За последние годы в России реализовано множество проектов по виртуализации. С одной стороны, это дает основания надеяться, что уже накоплен достаточный опыт и не должно быть больших проблем с переносом отработанных практик в области виртуализации в облачные среды. С другой стороны, удручает, что специалисты по информационной безопасности в этих проектах практически не принимают участия — во-первых, потому что инициатива этих проектов почти всегда исходит от ИТ-службы, которая обычно оценивает актуальность ИБ по остаточному принципу, во-вторых, потому что предложения, направленные на поддержание ИБ, зачастую препятствуют ИТ-инициативам, а в-третьих, потому что на момент старта проектов по виртуализации немногие из специалистов по ИБ имеют представление о специфике угроз и средствах защиты ресурсов в новых технологических условиях. В результате риски ИБ, исходящие от виртуализированных сред, при переносе архитектур в облака могут многократно увеличиться. Перечисленные проблемы обсуждались на заседании круглого стола «ИБ-наследие виртуализированных практик в облаках», состоявшемся в рамках международного форума «Мир ЦОД 2011».
«Средства ИБ становятся частью виртуальной машины», Денис Безкоровайный, технический консультант компании Trend Micro в России и СНГ |
Одна из главных проблем заключается в том, что такие традиционные приемы, как контроль трафика и обнаружение атак, становятся малоактуальными в виртуальных средах. По мнению Дениса Безкоровайного, технического консультанта компании Trend Micro в России и СНГ, причин несколько: «Во-первых, традиционные средства устанавливались на границе охраняемого периметра и были предназначены для контроля сетевого трафика, поступающего извне. В виртуальных средах возможна ситуация, когда, развиваясь, атака распространяется с одной машины на другую, а стандартные средства этого не замечают. Во-вторых, сами средства ИБ становятся частью виртуальной машины. Но обстоятельства могут сложиться так, что виртуальные машины, на которых развернуты базовые средства ИБ, ставятся на паузу и отключаются от сети. Проходит время, и этот ресурс подключается снова, но к этому моменту средства защиты устаревают и появляются новые уязвимости. Чтобы их устранить, потребуются обновления, следовательно, увеличивается время вероятной атаки».
При переходе от виртуализированных к облачным средам проблема усугубляется. По мнению Михаила Козлова, управляющего партнера компании «Развитие бизнеса / Ру», главная проблема облаков не в том, что периметр размыт и вообще непонятно, во что он превратился, а в том, что заказчик облачной услуги этот периметр уже не контролирует. «Его контролируют другие люди, с которыми вас связывают не иерархические отношения, а какие-то соглашения (SLA), которыми больше занимаются юристы, а не сотрудники службы ИБ. Не случайно именно безопасность вызывает главные опасения при переходе к облакам. Пока же инфраструктура облачных ЦОД выглядит, как дырявое решето, иначе как еще можно трактовать тот факт, что количество рисков, связанных с тем, что ваша информация может куда-то исчезнуть, растет в геометрической прогрессии? Катастрофа с облаками Amazon уничтожила данные многих клиентов. Следовательно, надо переходить от защиты периметра к защите данных».
В облачной среде проблема ИБ состоит также в том, что все свои изначальные ИБ-риски предприятие консолидирует у одного провайдера — внутреннего или внешнего. Между тем, по данным Cloud Security Alliance, угрозы, связанные с инсайдерством, занимают третье место в рейтинге угроз. Инсайдерами по большей части являются администраторы систем, имеющие доступ к клиентским данным, которые разместили в облаке различные компании. Примечательно, что на четвертом месте в рейтинге Cloud Security Alliance стоит угроза, исходящая от применения в облачных средах старых технологий, не адаптированных к работе в виртуализированных и облачных средах, что помогает системным администраторам беспрепятственно похищать клиентские данные.
О значительном ущербе, который причиняют инсайдеры, говорилось и в прошлогоднем исследовании компании Forrester «How Compliance And Collaboration Affect Enterprise Perceptions Of Risk»: по данным исследования, количество инцидентов в области ИБ, обусловленных инсайдерством, составило почти половину (48%) от всех проблем, что на 26% больше, чем в предыдущем 2009 году. Похоже, администраторы наконец-то придумали, как увеличить свои скромные доходы, снизившиеся в период кризиса...
