Использование услуг аренды приложений предполагает, что ваши компьютерные программы выполняются на сервере, принадлежащем кому-то другому. Обеспечит ли поставщик услуг необходимый уровень безопасности?
Использование услуг аренды приложений предполагает, что ваши компьютерные программы выполняются на сервере, принадлежащем кому-то другому. Обеспечит ли поставщик услуг необходимый уровень безопасности? Подумайте, какие вопросы следует задать ему в подобной ситуации.
Вместо того чтобы покупать лицензии на право использования программного обеспечения на своих собственных компьютерах, все большее число компаний предпочитают брать программы «напрокат» у так называемых поставщиков услуг аренды приложений (Application Service Provider, ASP). Это означает, что бизнес-процессы обслуживаются системами, управляемыми независимыми компаниями. Доступ к этим системам осуществляется через виртуальную частную сеть или Internet. Преимущество такого подхода заключается в относительно низкой и приемлемой для арендатора общей стоимости владения. Вы платите только за то, что вам нужно, и тогда, когда в этом действительно ощущается необходимость. Решение всех трудоемких рутинных задач типа обновления программного обеспечения отдано на откуп поставщику услуг. Каковы же недостатки? Прежде всего, это потенциальные бреши в системе безопасности. Обладают ли внешние серверы и сетевые связи той же степенью безопасности, что и ваши собственные системы? Находятся ли приложения, имеющие доступ к конфиденциальной информации — номерам кредитных карт и кредитной истории клиентов, — в ведении внешних поставщиков услуг? Ответы на эти вопросы очень важны.
По мнению главы службы стратегической безопасности компании ВТ Global Services (одного из подразделений корпорации British Telecom) Майка Арнавутяна, любой кандидат на роль поставщика услуг аренды приложений для его организации обязан соблюдать основные требования безопасности — наладить работу межсетевых экранов, систем аутентификации, антивирусного программного обеспечения и построить безопасную архитектуру. Важны также физические аспекты безопасности, в частности четкий и хорошо продуманный план действий при возникновении нештатной ситуации. Наиболее существенные вопросы, которые связаны с потенциальной возможностью появления брешей в системе безопасности и должны находиться под постоянным контролем, лучше всего решать путем определения базовых политик.
«Самое слабое место большинства поставщиков услуг аренды приложений — разработка и поддержка политик безопасности, — подчеркнул Арнавутян. — Впрочем, основная вина за это ложится не на поставщиков услуг, а на предприятия, которые этими услугами пользуются. Чаще всего им продают то, что они просят, и если о политиках безопасности клиент не упоминает, никто и не включает их в список продаваемых услуг. А если политики безопасности не определены, значит, у вас нет правил и процедур, позволяющих смоделировать поведение людей и наладить управление доступом к сети».
О качестве политик безопасности поставщика услуг аренды приложений можно судить по процедуре проверки уровня подготовки набираемых сотрудников. Причем само по себе наличие проверки еще ни о чем не говорит. Поэтому нужно выяснить, по каким критериям подбираются и оцениваются работники, имеющие доступ к конфиденциальным данным клиента. По словам Арнавутяна, уровень квалификации в сфере безопасности в обязательном порядке проверяется у всех сотрудников, имеющих соответствующие права доступа и работающих в центрах данных, которые связаны с правительственными проектами. Что касается частного сектора, здесь требования, как правило, значительно ниже.
«Для разных центров данных характерен различный уровень контроля», — пояснил Арнавутян.
В наши дни руководители финансовых, кадровых и маркетинговых служб коммерческих предприятий пытаются добиться повышения эффективности (и снижения затрат) за счет передачи полномочий на проведение отдельных операций поставщику услуг аренды приложений. Но при этом создаются условия для появления брешей в системе безопасности. Будет ли хранение данных в независимых компаниях столь же безопасным, как и в ваших собственных системах? Надежно ли организована связь между поставщиком услуг аренды приложений и вашими системами? И станут ли в независимой компании присматривать за данными клиента так же тщательно, как ваши сотрудники присматривают за своими данными? Подобные общие вопросы, лежащие на поверхности, задавать очень легко. Гораздо труднее сформулировать конкретные детальные требования и получить устраивающие вас ответы. Компании, не оговаривающие с поставщиком услуг аренды приложений всех подробностей, рискуют нарушить основные правила информационной безопасности.
