© 1995-2022 Компания «Инфосистемы Джет»
Защита виртуальных сред и облачных сервисов – модно или актуально?
Информационная безопасность Информационная безопасность

Трудно найти более обсуждаемую тему в области ИБ, чем защита виртуальных сред и облачных сервисов

Главная>Информационная безопасность>Защита виртуальных сред и облачных сервисов – модно или актуально?
Информационная безопасность

Защита виртуальных сред и облачных сервисов – модно или актуально?

30.05.2013

Посетителей: 24

Просмотров: 21

Время просмотра: 2.3

Авторы

Автор
Евгений Акимов В прошлом - эксперт Центра информационной безопасности компании "Инфосистемы Джет"
Трудно найти более обсуждаемую тему в области ИБ, чем защита виртуальных сред и облачных сервисов. Последние 3–4 года шло нарастание числа сломанных копий по данному направлению, но практически все эксперты сходились на том, что академично правильная проактивная позиция относительно новых угроз в очередной раз потерпит фиаско. Проще говоря, пока не будет громких инцидентов, этот вопрос так и не перейдёт из разряда обсуждаемых в решаемые. Мол, как всегда: пока гром не грянет – мужик не перекрестится.

 

 

Действительно, если посмотреть на ИТ- и ИБ-решения, которые появлялись в последние лет 10, несложно увидеть, что между первыми внедрениями сложных многопользовательских приложений с очень запутанными правами доступа, например, класса ERP и CRM, и специфических механизмов их защиты (таких как IdM) прошло примерно 5 лет. А к вопросу безопасности используемого программного кода ИТ-отрасль вообще подошла совсем недавно.

 

Тем не менее, несмотря на крайне скромное количество публичных инцидентов (да и те традиционно зарубежные, что для нашей страны равносильно бесконечно далёким от нас), в прошлом году начались весьма масштабные проекты по этому направлению. Причем первые из них – в компаниях телекоммуникационных, да ещё и (о, наконец-то!) практически одновременно с созданием самих облаков на базе виртуальных сред. Почему так происходит, и стоит ли организациям других отраслей последовать по пути первопроходцев?

Действительно, реальная жизнь далека от классического подхода: появились новые угрозы – оценили риски – выбрали вариант обработки – внедрили соответствующие механизмы защиты. Для того чтобы бизнес начал тратить деньги, нужно что-то более простое и понятное – то, что можно назвать драйвером решений по безопасности. Таких мощных драйверов традиционно было всего несколько:

 

  • действительно происходящие потери, причем желательно монетизируемые и нередкие;
  • требования регуляторов;
  • и, в меньшей степени, отраслевой опыт – успешные действия коллег-конкурентов могут сдвинуть работу с мертвой точки.

 

Яркой иллюстрацией первого драйвера являются действия кибермошенников, например, против телекоммуникационных компаний и/или их клиентов. За примером для второго вообще далеко ходить не надо – до сих пор защита персональных данных вызывает практически у каждого безопасника очень яркие воспоминания.

 

Актуальность каждого из этих драйверов очень сомнительная – вала инцидентов, как и говорилось, не наблюдается, требования отечественных регуляторов на новые специфические угрозы пока не распространяются, а опыт успешных проектов только появился.

 

Видимо, дело в другом – если посмотреть на саму суть использования cloud-сервисов, становится понятно: конструкция «владелец информации определяет режим ее защиты» в облаках сложно реализуема. Дело в том, что владельцем информации, отдаваемой на хранение и обработку в облако, является клиент cloud-сервиса, а тот самый режим защиты обеспечивает его провайдер. Т.е. для того чтобы потенциальный клиент стал состоявшимся (а облачный сервис хоть кто-то купил, и весь проект начал приносить доход), он должен поверить в то, что «режим защиты правильный».

 

Учитывая, что ИТ-отрасль уже основательно прогрета темой безопасности облаков и виртуальных сред и только самый отчаянный бизнес готов отдать на сторону свои ИТ-системы и не задавать при этом лишних вопросов, снять эти проблемы без основательной доработки, в том числе технической части, не получится.

