Москва +7 (495) 221-21-41
Ростов-на-Дону +7 (863) 320-09-60
Кемерово +7 (384) 221-56-41
Новосибирск +7 (495) 221-21-41
- Москва
- Ростов-на-Дону
- Кемерово
- Новосибирск
- +7 (495) 221 21 41
- +7 (863) 320 09 60
- +7 (384) 221 56 41
- +7 (495) 221 21 41
Облако страха
31.10.2011 /
IT Manager
Несмотря на то, что облачные вычисления стремительно эволюционируют, пользователи все еще с опаской относятся к этой концепции. Основные их страхи вызваны тем, что облака несут в себе дополнительные риски в сфере информационн ой безопасности.
Главная задача на пути массовой популяризации облачных вычислений осталась неизменной с момента появления этого термина. Разумеется, речь идет о защите конфиденциальной информации, обрабатываемой в облаке. Несмотря на потуги разработчиков облачных технологий, их заказчики все еще с недоверием относятся к возложению ИТ-задач на облако, особенно если его контролирует сторонний сервис-провайдер. Причины этого недоверия кроются в отсутствии универсального рецепта, гарантирующего высокий уровень безопасности облачной инфраструктуры, а также в недостаточном понимании особенностей защиты виртуальных ИТ-ресурсов.
Большая разница
По словам Александра Лысенко, ведущего эксперта по вопросам технической защиты информации компании «Код Безопасности», задача защиты корпоративного облака решается стандартным путем — через составление моделей нарушителей и угроз. В случае, если облачные ресурсы находятся внутри корпоративной сети, то для них характерны те же риски, что и для любых других ИТ-ресурсов компании. Отличия заключаются лишь в необходимости использовать специфические средства безопасности: например, обыкновенный антивирус для защиты виртуальной инфраструктуры не подходит, поскольку он способен вызвать так называемый «антивирусный шторм», когда все вычислительные мощности дата-центра заняты проверкой множества виртуальных ресурсов. «Для облаков обычные средства защиты не годятся. Нужны решения, «знающие» виртуальную архитектуру, способные одновременно бороться с атаками между виртуальными машинами и обеспечивать безопасность всех оконечных устройств, с которых осуществляется доступ к ресурсам», — вторит коллеге Алексей Филатенков, начальник отдела информационной безопасности компании «Открытые технологии».
Однако на практике особенностей защиты облачной корпоративной инфраструктуры гораздо больше, особенно если компания использует так называемые «публичные облака», то есть сторонние ИТ-ресурсы, предоставляемые сервис-провайдером и находящиеся за пределами корпоративной сети. «Задача обеспечения безопасности облака существенно отличается от стандартной схемы защиты корпоративных ресурсов, поскольку крайне сложно физически локализовать местонахождение конфиденциальной информации», — подчеркивает Дмитрий Слободенюк, коммерческий директор компании ARinteg.
Зоны ответственности
По оценке Михаила Бачинского, исполнительного директора компании «Санкт-Петербургская антивирусная лаборатория Данилова» (СалД), появление рынка коммерческих облачных сервисов расширило круг вопросов, связанных с защитой информации. Кроме того, произошло разделение зон ответственности между специалистами по ИБ организации, использующей облачные сервисы, и соответствующими службами провайдеров, их предоставляющих.
Традиционно в корпоративной сети предприятия защите подлежат прежде всего рабочие места сотрудников, файловые серверы, серверы приложений, почтовые серверы и интернет-гейты. Эти задачи, как правило, решают штатные специалисты ИТ-служб в соответствии с системой безопасности, разработанной в рамках корпоративной ИТ-политики. Однако при использовании сторонних облачных сервисов к перечисленному добавляется необходимость обезопасить каналы связи от каждого пользователя до облака и обеспечить достоверную пользовательскую аутентификацию при доступе к тому или иному сервису. При этом меры безопасности не должны негативно влиять на доступность облака. В случае использования коммерческих сервисов эти дополнительные задачи возлагаются на сервис-провайдера, который сам выбирает средства и модель защиты, фактически навязывая их заказчику. По словам Александра Гостева, главного антивирусного эксперта «Лаборатории Касперского», возможности самого клиента в данном случае весьма ограничены — он может использовать лишь шифрование собственных данных в облаке, но при этом не имеет возможности защититься от инсайдерских или хакерских атак на самого провайдера.
Предъявите паспорт
С переводом всех корпоративных ИТ-ресурсов компании в коммерческое облако компания фактически утрачивает контроль над ними и чет- кое понимание того, где они хранятся и как обрабатываются. Это приводит к необходимости смены акцентов в политике информационной безопасности. «В облаке четких границ ИТ-системы не существует, поэтому классические решения, контролирующие периметр сети, такие как межсетевой экран или система предотвращения вторжений, уже не спасают», — поясняет Ирина Момчилович, генеральный директор компании Rainbow Security. Во владении провайдера облачных сервисов находится все: физическая среда, сетевая инфраструктура, операционные системы и приложения. Исходя из этого, средствами защиты должен оснащаться не охраняемый периметр сети, а сама информация, при этом доступ к ней обязательно должен быть под контролем.
Ирина Момчилович убеждена, что в облачной реальности ключевым компонентом безопасности становится аутентификация пользователей посредством одноразовых паролей, бесконтактных токенов или смарт- карт, статических паролей или системы «вопрос-ответ». Кроме того, чтобы компания могла полностью контролировать использование облачных ресурсов, пользователей необходимо наделять правами, соответствующими их задачам. «Использование строгого разграничения прав на доступ к ресурсам, находящимся в облаке, позволяет обеспечить целостность и конфиденциальность данных при сохранении их доступности для всех пользователей», — подчеркивает Ирина.
Уязвимая доступность
Эксперты в области безопасности сходятся во мнении, что самым уязвимым местом аутсорсинговых облачных ресурсов является их доступность, обусловленная спецификой предоставления сервиса. «При размещении данных вовне или использовании внешних сервисов всегда появляются дополнительные звенья: это, как минимум, оператор связи и сам провайдер облачных услуг. Соответственно, общий уровень защищенности такой системы начинает зависеть сразу от нескольких сторон, при этом зачастую гарантий бесперебойной или защищенной работы между ними может и не существовать», — отмечает Александр Гостев («Лаборатория Касперского»). По его словам, не стоит также забывать и об угрозе прямых атак: если злоумышленник имеет доступ к корпоративному компьютеру, то это означает, что он может получить доступ и к корпоративным данным в облаке.
К тому же, помимо пользователей и их данных, на локальном рабочем месте у злоумышленников появляется новый объект для атак — само облако. И если в системе безопасности этого облака будут бреши, потери для компании могут оказаться гораздо масштабнее, чем в случае с атакой на локальное рабочее место. В качестве поучительного примера Александр Гостев приводит взлом компании HBGary в феврале 2011 г. Хакерам не удалось проникнуть в локальную корпоративную сеть, но они смогли получить доступ к корпоративной почте компании, базирующейся на сервисе Google Apps for Business: в результате весь архив почты был украден и оказался в публичном доступе.
Равенство целей
Доступность или безопасность — именно перед таким выбором зачастую оказываются пользователи облаков, поскольку принимаемые меры защиты могут снижать уровень доступности корпоративных данных. Ирина Момчилович (Rainbow Security) считает, что в этом вопросе многое упирается в тип облачной среды. В случае с частным облаком, которое строится на корпоративной инфраструктуре, компания полностью управляет всеми ресурсами, и поэтому доминирующей для нее становится задача обеспечения доступности данных: с облаками должны работать сотрудники различных департаментов или даже удаленных офисов и дочерних компаний, из любой точки, где есть Интернет, с любого компьютера или даже мобильного устройства. В случае же с публичным облаком во главу угла необходимо ставить задачи обеспечения безопасности, при этом ответственность за поиск решений должны разделять обе стороны — и провайдер, и заказчик.
По мнению Михаила Бачинского («СалД»), независимо от облачной архитектуры крайне важно соблюсти паритет ее доступности и безопасности, так как безопасность без доступности, как и доступность без безопасности никому не нужны. «Необходимо соблюдать этот баланс, исходя из требований бизнеса и стоимостной оценки рисков», — убежден Александр Лысенко («Код Безопасности»). В этих вопросах, как и в вопросах построения корпоративного облака, посильную помощь заказчикам могут оказать сторонние ИТ-компании. «Они могут взять на себя бoльшую часть работ по комплексному обслуживанию, настройке и модернизации системы защиты, что позволит заказчику переключить свои ресурсы на выполнение основных бизнес-задач», — убежден Дмитрий Слободенюк (ARinteg).
Стандарты в помощь
Чем активнее развивается рынок облачных вычислений, тем больше появляется связанных с ней проблем и новых задач. Для упрощения их решения разрабатываются отраслевые стандарты, которые, к примеру, позволяют заказчикам определить, насколько профессионален выбранный ими провайдер и способен ли он обеспечить должное качество сервиса. «Процесс разработки регламентов не стоит на месте: соответствующие документы по защите облачной ин- фраструктуры и виртуализации уже представили Национальный институт стандартов США (NIST), немецкая федеральная служба по информационной безопасности (BSI), начата разработка стандарта облачной безопаснос ти в ISO», — отмечает Алексей Филатенков («Открытые Технологии»).
Пока же Ирина Момчилович (Rainbow Security) рекомендует заказчикам руководс твоваться у же действующими и хорошо известными стандартами в сфере безопасности. К ним относится SAS 70 (Statementon Auditing Standards, положение о стандартах аудита № 70), разработанный Американским обществом дипломированных общественных бухгалтеров (AICPA) стандарт ИТ-безопасности, признанный во всем мире. Он описывает правила аудита организаций, работающих в сфере услуг, и вопросы внутреннего контроля при применении информационных технологий и связанных с ними операционных процессов. Кроме того, Ирина Момчилович выделяет группу стандартов ISO 27K, формулирующих требования к системе управления информационной безопасностью (ISMS). Для облаков эти стандарты крайне важны, поскольку они регламентируют деятельность тех организаций, которые отвечают за создание, реализацию или обслуживание систем менеджмента информационной безопасности. Не менее важен COBIT (Control Objectives for Information and Related Technology, задачи информационных и смежных технологий) — международный стандарт, устанавливающий требования к защите и контролю конфиденциальных данных. Его основная ценность, по словам Ирины Момчилович, заключается в том, что он предлагает модель, обеспечивающую взаимосвязь между бизнес-целями и ИТ-процессами. COBIT содержит набор лучших методов защиты и контроля, а также метрику, позволяющую количественно оценить эффективность мер безопасности и тесты для проверки.
Перейти к списку статей
Несмотря на то, что облачные вычисления стремительно эволюционируют, пользователи все еще с опаской относятся к этой концепции. Основные их страхи вызваны тем, что облака несут в себе дополнительные риски в сфере информационн ой безопасности.
Главная задача на пути массовой популяризации облачных вычислений осталась неизменной с момента появления этого термина. Разумеется, речь идет о защите конфиденциальной информации, обрабатываемой в облаке. Несмотря на потуги разработчиков облачных технологий, их заказчики все еще с недоверием относятся к возложению ИТ-задач на облако, особенно если его контролирует сторонний сервис-провайдер. Причины этого недоверия кроются в отсутствии универсального рецепта, гарантирующего высокий уровень безопасности облачной инфраструктуры, а также в недостаточном понимании особенностей защиты виртуальных ИТ-ресурсов.
Большая разница
По словам Александра Лысенко, ведущего эксперта по вопросам технической защиты информации компании «Код Безопасности», задача защиты корпоративного облака решается стандартным путем — через составление моделей нарушителей и угроз. В случае, если облачные ресурсы находятся внутри корпоративной сети, то для них характерны те же риски, что и для любых других ИТ-ресурсов компании. Отличия заключаются лишь в необходимости использовать специфические средства безопасности: например, обыкновенный антивирус для защиты виртуальной инфраструктуры не подходит, поскольку он способен вызвать так называемый «антивирусный шторм», когда все вычислительные мощности дата-центра заняты проверкой множества виртуальных ресурсов. «Для облаков обычные средства защиты не годятся. Нужны решения, «знающие» виртуальную архитектуру, способные одновременно бороться с атаками между виртуальными машинами и обеспечивать безопасность всех оконечных устройств, с которых осуществляется доступ к ресурсам», — вторит коллеге Алексей Филатенков, начальник отдела информационной безопасности компании «Открытые технологии».
Однако на практике особенностей защиты облачной корпоративной инфраструктуры гораздо больше, особенно если компания использует так называемые «публичные облака», то есть сторонние ИТ-ресурсы, предоставляемые сервис-провайдером и находящиеся за пределами корпоративной сети. «Задача обеспечения безопасности облака существенно отличается от стандартной схемы защиты корпоративных ресурсов, поскольку крайне сложно физически локализовать местонахождение конфиденциальной информации», — подчеркивает Дмитрий Слободенюк, коммерческий директор компании ARinteg.
Зоны ответственности
По оценке Михаила Бачинского, исполнительного директора компании «Санкт-Петербургская антивирусная лаборатория Данилова» (СалД), появление рынка коммерческих облачных сервисов расширило круг вопросов, связанных с защитой информации. Кроме того, произошло разделение зон ответственности между специалистами по ИБ организации, использующей облачные сервисы, и соответствующими службами провайдеров, их предоставляющих.
Традиционно в корпоративной сети предприятия защите подлежат прежде всего рабочие места сотрудников, файловые серверы, серверы приложений, почтовые серверы и интернет-гейты. Эти задачи, как правило, решают штатные специалисты ИТ-служб в соответствии с системой безопасности, разработанной в рамках корпоративной ИТ-политики. Однако при использовании сторонних облачных сервисов к перечисленному добавляется необходимость обезопасить каналы связи от каждого пользователя до облака и обеспечить достоверную пользовательскую аутентификацию при доступе к тому или иному сервису. При этом меры безопасности не должны негативно влиять на доступность облака. В случае использования коммерческих сервисов эти дополнительные задачи возлагаются на сервис-провайдера, который сам выбирает средства и модель защиты, фактически навязывая их заказчику. По словам Александра Гостева, главного антивирусного эксперта «Лаборатории Касперского», возможности самого клиента в данном случае весьма ограничены — он может использовать лишь шифрование собственных данных в облаке, но при этом не имеет возможности защититься от инсайдерских или хакерских атак на самого провайдера.
Предъявите паспорт
С переводом всех корпоративных ИТ-ресурсов компании в коммерческое облако компания фактически утрачивает контроль над ними и чет- кое понимание того, где они хранятся и как обрабатываются. Это приводит к необходимости смены акцентов в политике информационной безопасности. «В облаке четких границ ИТ-системы не существует, поэтому классические решения, контролирующие периметр сети, такие как межсетевой экран или система предотвращения вторжений, уже не спасают», — поясняет Ирина Момчилович, генеральный директор компании Rainbow Security. Во владении провайдера облачных сервисов находится все: физическая среда, сетевая инфраструктура, операционные системы и приложения. Исходя из этого, средствами защиты должен оснащаться не охраняемый периметр сети, а сама информация, при этом доступ к ней обязательно должен быть под контролем.
Ирина Момчилович убеждена, что в облачной реальности ключевым компонентом безопасности становится аутентификация пользователей посредством одноразовых паролей, бесконтактных токенов или смарт- карт, статических паролей или системы «вопрос-ответ». Кроме того, чтобы компания могла полностью контролировать использование облачных ресурсов, пользователей необходимо наделять правами, соответствующими их задачам. «Использование строгого разграничения прав на доступ к ресурсам, находящимся в облаке, позволяет обеспечить целостность и конфиденциальность данных при сохранении их доступности для всех пользователей», — подчеркивает Ирина.
Уязвимая доступность
Эксперты в области безопасности сходятся во мнении, что самым уязвимым местом аутсорсинговых облачных ресурсов является их доступность, обусловленная спецификой предоставления сервиса. «При размещении данных вовне или использовании внешних сервисов всегда появляются дополнительные звенья: это, как минимум, оператор связи и сам провайдер облачных услуг. Соответственно, общий уровень защищенности такой системы начинает зависеть сразу от нескольких сторон, при этом зачастую гарантий бесперебойной или защищенной работы между ними может и не существовать», — отмечает Александр Гостев («Лаборатория Касперского»). По его словам, не стоит также забывать и об угрозе прямых атак: если злоумышленник имеет доступ к корпоративному компьютеру, то это означает, что он может получить доступ и к корпоративным данным в облаке.
К тому же, помимо пользователей и их данных, на локальном рабочем месте у злоумышленников появляется новый объект для атак — само облако. И если в системе безопасности этого облака будут бреши, потери для компании могут оказаться гораздо масштабнее, чем в случае с атакой на локальное рабочее место. В качестве поучительного примера Александр Гостев приводит взлом компании HBGary в феврале 2011 г. Хакерам не удалось проникнуть в локальную корпоративную сеть, но они смогли получить доступ к корпоративной почте компании, базирующейся на сервисе Google Apps for Business: в результате весь архив почты был украден и оказался в публичном доступе.
Равенство целей
Доступность или безопасность — именно перед таким выбором зачастую оказываются пользователи облаков, поскольку принимаемые меры защиты могут снижать уровень доступности корпоративных данных. Ирина Момчилович (Rainbow Security) считает, что в этом вопросе многое упирается в тип облачной среды. В случае с частным облаком, которое строится на корпоративной инфраструктуре, компания полностью управляет всеми ресурсами, и поэтому доминирующей для нее становится задача обеспечения доступности данных: с облаками должны работать сотрудники различных департаментов или даже удаленных офисов и дочерних компаний, из любой точки, где есть Интернет, с любого компьютера или даже мобильного устройства. В случае же с публичным облаком во главу угла необходимо ставить задачи обеспечения безопасности, при этом ответственность за поиск решений должны разделять обе стороны — и провайдер, и заказчик.
По мнению Михаила Бачинского («СалД»), независимо от облачной архитектуры крайне важно соблюсти паритет ее доступности и безопасности, так как безопасность без доступности, как и доступность без безопасности никому не нужны. «Необходимо соблюдать этот баланс, исходя из требований бизнеса и стоимостной оценки рисков», — убежден Александр Лысенко («Код Безопасности»). В этих вопросах, как и в вопросах построения корпоративного облака, посильную помощь заказчикам могут оказать сторонние ИТ-компании. «Они могут взять на себя бoльшую часть работ по комплексному обслуживанию, настройке и модернизации системы защиты, что позволит заказчику переключить свои ресурсы на выполнение основных бизнес-задач», — убежден Дмитрий Слободенюк (ARinteg).
Стандарты в помощь
Чем активнее развивается рынок облачных вычислений, тем больше появляется связанных с ней проблем и новых задач. Для упрощения их решения разрабатываются отраслевые стандарты, которые, к примеру, позволяют заказчикам определить, насколько профессионален выбранный ими провайдер и способен ли он обеспечить должное качество сервиса. «Процесс разработки регламентов не стоит на месте: соответствующие документы по защите облачной ин- фраструктуры и виртуализации уже представили Национальный институт стандартов США (NIST), немецкая федеральная служба по информационной безопасности (BSI), начата разработка стандарта облачной безопаснос ти в ISO», — отмечает Алексей Филатенков («Открытые Технологии»).
Пока же Ирина Момчилович (Rainbow Security) рекомендует заказчикам руководс твоваться у же действующими и хорошо известными стандартами в сфере безопасности. К ним относится SAS 70 (Statementon Auditing Standards, положение о стандартах аудита № 70), разработанный Американским обществом дипломированных общественных бухгалтеров (AICPA) стандарт ИТ-безопасности, признанный во всем мире. Он описывает правила аудита организаций, работающих в сфере услуг, и вопросы внутреннего контроля при применении информационных технологий и связанных с ними операционных процессов. Кроме того, Ирина Момчилович выделяет группу стандартов ISO 27K, формулирующих требования к системе управления информационной безопасностью (ISMS). Для облаков эти стандарты крайне важны, поскольку они регламентируют деятельность тех организаций, которые отвечают за создание, реализацию или обслуживание систем менеджмента информационной безопасности. Не менее важен COBIT (Control Objectives for Information and Related Technology, задачи информационных и смежных технологий) — международный стандарт, устанавливающий требования к защите и контролю конфиденциальных данных. Его основная ценность, по словам Ирины Момчилович, заключается в том, что он предлагает модель, обеспечивающую взаимосвязь между бизнес-целями и ИТ-процессами. COBIT содержит набор лучших методов защиты и контроля, а также метрику, позволяющую количественно оценить эффективность мер безопасности и тесты для проверки.
| Поделиться: |
|
|
© Все права защищены 2003-2024 г.
ООО "АРинтег"
Политика обработки персональных данных
Антикоррупционная политика ООО "АРинтег"
