Aлександр Смычников, ведущий консультант департамента ИТ-консалтинга в компании «БМС Консалтинг»

В конце 90-х годов в США появились первые компании, которые продвигали абсолютно новую модель предоставления услуг и решений – SaaS (Software-as-a-Service) или «программное обеспечение как услуга». Смысл данного понятия довольно прост. Для использования специализированного программного обеспечения вам необходимо лишь запустить свой интернет-браузер и зайти на определенный портал или сайт. Никаких дорогостоящих лицензий, никаких дополнительных инвестиций в инфраструктуру, ее поддержку и развертывание. Практически моментально вы получаете доступ к функционалу, который вам необходим. Новая модель предоставила пользователям много новых преимуществ, но и вопросов вызвала немало. Но об этом немного позже.

Первопроходцами на этой стезе стали компании salesforce.com и Qualys Inc.. И, если первые предложили решения по управлению взаимодействием с клиентами (CRM), то последние - в области информационной безопасности. Направление SaaS развивалось в основном благодаря усилиям небольших компаний, в то время, как гиганты отрасли не придавали большого значения появлению новых тенденций на рынке информационных технологий. Главой Salesforce, к примеру, стал бывший сотрудник компании Oracle Марк Бениофф (Marc Benioff), который в свое время пытался развивать SaaS направление в Oracle, но его не поддержали.

Со временем понятие SaaS расширилось и стало частью понятия «вычисления в облаке» (cloud computing). Разница между ними существенна. SaaS – это конкретный функционал приложения, который вы можете использовать (к примеру, Gmail – это электронная почта, работающая по принципу SaaS). Cloud computing – это полноценная вычислительная среда, включающая в себя платформу для разработки новых приложений, инфраструктуру и среду для эксплуатации этих приложений. Это более широкое понятие, которое включает в себя SaaS, как часть своего «портфеля сервисов».

Направление SaaS развилось очень быстро. Показатели роста прибыли и развития бизнеса привлекли внимание гигантов индустрии информационных технологий. В начале 2000-ых многие производители увидели будущее за этим направлением и стали в него инвестировать. Да-да, даже в Oracle, несмотря на заявления Ларри Эллисона о том, что SaaS всего лишь «модная фишка, которая скоро исчезнет», начали очень серьезную работу по предоставлению своих сервисов и решений в рамках модели SaaS. За ними последовали Microsoft, HP, IBM, SAP и многие другие «сильные отрасли сей». Ходят даже слухи, что увольнения и пертурбации в высшем дивизионе управленцев SAP в последнее время происходят именно из-за сложностей перевода коммерческих сервисов компании на модель SaaS.

SaaS и безопасность

Прежде, чем начать разговор о сервисах в области информационной безопасности, которые предоставляются в рамках данной модели, стоит поговорить о защищенности самих сервисов, поскольку именно этот вопрос часто становится камнем преткновения для многих клиентов. Сама модель SaaS подразумевает, что информация хранится в центрах обработки данных где-нибудь в Америке или Европе. Обычно после этой фразы у клиентов потухает огонек в глазах и появляется масса вопросов и сомнений. Да, производители таких сервисов и решений могут придумывать массу маркетинговых и просто логичных объяснений и аргументов, но все же давайте попробуем разобраться сами, на какие аспекты безопасности стоит обратить внимание, а чего боятся не стоит.

Во-первых, плюсы. Это, безусловно, отсутствие скрытых расходов, которые охватывают обучение персонала, приобретение, внедрение и сопровождение новых инфраструктурных компонент, покупку дорогих лицензий, развертывание программных продуктов, требующих серьезных вычислительных ресурсов, тестирование и управление обновлениями.

Второй плюс – простота масштабирования подобных решений и централизация управления. Очевидно, что единый интерфейс и хранилище, доступное из любой точки земного шара, дает возможность легко и оперативно внедрить подобные решения в компаниях с географически распределенной и логически сложной структурой. Кроме того, именно такой подход к хранению и обеспечению доступа к данным позволяет провайдерам SaaS и cloud computing сервисов говорить о доступности сервиса с показателями порядка 99,991-99,997% в течение года.

Теперь к вопросам. Первый вопрос, который возникает у пользователей любого SaaS сервиса (подобная терминология является уже устоявшейся, в среде SaaS и cloud computing есть «приложения» и «сервисы», но не «продукты») – это безопасность их информации в центре обработки данных и хранилище. Тем более для сервисов SaaS, обеспечивающих информационную безопасность компании и бизнеса. Будем откровенны, риск нарушения конфиденциальности данных есть всегда. Но! Компании, которые уже имеют имя на рынке SaaS и cloud computing в области информационной безопасности, тоже осознают существование такого риска. В среднем, в безопасность своих центров обработки данных производители таких решений инвестируют порядка $3-6 миллионов ежегодно. А сколько инвестирует в безопасность ваша компания?

