Вопросы защиты данных, помещенных в «облако», являются, пожалуй, главным тормозящим фактором на пути внедрения облачных технологий. Какие вызовы в области безопасности беспокоят заказчиков больше всего и какие есть пути для решения таких проблем?

Дмитрий Хороших, Cisco

Информационная безопасность сегодня наиболее часто указывается как причина, мешающая переходу в облака. Но, на мой взгляд – основными тормозящими факторами являются, во-первых, неготовность внутренних ИТ-подразделений клиентов к передаче части своих функций сторонней компании, во-вторых, недостаточная подготовленность провайдеров к предоставлению услуг высокого качества. Можно долго спорить, что должно случиться раньше, но это будет напоминать спор о курице и яйце. Факт остается фактом – как только заказчик четко выстроит структуру бизнес-процессов, определит перечень сервисов для передачи на аутсорсинг и найдет провайдера, готового оказывать качественные услуги по обеспечению работоспособности этих сервисов, все проблемы с информационной безопасностью (и еще десяток других, о которых мы постоянно слышим) быстро решаются.

Вообще, после детального анализа ИТ-инфраструктуры заказчика, становится понятным, что для 20% систем, в первую очередь связанных с разработкой, тестированием и внедрением новых продуктов, вопросы безопасности вообще не актуальны. Таким образом, эти системы – первые кандидаты на перенос во внешний облачный ЦОД. Еще для 50% систем можно довольно просто сформулировать модель угроз и разработать комплекс мер по обеспечению ИБ. И только для 30% систем вынос во внешний ЦОД будет затруднителен. Хотя мне известны случаи, когда компании целиком выносили свои ИТ-ресурсы во внешнее облако и при этом полностью закрывали вопросы, связанные с безопасностью.


Игорь Сичкарь, SI BIS

Не секрет, что вопросы безопасности, связанные с внедрением облачных сервисов в организации, являются самым актуальными на сегодняшний день. Передавая функции хранения корпоративных данных и управления ими внешнему поставщику услуг, организация должна уделить внимание вопросам безопасности, конфиденциальности, защиты информации и соблюдения прав интеллектуальной собственности. Многих клиентов интересует, как обеспечивается безопасность данных и информационных систем в облаке. 

Одним из ответов является Windows Intune, это облачная служба, c помощью которой, ИТ-персонал может удаленно администрировать персональные компьютеры, устанавливать обновления, защищать компьютеры в конечных точках от вредоносных программ и выполнять другие действия. Новейшая версия Windows Intune также поддерживает управление мобильными устройствами с ОС Windows 8, Windows RT, Android и iOS, и позволяет безопасно размещать мобильные приложения на Мобильном портале организации.

Пользователям любой облачной службы важно понимать политику поставщика в отношении пользовательской информации. Поставщик должен использовать согласованную, надежную и прозрачную политику конфиденциальности, исходя из того что клиент является собственником своих данных. Так, заявление о конфиденциальности Microsoft Windows Intune содержит четкие положения о том, как происходит обращение с клиентскими данными и данными транзакций Windows Intune.

Олег Просветов, Symantec

Как показывает практика, больше всего заказчики выражают беспокойство относительно защищенности данных, их неприкосновенности, а также отсутствия контроля. Компании, особенно малый и средний бизнес, называют эти факторы главными барьерами, препятствующими использованию облачных решений.

Андрей Довгань, Terrasoft

Сегодня можно уверенно говорить о росте доверия к SaaS-технологиям, хотя еще 4-5 лет ситуация была иная. Основным фактором, замедляющим рост рынка SaaS, является вопрос сохранности данных. Ситуация меняется, сейчас многие понимают, что все опасения беспочвенны. К тому же, на рынке есть облачные приложения, которые можно развернуть на площадке клиента. При таком подходе сохраняются все преимущества SaaS и данные физически находятся на сервере клиента. 

В любом случае, преимущества облачных технологий очевидны. Они позволяют работать с данными из любой точки мира и в любой момент времени, дают возможность быстро развернуть систему, предварительно протестировав ее. Кроме того, подписка на программное обеспечение позволяет снизить совокупную стоимость владения и первоначальные инвестиции в ИТ-инфраструктуру, избавляет компанию от ряда организационных вопросов.

Александр Ширманов, Veeam Software

Когда данные ограниченного доступа выносятся в облачную среду, значительно усложняется модель безопасности информации. Во-первых, сильно меняется модель злоумышленника. Если в частном облаке угрозу могут представлять только внутренние нарушители (сотрудники), так как корпоративный ЦОД с конфиденциальными данными обычно отключен от внешнего доступа, то в публичном облаке возникают внешние нарушители: персонал провайдера публичных услуг, нарушители “посередине” (между компанией и публичным облачным провайдером). Меняется и периметр безопасности. Теперь нужно защищать канал, а также продумывать и настраивать межсетевое экранирование, чтобы, например, нарушитель из числа персонала публичного ЦОДа, не мог получить доступ во внутрикорпоративную сеть через защищенный канал между компанией и публичным ЦОДом. Среди основных проблем надо назвать следующие: 

1) Данные, защищаемые в силу закона, могут требовать сертифицированной защиты. Например, в России, в таком случае, для криптографической защиты канала требуется применять СКЗИ, сертифицированные ФСБ и применяющие алгоритм шифрования ГОСТ (а широко распространенный американский алгоритм AES применять нельзя). Поэтому, провайдер облачных услуг, обязан подтвердить компании-клиенту, что будет защищать данные в соответствии с законодательными требованиями. В некоторых случаях (при защите данных определенных категорий), провайдеру требуется лицензия на защиту охраняемых законом данных.

2) Несанкционированный доступ персонала ЦОД практически невозможно выявить на стороне клиента ЦОД. Решение заключается только в шифровании данных, но тогда теряется возможность их обрабатывать на стороне провайдера.

Ольга Берестецкая, Yaware

Страхи заказчиков чаще всего формулируются такими словами «наши данные находятся не у нас»; «вы продадите нашу конфиденциальную информацию конкурентам».Первый страх решается резервным копированием, которое предоставляет провайдер облачного сервиса и предоставлением клиентам бесперебойного доступа к их данным.
Что же касается конкурентов, то чаще всего информацию конкурентам «сливают» сотрудники компании, вынося её на «флешке». А поставщик сервиса работает на свою репутацию, поэтому он предпринимает все возможные меры по защите информации. Поскольку эти страхи скорее мнимые, большое значение имеет имидж поставщика облачного сервиса, его надёжность в глазах клиентов.

АлексейШишлянников, АМИ

Многие компании уверены, что данные, находящиеся за рубежом, защищены надёжнее, чем те, что находятся в серверной. Вопросы доступа к информации, конечно, беспокоят клиентов. Однако следует понимать, что в профессионально спроектированных ЦОД и решениях, которые поставлены «на поток», применяются самые совершенные средства безопасности. На внедрение в частном облаке необходимо потратить намного больше средств.
В любом случае, преимущества «облачных» сервисов компенсируют связанные с ними риски. Экономия финансов на начальном этапе может с лихвой компенсировать и отодвинуть на второй план мифические риски, связанные с облаками.

Владимир Мельник, «Аплинк»

Как говорил Юджин Х. Спаффорд, один из крупнейших западных экспертов по исследованиям защищенности и безопасности информации: «По-настоящему безопасной можно считать лишь ту систему, котоpая выключена, замуpована в бетонный коpпус, запеpта в помещении со свинцовыми стенами и охpаняется вооpуженным каpаулом, — но и в этом случае сомнения не оставляют меня». Как в любом крылатом выражении здесь есть и доля шутки, и доля правды. Прежде всего, эксперт указывает на четыре основных источника нарушения безопасности.

1. Недостаточная программная защита. Здесь следует помнить о двух моментах: это защита информации от копирования/извлечения, а также защита от ее банального уничтожения (иногда – вместе с носителем).
2. Недостаточная аппаратная защита. Здесь так же следует заботиться как о дублировании носителей и различных средств обеспечения резервного копирования, так и разнообразных инструментах ограничения физической возможности доступа (как злоумышленников, так и стихий).
3. Недостаточная защита каналов передачи данных. Следует помнить и о том, что между информацией и ее потребителем находится некоторая среда, получить доступ через которую зачастую бывает проще, чем извлекать информацию из крайних точек.
4. Человеческий фактор. Целенаправленное или случайное пренебрежение правилами и процедурами безопасности сводит на нет все усилия специалистов, её обеспечивающих.

Часть методов обеспечения безопасности, хорошо себя зарекомендовавших на уровне локальных сетей, без проблем переносится и в облако. Это касается, например, шифрования, резервного копирования. Часть методов, хорошо работавших ранее (например, создание внутреннего периметра безопасности, ограниченного локальной сетью и системой карточного доступа) требует доработки. 

Теперь уже на пользователя возлагается ряд ограничений по удержанию периметра безопасности. В частности, растет роль административных политик, разъясняющих пользователю правила пользования удаленными соединениями и защиты информации, а также заставляющих его их придерживаться (различные подписки и регламенты). В целом, объединяя программные и аппаратные средства защиты с грамотно разработанными и внедренными административными политиками можно обеспечить безопасность любой инфраструктуры.

Александр Валентеенко, «Астерос»

Наиболее чувствительными являются в первую очередь финансовые учреждения и телеком-операторы, где обеспечение безопасности является ключевой нитью, идущей сквозь весь бизнес таких компаний. Безусловно, аспект неприкосновенности информации со стороны третьих лиц является основным фактором риска для такого заказчика. Однако следует заметить, что современные системы ИТ-безопасности настолько развиты, что слабым местом безопасности скорее может стать человеческий фактор собственного персонала, нежели недостатки облачной среды и возможные утечки информации через ИТ-системы.  


Максим Захаренко, «Облакотека»

Ключевые риски, которыми оперируют противники облаков – утрата доступности данных (в том числе безвозвратно) и утрата конфиденциальности. 

Для обеспечения доступности данных в ИТ-индустрии пока не придумали ничего лучше резервного копирования. Можно резервировать данные из облака в офисный ЦОД или в другое, технически и юридически независимое облако. В SLA должно быть указано, чья это зона ответственности – провайдера или клиента. У некоторых провайдеров есть целые разделы в SLA, посвященные прекращению обслуживания, описывающие кто и в каком виде должен выдать данные.
В реальной жизни данные теряются чаще всего в офисе при повсеместном пренебрежении резервным копированием. К этому добавляется риск выноса оборудования и случайности, связанные с эксплуатацией офиса (пожар, затопление, сбой при отключении электричества и пр.). Готов утверждать, что у провайдера, выполняющего резервное копирование, данный риск существенно ниже, чем при размещении ИТ в офисе.

Конфиденциальность информации в облаке также сохранить существенно проще, особенно если облако вне юрисдикции Украины. За информацией «приходят» именно в офис. 

Резюмируя, скажу, что нельзя рассматривать только риски облаков, надо сравнивать их с реальными аналогичными рисками при размещении ИТ «в офисе». Я утверждаю, что почти всегда правильные облака производительней и безопаснее ИТ в офисе.

Андрей Бондаренко, «ЭС ЭНД ТИ УКРАИНА»

Вопрос безопасности был и есть основным серьезным сдерживающим фактором при принятии решений касательно миграции в облака. Ответ на этот вопрос дала компания GreenSQL (www.greensql.com) в специализированном опросе о страхе перехода в облако. Опрос показал, что 81% всевозможных ИТ-руководителей не намерены перемещать данные в облака. При этом 31% — не доверяют уровню безопасности самих сервисов, 28% — из-за ограничений регуляторных политик и требований, 22% — из-за опасений не суметь контролировать данные в облаке в полной мере, и еще 19% — из-за незрелости самого рынка облачных сервисов.

Дополнительно ситуация усугубляется и тем, что в настоящее время для клиента совершенно нет никакой гарантированной возможности оценить, насколько безопасна та или иная облачная технология. И чтобы изменить вышеупомянутые страхи, необходим либо жесткий «приказ идти в облако», либо положительная многолетняя история у провайдеров услуг. Но процент опасающихся все равно еще долгое время будет высоким.



Способна ли корпоративная культура заказчиков справиться с рисками, которые несет с собой новый подход к организации вычислений?
Александр Валентеенко, «Астерос»
Многие люди ежедневно сталкиваются с сервисами, работающими в «чужих облаках». Это, например, проведение транзакций на счету биллинговой системой банка с привлечением процессинга сторонней от банка организации. Ежедневно проводятся сотни миллиардов операций, которые организованы аналогично вычислениям в облаках. Сбой ИТ-инфраструктуры предприятия, которое экономит на модернизации ИТ, в разы более вероятен, нежели у облачного-провайдера, который строит свой бизнес на предоставлении подобных услуг. Выход из строя сервиса, размещенного в облаке у провайдера, допускает возможность потери данных, однако не потребует дополнительных инвестиций в ИТ для устранения и модернизации инфраструктуры. Кроме всего прочего, с провайдера можно потребовать компенсацию за простой в работе компании, чего не сделаешь с собственной службой ИТ.
Более того, облачный-провайдер, накапливая знания и опыт решения сбоев в работе ИТ, реплицирует знание на инфраструктуру всех клиентов, а значит, возникший сбой у одного клиента, позволит предупредить возникновение этой проблемы у остальных.
Компенсируют ли преимущества «облачных» сервисов связанные с ними риски? Данная бизнес-модель обеспечивает переход от CAPEX в OPEX, прогнозирование и прозрачный учет потребления информационных ресурсов, а также их предоставление по требованию. Кроме того, инфраструктура частного облака дает возможность минимизировать риски простоя, повысить качество обслуживания и при этом снизить TCO. Преимущества решений видны невооруженным глазом. Чтобы не попасть в «зависимость» от облачного провайдера, следует диверсифицировать провайдеров услуг, использовать гибридные облака или просто не отдавать весь свой бизнес в одни руки.
Алексей Шишлянников, АМИ
Предстоит еще немалая работа по изменению отношения украинских предприятий к облакам. Своим клиентам мы рекомендуем использовать весь спектр сервисов, предоставляемых в рамках пакетов Office 365. Это и почтовый сервис, сервис аудио-видеоконференций и вебинаров, сервис внутрикорпоративного портала, а также сервис управления проектами. 

Также для управления инфраструктурой персональной техники нами предлагается сервис Microsoft Intune, который, по сути, предоставляет функционал System Center с возможностью управления не только компьютерами, но и мобильными устройствами пользователей.

Компания АМИ предоставляет сервис облачного 1С, портальные решения и решения для организации электронного документооборота и бизнес-аналитики. Также мы предлагаем сервис консолидации данных СКД собственного производства и ряд других.

Владимир Ткачев, VMware
В передовых ИТ-странах облачные технологии развиваются стремительно и на сегодняшний день разработан эффективный инструментарий минимизации возможных рисков. Страны Восточной Европы, конечно, отстают, ведь многие организации ещё только на пути к принятию решения о виртуализации ИТ-инфраструктуры. Использование публичных облаков пока также не очень широко распространено, что связано, в первую очередь, с недоверием к хранению данных «неизвестно где» и возможной неготовностью провайдеров публичных облачных сервисов «подписываться» деньгами под уровнем оказываемых услуг.
Андрей Бондаренко,«ЭС ЭНД ТИ УКРАИНА»
Подход грамотного провайдера услуг заключается в том, что для заказчика «внешне» практически ничего не меняется, как бы технологически сложно не был бы организован «новый подход к организации вычислений».