Совместный с поставщиком услуг проект
Осенью 2001 года один из руководителей финансовой службы National Magazine Пол Саундерс предложил начальству усилить контроль за расходами сотрудников. В результате появился на свет проект, цель которого заключалась в рассмотрении возможности передачи контроля за расходами независимой компании, а именно — поставщику услуг аренды приложений.
Саундерс занялся изучением рынка и очень быстро нашел потенциальное решение. Владеющая контрольным пакетом акций National Magazine корпорация Hearst — издатель журналов Cosmopolitan, Country Living, House Beautiful, Good Housekeeping и других — уже имела опыт эксплуатации приложения, предназначенного для управления затратами, которое было разработано компанией Concur Technologies. Корпорация Hearst развернула его непосредственно у себя, приобретя лицензию на право использования, однако Concur предлагала клиентам свое программное обеспечение и на условиях аренды.
Впрочем, основные вопросы все же лежали в области безопасности. По словам Саундерса, политика Hearst предусматривала ограничение внешнего доступа к своим внутренним системам. К примеру, к сети National Magazine был подключен только один модем, и доступ к нему имели лишь программисты, работавшие в компании на протяжении многих лет. Приложение же Concur позволяло не только получать подробную информацию о расчетах служащих с помощью кредитных карт, эмитированных Barclays, но и следить за сотрудниками, запрашивающими счета на оплату через Internet. Возможности для злоупотреблений и мошенничества здесь очевидны.
Понимая всю важность момента, Саундерс обратился за помощью к специалистам информационных служб Hearst и National Magazine.
«Я задал им ряд общих вопросов относительно межсетевых экранов, но, увы, моего уровня технической подготовки оказалось недостаточно, чтобы разобраться в информации, полученной в ответ», — признался он.
Успех внедрения системы Concur — работы начались в феврале и были завершены в августе 2002 года — свидетельствует о том, что поставщику услуг удалось благополучно пройти все тесты.
«Чтобы получить доступ через Internet к системе управления затратами, требовалось ввести код компании, состоящий из 15 не несущих никакой смысловой нагрузки символов, а также указать профиль пользователя и пароль, который не сохранялся на локальной станции, а должен был повторно задаваться при каждой очередной регистрации в системе, — сообщил ИТ-директор National Magazine Эндрю Танли. — С точки зрения безопасности именно организация доступа через Internet вызывала наибольшее количество вопросов. Возможностям Concur и собственно системе безопасности уделялось гораздо меньше внимания. Специальных визитов для оценки ситуации на месте мы не совершали. Нас вполне устроила полученная от Concur информация. Из нее можно было сделать вывод о том, что все возможные меры безопасности уже приняты».
Со своей стороны представители Concur всегда охотно помогали потенциальным клиентам оценить уровень безопасности их систем. Характер мероприятий в каждом конкретном случае определялся индивидуально.
«Часто клиенты не в состоянии даже сформулировать интересующие их вопросы, — пояснил директор Concur по маркетингу продуктов Крис Жуно. — Если говорить об уровне подготовки в области безопасности, следует отметить, что клиенты заметно отличаются друг от друга. Особенно видны отличия между крупными клиентами, которым необходимо решать сложные задачи и которые приобретают лицензии на продукт Concur, и небольшими организациями, предпочитающими пойти по пути аренды приложений. Самые мелкие, как правило, задают элементарные вопросы и чаще всего остаются довольны полученными ответами».
