Информационная безопасность давно вышла на первые места в списке приоритетов ИТ-служб компаний и организаций всего мира и покинет топ-лист не скоро: изощренность и количество угроз растут из года в год. Почти каждую секунду создаётся новый образец вредоносного ПО, каждый день по всему миру происходят тысячи атак на информационные ресурсы… Неудивительно, что индустрия технологий и решений в области ИБ давно перестала быть нишевой и демонстрирует стремительный рост. 

Согласно прогнозу Gartner, в 2012 г. мировые расходы на информационную безопасность вырастут на 8,4% и продолжат расти до 2016-го. Ожидается, что в 2012 г. они составят 60 млрд долл. против 55 млрд долл. год назад, а к 2016 г. вырастут до 86 млрд долл. Таким образом, среднегодовой темп прироста рынка услуг управления ИБ за пятилетний прогнозный период составит 16,8%.

Главными причинами увеличения бюджетов на ИБ названы постоянно растущие угрозы и всё большая прицельность и сложность атак. Gartner ожидает, что организации будут стремиться внедрять всё более надежные и адаптивные решения, чтобы уменьшить уязвимость и упредить возможный будущий риск.

Технологии и услуги ИБ должны получить ускорение ввиду растущей активности преступности, проистекающей из трудной экономической ситуации. Эта тенденция противоположна тому, что будет наблюдаться на других рынках, указывают аналитики Gartner.

Самыми быстрорастущими сегментами этого рынка станут управляемые услуги ИБ, устройства-шлюзы, а также управление информационной безопасностью и событиями (SIEM). В сегменте облачных услуг ИБ будет наблюдаться рост выше среднего.

Услуги управления безопасностью особенно востребованы, полагают в Gartner. Корпоративные заказчики большей частью внедрили технологии ИБ и уже обеспечили соблюдение регулятивных норм. Поэтому атакующие теперь берут прицел ниже, на мелкие компании и средний сегмент, где могут рассчитывать на больший успех. Это заставит многие мелкие фирмы, которые не имеют большого бюджета, прибегнуть к аутсорсингу услуг ИБ.

Тренды рынка

Если в начале века вопросы безопасности по большей части являлись внутренним делом бизнеса, то сегодня это не столько правила хорошего тона, сколько законодательное требование. «Масла в огонь подливает» и закон о персональных данных, к реализации положений которого компании всё-таки вынуждены были приступить. 

Чтобы более подробно узнать о тенденциях на рынке информационной безопасности в Украине, PCWeek/UE пригласил к участию в подготовке темы номера крупнейших вендоров и системных интеграторов. В частности, мы попросили игроков оценить изменение бюджетов, выделяемых на ИБ, предпочтения заказчиков и описать предлагаемые на рынке продукты и технологии для защиты от онлайн-мошенничества и работы в виртуальных средах.


По вашим оценкам, как изменились ИТ-бюджеты заказчиков, выделяемые на ИБ?

Владимир Илибман: Бюджеты на ИБ у клиентов связаны с общим бюджетом компании на ИТ. Из нашего опыта они составляют от 5 до 10% от общего бюджета информационных технологий. Затраты на безопасность растут даже несколько быстрее, чем общий бюджет ИT в организации.

Андрей Божок: На текущий момент бюджеты на ИБ выделяются только в случае, если нужно закрыть критические уязвимости. Дорогие решения в этом сегменте такая же редкость, как и, например, строительство ЦОДов. По сравнению с 2006-м или 2007-м мы отмечаем прирост на уровне 20%.

Владимир Стыран: На самом деле вопрос не совсем корректен, так как бюджет на безопасность компании после достижения ею определенного уровня зрелости перестает иметь к ИТ прямое отношение. Компании, которые уже поняли, что ИБ и ИТ являются различными, порой несовместимыми, областями деятельности, с одной стороны, увеличивают бюджет на информационную безопасность, а с другой — начинают использовать его более эффективно.
В целом в течение 2011-2012 гг. мы наблюдаем стабильный рост бюджетов, выделяемых на защиту корпоративной информации и, как следствие, позитивную динамику рынка средств и услуг ИБ.

