Облачные вычисления. Плюсы и минусы с точки зрения безопасности

В основе технологии облачных вычислений лежат существующие технологии виртуализации, кластеризации, балансировки, защищенного доступа, автоматической установки и настройки приложений. Только совокупное применение этих технологий обеспечивает работу облачного сервиса.

Чтобы систему назвать облачной, она должна удовлетворять нескольким характеристикам. Прежде всего, она должна автоматически изменять объем сервиса по запросу клиента. Доступ к этим сервисам должен быть организован через стандартные протоколы Интернет. С точки зрения дата центров, сервисы должны быть организованы таким образом, чтобы одно и тоже оборудование могло быть основой для предоставления сервисов разным клиентам. Стоимость такого сервиса должны быть намного ниже, чем стоимость похожего сервиса на выделенном оборудовании (на традиционных технологиях).

Принято выделять несколько моделей облачных сервисов: SaaS, PaaS и IaaS. Первая модель – SaaS, облачное приложение в виде сервисов. Организуется таким образом, что клиент получает доступ к приложениям, которых находятся в облачной инфраструктуре. Где и на каком оборудовании выполняется приложение клиент может не знать. Второй вид облачных сервисов – платформа как сервис, PaaS. Клиент может устанавливать и разрабатывать свои приложения на предоставленной платформе. Клиент контролирует приложения, имеет частичный контроль над платформой, но не контролирует инфраструктуру. Третья модель – облачная инфраструктура как сервис, IaaS. Клиенту предоставляется виртуальная архитектура, состоящая из серверов, рабочих станций и сетевого оборудования, где клиент сам может разворачивать свои собственные операционные системы, базы данных и приложения.

Существует несколько вариантов внедрения облаков: публичное облако, приватное облако, общее облако и гибридное облако. Варианты различаются с точки зрения того, кому принадлежат технологии, кто имеет доступ к инфраструктуре. Первый вариант – публичное облако, когда доступ имеет любой желающий, чаще всего через Интернет, инфраструктура принадлежит организации, которая это облако создала. Приватные облака — облака, создаваемые в основном для одной организации. Инфраструктура может управляться как самой организацией, так и сервис провайдером, который обеспечивает ее обслуживание. Инфраструктура может быть собственностью компании или быть арендованной. Вариант внедрения называют общим облаком, когда инфраструктура принадлежит нескольким организациям, которые объединились для достижения какой-либо цели. Инфраструктура может управляться самими организациями или выделенным сервис провайдером. Гибридное облако – вариант внедрения, при котором используется совокупность двух или более облаков с разными моделями внедрения, объединенные общей технологией или стандартом (Рис.1).

Облачные вычисления

Рисунок 1. Схема облаков

С точки зрения информационной безопасности у облаков есть несколько проблем. В первую очередь, это проблемы технологические. Статистики по инцидентам мало и уровень угроз еще непонятен, слабо проработаны или отсутствуют стандарты по безопасности, существующие методы защиты инфраструктуры неприменимы, так как в облачном сервисе само понятие инфраструктуры четко не определено. Второй вид проблем – психологические: в России практически отсутствует культура аутсорсинга, использование сервис провайдеров. Кроме того, технология новая, сложна и ее использование достаточно рискованно. Третий вид проблем – юридический, то есть выполнение различных требований по безопасности в инфраструктуре, у которой динамически меняется размер, структура и периметр (размытая область ответственности). Государственные регуляторы еще не имеют единого представления и опыта оценки соответствия своим требованиям к технологиям облачных вычислений.

При выборе варианта внедрения необходимо учитывать баланс между рисками и затратами. С точки зрения риска для клиента, наименьшие риски находятся в случае публичных облаков, так как вопросами безопасности занимается отдельная организация, которая организовала облако. В этом случае у клиента меньше затрат, так как при аренде приложений клиенту не надо задумываться о поддержке инфраструктуры и разработке приложений. Наиболее затратный, но и наиболее контролируемый подход, когда арендуется инфраструктура как сервис. В этом случае клиент имеет наибольшее количество возможностей по реализации тех сервисов, которые ему нужны, но и риски в этом случае достаточно большие, так как клиенту приходится заботиться о безопасности всей инфраструктуры.

При использовании сервиса облачных вычислений у клиента к провайдеру возникает ряд вопросов, связанных с информационной безопасностью, на которые провайдер еще не готов полностью ответить. Например, каким будет размер ущерба в случае нарушения работы сервиса, как расследовать инциденты безопасности, надежно ли удаляются данные, где будут храниться данные, как выполнять требования регуляторов и т.д.

Провайдеру облачного сервиса необходимо решить несколько вопросов, связанных с обеспечением информационной безопасности: как убедить клиента, что его данные в безопасности, до какой степени доверять клиенту, как разграничить доступ между клиентами в облаке, как защищать облачные инфраструктуры и от кого и т.д.
При использовании облачных сервисов есть свои плюсы и минусы с точки зрения информационной безопасности. К плюсам моно отнести: уменьшение затрат на защиту информации, перенесение части рисков на провайдера. Минусы: не ясно, что ожидать от новой технологии, утечка информации может привести к большому ущербу для компании клиента, возникает вопрос доверия к сервис провайдерам.

C точки зрения оценки провайдера в области обеспечения им информационной безопасности западными компаниями рекомендовано придерживаться определенной методологии. В первую очередь, это аудит по стандарту SAS 70 Type II, плюсом является сертификация провайдера по ISO 27001 или следование практикам ISO 27002. К формальным способам оценки безопасности относится аттестация по требованиям ФСТЭК, наличие сертифицированных средств защиты (хотя пока не понятно, как применять их для виртуализированных средств защиты), наличие лицензий ФСТЭК и ФСБ, наличие сертификата EIA/TIA-492 для ЦОД.

автор Максим Эмм, директор департамента аудита компании «Информзащита» Источник

Введите e-mail адрес для получения уведомлений о публикации новых постов:

Delivered by FeedBurner

Поделиться в соц. сетях

Комментарии:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *