© 1995-2022 Компания «Инфосистемы Джет»
Защита виртуальных сред и облачных сервисов – модно или актуально?
Информационная безопасность Информационная безопасность

Трудно найти более обсуждаемую тему в области ИБ, чем защита виртуальных сред и облачных сервисов

Главная>Информационная безопасность>Защита виртуальных сред и облачных сервисов – модно или актуально?
Информационная безопасность

Защита виртуальных сред и облачных сервисов – модно или актуально?

30.05.2013

Посетителей: 32

Просмотров: 30

Время просмотра: 2.3

Авторы

Автор
Евгений Акимов В прошлом - эксперт Центра информационной безопасности компании "Инфосистемы Джет"
Трудно найти более обсуждаемую тему в области ИБ, чем защита виртуальных сред и облачных сервисов. Последние 3–4 года шло нарастание числа сломанных копий по данному направлению, но практически все эксперты сходились на том, что академично правильная проактивная позиция относительно новых угроз в очередной раз потерпит фиаско. Проще говоря, пока не будет громких инцидентов, этот вопрос так и не перейдёт из разряда обсуждаемых в решаемые. Мол, как всегда: пока гром не грянет – мужик не перекрестится.

 

 

Действительно, если посмотреть на ИТ- и ИБ-решения, которые появлялись в последние лет 10, несложно увидеть, что между первыми внедрениями сложных многопользовательских приложений с очень запутанными правами доступа, например, класса ERP и CRM, и специфических механизмов их защиты (таких как IdM) прошло примерно 5 лет. А к вопросу безопасности используемого программного кода ИТ-отрасль вообще подошла совсем недавно.

 

Тем не менее, несмотря на крайне скромное количество публичных инцидентов (да и те традиционно зарубежные, что для нашей страны равносильно бесконечно далёким от нас), в прошлом году начались весьма масштабные проекты по этому направлению. Причем первые из них – в компаниях телекоммуникационных, да ещё и (о, наконец-то!) практически одновременно с созданием самих облаков на базе виртуальных сред. Почему так происходит, и стоит ли организациям других отраслей последовать по пути первопроходцев?

Действительно, реальная жизнь далека от классического подхода: появились новые угрозы – оценили риски – выбрали вариант обработки – внедрили соответствующие механизмы защиты. Для того чтобы бизнес начал тратить деньги, нужно что-то более простое и понятное – то, что можно назвать драйвером решений по безопасности. Таких мощных драйверов традиционно было всего несколько:

 

  • действительно происходящие потери, причем желательно монетизируемые и нередкие;
  • требования регуляторов;
  • и, в меньшей степени, отраслевой опыт – успешные действия коллег-конкурентов могут сдвинуть работу с мертвой точки.

 

Яркой иллюстрацией первого драйвера являются действия кибермошенников, например, против телекоммуникационных компаний и/или их клиентов. За примером для второго вообще далеко ходить не надо – до сих пор защита персональных данных вызывает практически у каждого безопасника очень яркие воспоминания.

 

Актуальность каждого из этих драйверов очень сомнительная – вала инцидентов, как и говорилось, не наблюдается, требования отечественных регуляторов на новые специфические угрозы пока не распространяются, а опыт успешных проектов только появился.

 

Видимо, дело в другом – если посмотреть на саму суть использования cloud-сервисов, становится понятно: конструкция «владелец информации определяет режим ее защиты» в облаках сложно реализуема. Дело в том, что владельцем информации, отдаваемой на хранение и обработку в облако, является клиент cloud-сервиса, а тот самый режим защиты обеспечивает его провайдер. Т.е. для того чтобы потенциальный клиент стал состоявшимся (а облачный сервис хоть кто-то купил, и весь проект начал приносить доход), он должен поверить в то, что «режим защиты правильный».

 

Учитывая, что ИТ-отрасль уже основательно прогрета темой безопасности облаков и виртуальных сред и только самый отчаянный бизнес готов отдать на сторону свои ИТ-системы и не задавать при этом лишних вопросов, снять эти проблемы без основательной доработки, в том числе технической части, не получится.

 

Большинство уже стартовавших и активно готовящихся проектов перешагнули через безопасность виртуальных сред, используемых для внутрикорпоративных целей, и имеют своей задачей именно реализацию cloud-сервисов. Интересно, что прорабатывая вопрос безопасности облаков, практически каждая компания проецирует новые механизмы защиты для них и на корпоративные виртуальные среды – ведь почти все cloud-среды используют технологии виртуализации, и очень многое по конкретным подсистемам и технологиям получается одинаковым. В такой ситуации аргументация «раз для наших клиентов эти механизмы защиты важны, значит, они важны и для нас» очень часто позволяет в рамках либо того же, либо параллельного проекта начать внедрение контрмер против новых, специфических для виртуальных сред угроз.

