АНТОН РАЗУМОВ: «Мы предлагаем провайдерам облачных сервисов готовые решения для организации защиты с делегированием прав управления через веб-интерфейс» |
В рамках форума «Мир ЦОД 2012», организованного издательством «Открытые системы», прошел круглый стол «Безопасность облачных и виртуальных сред». На нем обсуждались вопросы защиты арендованных инфраструктур, которые сейчас предлагают провайдеры облачных сервисов. Партнером мероприятия выступила компания Check Point Software. Проблемы защиты приложений, которые организация собирается передавать облачному провайдеру, на практике сильно тормозят развитие рынка арендованных приложений, платформ и инфраструктур. Операторам приходится каждого клиента отдельно убеждать в надежности предоставляемых систем защиты. Нужны стандарты на средства защиты, но их провайдеры пока предложить не готовы.
Между тем, приобретая облачный сервис, клиент рассчитывает на его надежность. В то же время провайдеры не могут самостоятельно решать все вопросы защиты пользовательской информации, но и клиент, получив виртуальную машину из облака и установив в нее собственное программное обеспечение, не в состоянии своими силами сделать такую систему эффективной.
Для арендатора инфраструктурного сервиса (Infrastructure as a Service, IaaS) это означает, что установленный в виртуальную машину антивирус может неожиданно начать расходовать много ресурсов, что потребует закупки дополнительного объема памяти и процессоров. Аренда специализированного антивируса вместе с виртуальной машиной решила бы проблему, поскольку провайдер мог бы в этом случае использовать оптимизированные для облаков схемы управления средствами защиты в виртуальных машинах. Аналогичные рассуждения можно привести и для межсетевых экранов, и для систем обнаружения вторжений, и для VPN-решений, и для других инструментов защиты. Таким образом, провайдеру сервисов IaaS требуется предложить клиенту не только аренду виртуальной машины, но и набор сопутствующих сервисов по ее защите. При этом клиенту должны быть предоставлены различные варианты того же антивируса, чтобы он не был привязан к одному поставщику средств защиты выбором провайдера облачных сервисов.
У провайдеров пока нет общих подходов к предоставлению подобных сервисов защиты. Так, в компании «Крок» предлагают перечень средств защиты, которые они могут предоставить в аренду. Компания готова подписывать договор об определенном качестве обслуживания в том случае, если клиент покупает дополнительные сервисы по защите своей виртуальной инфраструктуры. Разработчик средств защиты компания Check Point предлагает своим клиентам решение для защиты виртуальных инфраструктур, которое могут визуально через веб-интерфейс настраивать клиенты облачных провайдеров. «Мы предлагаем провайдерам облачных сервисов готовые решения для организации защиты с делегированием прав управления через веб-интерфейс», — поясняет Антон Разумов, консультант по безопасности Check Point. В то же время в DEAC с каждым клиентом договариваются индивидуально — и это при том, что у облачного провайдера уже около трех сотен клиентов только на территории России.
«На стандартизацию сервисов в области защиты облачных инфраструктур потребуется еще два-три года», — полагает Евгений Дружинин, эксперт департамента информационных технологий «Крока».
«Крок» разрабатывает систему, которая упрощала бы аренду и конфигурирование средств защиты. Компания своими силами реализовала механизм сегментирования собственного облака на независимые друг от друга фрагменты. Каждому новому пользователю выдается отдельный сегмент, причем механизм работает даже в том случае, когда виртуальные машины из одного сегмента запускаются в разных узлах облака «Крока». Для реализации подобного механизма разработчикам компании пришлось модифицировать сетевой уровень используемой ими платформы виртуализации KVM. Компания настолько уверена в своем решении, что собирается сертифицировать его во ФСТЭК по техническим условиям. Скорее всего, и другие провайдеры облачных сервисов будут со временем вынуждены предложить своим клиентам набор услуг по аренде средств защиты, которые позволят клиентам защищать работающие в облаке части своей информационной структуры. Важно при этом разработать простую, понятную и автоматизированную систему управления этими дополнительными услугами.
Не полагайтесь на облачного провайдера
Для защиты расположенной в облаке конфиденциальной информации — данных клиентов, важнейших приложений и т. д. — во многих случаях необходимы специальные решения. Одной инфраструктуры облачной системы зачастую оказывается недостаточно, считает ведущий аналитик Gartner Джон Пескаторе.
Такие инструменты, как Zscaler, Websense или Cisco ScanSafe, например, служат в качестве шлюзов между пользователем и облачной системой, постоянно следя за тем, какие данные вводятся в облако и предотвращая проникновение вредоносного кода.
Уязвимости возникают там, где политики безопасности применяются непоследовательно, а контрольные меры не являются обязательными, подчеркивает он. Серьезных новых атак на саму инфраструктуру облака или виртуализационный слой пока выявлено не было. Хакеры ищут легкую добычу.