Мобильная версия портала
Полная версия

Кто отвечает за безопасность облачных сервисов

Согласно прогнозам аналитической компании Gartner к 2015 г. объем рынка облачных сервисов достигнет 180 млрд долл., и в ближайшие годы львиная доля информационных технологий переместится в «облака». Каким образом обеспечивается безопасность облачных сервисов и как относятся к проблемам безопасности поставщики услуг, журналу «Безопасность: Информационное обозрение» рассказал один из основателей и совладельцев проекта «Мой Склад» – системы управления торговлей и складского учета, распространяемой по модели SaaS (Software as a Service) – Аскар Рахимбердиев.

– Аскар, аналитики Gartner считают, что в нынешнем году модель предоставления программного обеспечения как услуги достигла этапа преодоления недостатков в цикле зрелости технологий. Какие именно недостатки и каким образом преодолеваются сейчас провайдерами облачных сервисов такого типа?

– Надо различать ситуацию на западном и российском рынке. Западный рынок облаков/SaaS существует на несколько лет дольше, крупнее на порядки в денежном выражении и, разумеется, приближается к зрелости быстрее российского.

Сейчас российских облачных продуктов мало – всего несколько десятков. Для некоторых функциональных областей пока вообще не существует продуктов. Российским разработчикам облачных продуктов предстоит расширить функциональные возможности своих сервисов, улучшить поддержку мобильных устройств.

Говорить о технологической зрелости отечественных облачных решений можно будет через 2-3 г., после того как в каждой области появится по несколько качественных конкурирующих решений.

– Директор по информационной безопасности Портлендского университета (Portland State University) Крейг Шиллер (Craig Schiller) отнес к мифам утверждение о том, что «облака» облегчают жизнь и экономят деньги. По его мнению, при запуске облачных сервисов компания не может одномоментно избавиться от прежней IT-инфраструктуры и приложений, которые нужно не только обслуживать, но и интегрировать с приложениями, размещенными в «облаках». Готовы ли Вы его опровергнуть?

– Это может быть справедливо для зрелых и относительно крупных компаний. У них уже внедрены и работают ИТ-решения. Когда их частично заменяют облака, возникает задача интеграции новых облачных продуктов с существующими приложениями. Впрочем, это типичная задача, не специфичная для облаков.

Совсем другая ситуация с российским малым бизнесом. Автоматизация отечественных небольших компаний, как правило, находится на очень низком уровне. Используется в лучшем случае Microsoft Excel, в худшем – тетрадки и распечатанные на бумаге документы. Для таких предпринимателей облака – самый быстрый и доступный способ повысить эффективность своего бизнеса.

– Прокомментируйте, пожалуйста, высказывание генерального директора компании Cenzic Джона Вайншенка (John Weinschenk): «На текущий момент невозможно обеспечить безопасность публичных облачных сервисов».

– 100-процентной безопасности невозможно добиться ни для одного продукта – облачного или традиционного. Вопрос следует ставить по-другому: какое из доступных решений более безопасно?

Мы считаем, что для малых предприятий облачные сервисы дают значительно более высокий уровень безопасности, чем традиционные решения, когда сломавшийся жесткий диск с базой клиентов может остановить работу компании на несколько дней. Если компания использует облачные сервисы, такие случаи исключены.

Не надо недооценивать и внутреннюю безопасность. Надежно разделить доступ сотрудников к данным значительно проще, если компания использует онлайн-сервисы.

– Существует мнение, что на текущий момент слабо проработаны стандарты облачных сервисов, и к ним невозможно применить существующие методы защиты IT-инфраструктуры. Согласны ли Вы с этим?

– Облачные приложения появились недавно. Стандарты для них еще предстоит выработать (или адаптировать существующие) и применить на практике.

– Согласно данным проведенного в апреле этого года Ponemon Institute исследования «Security of Cloud Computing Providers Study» большинство поставщиков облачных сервисов считают, что обеспечение безопасности – проблема их клиентов, и видят свое преимущество в высокой скорости развертывания и низкой цене. А каково отношение к безопасности в Вашей компании?

– Обеспечение безопасности данных пользователей – наша основная задача. В случае потери или утечки данных наш собственный бизнес пострадает в очень большой степени. Поэтому в области безопасности наши интересы полностью совпадают с интересами клиентов.

– Расскажите, как в облачных сервисах решаются проблемы сохранности и безопасной передачи данных? Возможна ли утечка информации?

– Мы используем защищенный при помощи SSL канал передачи данных – перехватить их посередине практически невозможно. Сами данные хранятся в специализированном дата-центре во Франции. Физический несанкционированный доступ в него исключен, а удаленный доступ к серверам имеет очень небольшое количество сотрудников.

Каждые сутки мы проводим автоматическое резервное копирование, при этом копии хранятся в другом дата-центре в США. Таким образом, потеря данных в результате аварии или стихийного бедствия невозможна.

– Как обеспечивается управление идентификацией и доступом, а также отделяются друг от друга данные и приложения клиентов?

– Для этого используется авторизация по логину-паролю. Физически данные разных клиентов хранятся в одной базе данных, но контроль их разделения проводится на разных уровнях несколькими независимыми механизмами. В нашем сервисе невозможно прочитать, например, чужой документ, даже если каким-то образом стал известен его внутренний идентификатор.

– Если, несмотря на все меры предосторожности, все же происходит некий инцидент, например, сбой в работе сервисов, спровоцированный внутренними или внешними причинами, как осуществляется информирование клиентов и ликвидация последствий?

– Сбои иногда происходят. Мы все знаем о недавнем сбое Яндекса, периодически возникают проблемы с облачным хостингом Amazon EC2.

В случае возникновения долговременных проблем на площадке нашего основного хостинг-провайдера мы готовы запустить сервис на резервной площадке. Клиентов мы информируем через службу поддержки и веб-сайт.

– Существуют ли какие-либо международные системы сертификации облачных сервисов? Какие системы сертификации представлены в России?

– Если говорить о сертификации, связанной с безопасностью данных, то это, безусловно, соответствие закону 152-ФЗ «О персональных данных».

– И напоследок дайте рекомендацию, как правильно выбрать провайдера сервиса облачных вычислений? На что следует обратить особое внимание?

– Я считаю, что малому бизнесу нужно прежде всего оценивать и сравнивать возможности сервисов, а не вопросы, связанные с безопасностью.

Облачные продукты, как правило, предлагают меньше возможностей для настройки и урезанный, по сравнению с инсталлируемым ПО, набор возможностей. Это основные моменты, на которые нужно обратить внимание при выборе сервиса. Достаточно ли будет для вашей организации стандартного функционала? Если необходимо настроить систему – есть ли возможности для этого?

– Позвольте поблагодарить Вас, Аскар, за содержательные и честные ответы и пожелать Вашему проекту новых достижений.

Опубликовано: 14 мая 2013 в 03:52

10 хакерских «побед» первой половины 2011 г.

Об особенностях нового поколения пожарных извещателей

Мобильный телефон – основа систем управления контролем доступа нового поколения