Мультибезопасность в мультиоблаке: специальные вопросы информационной безопасности (Connect!)

15.08.2018
Частное, гибридное или публичное – особенности и возможности каждого типа облаков уже хорошо изучены клиентами. И, как бывает в таких случаях, рынок делает следующий шаг: инновации развиваются, требования к бизнесу растут и стимулируют появление новых подходов к управлению данными, ИТ-инфраструктурой и бизнес-процессами. Сегодня в тренде «мультиоблачность» (multi—cloud): ИТ-инфраструктура, в которой одновременно используются облака разных типов и ресурсы как самого клиента, так и разных провайдеров. Особый интерес мультиоблако представляет и с точки зрения информационной безопасности. Как управлять безопасностью данных, как создать не только защищенную, но и удобную сотрудникам среду для работы и при этом соблюсти непременное требование бизнеса к оптимизации затрат на ИТ? Опытом и рекомендациями делится директор департамента информационной безопасности компании «Сервионика» (ГК «АйТеко») Василий Степаненко. 

Степаненко_sq.jpgОт реальности – к терминологии

Международные и российские эксперты сходятся во мнении, что мультиоблако – это новый уровень возможностей для роста эффективности ИТ, оптимизации затрат на работу с данными, обеспечения быстрой масштабируемости и гибкости ИТ-инфраструктуры. Все это важно в условиях современной экономики, где «постоянны только изменения». 

Главное отличие мультиоблака от других видов облаков в том, что это не технология и не бизнес-модель, а стратегия. Мультиоблачный подход позволяет использовать в одной гетерогенной архитектуре IaaS, PaaS и SaaS-сервисы от любого числа облачных провайдеров, одновременно и автономно.

Предпосылкой к появлению стратегии мультиоблака стала потребность компаний работать одновременно с несколькими облачными провайдерами. Во-первых, это позволяет объединить преимущества каждого поставщика, во-вторых – избежать технологической и финансовой зависимости, создав внутреннюю конкуренцию между поставщиками, а в-третьих – получить дополнительные гарантии надежности за счет резервирования ресурсов для критичных бизнес-приложений или процессов. По факту, это уже мультиоблачная инфраструктура на базовом уровне. И, научившись управлять взаимодействием с разными провайдерами, можно делать следующий шаг: комбинировать в рамках мультиоблака разные виды облаков. Например, одна из наиболее популярных схем гибридного облака – это объединение ресурсов частного облака, развернутого в собственном ЦОДе клиента, и ресурсов публичного облака, арендуемых у провайдера. Так, гибридное облако может быть частью мультиоблачной среды, но не наоборот. 

При множестве ощутимых преимуществ у этой стратегии есть и недостатки, которые необходимо учитывать уже на этапе планирования проекта перехода к мультиоблаку.

Первый минус – это скромные возможности для заключения сделки с провайдером на более выгодных условиях, в отличие от сотрудничества с одним поставщиком, который вознаградит вас сполна с учетом объема потребляемых ресурсов. Другим слабым звеном может стать повышенная нагрузка на ИТ-директора, которому потребуется контролировать SLA и взаимодействовать с несколькими провайдерами облачных сервисов. Разные провайдеры используют различные технологии, поэтому возникнет потребность в ИТ-специалистах, готовых разобраться. И, напоследок, усложняется управление нагрузкой на тот или иной сервис, так как данные могут мигрировать и нагружать сервис то одного провайдера, то другого.

Эта «ложка дегтя» позволит более реалистично взглянуть на обсуждаемый вопрос мультиоблачности и правильно воспринять информацию о возможностях этой стратегии, а также способах обеспечения информационной безопасности множества облаков.

Большое будущее мультиоблака не за горами

Какие сложности сегодня мешают развитию ИТ-инфраструктуры крупных компаний? Вопрос не случаен, так как именно ИТ-компании являются в нашей стране двигателями рынка решений по виртуализации. У большинства из них есть два «якоря», сдерживающих быстрое и гибкое развитие:

  1. Большой парк серверного оборудования, который потребует значительных инвестиций при необходимости модернизации или расширения.
  2. Множество тяжелых устаревших приложений, в том числе собственной разработки. Их обновление или переход на другие решения также приведет к внушительным тратам.

Оптимизировать такую инфраструктуру своими силами сложно, дорого и рискованно. Поэтому так популярен подход XaaS (все как сервис), и особенно – IaaS (инфраструктура как сервис): все исследователи отводят этому сегменту лидирующую роль среди наиболее распространенных подходов к развитию ИТ. На втором месте – SaaS (ПО как сервис), на третьем – PaaS, который с прошлого года стремительно прибавил в росте – по данным IDC, сегмент PaaS-сервисов растет по 20% в год и стабильно занимает 15-20% рынка публичных облаков в мире. Уже с 2019 года ожидается скачок популярности PaaS и последующий экспоненциальный рост, который в 2020 году достигнет $29 млрд, в 2025-м – $67 млрд, а в 2030-м – $144 млрд.

