Создание защищенного частного облака

Несмотря на прогнозы Gartner о снижении объема рынка услуг в секторе облачных вычислений, в России эта тема актуальна и переживает бурный рост. Все большее число крупных и средних компаний задумывается о создании своей облачной инфраструктуры, а некоторые уже предприняли ряд серьезных шагов в этом направлении. Это не случайно: развитие рынка требует постоянного улучшения качества предоставляемых сервисов и оптимизации затрат, в том числе и на информационные технологии (ИТ). Переход на облачную платформу позволяет решить данные проблемы.

Однако перенос в облако существующей ИТ-инфраструктуры у многих до сих пор вызывает сомнения. Это связано с рисками компрометации или потери данных, несанкционированного доступа к ним и вероятных ошибок при переносе информации. Важно понимать, что из-за особенностей облачной архитектуры реализация угроз информационной безопасности (ИБ) может привести к более тяжелым последствиям, чем обычно. Например, в связи с тем, что облако представляет собой единое хранилище информации, скорость вирусного заражения и компрометации данных внутри него при отсутствии необходимых мер защиты будет существенно выше, чем в традиционной инфраструктуре. Чтобы максимально снизить значимость возможных рисков, необходимо тщательно проработать вопросы обеспечения ИБ.

В случае размещения информации в публичных облаках обеспечение ИБ осуществляет провайдер облачных услуг, а в случае частных — сам владелец ресурсов. Данная статья относится ко второму варианту, встречающемуся в России наиболее часто. Обычно процесс создания частного облака проводится в шесть этапов: оценка, консолидация, виртуализация, миграция, автоматизация и оптимизация. Для создания надежной системы защиты важно на каждом из них предпринять ряд шагов, которые позволят минимизировать значения рисков.

Оценка. На первом этапе проводится анализ потребностей бизнеса, возможных путей достижения поставленных целей, а также сравнение комплексных решений, обеспечивающих их выполнение. Основными параметрами сравнения являются производительность, отказоустойчивость, масштабируемость ИТ-инфраструктуры, надежность средств защиты. Немаловажны также стоимость внедряемых ИТ- и ИБ-решений, совокупная стоимость владения ими (TCO), скорость окупаемости (ROI).

В результате такого анализа разрабатывается стратегия развития ИТ- и ИБ-инфраструктуры, в которой определяются необходимость создания частного облака, потенциальные угрозы и нарушители, общие требования к ИТ- и ИБ-архитектуре облака.

Консолидация. На следующем этапе определяются последовательность и объем работ, необходимых для перехода на облачную платформу, а также их бюджет. Работы направлены на создание единой точки обработки данных, виртуализацию инфраструктуры, автоматизацию процессов управления и контроля и защиту платформы. Комплекс работ по обеспечению безопасности включает в себя:

• защиту каналов связи;
• шифрование данных;
• идентификацию и аутентификацию пользователей;
• контроль целостности файлов и настроек;
• управление доступом к данным и элементам инфраструктуры;
• усиленную защиту инфраструктуры виртуальных рабочих столов;
• эшелонированную антивирусную защиту;
• защиту от DDoS;
• автоматическое резервное копирование;
• защиту рабочих мест пользователей и т. д.

Также на этапе консолидации начинают разработку (или актуализацию) нормативных документов в области ИБ, связанных с дальнейшим функционированием облачной платформы. Нормативные документы должны включать вопросы обеспечения технической поддержки и защиты, распределения обязанностей, ответственности, повышения осведомленности пользователей и т. д.

Виртуализация. Следующим шагом в создании частного облака является виртуализация сетевой инфраструктуры и средств защиты. С точки зрения ИБ на данном этапе необходимо:

• ограничить полномочия администраторов виртуальной инфраструктуры;
• обеспечить надежную защиту гипервизора и средств управления инфраструктурой виртуализации;
• настроить платформу виртуализации в соответствии с существующими политиками ИБ.

Миграция в облако. На данном этапе осуществляется непосредственный перенос приложений, их настроек и данных на облачной платформе. Корректное определение способа переноса данных и их состава крайне важны с точки зрения ИБ. Поэтому, прежде всего, выявляют типы обрабатываемых данных и проводят их классификацию с точки зрения критичности для бизнеса. А затем определяют безопасный способ переноса данных и их допустимый объем.

Автоматизация. На пятом этапе осуществляется автоматизация процессов управления, которые в том числе включают в себя самомасштабирование и восстановление приложений после сбоев. Автоматизировать необходимо не только бизнес-приложения, но и приложения, обеспечивающие безопасность. Также следует уделить внимание построению процессов контроля, аудита, резервного копирования и восстановления данных, мониторинга и реагирования на инциденты в области ИТ и ИБ.

Оптимизация. Это заключительный этап, на котором подводятся промежуточные итоги: оцениваются показатели эффективности и проверяется степень достижения поставленных целей. По результатам устраняются все выявленные недостатки. В целях дальнейшего совершенствования рекомендуется проводить периодический анализ уязвимостей, актуализировать модель угроз и нарушителей, нормативные документы, а также модернизировать средства защиты в соответствии с тенденциями в области ИБ.

Таким образом, проблема обеспечения ИБ частного облака, несмотря на ряд особенностей, не является серьезным препятствием для перехода на облачную платформу. Более того, ее решение позволяет повысить эффективность проекта в целом. Выполнение предложенных рекомендаций к обеспечению безопасности на каждом из этапов создания облака позволит лучше управлять рисками и контролировать решение поставленных задач. Как следствие будут минимизированы возможные финансовые и репутационные потери, связанные с компрометацией, потерей данных, их несанкционированным раскрытием, приостановкой работы внутренних и внешних сервисов и т. д.

СПЕЦПРОЕКТ КОМПАНИИ “ИНФОРМЗАЩИТА”