Все дальше от защиты периметра
Получается, что традиционные средства ИБ для физических сред либо не работают в виртуальных средах, либо настолько сдерживают производительность вычислительных ресурсов, что сводят на нет все выгоды, полученные от виртуализации. Следовательно, необходимо пересмотреть подходы к обеспечению ИБ в облачных и виртуальных средах: надо защищать данные, а не периметр. Но как перейти к защите данных?
«Необходимо пересмотреть подходы к обеспечению ИБ в облачных и виртуальных средах — надо защищать данные, а не периметр», Антон Жбанков, старший технический консультант компании EMC |
Можно перейти к защите данных на уровне системы хранения данных (СХД). «Но в этом случае есть риск того, что администратор виртуальной инфраструктуры, имея статус авторизованного пользователя, получит доступ к данным (хотя и не из СХД), а также, наверняка, и к полноценной резервной копии данных, что тоже скверно, — считает Антон Жбанков, старший технический консультант компании EMC. — С другой стороны, если отказаться от шифрования на уровне СХД и перенести его на уровень гостевой операционной системы, то это, во-первых, сократит ее производительность, а во-вторых, мы решим проблему с администратором виртуальной инфраструктуры, но появится проблема с сетевым администратором. Ведь если он настроит зеркалирование сетевого трафика, то в его руках может оказаться зашифрованная резервная копия данных и нешифрованный «слепок» (дамп) памяти со всеми паролями. Нужно применять защиту дисков и сети, то есть вообще всего сетевого трафика. Правда, если это делать программными средствами, то резко снизится производительность системы, а если аппаратными, то существенно подорожает инфраструктура. Кроме того, такой вариант подходит для защиты частного облака, но не публичного — его сервис-провайдер наверняка старается экономить на всем, и, чтобы снизить издержки на шифрование, ему придется использовать самосборные серверы и дешевые сетевые карты».
Вопросов больше чем ответов. В любом случае напрашивается вывод, что придется, опираясь на своих сотрудников, пытаться контролировать специалистов нашего облачного провайдера.
«К сожалению, у нас происходит смешение понятий: часто, когда речь заходит об облаках, мы все-таки имеем в виду аутсорсинг услуг ЦОД. Идеальное облако, согласно определению, должно обладать возможностью автоматически перераспределять данные между ЦОД. Но с этим тоже есть проблемы, не говоря уже об удобстве использования облачных приложений с помощью мобильных устройств, чья идеология во многом зависит от доступа к облакам», — считает Козлов.
Безопасность персональных данных
Облачные среды не снимают задач по обеспечению бесперебойности, которая в числе прочего зависит от важнейшей характеристики при хранении данных — конфиденциальности информации. Если клиент доверяет кому-то свои данные, то он должен контролировать каждый этап: как они хранятся, как они обрабатываются и т. д.
Условно всех злоумышленников можно разделить на две категории. Первая — киберпреступники, которые рассылают сообщения по краденым адресам, и организации, нарушающие конфиденциальность информации своих конкурентов, чтобы нанести им экономический ущерб. Вторая — как ни странно, регуляторы. Чтобы информация клиента, которую он доверяет провайдеру, не ушла к третьему лицу, надо сделать так, чтобы она стала неинтересной как злоумышленникам, так и регуляторам. Как это сделать? По большому счету, нужно выполнить преобразование информации в простые данные — например, зашифровать ее.