Больше всего в Concur гордятся своими средствами многоуровневой защиты и службой информационной безопасности, сертифицированной в соответствии со спецификациями стандарта ISO 17799. Ee специалисты отвечают за защиту информации об управлении затратами, которую им доверили свыше тысячи корпоративных клиентов. По признанию Жуно, за весь прошедший год ни один американский клиент, хранящий у Concur свои приложения, не выразил желания посетить центр данных компании-поставщика, с тем чтобы проверить, как обеспечивается безопасность серверов Concur. A принадлежащее компании Cable & Wireless здание в Лондоне, в котором размещен сервер с приложениями National Magazine, инспектировалось лишь однажды. Только 10% английских клиентов, арендующих у Concur приложения, побеспокоились о том, чтобы лично посетить европейскую штаб-квартиру компании. Именно там, в специально защищенном помещении, к которому имеет доступ не более трети персонала, и находятся серверы с приложениями.
Как расценивать подобную ситуацию? Как всеобщее безразличие? Жуно отмечает, что среда хранения сертифицирована в соответствии со спецификациями SAS 70 (стандарт Statement of Auditing Standards, разработанный специалистами института American Institute of Certified Public Accountants), что исключает возможность организации хостинга. А соблюдение требований стандарта ISO 17799 дает еще более серьезные гарантии. Но демонстрируя столь беспечное отношение к критически важным вопросам безопасности, компании не в состоянии оценить — и проверить — выполнение условий, которые считаются главными достоинствами аренды приложений, а именно получения возможности дешево и эффективно обеспечить должный уровень безопасности.
«Речь в данном случае идет не только об оптимальном соотношении стоимости и эффективности, которое является неотъемлемым атрибутом услуг аренды приложений, но и о безопасности, — подчеркнул Чад Кук, технический директор компании Black Dragon Software, занимающейся вопросами безопасности программного обеспечения (Кук принимал участие в написании третьей и четвертой редакции книги Maximum Security). — Модель ASP будет универсальным средством получения нужного вам соотношения между стоимостью, эффективностью и безопасностью лишь при условии, что вы правильно представляете себе ее особенности».
К поставщикам услуг аренды приложений имеет смысл обращаться прежде всего небольшим организациям. Ведь у них нет мощной команды специалистов по безопасности, которую имеют возможность держать представители крупного бизнеса.
«Плохо то, что многие поставщики услуг аренды приложений при построении системы безопасности отдают предпочтение стандартному подходу, — отметил Кук. — Спросите про безопасность, и вы услышите заученные фразы о межсетевых экранах, средствах обнаружения вторжения, антивирусных программах и механизмах аутентификации пользователей».
«Безусловно, все эти средства играют весьма заметную роль, но каждое из них формирует лишь часть общей картины безопасности», — отметил директор поставщика услуг аренды приложений RightNow Technologies Грег Джанфорте. Его организация обслуживает сегодня более тысячи корпоративных клиентов, находящихся в различных странах мира.
«Зачастую гораздо более важное значение приобретают моменты, которые не были здесь освещены», — подчеркнул Джанфорте, составивший перечень первоочередных вопросов (см. врезку «О чем следует спросить поставщика услуг аренды приложений»). Возьмем, к примеру, внутреннюю сеть, расположенную в зоне действия межсетевого экрана. Поставщики услуг аренды приложений, предлагающие адаптированную к особенностям Сети архитектуру коллективного пользования, прежде всего должны заняться изучением работы механизмов, которые позволяют разделять данные различных клиентов, хранящиеся на одном и том же сервере.
«В условиях, когда сотни компаний имеют доступ к одному и тому же серверу, необходимо внимательно следить за тем, чтобы их конфиденциальные данные не отобразились вдруг на каком-то чужом Web-сайте», — пояснил Джанфорте. Еще одно потенциально слабое место возникает в случае эксплуатации приложений, которые устанавливают связь между различными поставщиками услуг через якобы безопасные соединения, организованные с использованием протокола SSL, — чаще всего такое происходит у международных компаний, которым требуется выполнять распределенные операции.
Попробуйте направить электронное письмо или запрос через Web в компанию British Airways. Весьма вероятно, что приложение, используемое агентом для ответа, запущено на сервере RightNow Technologies. Ho далеко не вся информация, нужная агенту, хранится в RightNow: какие-то сведения поступают с серверов самой авиакомпании, какие-то данные извлекаются программами учета, установленными у другого поставщика услуг аренды приложений. Вывод напрашивается сам собой: чем больше связанных друг с другом приложений различных провайдеров задействовано, тем выше вероятность появления слабого звена в общей цепочке соединений.
И наконец, нельзя не сказать о том, что безразличное отношение к политике безопасности встречается сегодня сплошь и рядом. «Людей, как правило, не волнуют вопросы политики, гораздо чаще их интересует технология», — заметил Джанфорте. Но именно ответы на вопросы о политике (которые так и не были заданы) в конечном счете определяют эффективность технологии. Какой объем имеют системные журналы? Осуществляется ли их регулярный просмотр? Сколько символов должны включать в себя пароли? С какой частотой их необходимо менять? Подобные вопросы имеют фундаментальное значение.
Даже оценка профессиональной подготовки сотрудников не столь важна, как это может показаться. Возможно, полученная информация позволит потенциальным клиентам «чувствовать себя в безопасности», но дело в том, что чистое прошлое еще не является гарантией такого же чистого будущего. По крайней мере, один поставщик услуг аренды приложений анонимно признался мне, что далеко не всегда уверен в соответствии истинного положения дел официальным результатам «проверки социальной безопасности», хотя его компания с гордостью заявляет клиентам, что все принятые на работу сотрудники прошли эту процедуру.
Следите за безопасностью совместно используемых данных
Недавний аналитический отчет Yankee Group знакомит нас с положением дел в сфере безопасной доставки контента.
Поскольку защиты на любой случай не существует, предлагаемые решения позволяют, по крайней мере, шифровать данные, с тем чтобы злоумышленники, работающие у поставщика услуг аренды приложений — равно как и внешние пользователи, сумевшие получить доступ к данным ASP, — не смогли осмысленно интерпретировать их. Таким образом, данные могут быть уничтожены или разрушены, но не украдены. К примеру, компания SwapDrive, предлагающая услуги удаленного резервного копирования более чем 150 тыс. клиентов из самых разных уголков мира, использует для шифрования устройство, разработанное специалистами фирмы Decru.
«Его криптографическая устойчивость настолько высока, что даже мы не можем просмотреть проходящие через нас данные», — заявил директор SwapDrive Дэвид Стейнберг.
Расширение сферы действия провайдеров
Конечно, шифрование, проверка уровня подготовки, аудит и политика назначения паролей играют весьма ощутимую роль, но обеспечивает ли все это вместе взятое безопасное ведение дел с поставщиком услуг аренды приложений? Для организации взаимодействия с одним поставщиком услуг этого, может быть, и достаточно. Однако президент консультационной фирмы SystemExperts Джонатан Госсельс обеспокоен тем, что сегодня многие компании вынуждены поддерживать контакты со множеством поставщиков услуг — в крупных орпорациях их число измеряется сотнями.
«Со временем вы столкнетесь с огромным количеством специализированных решений в области безопасности, каждое из которых динамически развивается в соответствии с природой деловых отношений между двумя использующими его сторонами, — подчеркнул он. — Где гарантии того, что операции в рамках каждого из подобных отношений выполняются безопасно или, по крайней мере, спроектированы таким образом, чтобы выполняться безопасно? Гарантировать это вы не в состоянии. Все меняется».
По мнению Госсельса, необходимо оценить требования, предъявляемые к безопасности взаимодействия с каждым поставщиком услуг и выработать решение в рамках одного из существующих стандартных подходов. Например, системы, отвечающие за регистрацию событий в ходе конференции сотрудников, с точки зрения безопасности находятся в менее жестких условиях по сравнению с системами, обрабатывающими конфиденциальную информацию клиентов.
«Необходимо снижать стоимость услуг, одновременно повышая уровень их безопасности и сокращая время выхода на рынок», — считает Госсельс.