Да, это всего лишь цифры, но забота о своих клиентах и удовлетворение их потребностей (в том числе в отношении безопасности данных) – это основа бизнеса SaaS и cloud computing, который изначально строился как «ориентированный на клиента» (customer oriented approach). Как правило, даже данные, которые хранятся в их центрах обработки данных, недоступны провайдерам, поскольку для защиты используются архитектура открытых ключей с надежными алгоритмами шифрования. А что же с передачей информации? В системах, предоставляющих SaaS сервисы, также решен и этот вопрос. Передача данных, помимо того, что идет по защищенным каналам, проходит в зашифрованном виде, поэтому даже если злоумышленник получит доступ к подобной информации, она ему не даст ровным счетом ничего.
Стоит отметить, что наиболее требовательными к безопасности являются клиенты, представляющие государственный сектор. Но уже нередки случаи, когда и они используют модель SaaS. Правда, в основном, это представители государственного сектора США и Канады. Бум SaaS и cloud computing в Европе набирает обороты, а вот на постсоветском пространстве модель SaaS еще только начинает завоевывать популярность. Производители решений по обеспечению информационной безопасности в «облаке» (cloud) уже начали адаптацию своих сервисов под требования локального законодательства к безопасности используемых технологий и сервисов. Ярким примером является опыт компании Microsoft, которая для того, чтобы выполнить требования NASA и Департамента госбезопасности США, оснастила свои cloud computing сервисы проверкой биометрических показателей и отпечатков пальцев пользователей. Соответственно, если такая сверхсекретная организация, как NASA, доверяет «облаку», то не стоит ли нам тоже задуматься над тем, что оно достаточно безопасно?

Что предлагает «облако» в области ИБ

Не мудрено, что рынок SaaS решений (при такой-то популярности модели) в области информационной безопасности просто переполнен предложениями. SaaS иногда даже расшифровывают как Security-as-a-Service.

Что же этот рынок предлагает нам? Во-первых, это конечно разнообразные проверки и оценки безопасности внешнего и внутреннего периметра сети. Здесь немало предложений, которые по ценовой политике и качеству проведения подобных работ легко оставляют позади известные нам «традиционные» автономные программные продукты. Возможности подобных сервисов значительно расширены и позиционируются они больше, как корпоративные системы управления уязвимостями информационной безопасности, нежели как просто сканеры. Отличий у них действительно масса. В первую очередь это прекрасно поставленные инструменты по управлению рабочими процессами на стадии устранения уязвимостей. Это касается и минимального help desk, интегрированного в сам сервис, и возможностей мониторинга работы каждого ответственного администратора в отдельности. Приятно также посмотреть на разнообразие отчетов, которые могут генерировать сервисы. Подобные решения можно легко рассматривать как средство автоматизации при создании процесса управления уязвимостями в вашей компании, поскольку они изначально построены «с прицелом» на цикличность проведения проверок и работы по устранению. Большинство подобных сервисов легко интегрируются с уже используемыми в компаниях программными продуктами.

Второй вид сервисов относится к области управления соответствием (compliance) международным и локальным нормам и стандартам. На этом рынке не так много предложений, но есть несколько, которые в свое время заинтересовали наших специалистов. Основной их функционал – это возможность проведения проверок информационных ресурсов на соответствие заранее определенным требованиям. Требования формируются в сервисе в качестве отдельных политик, которые можно создавать как на основании международных стандартов, так и локальных регуляторных норм в области информационных технологий и информационной безопасности.

Третий вид относится к обеспечению антивирусной защиты и защиты от вредоносного кода. Антивирусные решения пока еще не могут обеспечить полноценную защиту ваших ресурсов, но о безопасности сетевых приложений и электронной почты можно говорить уже сегодня. Защита от вредоносного кода – предложение новое на рынке, но тоже по-своему интересное. Все мы знаем, что в мире масса веб-ресурсов, которые заражены вредоносным кодом и могут заразить посетителей самого сайта. Подобные сервисы помогают проверить свой сайт на наличие вредоносного кода и обезопасить себя и посетителей вашего сайта от таких угроз. Направление это довольно новое, поэтому многие производители предлагают попробовать его абсолютно бесплатно.

Последним в нашем списке сегодня является проверка безопасности веб-приложений. На сегодняшний день существуют очень интересные решения, которые позволяют «творчески» подойти к процессу проверки. Если не вдаваться в подробности, то такие сервисы имитируют минитестирование на проникновение в ваше веб-приложение и являются более глубокой проверкой, нежели сканирование. Для использования таких сервисов необходимы дополнительные знания языков программирования, поскольку они позволяют создавать собственные скрипты и запросы, дабы всесторонне оценить безопасность приложения.

Все сервисы, приведенные выше, имеют ряд дополнительных преимуществ, которые делают их еще более привлекательными для пользователей. Вот некоторые из них:
• поддержка огромного количества производителей, платформ и продуктов. Редко можно найти производителя, платформу или продукт, который не поддерживают данные приложения;
• ежедневные обновления баз знаний и уязвимостей, а также функционала самого сервиса;
• бесплатные демо-версии. Практически каждый продукт SaaS вы можете в течение недели или двух использовать абсолютно бесплатно.

Перечень сервисов, приведенный в этой статье, конечно, не исчерпывающий. О возможностях и предложениях рынка SaaS и cloud computing в области информационной безопасности можно говорить и писать долго. Предложения, представленные в данном материале, с нашей точки зрения, являются наиболее актуальными для украинского рынка на сегодняшний момент.

Украина на сегодняшний день является далеко не первой в мире по показателям популярности и внедрения сервисов SaaS и cloud computing. В то время, когда все трубят о втором поколении «вычислений в облаке», которое развивается в направлении поддержки коллективной работы и повышения продуктивности работы пользователей, мы еще не прочувствовали все преимущества первого поколения. Но есть приятные «ласточки» на этом поприще и в нашем регионе. Не так давно компания Softline (РФ) объявила о выходе первого «облака» в нашем регионе. Называется оно Softcloud и является последователем лучших представителей данного направления. Говорить о конкуренции данного сервиса с Google AppEngine, Amazon Web Services, Microsoft Windows Azure и Salesforce Service Cloud рано. Но рынок просыпается, а это значит, что в ближайшем будущем (возможно даже завтра) стоит ждать анонсов крупных проектов и новых интересных решений в данном направлении, причем не только за рубежом.