“Не стоит завышать ИБ-требования к облачным провайдерам”

Согласно оценкам IDC, объем российского рынка облачных услуг (публичных и частных) в 2010 г. составил 35 млн. долл., но к концу 2015-го он превысит 1,2 млрд. долл., демонстрируя среднегодовой темп роста более 100%. Вместе с тем опрос IDC, проведенный ею в среде ИТ-директоров в конце прошлого года, показал, что около 88% участников исследования озабочены проблемами обеспечения информационной безопасности (ИБ) облачной среды.

О своем видении состояния защищенности облачных сред научному редактору PC Week/RE Валерию Васильеву рассказывает глава московского представительства компании Trend Micro Вениамин Левцов.

PC Week: Как вы оцениваете уровень спроса на облачные сервисы в России?

Вениамин Левцов: Поскольку в России (в отличие от многих других стран) компания Trend Micro по-настоящему активна лишь в сегменте крупных корпоративных заказчиков, то о спросе отечественного среднего и малого бизнеса, а также индивидуальных пользователей на облачные сервисы говорить не стану, — сегодня это не наш рынок. Что же касается крупных компаний, то, по моим ощущениям, в пятилетней перспективе в публичные облака они не уйдут, зато частные облака уже стали актуальными. На базе отдельных ИТ-инфраструктур своих филиалов, дочек, аффилированных структур они строят единые ЦОДы, поначалу распределенные, чтобы использовать наследуемые ИТ-ресурсы. Важно иметь в виду, что строиться облака будут на платформе виртуализации, а это неизбежно ведет к изменению структуры ПО, используемого для обеспечения ИБ, к необходимости приобретать специализированные средства защиты виртуальной среды.

PC Week: Что может стимулировать переход к использованию ИТ в облаках?

В. Л.: Облака помогают ЦОДам наладить механизмы обмена ресурсами. При территориальной распределенности, свойственной крупному бизнесу, частные облака растягиваются на несколько часовых поясов, и такой обмен дает возможность гибко перераспределять нагрузку между образующими эти облака ЦОДами, экономить ресурсы, повышать надежность за счет дублирования. ИТ-ресурсы в облаке становятся более доступными не только с позиций ИТ-служб, но и с точки зрения бизнес-пользователей, в том числе для бухучета и расчета амортизации самих ИТ-ресурсов. Совместное использование и виртуализация ИТ-ресурсов заметно увеличивают степень их утилизации. По этой причине переход в облака может снизить потребность в закупках серверного оборудования.

PC Week: А что может помешать внедрению облаков?

В. Л.: Сегодня я не вижу ни одной серьезной проблемы, которая могла бы помешать крупной структуре — частной корпорации или министерству — перейти на частное облако. Но, конечно, есть причины, тормозящие этот процесс. Прежде всего у них уже существуют действующие, нередко масштабные инфраструктуры, и руководство этих крупных организаций исходит из здравого консерватизма: не нужно трогать то, что работает. Однако, уходя от проблем, связанных с использованием наследуемых ресурсов, наше правительство предпринимает в настоящее время попытку (и первую скрипку здесь играет “Ростелеком”) выстроить для электронного государства новую инфраструктуру на базе распределенных ЦОДов с нуля.

Есть в облаках и проблемы, связанные с ИБ. Они тоже настораживают будущих пользователей облачных сервисов. В облаках меняется концепция ИБ. Границы контролируемой зоны расширяются в облаках, без преувеличения, глобально. У корпоративных пользователей нет представлений о базовом профиле организации ИБ для подобных структур, об ИБ-политиках в облаках. Да и о наработанной облачной практике в России говорить рано. К тому же переход в облака — это масштабные проекты, которые должны инициироваться в компаниях сверху. Руководители же компаний пока еще недостаточно информированы в этой сфере. И тут я надеюсь на правительство страны. Именно оно должно первым начинать крупные облачные проекты — у него есть и потребности в этом, и ресурсы для этого. Такие проекты помогут избавиться от местечковых решений, которые мешают межведомственному информационному обмену и которые сложно вписать в практику электронного правительства.