Руководитель подразделения Vanguard Information Security and Contingency Services Group Джим Хиатт полагает, что подобный подход можно использовать весьма эффективно. Сегодня корпорация Vanguard взаимодействует более чем с сотней систем ASP, начиная с приложений расчета зарплаты и заканчивая системами интерактивного обучения и внешнего Web-хостинга. Более того, количество их постоянно растет.
«Подобная ситуация сейчас получила достаточно широкое распространение, — отметил Хиатт. — Заметив новое приложение или службу, мы сразу спрашиваем себя: стоит ли заниматься самостоятельным созданием чего-то аналогичного или же лучше купить уже готовое? И в большинстве случаев с учетом вопросов безопасности и управления дешевле оказывается купить».
Группе информационной безопасности в подразделении Хиатта, в состав которой входит 11 человек, поручено поддерживать отношения с поставщиками услуг аренды приложений. Вопросы обычно задаются по телефону, а общение проходит в форме короткого сеанса вопросов и ответов. Предлагаете ли вы нам базовую систему или что-то специально адаптированное для нужд Vanguard? Какая архитектура положена в основу этого решения? Какие процедуры используются для управления доступом, для обеспечения безопасности данных и восстановления после сбоев? Как организовано хранение данных? Каким образом осуществляется передача информации? И наконец, вопрос, который, по мнению Хиатта, подводит черту под состоявшимся разговором: имеет ли человек, с которым мы будем поддерживать контакты, четкое представление о функционировании системы и о мерах, принимаемых для обеспечения безопасности?
Если ответ звучит утвердительно, дальнейшее зависит от характера предлагаемых услуг аутсорсинга и риска, который влечет за собой их использование. Примерно в половине случаев, если риск невелик, приезжать к поставщику услуг не имеет смысла. Например, когда от поставщика услуг требуется лишь предоставить инвесторам доступ к открытым отчетам Vanguard o капиталовложениях, негативные последствия от взлома системы безопасности минимальны. Но если закрытая информация клиента или сотрудника Vanguard обрабатывается средствами, находящимися за пределами компании, изучение ситуации на месте проводится в обязательном порядке. Цель визита заключается в том, чтобы более точно оценить риски и определить, какие модели безопасности ASP лучше всего подходят в данном конкретном случае. После этого одному из сотрудников информационной службы поручается следить за происходящим и осуществлять необходимый контроль.
Сегодня Vanguard поддерживает отношения примерно с сотней поставщиков услуг аренды приложений, но при этом количество используемых способов обеспечения безопасности сведено к минимуму. Причем обязательства поставщика услуг всякий раз подробно расписываются в договоре. И это, по мнению Хиатта, является «огромным достижением». Уверен, что множество директоров служб безопасности корпоративной Америки согласятся с данным утверждением.
Malcolm Wheatley. Cover Your ASP. CSO Magazine, January 2004
О ЧЕМ СЛЕДУЕТ СПРОСИТЬ поставщика услуг аренды приложений
Вот перечень вопросов, которые директор компании RightNow Technologies Грег Джанфорте рекомендует задать поставщику услуг аренды приложений. Единого набора правильных ответов на них не существует; дело в том, что односложные «да» или «нет» в общем случае не позволяют понять, способен ли поставщик услуг обеспечить должный уровень защиты конкретных приложений.
Физическая безопасность
- Опишите физические меры безопасности, процедуру восстановления информации и работоспособности системы при возникновении нештатной ситуации, а также профилактические мероприятия, проводимые в центре данных.
- Кто (включая персонал центра данных, прочих сотрудников и представителей поставщиков) имеет физический доступ к серверам, на которых находится информация?
Безопасность сети
- Установлены ли межсетевые экраны, соответствующие требованиям промышленных стандартов? Где они развернуты? Каким образом организовано обновление программного обеспечения межсетевого экрана? Используются ли для доступа к межсетевым экранам и другим устройствам, находящимся на границе сети, только безопасные методы или же возможен непосредственный доступ через последовательный порт?
