© 1995-2021 Компания «Инфосистемы Джет»
Защита виртуальных сред и облачных сервисов – модно или актуально?
Информационная безопасность

Трудно найти более обсуждаемую тему в области ИБ, чем защита виртуальных сред и облачных сервисов

Информационная безопасность

Защита виртуальных сред и облачных сервисов – модно или актуально?

30.05.2013

Посетителей: 20

Просмотров: 18

Время просмотра: 0

Трудно найти более обсуждаемую тему в области ИБ, чем защита виртуальных сред и облачных сервисов. Последние 3–4 года шло нарастание числа сломанных копий по данному направлению, но практически все эксперты сходились на том, что академично правильная проактивная позиция относительно новых угроз в очередной раз потерпит фиаско. Проще говоря, пока не будет громких инцидентов, этот вопрос так и не перейдёт из разряда обсуждаемых в решаемые. Мол, как всегда: пока гром не грянет – мужик не перекрестится.

 

 

Действительно, если посмотреть на ИТ- и ИБ-решения, которые появлялись в последние лет 10, несложно увидеть, что между первыми внедрениями сложных многопользовательских приложений с очень запутанными правами доступа, например, класса ERP и CRM, и специфических механизмов их защиты (таких как IdM) прошло примерно 5 лет. А к вопросу безопасности используемого программного кода ИТ-отрасль вообще подошла совсем недавно.

 

Тем не менее, несмотря на крайне скромное количество публичных инцидентов (да и те традиционно зарубежные, что для нашей страны равносильно бесконечно далёким от нас), в прошлом году начались весьма масштабные проекты по этому направлению. Причем первые из них – в компаниях телекоммуникационных, да ещё и (о, наконец-то!) практически одновременно с созданием самих облаков на базе виртуальных сред. Почему так происходит, и стоит ли организациям других отраслей последовать по пути первопроходцев?

Действительно, реальная жизнь далека от классического подхода: появились новые угрозы – оценили риски – выбрали вариант обработки – внедрили соответствующие механизмы защиты. Для того чтобы бизнес начал тратить деньги, нужно что-то более простое и понятное – то, что можно назвать драйвером решений по безопасности. Таких мощных драйверов традиционно было всего несколько:

 

  • действительно происходящие потери, причем желательно монетизируемые и нередкие;
  • требования регуляторов;
  • и, в меньшей степени, отраслевой опыт – успешные действия коллег-конкурентов могут сдвинуть работу с мертвой точки.

 

Яркой иллюстрацией первого драйвера являются действия кибермошенников, например, против телекоммуникационных компаний и/или их клиентов. За примером для второго вообще далеко ходить не надо – до сих пор защита персональных данных вызывает практически у каждого безопасника очень яркие воспоминания.

 

Актуальность каждого из этих драйверов очень сомнительная – вала инцидентов, как и говорилось, не наблюдается, требования отечественных регуляторов на новые специфические угрозы пока не распространяются, а опыт успешных проектов только появился.

 

Видимо, дело в другом – если посмотреть на саму суть использования cloud-сервисов, становится понятно: конструкция «владелец информации определяет режим ее защиты» в облаках сложно реализуема. Дело в том, что владельцем информации, отдаваемой на хранение и обработку в облако, является клиент cloud-сервиса, а тот самый режим защиты обеспечивает его провайдер. Т.е. для того чтобы потенциальный клиент стал состоявшимся (а облачный сервис хоть кто-то купил, и весь проект начал приносить доход), он должен поверить в то, что «режим защиты правильный».

 

Учитывая, что ИТ-отрасль уже основательно прогрета темой безопасности облаков и виртуальных сред и только самый отчаянный бизнес готов отдать на сторону свои ИТ-системы и не задавать при этом лишних вопросов, снять эти проблемы без основательной доработки, в том числе технической части, не получится.

 

Большинство уже стартовавших и активно готовящихся проектов перешагнули через безопасность виртуальных сред, используемых для внутрикорпоративных целей, и имеют своей задачей именно реализацию cloud-сервисов. Интересно, что прорабатывая вопрос безопасности облаков, практически каждая компания проецирует новые механизмы защиты для них и на корпоративные виртуальные среды – ведь почти все cloud-среды используют технологии виртуализации, и очень многое по конкретным подсистемам и технологиям получается одинаковым. В такой ситуации аргументация «раз для наших клиентов эти механизмы защиты важны, значит, они важны и для нас» очень часто позволяет в рамках либо того же, либо параллельного проекта начать внедрение контрмер против новых, специфических для виртуальных сред угроз.