Я бы сказал, что сегодня инициатива использования облаков исходит от экспертов и от государства как заказчика, но не от бизнеса.

PC Week: На кого Trend Micro рекомендует ориентироваться своим партнерам при обращении к потенциальным заказчикам построения системы ИБ для облаков? Иными словами, кто в компаниях более других заинтересован в использовании облаков?

В. Л.: С приходом облаков я впервые за восемь лет, на протяжении которых занимаюсь ИБ, наблюдаю ситуацию, когда контрагентом ИБ-вендора выступает не ИБ-, а ИТ-служба. Пока еще не сформированную облачную среду сегодня выстраивают айтишники, и они сразу пытаются заложить в нее правильные с позиции ИБ принципы. Поэтому ИБ-бюджеты для облаков сегодня являются инфраструктурными, а не продуктовыми, как, например, в ситуации с антивирусом, затраты на покупку которого идут не как капитальные вложения, а как операционные.

PC Week: Приведите, пожалуйста, примеры наиболее опасных кибер-атак на облака в России.

В. Л.: Ну какие атаки? Нет облаков — нет и атак.

PC Week: В чем заключаются основные технические проблемы обеспечения ИБ в облаках?

В. Л.: Они связаны с технологиями, которые в облаках используются. А это в первую очередь — виртуализация. Для обеспечения ИБ виртуальной среды основной технической проблемой является ограниченность вычислительных ресурсов виртуальных хостов, на которых работают виртуальные машины (ВМ) приложений. На каждую ВМ на хосте выделяется свой профиль, которых может быть много. И если, например, на каждую ВМ установить ядро обычного антивируса, то, следуя своим алгоритмам работы, не учитывающим специфики виртуальной архитектуры, эти антивирусы однажды с большой вероятностью перегрузят даже очень мощный хост. Поэтому, организуя защиту в условиях виртуализации, с системными ресурсами нужно обходиться предельно аккуратно.

Другой проблемой является безопасность гипервизора. Гипервизор, который видит все ВМ в пределах данного хоста, сегодня воспринимается как надежная, практически идеально защищенная среда для ВМ, контроль над которой захватить внешней атакой невозможно. Во всяком случае к настоящему времени ИТ-сообществу не известно ни об одной такой атаке на гипервизоры разных вендоров. Объяснить это можно тем, что у гипервизоров нет внешних сервисов — это полностью внутренняя система.

А вообще, гипервизор можно защищать внешними наложенными средствами. Trend Micro, например, использует для этого интеграцию с технологиями, которые предлагают производители процессоров. Так, в процессорах Intel реализована технология аппаратной защиты проверки контрольных сумм загружаемого ПО (TPM/TXT), которую мы используем в своих продуктах для проверки загрузки гипервизоров в сравнении с эталоном.

Для дополнительного контроля за администраторами можно применять предлагаемые ИБ-вендорами наложенные средства поддержки и контроля ролевого доступа вроде продукта vGate, разработанного компанией “Код Безопасности”.

Кроме того, шифровать в облаке нужно всё — то, что хранится, передается, обрабатывается. Думаю, в скором времени появятся новые специфические, построенные для облаков и, конечно, на базе ГОСТа, решения по шифрованию.

PC Week: А кроме технических какие ещё проблемы для ИБ в облаках вы считаете наиболее важными?

В. Л.: Самая главная нетехнологическая проблема связана с людьми. Я уверен, что внутренние требования к ИБ у компаний гораздо менее жесткие, чем те, которые они предъявляют к облачным провайдерам. Клиенты завышают требования к провайдерам, хотят от них более тщательной проработанности ИБ-политик, прозрачности процессов, чем имеют даже внутри своих компаний. Доверия между клиентами и поставщиками услуг нет, слаба еще практика заключения соглашений об уровне услуг и о неразглашении информации при обслуживании в облачных средах.

