Максим Захаренко

В «облаках» безопасней?

Максим Захаренко, генеральный директор компании «Облакотека», написал про отличия в безопасности облачных систем и собственных ИТ-инфраструктур компаний. Кто победил – несложно догадаться.


Мифы об информационной безопасности

Наша жизнь полна мифов. Один из них связан со «слишком быстрым» проникновением облачных технологий в ИТ-инфраструктуры компаний и других организаций. Он формулируется так: «Облако – это же небезопасно», или «Как можно передать критически важные данные куда-то вне офиса компании»…  При этом почему-то не принято одновременно задаваться вопросом: «А ваш офис — это безопасно?». Есть вопрос еще лучше – вопрос, который почти никто не задает себе: «Безопасно – это как? Что такое безопасность?».

Руководитель обычно ничего не понимает в информационной безопасности. Максимум – у него есть мнение о 2-3 угрозах (чтобы «1С»-ку не вынесли, чтобы «не сломали»), которые в общем виде беспокоят лично его. Для всего остального у него есть специалист (штатный или приходящий), который, наверное, все уже настроил. В результате руководитель уверен, что у него система безопасна. Но при этом  10-15% ноутбуков в компании были поражены, например, вирусом-шифровальщиком и продолжают поражаться.  

Все дело в том, что в массе своей люди мыслят устоявшимися шаблонами, навязанными внешней средой и предыдущим опытом.

Стоит сервер под столом (физически рядом) – значит, он в безопасности. Не произошло взлома системы – значит, вас обслуживает хороший специалист.

Только это раньше, ломая компьютеры, стирали жесткий диск. А теперь незаметно включают в бот-сеть, которая участвует в атаках на другие системы, или настраивают регулярное чтение ваших конфиденциальных данных. Причем работают так, что никто в компании годами может не знать о вторжении и удивляться, как конкуренты могут быть готовы к вашим новинкам. Ну и шифруют, конечно, – вымогают денежку.Облачно с прояснениями: как банку использовать новые технологии

Радует только, что шаблоны мышления меняются со временем. Хороший пример – банки. После кризиса 1998 г., когда рухнула банковская система вместе со средствами как физических, так и юридических лиц, все деньги лежали исключительно в банке под матрасом. Но с тех пор прошло некоторое время, сказалось долгое отсутствие существенных проблем с финансовыми учреждениями. Внедрение системы страхования вкладов фактически решило вопрос сбережений, стало принято хранить деньги в банках-учреждениях.  Этот процесс не меняется даже во время текущего кризиса и болезненной чистки банковской системы. Никто не атакует банкоматы, стало принято доверять деньги банкам.


Реальная информационная безопасность

У реальной информационной безопасности есть два неприятных свойства:

  • Безопасность – это не разовое мероприятие, а постоянный процесс;
  • Безопасность – это всегда неудобно.

В связи с этим реально налаженных механизмов обеспечения информационной безопасности практически не встречается, иначе «невозможно работать».

Чем длиннее и сложнее требования к паролям, тем чаще они наклеены стикерами на мониторе.

 Надо делать профилактику, регулярное антивирусное сканирование, но люди забывают. Плюс в это время все ужасно тормозит, работник думает: «Отложу на потом…».  «Откройте доступ к запрещенному типу сайтов – мне нужно по работе!». «У меня почти ничего не ноуте нет… ой, пропали все шаблоны».

Можно сколько угодно бороться с угрозами на уровне периметра, но с человеком бороться очень сложно. Именно обычный пользователь (или пользователь-руководитель) рано или поздно откроет «ящик Пандоры» с вирусами, потому что… ему нужен доступ извне к своим документам в офисе. 

Кроме того, данные в традиционной ИТ-инфраструктуре разбросаны по множеству устройств, как серверных, так и клиентских. Пытаться их защитить в таком зоопарке весьма затруднительно.

Добавляя ко всему перечисленному стоимость внедрения средств защиты и расходы на поддержку и мониторинг (и учитывая вероятностный характер нарушения безопасности), приходим к простому факту: 

В традиционной ИТ-инфраструктуре, размещенной в офисе, информационной безопасности реально НЕТ.

То есть, конечно, эту информационную безопасность наладить можно (фантазия), но никто не наладил (реальность).


Безопасность в облаке и в офисе

В принципе, 100% безопасности не бывает, можно только более или менее успешно выявлять и бороться с потенциальными угрозами.  Сравним, какие уровни безопасности и какими силами можно обеспечить в офисе, а какие – в облаке.

Безопасность начинается с физического уровня, а именно – с качества различных инженерных систем и возможности физического проникновения. Мы обычно сравниваем аппаратную комнату в офисном центре, запирающийся на «английский» замок, с ЦОДами уровня Tier III, где, как иллюстрация, обязательна система защиты от протечек, не говоря уже о системе видеонаблюдений, СКУД и т.д.  

Понятно, что доступность ИТ-инфраструктуры внутри офиса выше, чем из офиса в облако, но кто сейчас работает только в офисе? Как минимум, пути коммуникации, особенно электронная почта, должны быть доступны отовсюду, и здесь ЦОД с его качеством каналов, конечно, вне конкуренции.

Рынок средств защиты (оборудование и программное обеспечение) устроен так, что для предотвращения серьезных атак используется дорогое оборудование. В недорогих моделях многих функций защиты просто нет, поэтому от некоторых угроз небольшая компания защититься в принципе не может – приобрести защиту будет слишком дорого.  Если система находится в облаке, то, как минимум, закупка меняется на аренду (более доступные ежемесячные платежи). Чаще всего средства защиты используются в общем режиме, когда одно устройство обслуживает десятки, а то и сотни облачных инфраструктур клиентов. Таким образом, чтобы использовать все безграничные возможности устройства за 30 тысяч у.е., конечный клиент платит доступные 30 тысяч/30 месяцев/100 клиентов = 10 у.е. в месяц.10 мифов про облачные технологии

То же самое касается и квалификации сотрудников (офицеров безопасности). Во многих, особенно небольших, компаниях нет отдельных специалистов по безопасности, эта функция возложена на штатных или приходящих ИТ-специалистов, и у руководителя нет возможности даже провести аудит, чтобы разобраться, что у него происходит. Он либо не знает о такой возможности, либо это дорого. В ЦОДе же работает несколько дорогих разноплановых специалистов, каждый из которых также обслуживает сотни клиентов, и их опыт становится вполне доступным для любого клиента. Плюс очередная облачная инфраструктура размещается в типизированном безопасном окружении, то есть, часть функций безопасности просто автоматически применяются при размещении в облаке.

Есть еще один важный момент – информация о безопасности. В офисах обычно нет не только документации, но и любой информации, как и что устроено. Все сосредоточено в головах специалистов. При размещении ИТ в облаке, как правило, многое описано в SLA, NDA и других документах. Клиент будет как минимум информирован об устройстве системы безопасности и границах зон ответственности.

В облаке работает система резервного копирования. Она может быть встроена в базовые тарифы, а может быть опцией, но всегда из описаний и документов понятно, что она делает и по какому принципу работает, как обеспечивается доступ к резервным копиям и т.д. Причем, поскольку система обслуживает сотни или тысячи клиентов, она функционирует именно как система с мониторингом и контролем работоспособности и производительности, дающая гарантию наличия резервных копий. В офисах часто есть система резервирования, но постоянного контроля за ней нет.

И остается только конфиденциальность. Для начала: у облачного провайдера часто нет доступа к гостевым операционным системам клиента, но даже если он есть, то описан он в различных административных документах (соглашение о конфиденциальности, политика информационной безопасности и т.д.), то есть регламентирован. Провайдер – юридическое лицо, с него можно взыскать существенную сумму ущерба, поэтому провайдер строит надежные схемы. Со своим сотрудником у компании тоже, на самом деле, договор, только трудовой. Что там написано? Какую он реально несет ответственность и что может возместить?  Если же специалист приходящий, то чем это отличается от провайдера? Доступ к данным есть у «чужого» человека, вопрос только – как это регламентировано.Зашифровать смартфон и ноутбук: пошаговая инструкция

Кстати, поскольку все данные сосредоточены в облаке компактно, то можно применить систему DLP для контроля утечек и точно знать, кто, что и куда отправлял, что невозможно сделать в офисе с данными, разбросанными по ноутбукам сотрудников. Также при размещении в облаке не всегда известно о самом факте существования тех или иных данных.

Мы провели неглубокий анализ ситуации с информационной безопасностью в офисе и в облаке, но даже навскидку видно, что структурированная и упорядоченная эксплуатация облачных инфраструктур, где часть безопасности обеспечивается «сама», без усилий клиента, почти по всем параметрам надежнее и безопаснее, чем реальная ситуация с информационной безопасностью традиционной ИТ в офисе. 

Свяжись с героем материала
Максим Захаренко
Максим Захаренко
связаться
Rusbase Connect: медиа как сервис

comments powered by Disqus

Подпишитесь на рассылку RUSBASE

Мы будем вам писать только тогда, когда это действительно очень важно