Облачная безопасность – взгляд из Европы

В  России конференции, семинары, панельные дискуссии и круглые столы «про облака» проходят с завидной регулярностью, в том числе и в рамках профильных конференций по информационной безопасности. После посещения Cloud Security Alliance EMEA Congress 2012, организованного некоммерческой организацией CloudSecurityAlliance в Амстердаме, хочется сравнить перечень обсуждаемых вопросов облачной тематики в России и за ее пределами. Это было, наверное, единственное европейское мероприятие, полностью посвященное вопросам именно безопасности облачных вычислений, и тема обсуждалась здесь со всех сторон - выступали представители клиентов и потребителей облачных сервисов, провайдеров облачных услуг, поставщиков решений безопасности для защиты облаков, экспертных сообществ и правительственных организаций. Среди 200 участников были представители ИТ и ИБ-менеджмента, юристов, специалистов по выполнению нормативных требований, а также глубоко технические специалисты, и каждый нашел для себя в двухдневной программе что-то близкое.

Какие вопросы сегодня интересуют европейских специалистов по «облачной» безопасности?  Прежде всего, это доверие к облачному провайдеру, сертификация облачных провайдеров по требованиям основных ИБ-стандартов, юридические вопросы и вопросы privacy (в том числе пресловутый Patriot Act), выполнение требований нормативных актов при использовании публичных облаков, технические аспекты защиты данных в облаках, расследование инцидентов в облаках, использование мобильных устройств в связке с облачными сервисами, обсуждение примеров успешных внедрений и многое другое. 

После посещения множества российских конференций на «облачную» тему можно заметить разительное отличие в составе обсуждаемых вопросов – если у нас обсуждаются, в основном, терминологические вопросы  («что такое облако»), а также вопросы целесообразности использования облачных вычислений, в пределе переходящие в тезис «облако защитить невозможно», то на CSA EMEA Congress клиенты обсуждали снижение стоимости аудита выполнения нормативных требований в облаке, контроль выполнения SLA, методологии проведения due dilligence по отношению к облачным провайдерам, и другие интересные вопросы. Представители провайдеров всячески подчеркивали для своего бизнеса значимость защиты данных своих клиентов - поднимались вопросы открытости для клиентов, сертификации, предоставления средств мониторинга метрик ИБ облачного провайдера для клиентов.

Чего часто не хватает на российских конференциях, так это обсуждения реальных масштабных кейсов. В Амстердаме же было представлено несколько крупных успешных «облачных» проектов. Докладчик в невероятной для России должности Security Innovation Manager крупной международной финансовой компании BBVA делился опытом снижения затрат и ускорения бизнес-процессов при переходе на публичные сервисы документооборота и электронной почты в масштабах всей организации, CIO одного из министерств Нидерландов рассказывал про построение частного облака и снижение затрат в перспективе на $800 млн., CTOоблачного провайдера CloudSigma делился подробностями архитектуры и работы «научного облака» Helix Nebula – уникального проекта, объединяющего несколько публичных коммерческих IaaS-провайдеров для консолидированного предоставления ресурсов под требовательные к вычислениям задачи европейских научных агентств. Лично я только там узнал, что облачные вычисления играют большую роль в анализе данных от большого адронного коллайдера и расшифровке генома человека.

Потребители облачных сервисов открыто делились теми сложностями, которые возникают при оценке информационной безопасности поставщиков сервисов. Так, большой интерес вызвал абсолютно практический доклад от Nikita Reva (Global Security Assessment Specialist, MARS) с обзором используемой в компании программы оценки облачных провайдеров и связанных рисков. Компания использует больше сотни облачных провайдеров, и некоторые из них совсем маленькие и специфичные, но востребованные заказчиками из бизнес-подразделений компании.  Вынужденная необходимость – проведение силами самой компании оценки состояния защищенности облачных провайдеров. Например, в ходе такой проверки было обнаружено, что управление одним облачным сервисом осуществлялось с компьютера, расположенного в спальне CEO этого маленького облачного провайдера, при этом под «безопасностью» он понимал наличие камер видеонаблюдения в доме.

Основные сложности клиентов при оценке рисков, связанных с переходом к конкретному провайдеру, сводились к тому, что провайдеры в недостаточной мере активно и открыто делятся информацией о своих мерах и средства защиты, тогда как сбор и анализ таких сведений напрямую требуется многими нормативными регулирующими актами, под действие которых попадают клиенты. Соответственно, не получив нужных сведений, клиенты вынуждены отворачиваться от таких сервис-провайдеров и обращать свое внимание на более открытых. Из уст CIO банка Investe cпрозвучал призыв к сервис-провайдерам о проактивном предоставлении данных о процессах и контролях ИБ в структурированном виде, предложенном CloudSecurityAlliance – Cloud ControlMatrix или опроснике CAIQ – это позволит клиентам более эффективно обрабатывать информацию и быстрее принимать решение о переходе к сервис-провайдеру.

Доклады представителей самого CloudSecurityAlliance фокусировались на новых инициативах организации - OpenCertificationFramework (CSAOCF), PrivacyLevelAgreement и новой версии CloudControlMatrix (CCM). Новая версия CCM, так же как и разрабатываемый процесс ИБ-сертификации облачных провайдеров CSAOCF,  призвана сблизить облачных провайдеров и заказчиков, предоставив общий язык и форму для обсуждения вопросов ИБ. OCF должен будет объединить признанную в индустрии сертификацию по стандарту ISO27001 со специфичными для облаков процедурами ИБ контроля, описанными в CloudControlMatrix. Один из этапов OCF – самооценка сервис-провайдера, то есть самостоятельное заполнение CCM или опросника CAIQ.

Объединяющим мотивом всех выступлений представителей сервис-провайдеров стало то, что провайдеры очень много делают для обеспечения безопасности своей облачной инфраструктуры и выполнения нормативных требований. Компания Microsoft сертифицировала свои сервисы и датацентры по всевозможным требованиям и ИБ-стандартам и предоставляет все данные в рекомендованном CSA формате. В штате Orange Business Services  более 100 сертифицированных специалистов по безопасности облачных вычислений (CertifiedinCloudSecurityKnowledge, CCSK). Представитель Amazon Web Services (ChadWoolf, GlobalLegalandComplianceLeader) рассказал, что вопрос обеспечения ИБ облака Amazon настолько критичен для бизнеса, что подразделение информационной безопасности получает неограниченное финансирование. Темой его выступления стали различия между безопасностью облака (security OF the cloud) и безопасностью в облаке (security IN the cloud). Конечно же, провайдер уже позаботился о безопасности самого облака, – в наличии у Amazon множество сертификаций это подтверждающих. Однако у некоторых клиентов существует ложное чувство, что передав данные в облако, они передают ответственность за защиту данных и выполнение нормативных требований. Например, клиент из финансового сектора был уверен, что если датацентр Amazon сертифицирован по требованиям PCI, то ему достаточно лишь перенести туда свои данные для выполнения требований PCI DSS, хотя на самом деле это лишь помогает выполнить раздел 9 всех требований и подразумевает все равно большую работу. Таким образом, безопасность самого облака – ответственность провайдера, безопасность в облаке – ответственность клиента. Например, развернув в IaaS-инфраструктуре множество виртуальных машин, клиент все равно сам занимается распределением и контролем доступа, управлением обновлениями и прочими необходимыми ИБ-процессами.

Визионерские доклады о тенденциях современной ИТ-среды и ее будущего, месте облаков в этом будущем, особенностях защиты данных в облаках и ближайших перспективах, сочетались с глубоко техническими презентациями про различные варианты аутентификации в облачных средах и их отличия, меры и продукты для защиты облачных интерфейсов (API).

Отличия CSA EMEA Congress от российских «облачных» конференций в содержании докладов, глубине проработки темы и широте ее охвата поразительные, но это лишь отражение существенной разницы между этапами зрелости российского и западного рынка облачных сервисов – рынок только начинает развиваться в России. Не выработаны подходы к оценке ИБ российских поставщиков облачных решений, важность вопросов ИБ не всегда осознается нишевыми игроками российского рынка, ориентированными, прежде всего, на малый и средний бизнес. Можно видеть, что постепенно у сервис-провайдеров начинают появляться крупные клиенты, но ни клиенты, ни провайдеры не стремятся делиться своими успехами. Регуляторы не сформировали единого мнения на тему ИБ в облаках, поэтому применение облачных технологий ставит множество вопросов, как перед провайдерами, так и перед клиентами, стремящимися выполнять требования существующего законодательства, не учитывающего специфику и архитектуру облачных сервисов, взаимоотношений между сервис-провайдером и конечным клиентом. Конечно, можно ожидать, что с ростом предложения на российском рынке будет возрастать и значимость ИБ как конкурентного фактора в борьбе за клиентов, особенно крупных. А нормативное обеспечение, экосистема и квалификация специалистов, будем надеяться, поспеет за бурно развивающимися технологиями. По крайней мере, нам есть откуда перенимать и адаптировать опыт, в чем лично я убедился посетив CSA EMEA Congress.

Денис Безкоровайный, технический консультант TrendMicro
вице-президент RISSPA

  • Дата публикации: 24 января 2013 г. 13:33:00 MSK
  • Поделиться материалом:
  • Опубликовать ссылку на статью в Вконтакте
  • Опубликовать ссылку на публикацию в FaceBook
  • Опубликовать ссылку на публикацию в Twitter
  • Записать в LiveJournal

Комментарии (0)

Нет комментариев


Добавление комментариев доступно только зарегистрированным пользователям. Используйте свою существующую учетную запись для авторизации. Если у Вас еще нет учетной записи на сайте ее можно создать пройдя несложную процедуру регистрации. Кстати, для входа на сайт, наравне с учетной записью на cloudzone.ru, можно использовать аккаунт из следующих популярных сервисов: Яндекс, Facebook, Google и LinkedIn