Безопасная аренда
В рамках форума «Мир ЦОД», организованного издательством «Открытые системы», прошел круглый стол «Безопасность облачных и виртуальных сред», тема которого вызвала предсказуемый интерес со стороны участников конференции. Клиенты зачастую считают, что, передавая приложения на исполнение в неподконтрольную им среду, они теряют контроль над собственными данными и приложениями. Операторам приходится убеждать их в надежности и безопасности своей облачной инфраструктуры, и после долгих переговоров в контракты нередко вносятся дополнительные условия по обеспечению безопасности.
ПЕРЕКЛАДЫВАНИЕ ОТВЕТСТВЕННОСТИ
Покупая сервис облачного провайдера, клиент рассчитывает, что все механизмы защиты уже включены, и, как правило, не задумывается об установке собственных. Между тем провайдер не может оградить его от всех проблем — применяемые средства безопасности зависят от используемого набора приложений. Оператор может предложить набор инструментов и обеспечить независимость виртуальных сред, но полностью отделить одну от другой виртуальные машины, работающие на общей физической платформе, сложно — они все равно смогут обмениваться данными как минимум через виртуальную сеть. Таким образом, клиент должен предусмотреть в своей виртуальной инфраструктуре хотя бы виртуальный межсетевой экран для контроля за сетевым взаимодействием внутри облака. Производители средств информационной безопасности (Check Point и другие) уже начали предлагать готовые решения для защиты облачных инфраструктур, которые, помимо контроля за внешним трафиком серверов, интегрируются с гипервизором для слежения за внутренним взаимодействием виртуальных машин (ВМ).
Кроме того, виртуальная операционная система, так же как и физическая, подвержена воздействию вредоносных программ. Поэтому для защиты виртуальной среды нужен еще и антивирусный пакет. Производители подобных средств нередко объединяют их с межсетевыми экранами, но далеко не всегда рассчитывают, что эта связка будет работать в виртуальной среде. Обычные антивирусы, запущенные в виртуальных средах, зачастую неэффективно используют вычислительные ресурсы базовой операционной системы. Так, продукт одного производителя может одновременно активироваться сразу у нескольких клиентов, то есть на различных виртуальных машинах, работающих на одном физическом сервере. Это может привести к быстрому исчерпанию ресурсов ввода/ вывода дисков, вычислительных мощностей и памяти. Такой феномен получил название «антивирусный шторм», предсказать который не может ни провайдер, ни его клиент.
Возникновение антивирусного шторма может привести к тому, что клиенту потребуется закупать дополнительные объемы памяти и вычислительные ресурсы в связи с их возросшим потреблением. В то же время аренда ВМ вместе с антивирусом, рассчитанным на эксплуатацию в виртуальной среде, решила бы проблему, поскольку в этом случае провайдер может использовать оптимизированные для облаков схемы управления средствами защиты в виртуальных машинах. Однако набор доступных решений ограничен — только несколько производителей выпускают продукты, оптимизированные для работы в виртуальной среде. Чтобы клиенты могли установить на свои ВМ эти антивирусы, их закупка, настройка и сопровождение должны производиться операторами облачной инфраструктуры.
Аналогичные проблемы с нагрузкой возникают и для межсетевых экранов, систем обнаружения вторжений, решений VPN и любых других инструментов защиты. Это означает, что оператор облачной инфраструктуры должен предложить клиенту не только аренду виртуальной машины, но и набор сопутствующих сервисов по ее защите. У клиента должна быть возможность выбора различных вариантов того же антивирусного программного обеспечения от разных разработчиков, то есть провайдеру необходимо иметь соглашения по крайней мере с несколькими поставщиками инструментов защиты, из которых клиент мог бы выбрать наиболее подходящие, но это требует дополнительных усилий и финансовых затрат.
Мало того, раз уж клиент решил воспользоваться услугами облачного оператора, он стремится максимально сократить число ИТ-специалистов, которые обслуживают его приложения, поэтому из-за своей высокой занятости они зачастую не желают брать на себя еще и решение проблем безопасности. Так, во время проведения круглого стола много вопросов, связанных с защитой информации, возникало у сотрудников лечебных и образовательных заведений, ИТ-инфраструктуру которых планируется в ближайшее время перевести на облачную государственную платформу. Такие клиенты, как правило, не хотят (или не могут) содержать собственных специалистов по информационной безопасности, рассчитывая, что услуги по защите им будут предоставлены в рамках аренды и специалисты облачного оператора защитят их данные, обеспечив безопасный доступ к ним. Фактически ни клиенты, ни операторы не стремятся заниматься защитой ресурсов, работающих в облаке, а при составлении контрактов о проработке вопросов защиты данных и приложений иногда просто забывают.
ПО СВОЕМУ УСМОТРЕНИЮ
Другая немаловажная проблема состоит в том, что операторы пока не выработали общего подхода в отношении обеспечения дополнительных сервисов защиты. Например, у компании «Крок» есть перечень таких средств, которые могут быть предоставлены в аренду клиентам. Компания также готова указать в договоре параметры качества обслуживания в том случае, если клиент покупает дополнительные сервисы по защите своей виртуальной инфраструктуры. В то же время другой облачный оператор, DEAC, по вопросам защиты арендованных платформ и приложений предпочитает договариваться отдельно с каждым клиентом, хотя у него уже около 300 заказчиков по всей России.
«На стандартизацию услуг в области защиты облачных инфраструктур потребуется еще два-три года», — сообщил участникам круглого стола Евгений Дружинин, эксперт департамента информационных технологий « Крок». Скорее всего, за это время операторы просто определятся с необходимым набором средств облачной защиты, которы е будут востребованы их клиентами. Без подобной унификации услуг защиты сложно не только выбрать провайдера, который максимально полно отвечал бы требованиям по безопасности, но и заменить его в случае возникновения какихлибо проблем.
Впрочем, «Крок» уже разработала систему для упрощения аренды и настройки средств защиты облачных вычислительных мощностей. Компания собственными силами реализовала разделение своего облака на независимые фрагменты — каждому новому пользователю предоставляется отдельный сегмент. Причем используемый механизм работает даже в том случае, когда виртуальные машины из одного сегмента запускаются в разных центрах обработки данных облака «Крок». Для реализации подобного механизма пришлось модифицировать сетевой уровень платформы виртуализации KVM. Компания настолько уверена в своем продукте, что собирается сертифицировать его в ФСТЭК по техническим условиям.
Кроме того, уже разработан Webинтерфейс, с помощью которого клиент может самостоятельно арендовать необходимый ему инструмент защиты и в дальнейшем управлять им. Этот интерфейс интегрирован с общей биллинговой системой «Крок», где автоматически учитывается расходование клиентом тех или иных ресурсов облака компании. Скорее всего, через некоторое время и другие операторы облачных сервисов будут вынуждены предложить своим клиентам набор услуг по аренде средств защиты, чтобы те могли защитить компоненты их информационной структуры, работающие в облаке. Для этого разработчикам придется не просто адаптировать свои продукты к условиям их функционирования в виртуальных средах, но и сформировать набор удобных для операторов инструментов управления данными продуктами.
ВСЕ ПО ЗАКОНУ
Иногда к услугам облачных операторов прибегают для того, чтобы выполнить требования регуляторов — в частности, нашумевшего Федерального закона № 152 «О персональных данных». Дело в том, что провайдеру проще соблюсти все предписания, связанные с защитой персональных данных и других ценных информационных активов, в то время как маленькой компании нужно нанимать эксперта, приобретать специальное оборудование, а в России еще и получать лицензию на соответствующий вид деятельности. Выгоднее делегировать решение этих проблем оператору.
В частности, оператор DEAC не имеет собственных ЦОД на территории нашей страны, и поэтому ему нет необходимости выполнять требования российских регуляторов. В то же время Россия, присоединившись к Европейской к онв енции о защите персональных данных, позволяет хранить эту информацию в других странах — участницах конвенции. Поэтому оператор предлагает простой способ выполнения требований упомянутого закона — перенос их в другие страны, которые, с одной стороны, тоже подписали конвенцию, а с другой — предлагают менее обременительный режим защиты персональных данных.
В целом же можно отметить, что уровень защиты виртуальных сред постоянно повышается. Скорее всего, со временем их будут использовать, в числе прочего, и для того, чтобы передавать важные данные на более безопасную обработку.
Валерий Коржов — обозреватель журнала «Computerworld Россия». С ним можно связаться по адресу: oskar@osp.ru.