В настоящее время облачные вычисления являются одной из самых обсуждаемых тем среди ИТ-специалистов. И неважно о чем идет речь – моделях SaaS (software as a service), IaaS (infrastructure as a service) или PaaS (platform as a service) – разговор очень скоро сводится к теме облачной безопасности.
По словам Милинда Говекара (Milind Govekar), аналитика Gartner, в ежегодном исследовании Gartner, проводимом среди ИТ-директоров и касающегося инвестиций в технологии, облачные вычисления резко переместились с 16-ой на вторую позицию. По его словам, сейчас основной задачей является обеспечение безопасности облаков. В самом деле, подавляющее большинство клиентов, узнав об облаке, говорят, что они скорее создадут виртуальный центр обработки данных на своей территории – это еще иногда называют «частное облако» (private cloud) – поскольку они плохо знакомы с вопросами безопасности облачных вычислений и возможностями их решения.
«Мы находимся на начальном этапе фантастического путешествия в новую вычислительную модель, которое, при всех ее предполагаемых преимуществах, является довольно трудным», - соглашается Джей Хейзер (Jay Heiser), аналитик Gartner. «То, что делает это путешествие легким и привлекательным , то же самое делает и невозможным оценить связанные с ним риски. Существующие стандарты информационной безопасности, такие как SAS 70 и ISO 27001 и 27002, не достаточны, что приводит к разочарованию как клиентов, так и поставщиков».
«В связи с этим обеспечение безопасности облачных вычислений будет основным направлением деятельности вендоров в следующем году», - считает Джонатан Пенн (Jonathan Penn), аналитик Forrester Research. «Разработчики, занимающиеся безопасностью, привыкли продавать свои продукты напрямую предприятиям. Однако со временем они будут использовать облачных провайдеров для поставки своих продуктов на рынок. Это будет время радикальных перемен и потрясений», - добавляет он.
В то же время такие организации как Cloud Security Alliance (CSA) занимаются вопросами облачной безопасности и ищут пути их решения. CSA недавно выпустила обзор основных стратегических и тактических проблем безопасности, касающихся облаков, а также рекомендации по их устранению. Организация разделила данную область на два основных направления: управление и реализация. Российский рынок облачных ИБ-сервисов только формируется
Вопросы, касающиеся управления, включают в себя: управление ресурсами предприятия, соответствие законодательным требованиям, управление жизненным циклом информации, совместимость.
К реализации относятся следующие вопросы: традиционная безопасность, обеспечение непрерывной работы бизнеса и восстановление после сбоев; ЦОДы; реагирование на инциденты, предупреждение и восстановление; безопасность приложений; шифрование и управление ключами; идентификация и управление доступом; виртуализация.
CSA также сделала обзор основных угроз различных моделей облачных вычислений и предложила рекомендации по их решению. К средствам, позволяющим справиться с данными угрозами, относятся XML, SOA, средства шифрования данных, управляющие ключи, управление идентификацией и доступом, виртуальные системы разграничения доступа и многое другое.
Эксперты подчеркивают, что уровень риска в трех облачных моделях сильно отличается, и пути решения вопросов безопасности также отличаются в зависимости от уровня взаимодействия. Требования к безопасности остаются одинаковыми, но в различных моделях, SaaS, PaaS или IaaS, уровень контроля над безопасностью изменяется. С логической точки зрения ничего не изменяется, но возможности физической реализации кардинально различаются.
SaaS. Как объясняют в CSA, в модели SaaS приложение запускается на облачной инфраструктуре и доступно через веб-браузер. Клиент не управляет сетью, серверами, операционными системами, хранением данных и даже некоторыми возможностями приложений. По этой причине в модели SaaS основная обязанность по обеспечению безопасности практически полностью ложится на поставщиков.
PaaS. По объяснению CSA, PaaS предполагает, что клиенты создают приложения с помощью языков программирования и инструментов, поддерживаемых вендором, а затем развертывают их на облачной инфраструктуре. Как и в модели SaaS, клиент не может управлять или контролировать инфраструктуру – сети, сервера, операционные системы или системы хранения данных – но имеет контроль над развертыванием приложений.
В модели PaaS пользователи должны обращать внимание на безопасность приложений, а также на вопросы, связанные с управлением API, такие как подтверждение прав доступа, авторизация и проверка.
IaaS. Хотя здесь клиенты не контролируют лежащую в основе облачную инфраструктуру, они имеют контроль над операционными системами, хранением данных и развертыванием приложений и, возможно, ограниченный контроль над выбором сетевых компонентов.
В данной модели есть несколько встроенных возможностей обеспечения безопасности без защиты инфраструктуры самой по себе. Это значит, что пользователи должны управлять и обеспечивать безопасность операционных систем, приложений и контента, как правило, через API.