Контакты
Подписка
МЕНЮ
Контакты
Подписка

Миграция на облако: стимулы и препятствия

Миграция на облако: стимулы и препятствия

В рубрику "Спецпроект: SaaS" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Миграция на облако: стимулы и препятствия

С каждым годом все больше российских компаний и организаций стоят перед выбором между развитием собственной IT-инфраструктуры и переходом на облако. В данной статье рассмотрим общий подход к возможности миграции IT-инфраструктуры компании на облачную модель предоставления услуг.
Павел Антонов
Эксперт RISSPA

Модель SaaS имеет ряд несомненных преимуществ по сравнению с развитием и обслуживанием собственной инфраструктуры. Во-первых, это экономически выгодно. Во-вторых, вы отдаете часть функций IT-департамента на аутсорсинг, в результате чего появляется возможность освободить ресурсы для бизнес-задач. В-третьих, происходит сокращение сроков реализации новых IT-проектов. Но тем не менее у этого подхода, конечно же, могут быть и есть свои недостатки. Обычно при переходе к модели SaaS потенциальных потребителей одолевают некоторые сомнения (см. рис. 1).


На первом месте стоит обеспечение информационной безопасности. Существует мнение, что облака менее безопасны, чем собственная инфраструктура. Однако, на мой взгляд, подобное сравнение допустимо лишь при рассмотрении конкретного случая, когда есть полная информация о предложении вендора/поставщика.

Кто осуществляет контроль?

Если у компании собственная  инфраструктура,  то  весь контроль осуществляется непосредственно собственными силами: известно, где расположен ресурс, на каких серверах он хранится, можно выполнять резервное копирование, администраторы компании контролируют доступ и отвечают за работоспособность, специалисты ИБ-департамента проводят аудит и мониторинг. В облаках же одни сплошные вопросы:

  • где расположен ресурс, который предоставляет нам услуги;
  • где хранятся данные – в какой конкретно стране и на каком сервисе;
  • как выполняется резервное копирование;
  • кто имеет доступ к данным;
  • как обеспечивается работоспособность;
  • кто проводит аудит?
При переходе на облако возникают технические сложности: виртуализация и синхронизация данных размывают периметр, вычислительные ресурсы поставщика облачных услуг разделяются между всеми клиентами, в результате заказчик может быть зависим от других клиентов, например в тех случаях, когда речь идет о нарушениях закона

Эту информацию может предоставить нам поставщик облачных услуг, но бывает и так, что он сам не обладает подобной информацией, так как его сервис технически может позволять данным постоянно мигрировать с сервера на сервер.

Таким образом, вырисовывается определенный круг вопросов по обеспечению безопасности в облаке, которые задают крупные компании с уже выстроенным процессом обеспечения информационной         безопасности (более мелкие компании, как правило, отдают такие вопросы на откуп профессионалам). Соответственно основная проблема, возникающая при передаче части своей собственной инфраструктуры поставщику облачных услуг, – это потеря контроля.

Существует классификация различных типов облачных услуг. На рис. 2 показано, над какими элементами заказчик теряет контроль при переходе на облако.


Если в компании своя инфраструктура, то существует возможность самостоятельно осуществлять контроль практически над всем, кроме сети, так как существует зависимость от оператора связи. Если же используется модель SaaS, то заказчик практически ничего не контролирует полностью: он может редактировать свои данные, применять их в работе, но храниться они будут как офисные приложения, и доступ к ним будет иметь SaaS-провайдер.

Сложности обеспечения ИБ в облаке

Процесс обеспечения информационной безопасности в облаке во многом похож на обеспечение ИБ своей инфраструктуры. Но есть и специфика.


При переходе на облако возникают технические сложности: виртуализация и синхронизация данных размывают периметр, вычислительные ресурсы поставщика облачных услуг разделяются между всеми клиентами, в результате заказчик может быть зависим от других клиентов, например в тех случаях, когда речь идет о нарушениях закона (во время проведения следственных действий правоохранительные органы могут, например, изъять сервер, на котором хранятся данные разных клиентов). В связи с этим возникают вопросы законодательного регулирования той страны, где расположены эти ресурсы.

Выбор cloud-провайдера

Если вышеназванные проблемы вас не останавливают (как сегодня они не останавливают многих – еще в 2009 г. 3% всего ПО в мире продавалось по модели SaaS), то, для того чтобы оценить уровень информационной безопасности провайдера облачных услуг, прежде всего необходимо:

  • определить активы и наложить их на модель предоставления облачных услуг;
  • сформировать модель угроз;
  • оценить риски;
  • сформулировать требования по безопасности;
  • пересмотреть свой взгляд на понятие периметра ИБ;
  • пересмотреть собственные процессы обеспечения ИБ;
  • определить то, каким образом ваша служба обеспечения информационной безопасности будет взаимодействовать с провайдером облачных услуг или с его службой информационной безопасности. На сегодняшний день этот вопрос является практически непроработанным как с точки зрения компании, предоставляющей облачные услуги, так и с точки зрения стандартизации. Данная проблематика, на которой скорее всего сосредоточится внимание стандартизирующих организаций, будет достаточно активно развиваться. Она является ключевой в процессе обеспечения ИБ;
  • провести обучение пользователей;
  • продумать процедуры контроля провайдера;
  • юридически    проработать взаимодействия  с провайдером. Активы могут быть разные в зависимости от модели услуг:
  • информационные (конфиденциальные данные, записи VoIP/Video, учетные записи и пароли, статистика поведения компании/сотрудников);
  • организационные (взаимодействие с клиентами и партнерами, удобство пользования, другие процессы и обязательства);
  • репутационные (надежность, инновационность, мнение клиентов о cloud-провайдере);
  • стратегические (насколько критична для бизнеса передаваемая провайдеру функция и насколько развита конкуренция на рынке таких услуг).
SaaS-провайдер должен предоставить заказчику информацию по обеспечению безопасности приложений: исполняются ли рекомендации и стандарты при разработке приложений, осуществляется ли процедура тестирования для внешних приложений и исходного кода, существуют ли приложения третьих фирм при оказании сервиса, какие используются меры для защиты приложений, есть ли Web Application Firewall, проводится ли аудит БД.

Кроме того, важно знать об особенностях управления уязвимостями (частота сканирования сети и приложений, возможность внешнего сканирования сети провайдера, процесс устранения уязвимостей) и идентификацией (возможность интеграции с каталогом учетных записей, их защита и управление, поддержка SSO, федеративной системы аутентификации и ролевой модели доступа).

Провайдер должен предоставить информацию заказчику и о гарантированном уровне доступности (SLA), мерах обеспечения доступности, использующихся для защиты от угроз и ошибок. Клиент должен знать о резервном операторе связи и обеспечении защиты от DDoS-атак, плане действия во время простоя и пиковых нагрузках, а также о возможностях провайдера справляться с ними.

Помимо этого, вам необходимо знать о том, каким локальным нормативным требованиям подчиняется провайдер и проходил ли он внешний аудит соответствия (ISO 27001, PCI DSS, SAS 70), а также имеет ли он аттестацию ФСТЭК.

В заключение отмечу основные критерии выбора cloud-провайдера:

  • финансовая устойчивость;
  • тип сервиса (SaaS/PaaS/IaaS, Hosted    service,    Managed services);
  • клиентская база;
  • репутация;
  • безопасность;
  • отказоустойчивость и резервирование;
  • планы развития новых функций.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2011
Посещений: 9106

Приобрести этот номер или подписаться
  Автор

Павел Антонов

Павел Антонов

Эксперт RISSPA

Всего статей:  1

В рубрику "Спецпроект: SaaS" | К списку рубрик  |  К списку авторов  |  К списку публикаций