- По каким протоколам и через какие порты межсетевого экрана информация попадает в сеть?
- Установлены ли системы обнаружения вторжения (Intervention Detection System, IDS)? Kaк долго хранятся системные журналы IDS?
- Определены ли формальные процедуры реагирования на возникновение нештатных ситуаций? Регулярно ли проводится их тестирование?
- Привлекает ли поставщик услуг аренды приложений представителей независимых компаний для поиска уязвимых мест и оценки защищенности системы?
Безопасность систем
- Производится ли оценка уязвимых мест системы на регулярной основе?
- Назначаются ли права доступа к файлам исходя из принципа разрешения выполнения только необходимых функций?
- Каким образом поддерживается актуальность операционных систем? Как поставщик услуг ликвидирует бреши в программном обеспечении? В чем заключается процедура установки обновлений программного обеспечения?
- Ведутся ли журналы регистрации событий на всех системах, где хранится или обрабатывается критически важная информация? Заносятся ли в журнал команды суперпользователя?
- Как осуществляется изменение процедур управления?
Персонал
- Какие полномочия получают системные администраторы?
- Установлен ли контроль за противоправными действиями системных администраторов? Проверяется ли уровень их профессиональной подготовки?
- Присутствует ли дежурная смена инженерного персонала и сотрудников службы технической поддержки на рабочем месте 24 часа в сутки и семь дней в неделю?
Политика безопасности
- Опишите политику назначения учетных записей пользователей и паролей.
- Запущен ли механизм гашения экрана на рабочих станциях всех сотрудников? Происходит ли автоматическое завершение сеансов по истечении заданного периода простоя?
- Создаются ли учетные записи для персонала, работающего по контракту, с указанием окончания срока их действия? Как осуществляется блокировка и ликвидация учетных записей после увольнения сотрудников?
ASP — вполне безопасно
Компания «Партер», специализирующаяся на предоставлении услуг по бронированию и оперативной доставке билетов на театрально-зрелищные мероприятия, арендует у проекта DataFort ряд продуктов Microsoft (Web-сервер IIS, СУБД SQL Server, SiteServer) и систему статистического анализа WebTrends (разработка компании NetIQ). Ha технологической площадке DataFort также работает собственное приложение компании «Партер» — торговая Web-система, представляющая собой систему класса В2С («предприятие — потребитель») с поддержкой некоторых функций В2В («предприятие — предприятие», осуществление агентских продаж).
«Нас вполне устраивает обеспечиваемый уровень безопасности приложений, — говорит Александр Морозов, директор по операциям компании ?Партер?. — Нам известны случаи, когда мощные Internet-атаки выводили из строя многие серверы (в частности, у нас были проблемы с нашей внутрикорпоративной сетью), однако наш сайт функционировал стабильно. Для нас это крайне важно. Мы стремимся оказывать нашим клиентам высококачественный сервис, ведь наш товар (билеты в театр и на концерт) должен приносить людям радость. Именно поэтому мы считаем, что любое препятствие или неудобство при заказе билетов недопустимо, поскольку может испортить человеку настроение».
Специальных мер по дополнительной защите информации при работе с арендуемыми приложениями специалистам «Партера» принимать не приходилось.
«Процедуры, применяемые провайдером, основаны на высоких стандартах безопасности, что на первых порах осложняло нам работу. Однако со временем все убедились в необходимости столь строгого подхода, и мы нашли эффективные способы взаимодействия, не снижающие безопасности информации», — добавляет Морозов.
Виктор Римчук, директор по ИТ компании «Вира», работающей на строительном рынке Москвы, также доволен уровнем информационной безопасности при работе с приложением — Internet-магазином, который арендуется у компании «Гарант-Парк-Интернет».
«Если бы мы сомневались в уровне информационной безопасности нашего Internet-магазина, неужели бы мы продолжали его арендовать», — удивляется Римчук.
— Михаил Зырянов