Защита виртуальных сред и облачных сервисов – модно или актуально?
Информационная безопасность Информационная безопасность

Трудно найти более обсуждаемую тему в области ИБ, чем защита виртуальных сред и облачных сервисов

Главная>Информационная безопасность>Защита виртуальных сред и облачных сервисов – модно или актуально?
Информационная безопасность

Защита виртуальных сред и облачных сервисов – модно или актуально?

Дата публикации:
30.05.2013
Посетителей:
36
Просмотров:
33
Время просмотра:
2.3

Авторы

Автор
Евгений Акимов В прошлом - эксперт Центра информационной безопасности компании "Инфосистемы Джет"
Трудно найти более обсуждаемую тему в области ИБ, чем защита виртуальных сред и облачных сервисов. Последние 3–4 года шло нарастание числа сломанных копий по данному направлению, но практически все эксперты сходились на том, что академично правильная проактивная позиция относительно новых угроз в очередной раз потерпит фиаско. Проще говоря, пока не будет громких инцидентов, этот вопрос так и не перейдёт из разряда обсуждаемых в решаемые. Мол, как всегда: пока гром не грянет – мужик не перекрестится.

 

 

Действительно, если посмотреть на ИТ- и ИБ-решения, которые появлялись в последние лет 10, несложно увидеть, что между первыми внедрениями сложных многопользовательских приложений с очень запутанными правами доступа, например, класса ERP и CRM, и специфических механизмов их защиты (таких как IdM) прошло примерно 5 лет. А к вопросу безопасности используемого программного кода ИТ-отрасль вообще подошла совсем недавно.

 

Тем не менее, несмотря на крайне скромное количество публичных инцидентов (да и те традиционно зарубежные, что для нашей страны равносильно бесконечно далёким от нас), в прошлом году начались весьма масштабные проекты по этому направлению. Причем первые из них – в компаниях телекоммуникационных, да ещё и (о, наконец-то!) практически одновременно с созданием самих облаков на базе виртуальных сред. Почему так происходит, и стоит ли организациям других отраслей последовать по пути первопроходцев?

Действительно, реальная жизнь далека от классического подхода: появились новые угрозы – оценили риски – выбрали вариант обработки – внедрили соответствующие механизмы защиты. Для того чтобы бизнес начал тратить деньги, нужно что-то более простое и понятное – то, что можно назвать драйвером решений по безопасности. Таких мощных драйверов традиционно было всего несколько:

 

  • действительно происходящие потери, причем желательно монетизируемые и нередкие;
  • требования регуляторов;
  • и, в меньшей степени, отраслевой опыт – успешные действия коллег-конкурентов могут сдвинуть работу с мертвой точки.

 

Яркой иллюстрацией первого драйвера являются действия кибермошенников, например, против телекоммуникационных компаний и/или их клиентов. За примером для второго вообще далеко ходить не надо – до сих пор защита персональных данных вызывает практически у каждого безопасника очень яркие воспоминания.

 

Актуальность каждого из этих драйверов очень сомнительная – вала инцидентов, как и говорилось, не наблюдается, требования отечественных регуляторов на новые специфические угрозы пока не распространяются, а опыт успешных проектов только появился.

 

Видимо, дело в другом – если посмотреть на саму суть использования cloud-сервисов, становится понятно: конструкция «владелец информации определяет режим ее защиты» в облаках сложно реализуема. Дело в том, что владельцем информации, отдаваемой на хранение и обработку в облако, является клиент cloud-сервиса, а тот самый режим защиты обеспечивает его провайдер. Т.е. для того чтобы потенциальный клиент стал состоявшимся (а облачный сервис хоть кто-то купил, и весь проект начал приносить доход), он должен поверить в то, что «режим защиты правильный».

 

Учитывая, что ИТ-отрасль уже основательно прогрета темой безопасности облаков и виртуальных сред и только самый отчаянный бизнес готов отдать на сторону свои ИТ-системы и не задавать при этом лишних вопросов, снять эти проблемы без основательной доработки, в том числе технической части, не получится.