Объединить преимущества всех видов сервисов и облаков позволит мультиоблако. Эта стратегия дает новый уровень свободы и гибкости в организации ИТ-инфраструктуры: собственные ресурсы можно объединять с ресурсами провайдеров с наиболее подходящими тарифами и SLA, централизованно управлять всеми сегментами мультиоблака. Но для того, чтобы получить такой эффект, критично важно заранее позаботиться о некоторых ключевых вопросах:

  • Оптимально выстроить архитектуру,
  • Обеспечить эффективное управление ресурсами облака,
  • Правильно управлять данными,
  • Использовать современные подходы к информационной безопасности.

Углубляясь в вопросы подготовительного этапа, отметим, что облачные сервисы, входящие в мультиоблако, все равно остаются автономными. Это важно учесть при разработке стратегии управления данными. Например, нужно обеспечить и информационную безопасность, и прозрачность процессов миграции данных в облако. Какие данные передаются, насколько они актуальны, для каких бизнес-приложений (в том числе узкоспециализированных) должны быть доступны? Четкие ответы на эти вопросы помогут предотвратить не только проблемы с compliance, но и банальные лишние расходы на хранение ненужной информации.

Кроме того, для сохранности данных на случай сбоя в работе облачного хостинга важно обеспечить мобильность миграции рабочих нагрузок. Должна быть настроена возможность беспроблемного перемещения данных в мультиоблачном окружении.

Еще одна опасность для нашего мультиоблака скрывается за глобальной тенденцией стремительного повышения объемов информации – в перспективе нескольких лет общее количество данных в мире достигнет более 40 зеттабайт. Чтобы спасти мультиоблако от информационного коллапса и исключить сложности со скоростью обработки информации, используйте программно-определяемые системы хранения данных. Они особенно актуальны в ситуации, когда на серверах компании и в мультиоблачных средах запускаются приложения, требования и протоколы соединения которых различны. 

Отдельно рассмотрим построение инфраструктуры защиты мультиоблаков. Здесь на первый план выходит не только вопрос правильного выбора ИБ-инструментов, но и балансировки нагрузки, резервирования данных, обеспечения доступа пользователя к данным из разных облаков в едином защищенном контуре и т.д.

Облаков больше – защита серьезнее

Все проблемы обеспечения информационной безопасности в бизнес-моделях IaaS, SaaS, PaaS актуальны и для мультиоблака. В первую очередь, это проблема доверия к облачному провайдеру. В мире очень мало стандартов, которым облачный провайдер мог бы соответствовать и на основании успешного прохождении аттестации на старте проекта давать заказчику гарантии качества работы. Поэтому остается только внимательно изучать и сравнивать подходы разных провайдеров: какой уровень защищенности в проекте построения инфраструктуры по модели мультиоблака они предлагают. Сравните и, в зависимости от этого, решайте, кому из них доверять конфиденциальную и критически важную информацию для обработки, а кому – все остальное.

Один из стандартов, по которому можно оценить облачного провайдера, – STAR от Cloud Security Alliance (CSA). Чтобы ему соответствовать, облачный провайдер должен внедрить у себя систему управления информационной безопасностью (СУИБ) и дополнительно обеспечить контроли, указанные в матрице от CSA.

Для достижения соответствия STAR провайдеру необходимо пройти несколько этапов:

  1. Самоконтроль – заполнение матрицы и ее отправка в CSA;

  2. Сертификация – проверка аудитором выполнения требований ISO/IEC 27001 на уровне инфраструктуры провайдера и выполнения дополнительных контролей от CSA;

  3. Аттестация – проверка аудитором выполнения требований CSA для соответствия AICPA SOC (1 или 2).

  4. В случае работы в Китае – проверка соответствия требованиям C-STAR, разновидности стандарта для КНР (проводят аудиторские компании, специально аккредитованные CSA для сертификации, аттестации и проверки по требованиям Китая).

Отметим, что на момент написания статьи Amazon Web Services (AWS), Google Cloud Platform (GCP) и IBM Cloud прошли лишь этап самоконтроля. Microsoft Azure продвинулся гораздо дальше и успешно закрыл вопрос сертификации и аттестации.

Помимо прямой угрозы от недостаточного уровня информационной безопасности в мультиоблаке, в игру может вмешаться законодательство – многие популярные в мире облачные провайдеры не имеют собственных ЦОД на территории Российской Федерации, что является проблемой для соблюдения требований регуляторов. Например, есть ФЗ «О персональных данных» №152-ФЗ от 27.07.2006 года (с изменениями, внесенными №242-ФЗ от 21.07.2014 г.), связанный с необходимостью обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации. Согласно требованиям закона, наличие двух баз данных не запрещено, поэтому ничто не мешает использовать для этого два облака разных провайдеров, расположенных в РФ и любимого западного сервиса вне России (AWS, GCP, MS Azure или IBM). Кстати, в других странах аналогичные особенности, вплоть до идентичных требований законодательства, так что практика применения мультиоблака в таком ракурсе применима не только для российских компаний.

В пользу повышения регулирования новой области начинают появляться практические инструменты контроля использования облачных сервисов. Например, к ним относится класс средств защиты CASB – Cloud Access Security Broker, который позволяет обеспечить:

  1. Наглядность: понять, какие же облачные сервисы на самом деле используются сотрудниками компании;

  2. Защиту данных: категоризацию информации и управление доступом устройств и пользователей к этой информации, обрабатываемой в облачных сервисах;

  3. Защиту от угроз: поведенческая аналитика, антивирусное сканирование, применение машинного обучения для установления шаблонов поведения, использование аналитики угроз в реальном времени от поставщиков облачных сервисов;

  4. Соответствие: контроль соблюдения политик внутренних и внешних  регуляторов.

CASB сам является сервисом из облака, поэтому его применение автоматически подразумевает использование стратегии мультиоблака. Отметим, что большинство сервисов CASB размещены в дата-центрах за пределами РФ, что опять же может повлечь проблемы с соответствием требованиям российского законодательства.

Развивая тему обеспечения защиты мультиоблака, отметим, что некоторые средства работают только в определенной среде, а в других – абсолютно неэффективны. Бизнес требует от них высокой скорости: например, обрабатывать большое количество запросов в единицу времени при минимальных затратах на используемые ресурсы. Обрабатываемая информация может быть конфиденциальной и требовать защиты. В этом случае возможен вариант организации обработки информации на платформе одного провайдера, а защиты – на ресурсах провайдера безопасности, так называемого MSSP (managed security service provider). Это одна из распространенных структур мультиоблака.

На практике безопасность из облака (SecaaS) уже стала нормой для многих компаний. Не верите? Тогда подумайте, где используемые у вас в компании средства защиты AV или IPS берут свои сигнатуры, где располагаются те самые репутационные базы Cisco SenderBase или Kaspersky Security Networks? Правильно, в облаках этих вендоров. Стратегия мультиоблака, безусловно, должна подразумевать и новый подход к обеспечению информационной безопасности. И использование сервисов ИБ от MSSP становится неотъемлемым звеном мультиоблака.

В заключение: не безопасностью единой

С развитием мультиоблачности в России компаниям будет доступен огромный выбор узкоспециализированных облачных продуктов, удовлетворяющих специфические требования конкретных бизнес-задач. Кроме того, мультиоблако исключает зависимость от провайдеров и повышает отказоустойчивость, что делает ИТ-инфраструктуру любой компании более гибкой, финансово эффективной и открытой к инновациям.  В перспективе, относительно новое для России понятие «мультиоблачности» способно встряхнуть рынок и открыть перед компаниями широкие возможности для развития и оптимизации бизнеса – возможности, к которым они могут быть не готовы. Во избежание сложностей стоит уделить особое внимание вопросам обеспечения информационной безопасности. Для этих целей на данный момент целесообразно использовать решения класса CASB, которые имеют огромный потенциал роста в России в ближайшие годы.

При всей значимости темы защищенности данных в новой стратегии мультиоблака важно уделить время развитию других критических вопросов. Например, для бизнеса становится все более приоритетным вопрос удобства технологий с точки зрения пользователя: растет число сотрудников, работающих удаленно, бизнес становится глобальным, компании создают партнерские и клиентские экосистемы, в рамках которых к корпоративным данным могут обращаться пользователи из разных компаний, регионов, с разным уровнем доступа и приоритетности выполнения запросов. С ситуацией, при которой пользователю приходилось бы заново авторизоваться при переходе к каждому бизнес-приложению по причине их расположения в разных облаках, сегодня мало кто смирится. Обеспечение удобства сотрудников при работе в такой мультиоблачной среде в совокупности с высокой степенью информационной защиты приведет к получению прямых выгод от перехода к новой стратегии multi-cloud. 

Статья опубликована в журнале Connect!, №5-6, 2018 год

Назад к разделу "Публикации"