнее ЦОД, тем выгоднее использовать в нем виртуализацию. С распространением крупных ЦОДов и с внедрением виртуализации тесно связана другая современная технология — облачные вычисления, которая предполагает широкое распространение ИТ-услуг (в том числе связанных с обеспечением ИБ) по схеме аутсорсинга. Однако если обратиться к результатам опроса, то выясняется, что 55% респондентов считают правильным при защите виртуализированных ресурсов полагаться только на свои силы; 17% готовы довериться сторонним провайдерам услуг, но критичные ресурсы желали бы контролировать сами. И только 13% хотели бы полностью довериться аутсорсерам. 15% опрошенных с выбором варианта доверия провайдерам ИБ-услуг затруднились.
Опираясь на результаты опроса, можно предположить, что та треть респондентов, которые уже используют виртуализацию, делает это в основной своей массе в небольших масштабах корпоративного серверного хозяйства, а пора сторонников виртуализации ЦОДов, готовых передать провайдерам обработку и защиту своих корпоративных данных, в том числе и критичных, еще не пришла — иначе отношение респондентов к аутсорсингу было бы иным.
Имея в виду сильнейшее влияние на состояние отечественного ИБ-рынка закона “О персональных данных” и таких стандартов. как PCI DSS, мы не могли обойти вниманием оценку виртуализации с этой позиции. Отвечая на вопрос о том, как ВИТ отражается на задачах по обеспечению соответствия компании современным нормативно-законодательным требованиям к защите информации, наши респонденты разделились на три примерно равные группы, одна из которых полагает, что ВИТ усложняет решение этих задач, другая, что упрощает, ну а третья затруднилась дать свою оценку.