Василий Задворный: На сегодня законодательные требования не являются основным двигателем развития ИБ. Если говорить про закон о защите персональных данных, то в большинстве своем малый и крупный бизнес ограничиваются выполнением требований по регистрации баз персональных данных. Компании финансовой сферы еще могут разрабатывать нормативную документацию, которая регулирует внутреннюю деятельность в контексте закона. В части применения технических средств защиты: либо используют то же, что и для всей ИТ-инфраструктуры, либо ничего. Если говорить о регулировании НБУ, то поведение банков неоднозначно. Одни пытаются решить проблему лишь написанием регламентной документации, а другие осознают необходимость полноценной СУИБ: выделяют бюджеты и полноценно выстраивают процессы управления, то есть создают действительно работающую Систему управления информационной безопасностью.

Владимир Удалов: Как показало исследование «Лаборатории Касперского» об основных проблемах и тенденциях в сфере ИT-безопасности корпоративного сектора Украины, в бизнес-среде хорошо осведомлены об основных киберугрозах, однако инвестиции в ИT ниже среднемировых показателей. Так, лишь 35% украинских компаний считают существующий уровень инвестиций в ИT-безопасность достаточным. В мире этот показатель равен 55%. Большинство респондентов, которые недовольны финансированием, охотно бы увеличили объем инвестиций на 25% и более.
Также хотелось бы отметить, что 69% представителей украинских компаний полагают, что в их организациях недостаточно не только финансовых ресурсов, но и специалистов, знаний и системных ресурсов.

Александр Стафоркин: В последнее время в общем бюджете предприятий появилась статья расходов на ИБ. Но, к сожалению, — только у банков и части государственных предприятий.
Коммерческие структуры в основном выделяют бюджет на ИБ по остаточному принципу. Поэтому с ситуацией «Зачем мне DLP, если на эти деньги я могу купить новый трактор…» приходится сталкиваться до сих пор.

• В какие сегменты ИБ заказчики наиболее активно инвестируют сегодня, в связи с вышеупомянутыми законодательными изменениями? Какие тренды вы можете отметить в предпочтениях заказчиков?


Владимир Илибман: Клиенты по-прежнему больше инвестируют в программные и аппаратные продукты для защиты сети, рабочих станций и ЦОДов. Но при этом выросла доля ИБ-консалтинговых услуг по построению систем управления информационной безопасностью (СУИБ), компании разрабатывают внутренние нормативные базы и процессы для соответствия требованиям НБУ и закону по защите персональных данных. Для многих банков также актуальной статьей расходов является процедура сертификации по требованиям PCI DSS.

Владимир Стыран: Заказчики в который раз задумались о наведении порядка в ИБ, а это скорее не вложения в конкретные ИТ-решения, а выстраивание процессов и организационные изменения. Причем меняется не только организационная структура, но и общая культура бизнеса. Компании начинают задумываться о том, что они защищают, с какой целью, а главное — чья это задача. Таким образом, мы можем наблюдать спрос на консалтинг по ИБ, поскольку так быстрее, а иногда и дешевле, выстроить бизнес-процессы безопасности. А вложения в ИТ-решения становятся вторичными и происходят осознанно и эффективно — через оценку рисков и доказательство бизнес-потребности и экономической целесообразности высшему руководству.

Учитывая вышесказанное, наибольший интерес среди украинских компаний вызывают проекты по оценке и повышению уровня защищенности компании и выстраиванию процессов ИБ.

Владимир Удалов: Наиболее востребованы сейчас комплексные системы класса endpoint security, которые заменяют «зоопарк» из разнородных нишевых продуктов от разных производителей. При этом они обладают единой централизованной системой управления. Современные продукты endpoint security, помимо привычных всем модулей антивирусной защиты и файрвола, включают в себя мощный функционал по контролю запускаемых приложений, веб-контроль, контроль устройств и контентную фильтрацию. Собранные вместе, все эти модули заметно повышают уровень информационной безопасности на предприятии. Но самое важное — они позволяют регламентировать и контролировать использование сотрудниками персональных компьютеров, определяя перечень разрешенных к запуску программ, контролируя посещение веб-ресурсов и подключение внешних устройств, например USB-флешек.


• Часто ли интерес заказчиков выходит за пределы базового функционала по ИБ (антивирус, файрвол)? Интересуются ли они решениями IPS, UTM, DLP и другими?

Антон Разумов: С каждым годом растет количество угроз, подстерегающих пользователей Интернета во всем мире. Компании все лучше это понимают и стремятся защитить себя. Речь идет не только о непосредственных угрозах, но и о контроле использования интернет-ресурсов. Например, в последнее время участились запросы на решения, позволяющие блокировать использование торрентов, Skype, ограничивать просмотр роликов с YouTube. Ну а стандартные UTM-функции, такие как IPS, антивирусные проверки на шлюзе, фактически стали стандартными.

Владимир Илибман:
На сегодня многие компании уже внедрили базовые меры для защиты сети. Например, внедрена защита внешних периметров с помощью базовых файрволов, рабочие станции и сервера оснащены антивирусными программами. Поэтому сейчас корпоративные заказчики интересуются расширенным функционалом защиты. Для защиты внешнего периметра заказчики все чаще используют межсетевые экраны следующего поколения (Next Generation FW), которые обеспечивают глубокий анализ и защиту интернет-приложений, но при этом позволяют привязывать политики доступа к ролям сотрудников. Актуальным является контроль доступа изнутри сети. Фактически эта ниша на рынке свободна – менее 10% компаний ограничивают доступ в проводную и беспроводную сеть организации изнутри. Соответственно есть интерес к решениям класса Network Admission Control. В последние годы активно привлекает внимание защита центров обработки данных. В организациях накапливаются огромные объемы электронных данных, которых нужно обрабатывать, хранить и, разумеется, защищать. ЦОДы выдвигают повышенные требованиям к системам защиты, связанные со скоростью работы, надежностью и интеграцией в инфраструктуру ЦОДа.

Андрей Божок: Спрос рождает предложения. Заказчики очень активно интересуются различными решениями. На данный момент даже обычные антивирусы уже вышли из базового функционала и предлагают дополнительные возможности, как и файрволы. В каждом решении уже есть дополнительные возможности. Интерес к различным решениям достаточно высокий, постоянно происходят какие-то нововведения. Новые уязвимости и требования регулирующих органов повышают интерес заказчиков.

Василий Задворный: Решениями базовой защиты рынок насытился уже пару лет назад. Сейчас большее развитие получают направления SIEM, IDM, DLP, DAM, GRC.

Александр Стафоркин: Отвечая на требования соответствия определенным стандартам (ISO 27001), клиенты все больше обращают внимание на SIEM- и DLP-системы. Коммерческие клиенты начали интересоваться шифрованием дисков ноутбуков.

• Известно, что обмен шифрованными данными по сети в некоторых случаях приводит к значительному снижению производительности приложений. Часто ли вы встречались с применением шифрования данных у своих заказчиков? Что останавливает клиентов, кроме возможной потери производительности, и что стимулирует их к применению криптографии?

Владимир Илибман: Необходимость использования криптографии вызвана двумя причинами. Во-первых, это регуляторные требования по защите чувствительной и конфиденциальной информации (персональной информации, карточной информации в случае PCI DSS). Во-вторых, это осознание компанией реальных рисков, связанных с передачей конфиденциальной информации по незащищенным каналам – в первую очередь через Интернет и арендованные внешние каналы. В последнее время требования к скорости шифрования существенно выросли. Существуют заказчики, которые желают шифровать многогигабитные каналы связи между площадками и ЦОДами. К счастью сейчас существуют технологии, которые обеспечивают аппаратное высокоскоростное (1Гбит/c и 10Гбит/c) шифрование без влияния на производительность сети и приложений. Кроме стандартного шифрования по протоколу IPSec, появилась альтернатива шифрования на уровне Ethernet – технология MacSec (стандарт 802.1AE). Еще одним вопросом со стороны заказчика является легальность используемого шифрования и сертификация в Украине. Для ответа на данный вопрос Cisco совместно с украинскими разработчиками выпустила несколько программно-аппаратных криптошлюзов, которые обеспечивают шифрование по украинским государственным стандартам и прошли сертификацию Госпецсвязи.

Андрей Божок: Обмен шифрованными данными не так сильно снижает производительность, как это представляют себе заказчики. Их останавливает как раз отсутствие дополнительной информации по шифрованию. В Украине не так много компаний, у которых есть хорошие специалисты по криптографии: тут большую роль играет слабая компетенция в этой области. А главным стимулом к шифрованию информации является сохранность своих конфиденциальных данных. Если данные зашифрованы, получить к ним доступ очень проблематично, особенно если все реализовано на программно-аппаратном уровне.

Владимир Стыран: Утверждение, что обмен шифрованными данными приводит к значительному снижению производительности приложений потеряло актуальность около пяти лет назад. Ведь за последние годы криптографические алгоритмы не изменились: AES был стандартизирован в 2002 г., RSA — еще в далеком 1977-м. По закону Мура, вычислительные мощности удваиваются каждые два года, так что на сегодняшний день с криптографией не справляются только очень ветхие или очень неправильно спроектированные системы. Добавьте к этому повсеместную аппаратную поддержку функций блочного шифрования в современных процессорах, и вы поймете, что помешать использованию криптографии сегодня может только нежелание ее использовать.


Василий Задворный: Сегодня не составляет особых проблем обеспечить защищенный канал без ощутимых потерь в скорости при шифровании на сетевом уровне. А вот в области шифрования приложений все зависит от архитектуры информационной системы и применяемых технологий. Основными двигателями к применению средств обеспечения ИБ являются: произошедшие инциденты и внешнее регулирование (государственное, международное, материнской компании). Новые системы все чаще проектируют, учитывая необходимость шифрования, старые же действительно могут содержать архитектурные ограничения и как следствие – приводить к резкому снижению производительности. В связи с этим систему оставляют уязвимой.

Владимир Удалов: Тип передаваемых по сети данных (шифрованные или нешифрованные) никак не влияет на скорость передачи. Сам модуль шифрования, занимающийся шифрованием и дешифровкой данных, также не оказывает сколь-нибудь заметного влияния на производительность компьютера.

Главным стимулом для внедрения шифрования является повышенная мобильность сотрудников — они часто работают дома, используя корпоративный ноутбук, и ездят в командировки. Современные программные решения дают возможность из любой точки мира получить доступ к корпоративной почте, корпоративным информационным порталам. Это, безусловно, повышает производительность сотрудников, позволяет им быть на связи практически круглосуточно.

Но при этом конфиденциальная корпоративная информация, свободно перемещаемая сотрудником на ноутбуке, подвергается риску утери и компрометации. А когда в крупной компании каждый второй сотрудник регулярно работает из дома, потеря ноутбука перестает быть из ряда вон выходящим событием, и становится своеобразной рутиной для ИТ-отдела. И вот тут-то и возникает вопрос – как защитить конфиденциальные данные, хранящиеся на ноутбуке. Шифрование является одним из инструментов, применяемых для решения этой задачи, наряду с использованием надежной системы класса endpoint security.

Онлайн-платежи

Согласно прогнозам IDC в 2012 г. будет совершено более 1 млрд онлайн-покупок на общую сумму более 1,2 трлн долл. В сложившихся условиях рост онлайн-платежей сопровождается повышением активности мошенников, а пользователи все чаще переживают за сохранность своих данных. Согласно опросу «Лаборатории Касперского», кража финансовой информации всерьез беспокоит 40% опрошенных, а 21% считает ее хищение наиболее серьезной угрозой.


• Редакция PCWeek/UE поинтересовалась у экспертов, какие продукты и технологии в области защиты онлайн-платежей они предлагают и есть ли интерес к подобного рода решениям со стороны заказчиков?

Антон Разумов: Пожалуй, наиболее эффективным способом для защиты от мошенников является использование одноразовых кодов. Причем не обязательно снабжать каждого пользователя дорогостоящим устройством — очень высокого уровня безопасности можно достичь при помощи отправки SMS на его телефон. Важное достоинство этого подхода состоит в том, что ответственность за работоспособность такого устройства лежит на пользователе, и это позволяет обойтись без специальной службы. Например, в случае утери телефона сам пользователь озаботится его заменой и восстановлением SIM-карты.

В решении Check Point Mobile Access Blade предусмотрена возможность задействовать дополнительную авторизацию с помощью SMS-сообщения, т.е. пользователь авторизуется обычным образом (вводя имя и пароль) после чего ему предлагается ввести одноразовый код, полученный по SMS. Систему можно настроить таким образом, что при отказе пользователя ввести этот код, доступ будет ограничен, например, только для просмотра остатков по счетам, но не для переводов. Причем данный функционал настраивается на шлюзе безопасности, что значительно облегчает сопровождение самой банковской системы.

Еще более продвинутым решением для онлайн-платежей является специализированное устройство Check Point GO. Внешне это обычная флешка, которую удобно носить с собой. Но при подключении к любому компьютеру с Windows после ввода специального пароля запускается безопасная среда, изолированная от основной операционной системы, из которой, в свою очередь, устанавливается защищенное соединение в банк. Таким образом, пользователь может безопасно совершать банковские операции даже с чужих компьютеров.

Владимир Илибман: В мировой практике защита систем электронных платежей осуществляется в соответствии со стандартами платежных систем Visa/Mastercard – Payment Card Industry Data Security Standard (PCI DSS). Cisco совместно с партнерами – компаниями EMC/RSA и HyTrust – разработала референс-архитектуру решения для PCI DSS. Архитектура была оценена независимым аудитором Verizon Business. Блоки данной архитектуры могут использоваться банками, традиционными и интернет-магазинами для защиты своих информационных систем.

Интерес к решению для защиты онлайн-платежей демонстрируют в первую очередь банки со своей системой процессинга платежей. Именно они находятся под пристальным вниманием платежных систем, и отсутствие соответствующей защиты может повлечь предупреждения, штрафы и даже отключения со стороны Visa/Mastercard. Интернет-магазины и небольшие банки зачастую перекладывают защиту интернет-платежей на вышестоящие процессинговые центры и провайдеров платежных систем, через которые осуществляется обработка транзакций. То, чем реально интересуются все категории заказчиков, – это системы защиты от DDoS-атак. В Украине, как и в России, DDoS-атаки становятся дешевым и доступным элементов конкуренции, которым подвергаются и сайты онлайн-торговли.

Илья Магась: Для того чтобы используемые технологии онлайн-платежей были максимально защищены от компрометации данных транзакции и мошенничества, банку следует решить несколько задач. Во-первых, необходима надежная аутентификация клиента и транзакции, которая не даст мошеннику провести операцию, перехватив пароль к сайту веб-банкинга. Во-вторых, должно использоваться надежное шифрование канала связи и подтверждение аутентичности сервера. Это позволит минимизировать опасность фишинговых атак на наиболее доверчивых клиентов банка. В-третьих, не обойтись без системы мониторинга операций. Она своевременно выявит подозрительные действия клиентов, заблокирует потенциально опасные операции и уведомит подразделение банка, отвечающее за борьбу с мошенниками. «БМС Консалтинг» предлагает решения для двухфакторной аутентификации от ведущих производителей SafeNet, RSA. Также в нашем портфеле продуктов есть решения по мониторингу и корреляции событий и защите каналов связи от таких производителей, как Cisco, CheckPoint, Fortinet.

В связи с массовым переходом банков на дистанционное обслуживание наибольший интерес естественно мы наблюдаем с их стороны. Но также подобные решения остаются достаточно востребованными и в других крупных компаниях, где они используются для защиты корпоративных информационных ресурсов. Схожими по набору средств комплексами для крупного корпоративного сегмента являются системы для удаленного доступа мобильных сотрудников к ресурсам и сервисам корпоративной сети.

Василий Задворный: Сегодня действительно угрозы разделились: одни нацелены на информационные системы банка, другие – на клиентов онлайн-сервисов. Из наших продуктов и технологий для банков мы предлагаем услуги оценки защищенности информационных систем – тест на проникновение. В рамках этой услуги мы моделируем действия злоумышленников (как внешних хакеров, так и клиентов банка) с целью обнаружить существующие уязвимости и осуществляем попытку проникновения – взлома. Завершаются такие проекты разработкой рекомендаций, ведь для предприятий важно не только устранить существующие уязвимости, но и предотвратить их появление вновь. В части технологий защиты клиентов онлайн-сервисов мы продвигаем решение AOS (AhnLab Online Security), которое призвано защитить клиента, совершающего онлайн-транзакции, от всего спектра возможных угроз. Примечательно, что даже в случае, когда рабочая станция клиента заражена неким вредоносным ПО, решение AOS позволит совершить транзакцию, не допустив утечки критичных данных либо подмены реквизитов платежа.

Проекты по оценке защищенности – тест на проникновение – пользуются популярностью уже несколько лет. Если раньше основным заказчиком таких услуг были банки, то сегодня половина проектов происходит в компаниях из других отраслей. AOS вызывает интерес, однако в основном бизнес не готов тратить деньги на внедрение подобных систем, поскольку все риски на уровне договора перенесены на плечи клиента сервиса.

Владимир Удалов: Финансовые операции в Интернете стали неотъемлемой частью современной цифровой среды наряду с загрузкой медиафайлов и общением в социальных сетях. На сегодняшний день более 11% украинских семей обладают полным набором современных электронных устройств – ПК, ноутбук, смартфон, планшет. Но из-за повышенной активности мошенников пользователи переживают за сохранность данных.

Для защиты домашних пользователей «Лаборатория Касперского» предлагает обновленную версию Kaspersky Internet Security 2013. Угрозы сегодня постоянно видоизменяются, поэтому особое внимание в продукте уделено безопасности личных данных пользователей при совершении покупок в Интернете, а также любых банковских операций онлайн. Для этого в решение внедрена новая функция – «Безопасные платежи».

Насколько безопасно облако?

Исследования аналитиков показывают, что многие компании считают защиту облаков надежной. Но так ли это на самом деле? Аналитики в области ИБ с этим категорически не согласны. Чтобы расставить точки над «i», мы предложили экспертам ответить на следующие вопросы:

• Какие условия необходимо выполнить, чтобы облака были безопасны?
• Какие технологии вы предлагает для защиты всех хранящихся в облаке данных?

Геннадий Карпов: На мой взгляд, широко обсуждаемая тема облачной безопасности все еще имеет ярко выраженную эмоциональную окраску. Это вполне естественно, поскольку процесс привыкания к новой парадигме производства и потребления ИТ-сервисов пока далек от завершения – сменить технологии все-таки оказалось проще, чем обеспечить их восприятие людьми. Если же сместить точку зрения от эмоциональной к рациональной, то становится очевидным, что мы имеем дело с классической задачей, которая должна быть решена в новом окружении и с использованием новых технологий. Как ни удивительно это может прозвучать, во многих случаях новая среда позволяет решать задачи безопасности во всех ее проявлениях более просто и надежно, чем в унаследованных корпоративных информационных системах.

Не все облака одинаково полезны. И публичное облако, скорее всего, не сможет дать эффективный ответ на актуальную для корпоративного заказчика модель угроз. Во многом это определяется его природой — максимально облегченный доступ через Интернет для широкой и заранее неопределенной аудитории пользователей. Но существуют и другие типы облаков коллективного использования, которые значительно лучше приспособлены к потребностям корпоративного сегмента рынка. 

Например, гипероблако De Novo построено по модели Trusted Cloud. Она предполагает доступ к гипероблаку ограниченного количества надежно идентифицированных пользователей, изоляцию выделенных им виртуальных датацентров, приоритетное использование персональных каналов «точка-точка» и жестко контролируемое взаимодействие с Всемирной сетью. В операционной модели Trusted Cloud используются практически те же технические и организационные инструменты безопасности, что и в зрелых корпоративных инфраструктурах. Среди них: IDS/IPS, блокирование вредоносного контента, средства защиты от аппаратных отказов и логического разрушения данных, разделение ролевых функций персонала и работающая политика информационной безопасности, доведенная до уровня технологических карт.

Мирослав Мищенко: Провайдер облака должен гарантировать его безопасность, для чего необходимо обеспечить как защиту сети, так и физической среды. Поэтому важно выбрать провайдера с хорошей репутацией, опытом и качественными решениями в области сетевой безопасности и операционных сред. Кроме того, он должен продемонстрировать, что все риски в области ИБ были проанализированы и считаются приемлемыми, что система защиты протестирована, и он способен управлять угрозами. Необходимо проверить, как провайдер облака реагирует на инциденты, например, есть ли у него центр по обеспечению безопасности (ЦОБ).

Также важно оценить, какие физические меры безопасности предприняты в отношении того помещения, где хранятся данные. Установлена ли система контроля доступа, есть ли видеонаблюдение? Рекомендуется выбирать провайдера облака, который гарантирует меры физической безопасность в соответствии с SAS 70 или ISO 9000.

В облачных вычислениях несколько пользователей используют одно и то же приложение или аппаратное обеспечение. Это предполагает, что информация нескольких организаций находится на одной физической системе. Поэтому крайне важно убедиться, что система сегментирована правильно, данные и приложения полностью отделены друг от друга. Тем не менее, виртуальные среды работают иначе, чем традиционные серверы. Последние контролируют весь трафик через физический коммутатор Ethernet или маршрутизатор. В виртуальной среде поток данных проходит через виртуальный адаптер. Это создает так называемое «белое пятно» в соединении между центром обработки данных и конечными пользователями, и в итоге — потенциальную угрозу для безопасности. Настройка физического или виртуального устройства защиты между поставщиком облака и заказчиком окажется разумным решением, так как поможет обеспечить правильное сочетание производительности и контроля в пределах потоков данных.

Олег Просветов: Основная формула, которой должны пользоваться компании, переводящие всю инфраструктуру в облака, выглядит следующим образом: «Успех = систематический подход + оценка рисков + четко прописанные политики».

К переходу в облака нужно подходить систематически, не стоит переносить туда сразу всю инфраструктуру. Переход должен быть постепенным, осознанным, вначале нужно понять, насколько облака помогут сэкономить на ресурсах, капиталовложениях и т.п.

Компаниям стоит проанализировать все плюсы и минусы таких преобразований. Перевод инфраструктуры во внешние облака чем-то похож на аутсорсинг – работу со сторонней организацией, когда все полномочия четко разграничены и прописаны в договоре. 

Кроме того, при переводе ИТ-инфраструктур в облака у компаний должна быть четкая стратегия, ведь это привнесёт новые риски и угрозы. Вот почему понадобятся дополнительные защитные и организационные меры: шифрование, отказоустойчивость сети, процессы взаимодействия с техподдержкой и т.д.

Среди наиболее актуальных и востребованных заказчиком облачных технологий можно назвать хранение резервных копий в облаке, архивирование почты и т. д. Так, Symantec предлагает услугу облачного резервного копирования. Она позволяет небольшой организации получить полноценную систему резервного копирования. Мы предлагаем бэкап в виде услуги, так как зачастую компаниям не хватает ресурсов для организации собственной инфраструктуры, а общедоступные облака не вызывают доверия. В свою очередь Symantec предоставляет многоуровневую систему отказоустойчивости корпоративного класса для небольших компаний.

Новая облачная платформа Symantec O3 дает возможность контролировать использование облачных ресурсов, предлагая единую точку входа корпоративных пользователей к внутренним и внешним облачным ресурсам из любой точки мира и с любого устройства. В конце осени выйдет дополнение к платформе, которое позволит контролировать передачу данных (загрузки и скачивания, отправка файлов и т.д.) и интегрировать облачные системы с системами шифрования и контроля за утечками данных (DLP).

Илья Магась: Поручать третьей стороне обрабатывать ваши данные можно в двух случаях: либо если они надежно защищены, либо если они для вас не важны. Аутсорсинг бизнес-процессов, не составляющих «ядро» вашего бизнеса, не является чем-то из ряда вон выходящим. По этой причине облака не несут ничего нового: многие компании уже давно вывели вспомогательные функции в аутсорсинг, оставив под контролем только самые критичные процессы.

Если же приложение является критически важным, то переносить его на чужую площадку, будь то ЦОД или распределенная вычислительная архитектура типа облака — несомненный риск, которым нужно управлять. Здесь стоит начать с пересмотра модели доступа к данным: контроль доступа должен осуществляться как можно «ближе» к информации, то есть, на наивысшем уровне абстракции. Другими словами, если в облако попадут только зашифрованные данные, а доступ к ним и их обработка будут происходить с использованием уникальных реквизитов доступа и сильной криптографии, то для заказчика неважно, где физически расположены данные: криптография позаботится об их защите где угодно.

Компания «БМС Консалтинг» предлагает целый ряд решений на базе облачных сервисов для компаний-заказчиков разных размеров. Это решения фильтрации контента, управления инфраструктурой, обеспечения управления безопасностью, мобильными устройствами пользователей от таких производителей, как Symantec, McAfee, AirWatch и MobileIron.

Владимир Удалов: Облачные сервисы, как и любые другие информационные системы, обладают потенциальными уязвимостями, и могут быть атакованы хакерами. Учитывая тот факт, что все более крупные компании размещают свою корпоративную информацию в облаке, в том числе бизнес-критичную, конфиденциальную информацию, можно прогнозировать рост интереса хакеров к облачным сервисам.

При выборе провайдера и облачных приложений, необходимо руководствоваться бизнес-критичностью тех данных, которые вы планируете размещать в облаке. Так, особо важные и конфиденциальные данные можно хранить внутри компании, менее важные – в публичных облачных сервисах. Это позволяет минимизировать риски и поэтому должно быть прописано на уровне политики безопасности каждой конкретной компании.

Однако при размещении информации в публичном облаке компания не имеет возможности проверить уровень обеспечения безопасности. И даже если провайдеры облачных сервисов допустят своих клиентов к проведению аудита информационной безопасности своих серверов, далеко не у каждого заказчика найдутся специалисты необходимой квалификации.

Таким образом, клиенту остается лишь довольствоваться той информацией о мерах, применяемых для защиты облачного сервиса, которую предоставляет сам провайдер. Сегодня именно на доверии пользователя к облакам и строится их существование. Но в ближайшие годы, скорее всего, появятся компании, которые будут специализироваться на независимом аудите информационной безопасности публичных облачных сервисов. А сертификаты, подтверждающие высокий уровень информационной безопасности, войдут в «джентельменский набор» любого крупного облачного сервиса.

Большинство облачных сервисов базируются на технологии виртуализации. Использование специализированных антивирусных решений, созданных для работы в виртуальной среде, повышает уровень защиты облачного сервиса и помогает добиться правильного баланса между защищенностью и производительностью. 

В 2012 г. «Лаборатория Касперского» представила на рынке новое корпоративное защитное решение Kaspersky Security для виртуальных сред. Решение не требует установки антивирусного агента на каждую виртуальную машину, обеспечивая таким образом максимальную защиту виртуальной инфраструктуры без снижения ее производительности. Кроме того, заказчики получают возможность централизованно управлять защитой широкого спектра устройств (включая физические серверы, виртуальные машины и мобильные устройства): при помощи единой консоли Kaspersky Security Center происходит управление политиками, обновлениями и другими задачами по обеспечению ИT-безопасности. Таким образом, упрощается и повышается прозрачность администрирования, сокращаются затраты и нагрузка на системных администраторов.