 

Таким образом, получается довольно интересная цепочка: клиенты облачных сервисов «голосуют рублём» за их безопасность, провайдеры эту защиту вынужденно реализуют, попутно решая и задачи безопасности собственных виртуальных сред, порождая успешные проекты, на которые смотрит весь рынок. В ближайшее время можно ожидать дополнения следующим звеном – тему защиты виртуальных сред и корпоративных облаков подхватит вторая волна компаний: банки, нефтегазовая отрасль, промышленность, ритейлеры и т.д. Такой прогноз выглядит весьма вероятным, под вопросом остаются, пожалуй, лишь глубина и скорость распространения этой тенденции.

 

Опыт первых проектов показывает: понимание, что именно надо дополнительно реализовать для того, чтобы уровень ИБ хотя бы не сильно понизился при переносе из традиционной ИТ-инфраструктуры в инфраструктуру виртуальную, а тем более в облака, у компаний довольно сильно разнится. Очень часто реализуется самое очевидное, в таком случае создается, скорее, иллюзия безопасности, и первенство в «соревновании щита и меча» пока на стороне «сил зла», т.е. киберпреступников, активно использующих объективную сложность виртуальных структур и их многочисленные уязвимости.

 

В такой ситуации большую важность приобретает доскональное понимание как технических, так и организационных аспектов обеспечения ИБ этой новой области. Практическая экспертиза в защите виртуальных сред и облачных сервисов в условиях перехода от теоретической подготовки к реальным проектам очень ценна. Учитывая, что практика пока единичная, возможности получить такую информацию из первых рук, к сожалению, очень немного. В последующих статьях мы постараемся решить вопрос этого информационного голода.

Уведомления об обновлении тем – в вашей почте

Сети в облаках

Глубина и темпы проникновения ИТ в личную и корпоративную жизнь сейчас уже никого не удивляют. В наиболее развитых странах революцию в этой области можно считать состоявшейся: объемы данных в информационных системах вышли на экспоненциальный рост, который даже опережает темпы, предсказываемые законом Мура

Облако: Проверено на себе

Последние два года тема облачных вычислений не сходит со страниц отраслевых изданий. Что касается непосредственно бизнеса, то и здесь наблюдается некоторый сдвиг в сторону cloud – имеют место первые осторожные попытки использовать эти технологии в реальной жизни.

«Облачные» решения от EMC

Корпорация EMC в числе первых начала разработку продуктов, предназначенных для построения «облачной» инфраструктуры. В настоящее время EMC является лидером на рынке решений Cloud Ready для СХД.

Специфические угрозы в виртуальных средах

Рассматривая виртуальные среды с точки зрения информационной безопасности, стоит обращать внимание не только на такие, ставшие уже очевидными, проблемы, как бесконтрольность сетевого доступа внутри виртуальной среды, возможность утечки информации через средства управления ею, но и специфические: зависимость от одной аппаратной платформы и единое время в рамках этой платформы, доверие к гипервизору и навязывание миграции в незащищенные зоны.

Аудит готовности ИТ- инфраструктуры к внедрению частного «облака»

«Облако» – это способ предоставления ИТ-услуг пользователям. Оно не является конкретной технологией или набором ПО, не привязано к аппаратной платформе. Особенность «облачных» вычислений состоит в определенных пользовательских качествах.

Программно-определяемые грузоперевозки

Еще недавно слово «аппаратный» было синонимом надежности и производительности. Каждая задача – на своем сервере. Все сетевые устройства непременно аппаратные, в массивных корпусах и с большим количеством лампочек.

«Облачные вычисления»

Все слышали про Большой Адронный Коллайдер. Мало кому известны все "тонкости" его работы. Почти никто не может сказать, как он устроен. Потому что это «высокая наука», так сказать, физика «haute couture». А ведь коллайдер (или его вариант) раньше стоял в каждом доме.

Как сделать виртуальную безопасность реальной с решениями Stonesoft

Особые подходы к организации виртуальной среды диктуют и свои правила по обеспечению безопасности

Технологии защиты облаков. Как снизить риски ИБ

Переход к cloud-технологиям несет в себе как выгоды, так и новые угрозы, связанные с ИБ

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня