«Сегодня в «облаках» уже вовсю гремит гром» - интервью А.Новикова журналу «БИТ бизнес & информационный технологии»
24 Января 2013Андрей Новиков:
«Сегодня в «облаках» уже вовсю гремит гром»
На вопросы «БИТа» отвечает генеральный директор ЗАО «РНТ»
– Андрей Алексеевич, в последнее время практически ни одного форума по вопросам информационной безопасности не обходится без обсуждения «облачной тематики». Это что, дань моде или действительно настолько актуальный вопрос,что от его решения зависит развитие в целом индустрии средств защиты информации в перспективных информационно-телекоммуникационных системах?
В вашем вопросе частично прозвучал и сам ответ. Действительно, в последнее время фактически все крупные форумы, посвященные развитию и практическому внедрению современных безопасных ИТ-технологий, не обходятся безрассмотрения вопроса использования облачных технологий в бизнесе, госструктурах, банковском деле и т.д.
Это связано с тем, что практически все эти направления деятельности для выполнения своих задач требуют все возрастающих вычислительных мощностей.
В свою очередь, увеличение вычислительных мощностей востребовало создание такой универсальной платформы, которая смогла бы обеспечить требуемое разделение ресурсов между различными пользователями и подразделениями, аглавное – обладать свойствами самоуправления и адаптации, гарантирующими необходимое масштабирование и динамизм.
Центральным вопросом практического внедрения таких платформ остаются вопросы обеспечения информационной безопасности самих систем и защиты информации, циркулирующей в «облаках».
Предлагаемые решения по информационной безопасности представляют собой широкий спектр реализаций от продуктов с многофункциональным набором средств защиты от различных типов угроз до узконаправленных решений дляотражения конкретных атак.
Однако пользователям «облаков» важно понимать, что массовое применение виртуализации не предлагает в настоящее время универсального решения вопроса защиты. Каждой компании со своей собственной ИТ-средой при вхождении в«облако» стоит задуматься над применением технологий защиты, сопоставимых с ее функциональными задачами и рисками.
Безусловно, факторы риска зависят от компетенции самой компании в области ИБ, но то, что вопросы обеспечения защиты собственной информации не стоит делегировать провайдеру облачных услуг при всех анонсированных им гарантиях соблюдения их безопасности, по-моему, достаточно очевидно.
ЗАО «РНТ» |
Одна из крупнейших российских компаний, работающих в сфере обеспечения информационной безопасности корпоративных и государственных информационно-телекоммуникационных систем и ключевых объектов информатизации, была создана в 1993 году.
Основная задача «РНТ» – создание комплексной многоуровневой системы обеспечения информационной безопасности субъектов любого уровня, как для государственных учреждений, так и для частного бизнеса. «РНТ» обладает собственной производственной базой и испытательной лабораторией. Среди собственных разработок компании – маскиратор электромагнитных излучений и наводок «Маис», защищенная ПЭВМ серии «Обруч», система обнаружения атак «Форпост» и другие. Инновационные продукты и технические решения «РНТ» применяются практически во всех секторах и отраслях информационной индустрии. Компания аккредитована в качестве официального поставщика товаров и услуг для нужд Организации Объединенных Наций. ЗАО РНТ активно развивает свой технологический потенциал с учетом наметившейся тенденции слияния технологий «облачных» сервисов, мобильных технологий и социальных сетей в новую базовую платформу. Предлагаемое ЗАО РНТ решение защищенной виртуальной компьютерной системы представляет собой многоуровневую среду, позволяющую контролировать работу операционной системы, периферийных устройств, сетевое взаимодействие, прикладное окружение пользователя. |
– Не отстали ли мы в очередной раз от ведущих стран, «прозевав» стратегические тенденции «облачного» развития в области ИТ-технологий? Каково место России в этой области?
Следует отметить, что в США, ведущей стране в области практического внедрения облачных вычислений, только за последние два года официально вступили в действие такие основополагающие документы как Федеральная стратегия облачных вычислений (Federal Cloud Computing Strategy, февраль 2011), так и Стратегия облачных вычислений Министерства обороны (DoD Cloud Computing Strategy, июль 2012). Свой взгляд на развитие облачных платформ представили NIST Cloud Computing Standards Roadmap, компании IBM, Oracle и VmWare.
Согласно документу Federal Cloud Computing Strategy облачные вычисления имеют возможность сыграть революционную роль в изменении текущего положения дел в американском секторе информационных технологий. Из 80 миллиардов, выделяемых на весь сектор информационных технологий, 20 миллиардов будут освоены федеральным правительством для создания инфраструктуры «погружения» вычислительных платформ правительственных учреждений в облачные вычисления.
Активно развивает облачные технологии и Китай. Так Министерством науки и технологий Китая на 2012 год был запланирован рост объема рынка «облачных» технологий в Китае более чем на 60% по сравнению с 2011 годом. На развитие облачных вычислений Государственный комитет по вопросам реформ и развития, Министерство финансов, Министерство промышленности и информатизации Китая выделили в 2012 году 1,5 млрд юаней. На эти деньги после реализации пяти пилотных проектов в дальнейшем будут проработаны 12 главных проектов.
Безусловно, нам пока далеко до таких финансовых вливаний со стороны государства в область ИТ-технологий, а в данном случае в развитие облачных технологий. Однако, как это было в период конкуренции в области развития высокопроизводительной вычислительной техники, Россия находила свой адекватный ответ на стратегические вызовы.
Думаю, что при разработке соответствующей государственной стратегии развития прорывных ИТ-технологий, синхронизированных действий Правительства РФ, Совета Безопасности РФ, других федеральных органов исполнительной власти с участием огромного интеллектуального ресурса нашей академической среды, вузовской науки и бизнес-сообщества Россия сможет определить свое достойное место на рынке облачных технологий и глобальных облачных услуг.
– Как Вам представляется общая тенденция развития облачных вычислений? Точнее, какую нишу они займут на рынке информационных услуг?
Актуальность облачных вычислений связана со снижением затрат, масштабируемостью и гибкостью архитектуры информационных технологий. Облачные вычисления основаны на широком использовании технологии виртуализации.
Использование технологии виртуализации позволяет существенно повысить эксплуатационные характеристики создаваемых информационных систем (ИС), задействовав при этом механизмы, заложенные непосредственно в аппаратной архитектуре процессоров.
Сделать «прозрачным» для пользователей этих систем схему организации вычислительного процесса для реализации его функциональных задач, что фактически позволяет любому пользовательскому приложению использовать вычислительные мощности, совершенно не задумываясь о технологических аспектах. Тогда можно понимать «облако» как единый доступ к вычислениям со стороны пользователя.
В глазах потребителей сервиса основным преимуществом облачных вычислений является, пожалуй, отсутствие необходимости закупать все соответствующее оборудование и ПО, а затем поддерживать их работу. Развитие и внедрение этой идеологии определяет совершенно новый взгляд на построение систем защиты.
– Насколько постановка вопроса о создании средств защиты облачных технологий отличается от традиционных подходов к обеспечению защиты распределенных систем?
На нынешнем этапе развития облачных вычислений выявлен ряд уязвимостей, связанных не только и не столько с классическими угрозами для распределенных информационных систем, но и с принципиально новыми угрозами, порожденными спецификой виртуализации.
Организация вычислительных процессов в информационной системе на основе механизмов виртуализации предоставляет нарушителю больше возможностей, чем в классической распределенной архитектуре информационной системы предыдущего поколения.
Отсюда возникает необходимость разработки новых подходов к анализу уязвимостей виртуальных сред.
– Всё-таки, в чем Вы видите основные угрозы использования облачных технологий для обычных пользователей?
В основном пользователи не могут понять, как в облаках решать проблемы защиты собственных данных. Причём проблема кроется уже в самом принципе «облачности» выполняемых процедур: пользователь не знает, где обрабатываются его данные, а следовательно, не может и контролировать процедуры их обработки и возможной утечки.
Это приводит к тому, что пользователям приходится просто доверять хостинг-провайдеру, который, впрочем, не предоставляет никакой гарантии защиты данных своим клиентам.
Реальной и, пожалуй, единственной гарантией действенного контроля за данными и вычислениями может выступать только шифрование. Передаваемые данные всегда должны быть зашифрованы и доступны пользователю только после выполнения процедуры аутентификации. Процесс передачи ключа шифрования и взаимной аутентификации пользователя и серверов облака также должен быть построен на основе криптографии с открытым ключом. Такой подход гарантирует, что эти данные не сможет изменить или прочитать ни одно лицо, даже если оно получит к ним доступ посредством взлома ненадежных узлов в сети. Упомянутые технологии базируются на хорошо апробированных надежных протоколах и алгоритмах (например TLS, IPsec и AES), которые и должны быть использованы провайдерами.
Однако пока законченных решений, которые бы гарантировали криптографическую защиту данных при обработке их в облаке, нет ни в одном предложении рыночных продуктов.
– Вы отметили, что у пользователя облачных технологий нет возможности гарантированного контроля прохождения и обработки собственных данных. В то же время уже сейчас начинают разворачиваться «облака» в интересах Минздрава, а со временем в эти процессы будут наверняка вовлечены и другие российские ведомства. Как это согласуется с требованиями закона ФЗ-152 «О персональных данных»?
Действительно, для российских операторов облачных сервисов есть дополнительная проблема, связанная с нерешенными законодательными проблемами.
Дело в том, что практически все облачные приложения базируются на иностранных платформах виртуализации. Российские пользователи не имеют возможности встраивать в платформу виртуализации отечественные алгоритмы шифрования, что затрудняет реализацию криптографической защиты персональных данных, что, как я уже отметил выше, является единственной гарантией контроля их обработки.
Хотя есть несколько стандартов, которые специфицируют использование российской криптографии, однако заставить иностранных производителей реализовать их будет непросто.
В то же время, даже в условиях вступления России в ВТО, международные стандарты шифрования у нас использовать не принято, поэтому у российских операторов, которые попытаются это сделать, могут возникнуть юридические проблемы.
Наиболее серьёзные проблемы возникнут у операторов облачных услуг, если они попытаются перенести в облако персональные данные своих клиентов. Подобную систему обработки персональных данных по своему характеру можно отнести к системам с распределённой обработкой информации, что по регламентирующим документам требует использования криптографии, сертифицированной в соответствии с действующим законодательством по требованиям ФСБ.
Насколько мне известно, облачных приложений, которые прошли бы подобную процедуру, пока в России нет, и вряд ли в ближайшее время появятся.
В то же время с точки зрения соблюдения буквы закона «О персональных данных» юридически вообще не понятно, кто является владельцем системы, если хотя бы часть её находится в «облаке».
Таким образом, пока мы можем констатировать, что в ближайшее время вряд ли кому-либо из российских операторов облачных сервисов удастся привести облачную инфраструктуру в соответствие с требованиями закона ФЗ-152.
Но этим вопросом надо обязательно заниматься, и безотлагательно, иначе все преимущества от использования операционных облачных сред превратятся в малоперспективное «метание в облаках».
– Хорошо известно, что информационная безопасность каждой технологии, каждого ИТ-продукта и решения должна закладываться на этапе их разработки. Реализуется ли этот принцип для облаков?
Компании и рядовые граждане игнорируют необходимость обеспечения информационной безопасности до тех пор, пока, как говорится, гром не грянет. А сегодня в «облаках» гром уже гремит вовсю. За последние пару лет стали известны факты утраты конфиденциальной информации многих компаний и частных граждан. Поэтому вопросам информационной безопасности пользователи и создатели информационных продуктов и услуг стали уделять заметно больше внимания.
Если до недавнего времени «точкой входа» к корпоративным заказчикам были, как правило, только специалисты в области информационной безопасности, то сегодня наряду с ними это и руководители ИТ-служб, и топ-менеджеры, игенеральные директоры компаний, что явно свидетельствует о том, что задача обеспечения информационной безопасности стала для бизнеса одной из главных.
Со своей стороны ИБ-вендоры выводят на рынок все больше средств обеспечения безопасности, разработанных специально для «облаков», и они позволяют существенно снизить облачные ИБ-риски. ЗАО «РНТ» имеет свои уникальные продукты, которые мы уже сейчас сможем предложить рынку после завершения проводимой в настоящее время процедуры их сертификации.
– Какие конкретно угрозы Вам представляются новыми в облачных вычислениях?
Облачные вычисления основаны на сетевой централизованности, виртуализации и связанных с этими факторами динамичностью и гибкостью при создании новых функций приложений.
Однако уже на нынешнем этапе развития облачных вычислений выявлен ряд уязвимостей, связанных, как я уже отметил выше, не только с классическими угрозами для распределенных автоматизированных систем, но и с принципиально новыми угрозами, порожденными спецификой виртуализации.
К специфическим угрозам, например, относятся следующие:
- Механизмы виртуализации основаны на разделении общих ресурсов. При этом появляется огромное количество каналов межпрограммного и даже межплатформенного взаимодействия, которые связаны с защищаемыми информационными ресурсами и не поддаются анализу. Быстрое и гибкое изменение архитектуры предоставляет нарушителю больше возможностей, чем в классической архитектуре.
- Информационные системы, использующие механизмы виртуализации, снабжаются большим набором механизмов безопасности и правил их использования. Однако выявлены многочисленные уязвимости, связанные сневозможностью и (или) неумением анализировать непротиворечивость и другие свойства совместного применения многочисленных механизмов безопасности. То есть синергетический эффект от их совместного использования может быть и отрицательным.
- Появились новые типы распределенных вирусов, а также возникают и новые типы скрытого взаимодействия виртуальных систем на одном физическом сервере. Эти «скрытые виртуальные туннели» для злоумышленных целей еще требуют разработки механизмов и инструментария своего выявления, осознания, классификации и необходимости разработки упреждающих и блокирующих действий пользователей облачных услуг.
Можно отметить и ряд других угроз, но выделенные выше являются, на мой взгляд, основными.
– В чем состоит сложность реализации средств защиты для информационных систем, построенных на облачных технологиях?
Сложностей в реализации облачной информационной безопасности остается немало. Наиболее серьезной проблемой, на мой взгляд, здесь является комплексная идентификация ИТ-пользователей, учитывающая множество параметров и их изменения, и характеризующая состояние, в котором пользователи находятся при обращении к ИТ-ресурсам: их ролевые полномочия, тип конечной точки доступа, место и время обращения, и т.д.
Одна из самых сложных проблем обеспечения информационной безопасности подобных информационных систем – динамическое изменение вычислительного процесса, которое является одним из основных преимуществ виртуализации,но нарушает принцип детерминированности модели защиты для существующих систем с фиксированным периметром защиты. Отсюда возникает необходимость разработки новых подходов к анализу уязвимостей виртуальных сред.
Такие методы должны быть основаны на инвариантности проводимого анализа относительно динамичного изменения конфигурации виртуальных сред и по возможности легко и быстро учитывать появление новых недоверенных приложений и информационных технологий.
Разработка технологий реализации и сопровождения виртуальных сред в форме типовых решений, учитывающих проблемы безопасности информационных ресурсов, позволят эффективно решать задачи обеспечения их защищенности длявыбранного класса информационных систем.
– Какие направления исследований Вам представляются первоочередными?
Среди первоочередных задач по выработке подходов к обеспечению информационной безопасности «облаков» я бы отнес следующие:
- исследование вопросов наличия уязвимостей виртуальных сред;
- построение классификации уязвимостей виртуальных сред;
- разработку типовой модели угроз для виртуальных сред;
- разработку типовых решений по реализации виртуальных сред, обеспечивающих защищенность обрабатываемых информационных ресурсов.
– Какие актуальные задачи возникают при создании и эксплуатации информационных систем на основе облачных вычислений?
Одной из актуальных задач, возникающих при создании и эксплуатации такого рода информационных систем, является обеспечение возможности использования в их составе недоверенного программного обеспечения (ПО) с сохранением соответствия самих информационных систем требованиям по безопасности.
В качестве возможного решения может быть рассмотрено использование технологии виртуализации, позволяющей изолировать потенциально опасное ПО. Необходимо исследовать состав механизмов защиты и организацию обработки информации в каждой создаваемой информационной системе, вопросы оценки степени доверия к заявленным механизмам защиты информации в случае использования механизмов виртуализации и определения уровня защиты, использующих эту технологию информационных систем, сформулировать класс задач в области защиты информации, которые могут быть решены с использованием указанной технологии.
Разработка ЗАО «РНТ» собственных подходов к реализации информационных систем различного прикладного назначения с использованием технологий виртуализации в форме типовых решений, учитывающих существующие ипрогнозируемые проблемы безопасности информационных систем, позволит эффективно решать задачи обеспечения требуемого уровня их защищенности для выбранного класса информационных систем.
Наш опыт применения разработанных компанией подходов к реализации комплексной защиты информации в конкретных корпоративных системах дает нам основание считать, что мы идем верным путем.
Беседовал Петр Царев
ИСТОЧНИК