 

Таким образом, получается довольно интересная цепочка: клиенты облачных сервисов «голосуют рублём» за их безопасность, провайдеры эту защиту вынужденно реализуют, попутно решая и задачи безопасности собственных виртуальных сред, порождая успешные проекты, на которые смотрит весь рынок. В ближайшее время можно ожидать дополнения следующим звеном – тему защиты виртуальных сред и корпоративных облаков подхватит вторая волна компаний: банки, нефтегазовая отрасль, промышленность, ритейлеры и т.д. Такой прогноз выглядит весьма вероятным, под вопросом остаются, пожалуй, лишь глубина и скорость распространения этой тенденции.

 

Опыт первых проектов показывает: понимание, что именно надо дополнительно реализовать для того, чтобы уровень ИБ хотя бы не сильно понизился при переносе из традиционной ИТ-инфраструктуры в инфраструктуру виртуальную, а тем более в облака, у компаний довольно сильно разнится. Очень часто реализуется самое очевидное, в таком случае создается, скорее, иллюзия безопасности, и первенство в «соревновании щита и меча» пока на стороне «сил зла», т.е. киберпреступников, активно использующих объективную сложность виртуальных структур и их многочисленные уязвимости.

 

В такой ситуации большую важность приобретает доскональное понимание как технических, так и организационных аспектов обеспечения ИБ этой новой области. Практическая экспертиза в защите виртуальных сред и облачных сервисов в условиях перехода от теоретической подготовки к реальным проектам очень ценна. Учитывая, что практика пока единичная, возможности получить такую информацию из первых рук, к сожалению, очень немного. В последующих статьях мы постараемся решить вопрос этого информационного голода.

Уведомления об обновлении тем – в вашей почте

Сети в облаках

Глубина и темпы проникновения ИТ в личную и корпоративную жизнь сейчас уже никого не удивляют. В наиболее развитых странах революцию в этой области можно считать состоявшейся: объемы данных в информационных системах вышли на экспоненциальный рост, который даже опережает темпы, предсказываемые законом Мура

Облако. Финансовая сторона вопроса

В этой статье мы приводим конкретные кейсы заказчиков по решению бизнес-задач с помощью облачных сервисов.

Аудит готовности ИТ- инфраструктуры к внедрению частного «облака»

«Облако» – это способ предоставления ИТ-услуг пользователям. Оно не является конкретной технологией или набором ПО, не привязано к аппаратной платформе. Особенность «облачных» вычислений состоит в определенных пользовательских качествах.

«Облачные вычисления». Взгляд из IBM

В последние годы многие эксперты пророчат революцию в мире ИТ благодаря новому подходу в организации инфраструктуры - облачным вычислениям. Согласно опросу IBM Global CIO Study 2009 более трети руководитель ИТ-отделов назвали это направление развития одним из самых важных в информационных технологиях.

«Облачные вычисления»

Все слышали про Большой Адронный Коллайдер. Мало кому известны все "тонкости" его работы. Почти никто не может сказать, как он устроен. Потому что это «высокая наука», так сказать, физика «haute couture». А ведь коллайдер (или его вариант) раньше стоял в каждом доме.

SDDC - основа новой облачной инфраструктуры

Термин «программно-определяемый ЦОД» (Software Defined Datacenter, SDDC) в последнее время встречается все чаще. Что за ним скрывается?

Обзор средств защиты виртуальной инфраструктуры

Вслед за бумом на рынке виртуализации и облачных вычислений растет рынок средств защиты для этих технологий. Все больше производителей предлагают средства защиты, адаптированные под виртуальные среды

Там, за «облаками»...

Термин «облачные вычисления» появился давно. И разговоры про них идут не первый год. Но лишь с конца 2009- го «облака», согласно отчету Gartner, стали основным трендом ИТ- индустрии.

Коммерческие ЦОД и облачные провайдеры: кто кого?

Появление публичных cloud-сервисов разнообразило возможности выбора для заказчиков, по тем или иным причинам отказавшихся от строительства собственных ЦОД.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня