Применение инфраструктуры частного облака для решения задач информационной безопасности территориально-распределенного холдинга

Мирослава Бондаренко.
Заместитель начальника департамента ИТ
ООО КБ ”Альба Альянс”, CIO-14

Сергей Тихонов.
Начальник департамента ИТ
ООО КБ ”Альба Альянс”, CIO-14

Аннотация
Статья посвящена использованию концепции ИТ-инфраструктуры на платформе частного облака для решения задач информационной безопасности территориально-распределенного холдинга.

Введение.

В течении последних лет концепция облачных вычислений широко обсуждается в профессиональной среде. По данным консалтинговых компаний ([1], [2], [3]), решения, использующие технологии облачных вычислений, широко востребованы. Рынок этих решений демонстрирует устойчивый рост. По оценкам компании IDC, объем рынка облачных вычислений в России превысит 150 млн долларов в 2012 году. Среди преимуществ использования технологии облачных вычислений обычно называют новые возможности. Как правило это снижение затрат, гибкость и масштабируемость, эффективность, простота администрирования [4]. Вопросы информационной безопасности в облачной инраструктуре рассматриваются скорей не как возможность а как проблема.

Существует несколько моделей внедрения облачных сред [5].
- Внешнее (общедоступное, публичное) облако (public cloud) - это модель, в которой ИТ-сервисы предоставляются как услуга большому количеству сторонних заказчиков через Интернет.  
- Сообщество (community cloud) - ИТ-инфраструктура, совместно используемая несколькими организациями с общими или сходными потребностями, например университетами или медицинскими центрами.
- Под частными облаками (private clouds) обычно понимают модель, в которой ИТ-сервисы предоставляются как услуга внутрикорпоративным пользователям в защищенном информационном пространстве. Внутреннее облако может быть доступно как в стенах одного здания, в доверенной зоне корпоративной сети за межсетевым экраном, так и для удаленных отделений и филиалов, а также бизнес-партнеров компании.
- Существует также гибридное облако (hybrid cloud), при котором используется совокупность двух или более облаков с разными моделями внедрения, объединенные общей технологией или стандартом.
В данной статье мы рассматриваем применение облачной инфраструктуры для решения задач информационной безопасности, в частности задачу обеспечения защиты конфиденциальных данных. Поэтому будем рассматривать частные (private) облачные среды.

Общепринятыми требованиями к частным облакам являются

• Предоставление типовых ИТ-сервисов, автоматизация бизнес-процессов предприятия
• Применение в гетерогенной среде различных клиентских ОС и серверных платформ, включая свободно-распространяемое ПО с открытым кодом
• Поддержание необходимого уровня безопасности путем использования VPN-соединений и шифрования данных.

Принято выделять несколько типичных категорий облачных сервисов ([5]):

• программное обеспечение как услуга (SaaS). В этой модели клиент получает доступ к приложениям, которых находятся в облачной инфраструктуре. Где и на каком оборудовании выполняется приложение для клиента не важно, важен результат исполнения.
• инфраструктура как услуга (IaaS). В этой категории клиент получает возможность использования систем обработки и хранения данных, полосы пропускания сети и других ИТ-ресурсов.;
• платформа как услуга (PaaS). В этой категории клиент использует платформу поставщика для внедрения созданного им приложения в облачной среде.

Постановка задачи

В данной статье рассматриваем задачу обеспечения защиты конфиденциальных данных о запасах полезных ископаемых, состоянии геологоразведочных работ, функционировании опытного производства, ведении операционной деятельности предприятий холдинга, а также иных конфиденциальных данных. Структура территориально-распределенного холдинга схематически показана на рис.1.

Рис.1. Структура территориально-распределенного холдинга.

С организационной точки зрения важно то, что предприятия территориально-распределенного холдинга находятся в разных регионах. Это влечет за собой отличия в законодательной базе и требованиях надзорных органов. С технологической точки зрения важно отсутствие широкополосного Интернет на территории минералодобывающего комбината. С организационной точки зрения важны культурные особенности, свойственные персоналу предприятий.

Задача состоит в организации защиты конфиденциальных данных от несанкционированного доступа и одновременно организация к этим данным удобного доступа для топ-менеджмента компаний группы. Причем защита конфиденциальных данных приоритетней удобства доступа к этим данным авторизованных пользователей. Кроме того, нужна возможность обработки этих данных с помощью прикладного программного обеспечения, установленного в корпоративном датацентре.

Первый этап

На первом этапе было решено создать на территории главного офиса корпоративный датацентр для хранения и обработки конфиденциальных данных.

Важно, что облачная среда существенно отличается по структуре от традиционного корпоративного центра данных. Облачные среды акцентированы на использовании недорогого масштабируемого оборудования, которое объединяется в эффективную и экономичную систему с помощью программного обеспечения. Но при внедрении мы столкнулись с тем, что первоначально недооценили важность сетевой инфраструктуры.  Как выяснилось, такая проблема часто возникает при реализации подобных структур ([6]).

Рис.2. Реализация ИТ-инфраструктуры по схеме datacenter-delivered services
 

Идея хранения данных в центральном офисе была вызвана трудностями обеспечения физической безопасности на комбинате и в офисах, расположенных в регионах. Также присутствовали следующие особенности:

1. Уровень сервиса. Обеспечение стандартной производительной ИТ-инфраструктуры силами региональных ИТ-компаний требовало несоразмерно больших бюджетов
2. Информационная безопасность – доступ и владение ключевыми компетенциями, предотвращение утечки
3. Кадровая проблема- недостаток достаточно квалифицированных ИТ-кадров в регионов, дороговизна отправки в регионы московских кадров

Тем не менее задача была решена. Для обеспечения качественной связи и выхода в Интернет на комбинате была установлена радиорелейная линия. Для защищенной передачи данных по публичным сетям оказалось рентабельным использовать VPN-каналы на базе CISCO ASA. VPN на базе Cisco ASA позволили получить безопасный доступ также к корпоративной  почте и документообороту. Удаленное управление ИТ-инфраструктурой региональных офисов позволило сократить затраты на персонал.

Основными достижениями первого этапа явились:

1. Перенос обслуживания, требующего высокой квалификации, в центральный офис в Москве
2. Защита критически важных конфиденциальных данных
3. Мониторинг и системный аудит потоков данных между офисами позволил выявить как случаи нецелевого использования как ИТ-инфраструктуры, так и сервисы сторонних поставщиков

Проблемы, с которыми пришлось столкнуться на первом этапе

1. сопротивление оргструктуры
2. “случайные” и досадные поломки, нарушающие работу коммуникационного оборудования и ведущие к перерывам в предоставлении сервисов

Но когда казалось задача была решена, выяснились технологические проблемы, связанные с процессами сохранения и обработки актуальных данных о запасах полезных ископаемых. В облачной инфраструктуре технологически сложно устроить автоматическое сохранение данных, полученных к примеру от измерительных устройств через последовательный порт,  на центральном сервере.

Второй этап.

Промышленным решением для нашей задачи первоначально представлялась технология IBM Smart Business Desktop [7]. Решение было представлено в Европе на CeBIT 2011 и позиционировалось как решение для мобильного персонала, которое в любое время и из любого места обеспечивает пользователям доступ к личным рабочим столам. Утверждалось, что доступ может осуществляться с помощью различных мобильных устройств, таких как планшетные компьютеры, нетбуки и ноутбуки, а также с помощью тонких клиентов. Но в нашем случае клиент должен быть очень специальным. Общение на CeBIT 2011 с консультантом IBM привело к тому, что для работы частного облака в такой схеме требовался второй канал (рис.3) – канал для периферийных устройства. Такими устройствами являлись масс-спектрометры и иное специальное оборудование, которое подключается к рабочим места минералогов и других специалистов через последовательный порт. Отдельной технологической задачей являлась задача проброса портов в терминальную сессию. Не мы первые столкнулись с этой технологической проблемой ([9]), но главное оказалось опять в другом. Основная проблема опять возникла из-за канала связи – в этот раз из-за задержек передачи сигнала.

Рис.3. Получение данных от периферийных устройств в корпоративный датацентр

В результате оказалось, что при таком подходе геологоразведочные и другие данные, в получение которых были вовлечены периферийные устройства, не могли попасть в корпоративный датацентр в режиме реального времени. Но в целом вопросы информационной безопасности при такой архитектуре оказались решены.

Выводы

При внедрении ИТ-систем, основанных на платформе частного облака, приходится решать проблемы, аналогичные тем которые возникают при внедрении ERP-систем:

1. Успешное внедрение должно быть инициировано и должно поддерживаться на уровне самого высшего руководства.
2. Успешное внедрение невозможно без адекватного представления бизнес-процессов, автоматизация которых переносится в частное облако.
3. Договариваться (сопротивление оргструктуры) приходится не меньше, чем при внедрении ERP. Даже в случаях, когда у персонала нет оснований предполагать угрозу личной исключительности.

С точки зрения информационной безопасности для облаков характерны недостаточно проработанные стандарты, отсутствие детальной статистики инцидентов и невозможность применения отработанных методов защиты ИТ-инфраструктуры.
Но для частных облаков в рамках одной корпорации или в рамках компаний одной группы картина все не так плохо:

• Сохранность данных обеспечивается политикой информационной безопасности, действующей в головной организации, где расположен корпоративный дата центр.
• Защита данных при передаче и подлинность клиента  обеспечивается аутентификацией и протоколами, реализованными в составе VPN
• Изоляция пользователей. В публичных облаках лучшим вариантом изоляции пользователей является использование каждым из клиентов своей виртуальной машины и виртуальных сетей. В этом случае разделение между виртуальными машинами и между пользователями обеспечивает гипервизор. В частных облаках часто используется единая программная среда, в которой находятся все данные. В этом случае изоляция пользователей выполняется средствами серверной операционной системы, для правильного использования которых важны процессы и конфигурация.
• Нормативно-правовые вопросы. В зависимости от юрисдикции, законы и правила могут быть различными. В России, кроме практик ISO 27002, требуется  использование сертифицированных средств защиты ([11]), в том числе оборудования и программного обеспечения. В рассматриваемом случае используется оборудование Cisco ASA, авторизованное ФСТЭК для ввоза на территорию РФ.

Литература

1. James Staten, Robert Whiteley, Nicholas M. Hayes. Companies Building Private Clouds Focus On Infrastructure But Not Operations. November 23, 2010, Forrester Research, http://www.forrester.com/rb/Research/companies_building_private_clouds_focus_on_infrastructure/q/id/58196/t/2
2. IDC eXchange, IDC’s New IT Cloud Services Forecast: 2009-2013, (http://blogs.idc.com/ie/?p=543).
3. STAMFORD, Conn., October 19, 2010. Gartner Identifies the Top 10 Strategic Technologies for 2011. Press release. http://www.gartner.com/it/page.jsp?id=1454221
4. Круглый стол ”Применение облачных технологий при организации ИТ-поддержки бизнеса промышленных компаний”, Рациональное управление предприятием, 2011, №1. http://www.remmag.ru/admin/upload_data/remmag/11-1/RoundTable.pdf
5. The NIST Definition of Cloud Computing. Recommendations of the National Institute of Standards and Technology. Special Publication 800-145. http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
6. Curtis Price, Melanie Posey. Datacenter-Delivered Services: The Service Provider Opportunity. White paper, sponsored by Cisco. November 2009. http://www.cisco.com/en/US/solutions/ns341/ns991/220878.pdf
7. Smart Business Desktop on the IBM Cloud. Transform your client environment to a virtual cloud for security-rich access and higher productivity. http://www-935.ibm.com/services/us/en/it-services/smart-business-desktop-on-the-ibm-cloud.html
8. Каталог систем управления основными фондами предприятия (EAM - Enterprise Asset Management System). IBM Virtual Desktop for Smart Business

http://www.tadviser.ru/index.php/%CF%F0%EE%E4%F3%EA%F2:IBM_Virtual_Desktop_for_Smart_Business

9. Private Cloud для инвестиционной компании. http://dmitryz.com/proektyi-2/private-cloud-dlya-investitsionnoy-kompanii/
10. Облачные вычисления, «дырявые» облака и способы защиты данных. http://www.4by4.ru/ru/analytics/oblachnye-vychisleniya-dyryavye-oblaka-i-sposoby-zashchity-dannyh
11. Облачные вычисления, «дырявые» облака и способы защиты данных. http://www.4by4.ru/ru/analytics/oblachnye-vychisleniya-dyryavye-oblaka-i-sposoby-zashchity-dannyh