И вновь мы во многом возвращаемся к техническим аспектам защиты, таким как криптография, распределение средств хранения и обработки данных по разным ЦОДам и др.

PC Week: Отсутствие уверенности в надлежащем обеспечении и контроле ИБ в облачных средах можно считать главными причинами, тормозящими продвижение облачных сервисов. Имея в виду технические, юридические и экономические аспекты ответственности за ИБ перед пользователями со стороны провайдеров облачных сервисов, как Trend Micro предлагает переубеждать потенциальных клиентов?

В. Л.: Имея в виду область деятельности Trend Micro, ограничусь рекомендацией к облачным провайдерам применять средства обеспечения ИБ, специально созданные для виртуализированной ИТ-инфраструктуры, использование которой клиентами реализуется через облачную архитектуру, и предоставить доступ к этим специализированным средствам защиты ИБ-специалистам самих клиентов. Для контроля выполнения в облаке установленных в их компаниях ИБ-политик.

PC Week: Насколько решения для обеспечения ИБ в облаках, предлагаемые вашей компанией, независимы от платформ виртуализации, которая является неотъемлемой частью облачных вычислений?

В. Л.: Наши продукты гарантированно работают с VMware, Hyper-V и Xen. Ввиду слабого присутствия на рынке других платформ мы просто не пробовали работать с ними. Поскольку безусловным лидером в этом направлении является компания VMware, интеграции с ее платформой мы уделяем особое внимание. С нею наши продукты глубоко интегрированы через программный интерфейс. Так, мы можем видеть коммуникации между отдельными виртуальными машинами через интерфейс платформенного ПО. К сожалению, Microsoft таких интерфейсов не раскрывает, поэтому взаимодействие с Hyper-V у нас не такое глубинное.

PC Week: Облачную тему все еще следует относить к новым для сферы ИТ. Тем не менее специалисты уже говорят о стандартах ИБ в облаках. В чем суть стандартных подходов в этом отношении?

В. Л.: По сути эти стандарты формируют требования к системе ИБ на стороне провайдеров. Стандарты помогают реализовать для клиентов облачных сервисов метрики выбора провайдеров, соответствие которых требованиям стандартов будет свидетельствовать о степени их зрелости. Например, веб-сервисы, реализованные на стороне провайдера, согласно требованиям этих стандартов должны быть написаны в соответствии с рекомендациями по разработке защищенных веб-серверов; установленное на этих серверах ПО должно быть лицензионным и с установленными актуальными патчами и т. д. Стандарты учитывают новые реалии работы приложений в облачной архитектуре, когда даже критически важные приложения могут быть вынесены за контур корпоративной сети.

PC Week: Как Trend Micro предлагает решать для облаков задачи соответствия актуальным для России регулятивным требованиям к ИБ (таким, как закон “О персональных данных”, отраслевые стандарты по ИБ, количество которых сейчас увеличивается, стандарт PCI DSS)?

В. Л.: В июне вышла новая редакция PCI DSS (PCI DSS Virtualization Guidelines) с требованиями, адаптированными к виртуальным средам. Активно разрабатывается ряд общих стандартов по защите облачных сред: NIST выпустил Guidelines on Security and Privacy in Public Cloud Computing в январе этого года; еще раньше, в 2010 году, Cloud Security Alliance представил свой рубрикатор основных угроз для облачных сред (Top Threats to Cloud Computing). Пока эти стандарты еще проходят обкатку практикой, но вендоры уже учитывают представленный в этих документах ландшафт угроз, когда развивают свои продукты. Продукты Trend Micro для защиты виртуальных сред учитывают эти требования и позволяют многие из них выполнять. Как только появятся требования к обеспечению ИБ в облачных и виртуальных средах в других регулятивных документах, продукты Trend Micro помогут выполнять и их. Пока же облака выводят российских пользователей ИТ за рамки действующего в стране нормативного базиса, установленного сегодня российскими регуляторами.

PC Week: Благодарю за беседу.