 

Большинство уже стартовавших и активно готовящихся проектов перешагнули через безопасность виртуальных сред, используемых для внутрикорпоративных целей, и имеют своей задачей именно реализацию cloud-сервисов. Интересно, что прорабатывая вопрос безопасности облаков, практически каждая компания проецирует новые механизмы защиты для них и на корпоративные виртуальные среды – ведь почти все cloud-среды используют технологии виртуализации, и очень многое по конкретным подсистемам и технологиям получается одинаковым. В такой ситуации аргументация «раз для наших клиентов эти механизмы защиты важны, значит, они важны и для нас» очень часто позволяет в рамках либо того же, либо параллельного проекта начать внедрение контрмер против новых, специфических для виртуальных сред угроз.

 

Таким образом, получается довольно интересная цепочка: клиенты облачных сервисов «голосуют рублём» за их безопасность, провайдеры эту защиту вынужденно реализуют, попутно решая и задачи безопасности собственных виртуальных сред, порождая успешные проекты, на которые смотрит весь рынок. В ближайшее время можно ожидать дополнения следующим звеном – тему защиты виртуальных сред и корпоративных облаков подхватит вторая волна компаний: банки, нефтегазовая отрасль, промышленность, ритейлеры и т.д. Такой прогноз выглядит весьма вероятным, под вопросом остаются, пожалуй, лишь глубина и скорость распространения этой тенденции.

 

Опыт первых проектов показывает: понимание, что именно надо дополнительно реализовать для того, чтобы уровень ИБ хотя бы не сильно понизился при переносе из традиционной ИТ-инфраструктуры в инфраструктуру виртуальную, а тем более в облака, у компаний довольно сильно разнится. Очень часто реализуется самое очевидное, в таком случае создается, скорее, иллюзия безопасности, и первенство в «соревновании щита и меча» пока на стороне «сил зла», т.е. киберпреступников, активно использующих объективную сложность виртуальных структур и их многочисленные уязвимости.

 

В такой ситуации большую важность приобретает доскональное понимание как технических, так и организационных аспектов обеспечения ИБ этой новой области. Практическая экспертиза в защите виртуальных сред и облачных сервисов в условиях перехода от теоретической подготовки к реальным проектам очень ценна. Учитывая, что практика пока единичная, возможности получить такую информацию из первых рук, к сожалению, очень немного. В последующих статьях мы постараемся решить вопрос этого информационного голода.

Уведомления об обновлении тем – в вашей почте

Там, за «облаками»...

Термин «облачные вычисления» появился давно. И разговоры про них идут не первый год. Но лишь с конца 2009- го «облака», согласно отчету Gartner, стали основным трендом ИТ- индустрии.

«Облачная» кухня BMC

«Облачные» вычисления создают условия для вывода информационных технологий на уровень, когда ИТ более чутко реагируют на потребности бизнеса, а затраты на инфраструктуру и прикладное программное обеспечение (в том числе на их поддержку) значительно сокращаются.

Управление доступом к виртуальной инфраструктуре с помощью продукта HyTrust

Динамичность виртуальной инфраструктуры как ее основное преимущество для бизнеса одновременно несет проблемы безопасности. Неконтролируемость среды управления виртуальной инфраструктурой приводит к возможности реализации утечек и атак как преднамеренного, так и случайного характера

Мониторинг приложений в стиле SaaS

Сегодня инструменты мониторинга приложений, предоставляемые по модели SaaS (есть даже термин MaaS, Monitoring As A Service), не очень востребованы крупными и средними российскими компаниями

«Облачные» решения как способ предоставления вычислительных ресурсов

В последние годы в сфере информационных технологий появилось и бурно развивается направление, получившее название «Cloud Computing» («облачные» вычисления).

Приложения размером с интернет

Основные черты современных информационных систем – гибкость и динамика

Как сделать виртуальную безопасность реальной с решениями Stonesoft

Особые подходы к организации виртуальной среды диктуют и свои правила по обеспечению безопасности

Обзор средств защиты виртуальной инфраструктуры

Вслед за бумом на рынке виртуализации и облачных вычислений растет рынок средств защиты для этих технологий. Все больше производителей предлагают средства защиты, адаптированные под виртуальные среды

Как перейти в облако и не облажаться

Свой дата-центр vs публичное облако. Кто кого? Варианты использования публичных облаков в корпоративном ИТ-ландшафте? Что нужно учитывать при переносе приложения в cloud-среду?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня