Обеспечение информационной безопасности в облачной инфраструктуре

Муравлев А.А.
выпускник группы MBA CSO 01
Школа IT-менеджмента
РАНХиГС при Президенте РФ

Современное предприятие трудно представить без использования информационных технологий. Любой бизнес нуждается в получении и обработке достоверной информации об истинном своем состоянии. Владельцы компаний всегда хотели с помощью только лишь одного нажатия на кнопку получить исчерпывающую информацию по текущему состоянию и возможным вариантам развития ситуации или решения проблем. Они вкладываются в инфраструктуру, в сервера, в обслуживающий все это персонал. И все это ради того, чтобы повысить мощность, качество и количество вычислений. А как же быть с малым бизнесом? Его владельцы в большей степени, чем кто-либо нуждаются в качественной информации. И самое главное - за разумные деньги. Таким спасительным кругов в этом океане выглядят облачные вычисления (cloud computing) или как более распространено их называть - облачные технологии или «облака».

Многие компании сегодня уже используют облачные вычисления в своей работе. В большинстве своем - это реализации частного облака в собственном датацентре компании. Но редко дело доходит до использования облачных услуг предоставляемых провайдерами. Так называемых публичных облаков.

Но что же мешает организациям более активно использовать в своей работе облачные вычисления? Проведенный в пошлом году компанией IDC опрос, свидетельствует о том, что в первую очередь это безопасность. На конференции по информационной безопасности, один из докладчиков выразил свою точку зрения на данный вопрос так: У нас есть три причины, по которым мы не можем использовать облачные вычисления. 1-ая причина - это безопасность. 2-ая причина - это безопасность, а 3-я причина - это безопасность. Данную точку подтверждают многочисленные исследования аналитических компаний, в том числе компании Parallels. И такое положение еще более актуально для России. Опрос показывает, что главными причинами использования внутренних серверов вместо облачного расположения в российских компания являются:
Конфиденциальность данных – 59%
Рекомендации ИТ специалистов – 43%
Территориальная привязка приложений, которые по каким-то причинам могут находиться только внутри организации – 37%

«Облака» дают предприятию преимущества, но несут с собой и определенные риски. Для многих руководителей эта сфера является не достаточно прозрачной в плане информационной безопасности (ИБ), что и подтверждают многочисленные аналитические исследования.

При этом, с информационной безопасностью частного облака, расположенного на территории предприятия, картина не такая мрачная, здесь частично безопасность обеспечивается традиционными инфраструктурными методами, вокруг периметра, с использованием сетевых экранов, средств защиты от утечек и др. В публичных же облаках инфраструктуры как таковой нет. Точнее она есть, но находится где то в «облаках», вместе с нашими данными, которые нужно защищать.

В процессе миграции в публичное облако мы наблюдаем картину потери контроля над своими данными. В классической архитектуре ИТ мы знаем где находятся данные, как осуществляется резервное копирование, отказоустойчивость, обслуживание. Кто является ответственным за администрирование. Как обеспечивается безопасность данных и кто осуществляет мониторинг. После миграции в публичное облако мы практически теряем ответы на все вопросы поставленные выше. Кто контролирует данные и где они расположены? Кто имеет доступ? Как гарантируется работоспособность, безопасность, кто осуществляет мониторинг?

Здесь есть также психологический аспект. Человек ощущает менее безопасным то, что не может контролировать, не понимает. Под это описание как раз очень хорошо подходят “облака”. И находятся они, где то там, в “облаке”.

К этому еще стоит добавить практически полное отсутствие стандартизации в этой области. И еще одной проблемой является отсутствие у компаний опыта использования публичных облаков, что в свою очередь затрудняет анализ рисков.

Как видно из вышесказанного, ИБ в облачной инфраструктуре - это актуальный вопрос для многих компаний. Также он актуален и для компании, в которой я работаю.

В своей работе я рассматриваю различные варианты обеспечения ИБ в облачной инфраструктуре, как для реализации частного облака, так и при размещении информации в публичном облаке у провайдера.

Целью данной работы является анализ облачной инфраструктуры с точки зрения ИБ и составление практических рекомендаций для предприятия по безопасному использованию облачных технологий в своей работе.

Задачи решаемые в данной работе.

• Провести анализ текущей ситуации с обеспечением ИБ при использовании облачных технологий.
• Провести анализ угроз характерных для облачных вычислений и разработать меры по их нейтрализации.
• Провести анализ лучших практик и подходов по обеспечению ИБ данных в частном  и публичном облаке.
• Сформулировать рекомендации для предприятия по защите данных в «облаке».
• Повысить ИБ данных, обрабатываемых с применением облачных технологий.

О компании
Основным направлением деятельности компании является реализация алюминиевого проката и алюминиевых полуфабрикатов. Предприятие располагает более 12000 м2 офисных, складских и производственных площадей и имеет численность сотрудников более 500 человек. Клиентская база компании насчитывает около 5200 предприятий РФ и СНГ и постоянно растет. Основную часть прибыли, получаемой от своей деятельности, компания вкладывает в развитие производства и расширение рынков сбыта. Ежегодный прирост объемов реализации продукции составляет от 10 до 15%. Центральный офис имеет численность около 200 человек. И филиальную сеть из 10 дополнительных офисов. А также складские комплексы в ближайшем Подмосковье.

Облачные технологии планируется  использовать с целью улучшения ряда показателей, а именно:

• Сложности с содержанием дата центра компании, сложности со сменой офисных помещений.
• Повышение отказоустойчивости.
• Оптимизация затрат на ИТ инфраструктуру.
• Уменьшение капитальных вложений.
• Снижение стоимости владения ИТ инфраструктурой.

Организационная структура компании и связанная с ней ИТ инфраструктура предполагают локализацию центра обработки данных в одном месте, в центральном офисе. Филиалы пользуются предоставляемым сервисом удаленно. С одной стороны это позволяет максимально упростить ИТ оснащение филиалов, практически не обслуживать их ИТ, с другой стороны мы получаем централизованную ИТ инфраструктуру. А в месте с ней зависимость от дата центра центрального офиса, его отказоустойчивости. Другими словами, мы получаем единую возможную точку отказа. При реализации гибридного облака, т.е. возможности использования ресурсов публичного провайдера совместно с частным облаком и размещения у публичного провайдера части данных позволяет повысить отказоустойчивость ИТ инфраструктуры. Также возможен вариант использования ресурсов провайдера для предоставления части приложений.

Практическая часть

В процессе работы были проведен анализ текущей ИТ инфраструктуры предприятия. Даны и применены на практике рекомендации по защите частного облака.

При защите данных в публичном облаке, я выделяю два направления, так называемую безопасность облака, и безопасность в облаке. Безопасность в облаке обеспечивает провайдер, и мы на нее влиять никак не можем, поэтому здесь важно грамотно подойти к выбору поставщика облачных услуг и установлению с ним отношений. Для безопасности облака, в той части, где мы можем обеспечивать дополнительную безопасность, с помощью специальных программных средств и политик, сформулированы также свои рекомендации.
Рассмотрены подходы к выбору облачного провайдера. Разработан ряд критериев по ИБ, которым должны соответствовать облачные провайдеры и на которые можно опираться при выборе поставщика облачных услуг.

Особое внимание уделено установлению партнерских отношений с провайдером, т.к. доверие к провайдеру и партнерские отношения исключительно важны, в том числе и для обеспечения ИБ данных. Доверие провайдеру очень важный пункт, но лучше чтобы дружба была подкреплена грамотно заключенным договором о предоставлении услуг и соглашением об уровне обслуживания (SLA). Данные документы могут иметь решающее значение при возникновении спорных ситуаций, в том числе связанных с ответственностью в вопросах ИБ.

Краткие выводы
В ходе данной работы сформулированы и даны практические рекомендации как оптимальным образом использовать облачные технологии, максимально используя их преимущества. При этом как минимизировать новые риски, которые неизбежно следуют за новыми технологиями.