При развертывании облачных услуг исключительно важна надежная аутентификация пользователей. Даже если облачный сервис, клиентом которого вы являетесь, использует двухфакторную аутентификацию или ее еще более высокие уровни, для каждого сеанса работы необходимо соблюдать определенные протоколы и правила. Нужно часто менять пароли, а сами они должны быть длинными и сложными.
Однако при нынешних все более изощренных хакерских методах традиционная онлайновая аутентификация для доступа к облачным системам зачастую оказывается недостаточной — особенно для систем со строго конфиденциальными данными, используемых в таких отраслях, как финансовый бизнес, здравоохранение и торговля, а также в государственных организациях. Поскольку интерес к облачным сервисам растет на всех уровнях — от домашних пользователей до больших предприятий, — провайдеры предлагают новые подходы к обеспечению информационной безопасности.
Дополнительный важный фактор в вопросах безопасности облачных вычислений связан с тенденцией выхода облачных систем в Интернет: частные облака сегодня взаимодействуют с публичными облачными сервисами и наоборот; это особенно характерно для крупных предприятий с многочисленными партнерами, филиалами и подрядчиками. Такие сложные облачные структуры требуют совершенно нового взгляда на безопасность.
Многоуровневая безопасность
На роль лидера в новой области выдвигается стартап CloudPassage, основателем и исполнительным директором которого является ветеран RSA Security Карсон Свит. В конце января компания запустила в действие свой сервис Halo Netsec — первую и единственную, по словам Свита, службу серверной безопасности с контролем соблюдения регулятивных норм, которая непосредственно обеспечивает многоуровневую защиту среды эластичного облака.
Halo Netsec обеспечивает для облачного сервиса двухфакторную аутентификацию с использованием сетевого экрана и функцией обнаружения вторжений. Фигурально говоря, это сервис “безопасной безопасности”.
На сегодняшний день Halo Netsec представляет собой уникальное средство безопасности облачных сервисов, так как позволяет администраторам организовать периметровую защиту, не опасаясь за физическую сеть. Платформа защищает всё, от конечных точек до виртуальных серверов, даже если трафик частично или целиком проходит через публичный Интернет либо от облака к облаку.
Это исключительно важно для ИТ-администрирования, особенно при управлении облачными сервисами, поскольку администраторы обычно не имеют возможностей для того, чтобы контролировать публичный сегмент облачных коммуникаций и управлять им.
После инсталляции и конфигурирования платформы администратор может задавать правила и политики сетевого экрана для любых подключений доступа к публичным, частным или гибридным облачным сервисам. Небольшой (3 Мб) демон безопасности взаимодействует с вычислительной сеткой компании CloudPassage, что обеспечивает жесткое соблюдение правил и политик, а также мониторинг вторжений.
CloudPassage добавляет и физический фактор безопасности облака — USB-ключ, генерирующий для каждого сеанса одноразовый пароль. Этот подход может стать общей тенденцией, так как с течением времени требования к безопасности ужесточаются.
“Задумавшись об усилении безопасности облачной системы, люди обычно стремятся что-то прикупить, — поясняет Карсон Свит. — И мы предлагаем им полноценное динамическое управление сетевым экраном, охватывающее много облаков. Мы поддерживаем межоблачные системы, так что можно иметь серверы в EC2 [Amazon Elastic Compute Cloud], в Rackspace и в Terremark с единой охватывающей политикой. И что самое интересное, всё это работает именно в облаке”.
Проблемы репликации
В публичных и частных облачных средах безопасность работает иначе, чем в локальных центрах обработки данных.
“Когда отдельные серверы, особенно в облачной системе, становятся уязвимыми, пользователи нередко стараются побыстрее их клонировать, — говорит Свит. — Но при этом клонируются и все уязвимости. И через некоторое время большой облачный сервер может стать похожим на кусок швейцарского сыра. Вместе с действующим сервером вы дублируете его проблемы”.
Свит привел пример известного ему легендарного облачного сервера (не называя его марки), который был выведен из эксплуатации. “Этот сервер прозвали Тифозной Мэри, так как его репликация привела к печальным последствиям. Мы давно избавились от этого в центрах обработки данных благодаря брандмауэрам и другим средствам защиты на физической аппаратуре. Но в облаке так не сделаешь”.
Надежный сервис облачной безопасности появится и у небольших компаний. Эрик Маас, технологический руководитель фирмы Lighthouse Security Group, создающей шлюз облачной безопасности, разработал и развернул облачную систему управления идентификацией и доступом, используемую ВВС США.
“Из-за повсеместного внимания к вопросам соблюдения нормативных актов многие компании среднего и малого бизнеса стараются привести свои системы в соответствие с требованиями международного стандарта безопасности данных индустрии платежных карт PCI DSS и закона Сарбейнса — Оксли. И они просят усилить их безопасность, чтобы вести бизнес с крупными корпорациями из списка Fortune 500”, — говорит Маас. — Поначалу они пытаются разобраться в вопросах облачной безопасности собственными силами, но такая работа требует присутствия многих специалистов, времени и денег и не по плечу маленьким организациям. Это могут крупные компании, а у небольших фирм для этого нет ни бюджета, ни опыта”.
Проблему должен решить облачный сервис безопасности, достаточно гибкий для работы как внутри сетевого экрана, так и с публичными облачными системами.
Облако стимулирует разработки по безопасности
Forrester Research предсказывает, что рынок облачной безопасности к 2015 г. вырастет до 1,5 млрд. долл. и этот сдвиг разрушит нынешнюю так называемую “экосистему решений безопасности”. В отчете, озаглавленном “Безопасность и облако”, аналитик из Forrester Джонатан Пенн прогнозирует, что вместо перераспределения имеющихся бюджетов безопасности при облачных вычислениях компании будут выделять деньги на защиту непосредственно облачных проектов, создавая совершенно новую статью доходов для рынка безопасности.
“Можно добавить, что это значительно усилит активность в сфере SaaS [ПО как сервис] по созданию решений, реализующих безопасность в самом облаке, взамен решений, защищающих облака”, — сообщил Пенн в интервью eWeek.
Он сказал: “Озабоченность облачной безопасностью выросла за последние годы. В 2009-м опасения носили абстрактный характер — это была обычная тревога, возникающая с появлением новых технологий. Сегодняшние же страхи и конкретнее, и весомее. Организации куда внимательнее присматриваются к облачным провайдерам в плане того, какие рычаги управления и обеспечения безопасности они применяют, и скорее откажутся от их услуг из-за неадекватной защиты, чем примут с ходу их сервисные предложения”.
Ключевые вопросы стратегии облачной безопасности
Гарольд Мосс, технологический руководитель Cloud Security Strategy в IBM, передал eWeek рекомендации для предприятий, развертывающих собственную облачную систему безопасности.
- Проведите доскональную оценку безопасности. Прежде чем перейти на облачные технологии, организация должна оценить уязвимости своих приложений и инфраструктуры и убедиться, что все средства контроля безопасности присутствуют и функционируют как надо. Как вспомогательное средство контроля типичных уязвимостей облачных приложений следует использовать “этический хакинг” (пробные атаки на систему безопасности по заказу самой организации).
- Определитесь с базовыми средствами управления. Базовые средства управления составляют ядро философии безопасности организации. В их число может войти до шестидесяти элементов управления безопасностью, защищающих наиболее ценные ресурсы. Фокус на них послужит гарантией того, что в процессе внедрения облачных технологий в бизнес ваш подход будет согласован с требованиями безопасности.
- Облачная безопасность должна зависеть от рабочих функций. Каждый тип рабочих функций имеет свою специфику, например, регуляторные факторы и зависимость от пользователей. Концентрируясь не только на одной облачной технологии, но и на рабочих функциях, вы сможете реализовать целенаправленную программу безопасности, способную обеспечить бо́льшую степень защиты, чем традиционные решения.
- Реализуйте план уменьшения рисков. Внедрение облака обычно затрагивает целый ряд участников процесса, как внутренних, так и внешних. Нужно утвердить документированный план снижения рисков, на базе которого администраторы и ИТ-персонал смогут быстро решать проблемы, возникающие в облаке. Этот план должен включать не только документацию рисков и меры реагирования, но также обучение и практическую подготовку.
- Активно контролируйте эксплуатационные качества системы. Неспособность адекватно контролировать работу облачных систем может приводить к проблемам производительности и безопасности и вызывать неудовлетворенность пользователей. Реализуйте программу активного мониторинга, чтобы обнаруживать помехи на пути успешного развертывания облака.