 

Большинство уже стартовавших и активно готовящихся проектов перешагнули через безопасность виртуальных сред, используемых для внутрикорпоративных целей, и имеют своей задачей именно реализацию cloud-сервисов. Интересно, что прорабатывая вопрос безопасности облаков, практически каждая компания проецирует новые механизмы защиты для них и на корпоративные виртуальные среды – ведь почти все cloud-среды используют технологии виртуализации, и очень многое по конкретным подсистемам и технологиям получается одинаковым. В такой ситуации аргументация «раз для наших клиентов эти механизмы защиты важны, значит, они важны и для нас» очень часто позволяет в рамках либо того же, либо параллельного проекта начать внедрение контрмер против новых, специфических для виртуальных сред угроз.

 

Таким образом, получается довольно интересная цепочка: клиенты облачных сервисов «голосуют рублём» за их безопасность, провайдеры эту защиту вынужденно реализуют, попутно решая и задачи безопасности собственных виртуальных сред, порождая успешные проекты, на которые смотрит весь рынок. В ближайшее время можно ожидать дополнения следующим звеном – тему защиты виртуальных сред и корпоративных облаков подхватит вторая волна компаний: банки, нефтегазовая отрасль, промышленность, ритейлеры и т.д. Такой прогноз выглядит весьма вероятным, под вопросом остаются, пожалуй, лишь глубина и скорость распространения этой тенденции.

 

Опыт первых проектов показывает: понимание, что именно надо дополнительно реализовать для того, чтобы уровень ИБ хотя бы не сильно понизился при переносе из традиционной ИТ-инфраструктуры в инфраструктуру виртуальную, а тем более в облака, у компаний довольно сильно разнится. Очень часто реализуется самое очевидное, в таком случае создается, скорее, иллюзия безопасности, и первенство в «соревновании щита и меча» пока на стороне «сил зла», т.е. киберпреступников, активно использующих объективную сложность виртуальных структур и их многочисленные уязвимости.

 

В такой ситуации большую важность приобретает доскональное понимание как технических, так и организационных аспектов обеспечения ИБ этой новой области. Практическая экспертиза в защите виртуальных сред и облачных сервисов в условиях перехода от теоретической подготовки к реальным проектам очень ценна. Учитывая, что практика пока единичная, возможности получить такую информацию из первых рук, к сожалению, очень немного. В последующих статьях мы постараемся решить вопрос этого информационного голода.

Уведомления об обновлении тем – в вашей почте

Программно-определяемые грузоперевозки

Еще недавно слово «аппаратный» было синонимом надежности и производительности. Каждая задача – на своем сервере. Все сетевые устройства непременно аппаратные, в массивных корпусах и с большим количеством лампочек.

В России появляется спрос на отраслевые и специализированные облачные решения

На текущий момент мы видим несколько сильных трендов, и в России действительно есть своя специфика.

«Облачные вычисления»

Все слышали про Большой Адронный Коллайдер. Мало кому известны все "тонкости" его работы. Почти никто не может сказать, как он устроен. Потому что это «высокая наука», так сказать, физика «haute couture». А ведь коллайдер (или его вариант) раньше стоял в каждом доме.

Сети в облаках

Глубина и темпы проникновения ИТ в личную и корпоративную жизнь сейчас уже никого не удивляют. В наиболее развитых странах революцию в этой области можно считать состоявшейся: объемы данных в информационных системах вышли на экспоненциальный рост, который даже опережает темпы, предсказываемые законом Мура

Обновленные компетенции

Любые разговоры о формах и моделях аутсорсинга ИТ-инфраструктуры очень часто сворачивают с темы архитектур на практики и компетенции, которые им соответствуют

«Облачные вычисления». Взгляд из IBM

В последние годы многие эксперты пророчат революцию в мире ИТ благодаря новому подходу в организации инфраструктуры - облачным вычислениям. Согласно опросу IBM Global CIO Study 2009 более трети руководитель ИТ-отделов назвали это направление развития одним из самых важных в информационных технологиях.

Облаками будет пользоваться даже закоренелый Enterprise

Что безопаснее: частные или публичные платформы? Каким компаниям не подходят публичные облака? Почему растет популярность Big Data в облаках?

Миграция в облако: наш опыт

На сегодняшний день создание частного облака — очень популярное направление развития ИТ-инфраструктуры во многих компаниях.

Облако: Проверено на себе

Последние два года тема облачных вычислений не сходит со страниц отраслевых изданий. Что касается непосредственно бизнеса, то и здесь наблюдается некоторый сдвиг в сторону cloud – имеют место первые осторожные попытки использовать эти технологии в реальной жизни.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня