Защита виртуальных сред и облачных сервисов – модно или актуально?
Информационная безопасность Информационная безопасность

Трудно найти более обсуждаемую тему в области ИБ, чем защита виртуальных сред и облачных сервисов

Главная>Информационная безопасность>Защита виртуальных сред и облачных сервисов – модно или актуально?
Информационная безопасность

Защита виртуальных сред и облачных сервисов – модно или актуально?

Дата публикации:
30.05.2013
Посетителей:
32
Просмотров:
30
Время просмотра:
2.3

Авторы

Автор
Евгений Акимов В прошлом - эксперт Центра информационной безопасности компании "Инфосистемы Джет"
Трудно найти более обсуждаемую тему в области ИБ, чем защита виртуальных сред и облачных сервисов. Последние 3–4 года шло нарастание числа сломанных копий по данному направлению, но практически все эксперты сходились на том, что академично правильная проактивная позиция относительно новых угроз в очередной раз потерпит фиаско. Проще говоря, пока не будет громких инцидентов, этот вопрос так и не перейдёт из разряда обсуждаемых в решаемые. Мол, как всегда: пока гром не грянет – мужик не перекрестится.

 

 

Действительно, если посмотреть на ИТ- и ИБ-решения, которые появлялись в последние лет 10, несложно увидеть, что между первыми внедрениями сложных многопользовательских приложений с очень запутанными правами доступа, например, класса ERP и CRM, и специфических механизмов их защиты (таких как IdM) прошло примерно 5 лет. А к вопросу безопасности используемого программного кода ИТ-отрасль вообще подошла совсем недавно.

 

Тем не менее, несмотря на крайне скромное количество публичных инцидентов (да и те традиционно зарубежные, что для нашей страны равносильно бесконечно далёким от нас), в прошлом году начались весьма масштабные проекты по этому направлению. Причем первые из них – в компаниях телекоммуникационных, да ещё и (о, наконец-то!) практически одновременно с созданием самих облаков на базе виртуальных сред. Почему так происходит, и стоит ли организациям других отраслей последовать по пути первопроходцев?

Действительно, реальная жизнь далека от классического подхода: появились новые угрозы – оценили риски – выбрали вариант обработки – внедрили соответствующие механизмы защиты. Для того чтобы бизнес начал тратить деньги, нужно что-то более простое и понятное – то, что можно назвать драйвером решений по безопасности. Таких мощных драйверов традиционно было всего несколько:

 

  • действительно происходящие потери, причем желательно монетизируемые и нередкие;
  • требования регуляторов;
  • и, в меньшей степени, отраслевой опыт – успешные действия коллег-конкурентов могут сдвинуть работу с мертвой точки.

 

Яркой иллюстрацией первого драйвера являются действия кибермошенников, например, против телекоммуникационных компаний и/или их клиентов. За примером для второго вообще далеко ходить не надо – до сих пор защита персональных данных вызывает практически у каждого безопасника очень яркие воспоминания.

 

Актуальность каждого из этих драйверов очень сомнительная – вала инцидентов, как и говорилось, не наблюдается, требования отечественных регуляторов на новые специфические угрозы пока не распространяются, а опыт успешных проектов только появился.

 

Видимо, дело в другом – если посмотреть на саму суть использования cloud-сервисов, становится понятно: конструкция «владелец информации определяет режим ее защиты» в облаках сложно реализуема. Дело в том, что владельцем информации, отдаваемой на хранение и обработку в облако, является клиент cloud-сервиса, а тот самый режим защиты обеспечивает его провайдер. Т.е. для того чтобы потенциальный клиент стал состоявшимся (а облачный сервис хоть кто-то купил, и весь проект начал приносить доход), он должен поверить в то, что «режим защиты правильный».

 

Учитывая, что ИТ-отрасль уже основательно прогрета темой безопасности облаков и виртуальных сред и только самый отчаянный бизнес готов отдать на сторону свои ИТ-системы и не задавать при этом лишних вопросов, снять эти проблемы без основательной доработки, в том числе технической части, не получится.

 

Большинство уже стартовавших и активно готовящихся проектов перешагнули через безопасность виртуальных сред, используемых для внутрикорпоративных целей, и имеют своей задачей именно реализацию cloud-сервисов. Интересно, что прорабатывая вопрос безопасности облаков, практически каждая компания проецирует новые механизмы защиты для них и на корпоративные виртуальные среды – ведь почти все cloud-среды используют технологии виртуализации, и очень многое по конкретным подсистемам и технологиям получается одинаковым. В такой ситуации аргументация «раз для наших клиентов эти механизмы защиты важны, значит, они важны и для нас» очень часто позволяет в рамках либо того же, либо параллельного проекта начать внедрение контрмер против новых, специфических для виртуальных сред угроз.

 

Таким образом, получается довольно интересная цепочка: клиенты облачных сервисов «голосуют рублём» за их безопасность, провайдеры эту защиту вынужденно реализуют, попутно решая и задачи безопасности собственных виртуальных сред, порождая успешные проекты, на которые смотрит весь рынок. В ближайшее время можно ожидать дополнения следующим звеном – тему защиты виртуальных сред и корпоративных облаков подхватит вторая волна компаний: банки, нефтегазовая отрасль, промышленность, ритейлеры и т.д. Такой прогноз выглядит весьма вероятным, под вопросом остаются, пожалуй, лишь глубина и скорость распространения этой тенденции.

 

Опыт первых проектов показывает: понимание, что именно надо дополнительно реализовать для того, чтобы уровень ИБ хотя бы не сильно понизился при переносе из традиционной ИТ-инфраструктуры в инфраструктуру виртуальную, а тем более в облака, у компаний довольно сильно разнится. Очень часто реализуется самое очевидное, в таком случае создается, скорее, иллюзия безопасности, и первенство в «соревновании щита и меча» пока на стороне «сил зла», т.е. киберпреступников, активно использующих объективную сложность виртуальных структур и их многочисленные уязвимости.

 

В такой ситуации большую важность приобретает доскональное понимание как технических, так и организационных аспектов обеспечения ИБ этой новой области. Практическая экспертиза в защите виртуальных сред и облачных сервисов в условиях перехода от теоретической подготовки к реальным проектам очень ценна. Учитывая, что практика пока единичная, возможности получить такую информацию из первых рук, к сожалению, очень немного. В последующих статьях мы постараемся решить вопрос этого информационного голода.

Уведомления об обновлении тем – в вашей почте

Приложения размером с интернет

Основные черты современных информационных систем – гибкость и динамика

Обновленные компетенции

Любые разговоры о формах и моделях аутсорсинга ИТ-инфраструктуры очень часто сворачивают с темы архитектур на практики и компетенции, которые им соответствуют

«Мы могли все разрушить, но вместо этого перешли на микросервисы»

На кого ориентировался «Росбанк» при выборе cloud-решений? Чем микросервисная архитектура напоминает чеховское ружье? Как частное облако превратило склад в сервисную компанию?

«Мы — не стандартный e-commerce, который бьется за клиентов»

Почему в пандемию у Faberlic стало больше консультантов? Зачем домохозяйства объединяются в одного суперпокупателя? Почему провалилась попытка заменить бумажные каталоги планшетами на Android?

«Облачные вычисления»

Все слышали про Большой Адронный Коллайдер. Мало кому известны все "тонкости" его работы. Почти никто не может сказать, как он устроен. Потому что это «высокая наука», так сказать, физика «haute couture». А ведь коллайдер (или его вариант) раньше стоял в каждом доме.

Как перейти в облако и не облажаться

Свой дата-центр vs публичное облако. Кто кого? Варианты использования публичных облаков в корпоративном ИТ-ландшафте? Что нужно учитывать при переносе приложения в cloud-среду?

Актуальность проблем безопасности в виртуальных средах

Развитие информационных технологий зачастую идет по пути усложнения и создания дополнительных уровней абстракции, позволяющих облегчать развертывание и обслуживание ИТ-систем. Этой участи не удалось избежать и операционным системам, которые все чаще разворачиваются в среде виртуализации

Крупные компании готовы переносить системы в российские облака

В интервью нашему изданию Денис Абраменко рассказал, какие системы сервисная компания «Центр корпоративных решений», входящая в состав Fletcher Group, готов переносить в публичное облако и почему будущее ИТ-инфраструктур крупных компаний — за гибридными облачными моделями.

Как «Яндекс.Облако» разрабатывает свои сервисы

На что стоит обращать внимание при выборе облачной платформы

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня