Илья Медведовский: «Контролировать отечественные и иностранные программные разработки надо одинаково строго» |
При обсуждении темы безопасности облачных вычислений приходится учитывать в том числе и возможность западных санкций. Эта проблема активно обсуждалась на конференции в рамках выставки InfoSecurity 2014.
По словам Олега Глебова, ведущего консультанта компании R-Style, развернутые в России облачные инфраструктуры в большинстве своем построены на открытых технологиях виртуализации. При этом универсального решения для автоматического управления платформой виртуализации нет — каждый разрабатывает свое облако самостоятельно. То есть решения для одного облака не будут подходить для другого, даже если при этом используются одинаковые технологии виртуализации.
Понятно, что и решений по защите облачных сред, построенных на базе открытых технологий, тоже нет. В основном производители современных антивирусных продуктов и межсетевых экранов разработатывают свои решения в расчете на коммерческие гипервизоры VMware, Citrix и Microsoft. Только у израильской компании CheckPoint, по заверениям Антона Разумова, руководителя группы консультантов компании, есть решение для KVM, однако компания про него практически не рассказывает — оно не очень популярно на Западе и поэтому практически не развивается. Таким образом, защитить собственные облака российским провайдерам облачных сервисов оказывается не просто.
В то же время, складывающаяся ситуация подталкивает российских разработчиков отказываться от использования иностранных продуктов в пользу отечественных. Связано это с тем, что крупные компании бояться стать заложниками западных санкций — уже были зафиксированы проблемы с получением технической поддержки у ряда иностранных компаний. Сейчас на многих крупных российских предприятиях идет процесс оценки того, на какие технологии можно будет перейти в случае ужесточения санкций. Естественно, что переходить приходится на свободные продукты. По мнению многих экспертов, наиболее труднозаменимыми компонентами является СУБД Oracle и продукты, на ней базирующиеся. При этом Oracle в значительной мере контролирует и СУБД с открытыми кодами MySQL. Из реляционных СУБД доступной остается PostgreSQL, которая уступает Oracle по масштабируемости. Однако растущая популярность и востребованность технологий Больших Данных позволяет во многих случаях, отказавшись от реляционной модели, использовать распределенные системы хранения и работы с данными. Вполне возможно, что процесс замещения импортной продукции может привести и к переводу существующих информационных систем на облачные распределенные технологии хранения данных и обработки их с помощью решений категории NoSQL.
Однако и с ними не все гладко. В продуктах с открытыми исходными текстами также могут оказаться уязвимости или закладки. Поэтому, прежде чем доверять подобным облачным решениям, стоит проверить надежность работы предлагаемых отечественных разработок на основе открытого кода.
«Появился и активно пропагандируется миф о том, что российское — значит безопасное. Однако это часто не так, — отмечает Илья Медведовский, генеральный директор Digital Security. — Иностранные разработчики уже внедрили у себя методики безопасной разработки, а российским производителям это не по карману. В результате найти ошибку в международном продукте получается с трудом, а в российских разработках — достаточно легко».
В России выстроена система сертификации программной продукции во ФСТЭК, которая проверяет решения на отсутствие закладок — недекларированных возможностей. Скорее всего, проверять вновь разрабатываемые российские продукты придется как раз с помощью этой инфраструктуры контрольных проверок — требования для критически важных информационных систем это подразумевают.