«Чтобы информация клиента, которую он доверяет хостеру, не ушла к третьему лицу, надо сделать так, чтобы она стала неинтересной для злоумышленников, например зашифровать», Александр Додохов, руководитель направления защиты баз данных компании «Аладдин Р.Д.» |
«Решение для взаимодействия с облачными сервисами (наше, в частности, сейчас работает с Oracle CRM On Demand) позволяет шифровать данные, которые заказчик считает необходимым защищать, в первую очередь наименования организаций, имена заказчиков, все адресные данные, то есть все то, что можно объявить персональными данными, — поясняет Александр Додохов, руководитель направления защиты баз данных компании “Аладдин Р.Д.”. — Это средство представляет собой некий прокси-сервер. Помимо безопасности такой подход позволяет разгрузить виртуальную среду от операций шифрования, благодаря чему зашифрованные данные, которые приходят к хостеру, уже не представляют никакого интереса, поскольку все ключи обрабатываются в контролируемой зоне и недоступны для хостера. В этом случае за пределы барьерного периметра передается массив, не содержащий персональных данных, и ситуация не подпадает под действие закона № 152-ФЗ. В этом плане облачная среда будет так же неинтересна для регуляторов, как и для различного рода киберпреступников». По сути, такое решение реализует криптографию на стороне заказчика облачной услуги, и именно оно вносит основной вклад в защиту персональных данных».
Аналогичные решения на рынке представлены и иностранными производителями, но их криптоалгоритмы не всегда устраивают регуляторов, поскольку они считают, что иногда лучше вообще не шифровать, чем шифровать с помощью «иностранных» алгоритмов. В принципе заказчик может использовать криптоалгоритмы по своему усмотрению, но определенные классы систем должны защищаться только сертифицированными средствами. Правда, как только всплывает термин «сертифицированные средства криптографической защиты информации (СКЗИ)», то, как заметили участники дискуссии, о доверии к ним со стороны владельца данных можно забыть...
Что можно доверить облакам?
Если речь идет о публичных облаках, по поводу которых неизвестно, какие ЦОД привлечены для организации вычислительного процесса, какими каналами они связаны и кто их настоящий владелец, то, по мнению Михаила Емельянникова, управляющего партнера консалтингового агентства «Емельянников, Попова и партнеры», говорить о том, что в облаках не появилось новых угроз, было бы ошибкой. Один из критиков облачных вычислений Ричард Столлман указывает, что существует риск потери законных прав на данные, хранящиеся в облаке. В декабре 2010 года он писал: «Чтобы получить доступ к вашим локальным данным, полиция обязана предъявить ордер на обыск; но если данные хранятся на сервере какой-то компании, полиция получит их, не предъявляя никаких документов. Они даже могут не предъявлять ордер представителям компании... Пусть правительство США поощряет людей к хранению информации в облаке, откуда правительство США может получить информацию, не предъявляя никаких бумаг. Но пока многие из нас будут продолжать держать под контролем свои данные и информацию, у нас есть для этого возможности. И лучше нам так и делать, иначе эта возможность может исчезнуть».
Как отметил Емельянников, передавая данные в облака, следует задать себе три актуальных вопроса:
• Что вы будете делать, когда у вас не окажется доступа к Интернету?
• Что вы будете делать, когда провайдер откажет вам в услуге?
• Что вы будете делать, когда ваши данные бесследно исчезнут?
Еще в апреле 2008 года Европарламент обсуждал вопрос о праве граждан на доступ в Интернет и о праве госорганов перекрыть им доступ в Сеть (поправка Марко Паннеллы – Марко Каппато): «...Европейская комиссия и Европейский совет должны добиться избегания принятия мер, противоречащих гражданским свободам, правам человека, а также принципам пропорциональности, эффективности и превенции, таким как прекращение доступа в Интернет».
По мнению Емельянникова, нельзя сегодня (а может, и никогда) доверять облакам конфиденциальные, а также критичные, чувствительные данные, данные, требуемые в реальном масштабе времени, те, которые вы не резервируете вне облака. «Что же можно? Решайте сами. Данные — ваши», — добавляет он.
Мне довелось много беседовать со специалистами по ИБ, которым ежедневно приходится обеспечивать безопасную среду для корпоративных данных. По их мнению, на рынке представлены разнообразные технические решения для обеспечения ИБ в облачных и виртуальных средах, но в них слабо проработаны модели угроз, анализ рисков и т. д. Следовательно, пока не ясны модели угроз в новых средах, применение технических средств будет малоэффективным. Без проверенных практик говорить о безопасности в облаках на системной основе невозможно.