Облачные технологии: безопасность для корпоративной инфраструктуры

На вопросы ТЗ отвечает директор по развитию компании «Окей-Телеком» (бренд ATLEX.Ru) Павел ЧЕРНОБРОВ

ТЗ:

– Облачные технологии и их возможности сегодня.

– Облачные технологии позволяют объединять большое количество физической инфраструктуры в одно логическое пространство. Важно понимать, что облако само по себе ничего не распознает, не анализирует, никого не оповещает. Это инфраструктурная среда, а весь функциональный софт для ваших задач устанавливается в облако отдельно под требования заказчика.

У облаков есть безусловные плюсы. Это большие производительность и масштабируемость, возможность легко восстановить работу при различных сбоях и т. д. Есть и минусы: облака пока еще сложны и дороги в управлении; необходимы финансовые вложения в «железо», а также в большинстве случаев – лицензирование софта.

ТЗ:

– Каковы наиболее уязвимые компоненты облачных сред?

– Это прежде всего человеческий фактор, а именно конечный пользователь. Его нельзя, да и не надо доучивать до уровня эксперта по безопасности. Уязвимость его связана с халатностью, некомпетентностью, ошибками в действиях и незнанием путей оперативного решения самых простых вопросов. Также следует сказать о противоправных действиях третьих лиц, не имеющих прав доступа к системе, и об ошибках сотрудников при разработке архитектуры клауда, при эксплуатации, в администрировании, которые могут привести к проникновению в систему посторонних лиц и потере данных.

ТЗ:

– Для пользователя облачные технологии легки в эксплуатации?

– Да, безусловно, все технологии развиваются в направлении упрощения интерфейсов. Но в этом и их слабость – упрощение интерфейса неизбежно ведет к ограничению функционала. Приходится делать выбор: либо сложная, многоуровневая система, при управлении которой требуются определенные навыки и умение, либо можно управлять одной кнопкой, но кому интересен столь упрощенный функционал? Везде должен быть разумный баланс.

ТЗ:

– Критерии безопасности для облачных сервисов.

– Каждый руководитель предприятия и руководитель службы безопасности компании, если таковой имеется, составляет список потенциальных угроз, далее угрозы сортируются по важности и объему возможных убытков и выдвигаются самые актуальные задачи, которые требуют индивидуального решения. А по сути, все критерии и угрозы уже прописаны в УК РФ (смеется).

ТЗ:

– Каковы риски и угрозы, характерные для облачной архитектуры?

– Некомпетентность персонала. Сложность технологии ведет к ошибкам, которые трудно спрогнозировать и от которых трудно защититься. Ошибки софта и проблема со временем реагирования на эти ошибки производителя программы. Ошибки аппаратные – их количество – самое меньшее из зол. Эти угрозы характерны для всех областей компьютерной инфраструктуры. Надо понимать, что чем больше уровней, тем более она уязвима – ею сложнее управлять, ее труднее поддерживать и защищать.

Что такое облачная инфраструктура? Три составляющие: комплекс физического оборудования, которое обеспечивает вычислительные мощности; программное обеспечение, которое объединяет физическую инфраструктуру; человеческий ресурс, который обеспечивает системное администрирование всего софта. Кстати, именно этот последний пункт был в центре внимания на прошедшем недавно в Остине (штат Техас, США) всемирном OpenStack-саммите.

ТЗ:

– Какова степень готовности отрасли к защите облачных сред в области корпоративной безопасности?

– К сожалению, не очень высокая. Основная проблема – на административном, управленческом уровне. Большинство руководителей просто не воспринимают IT-безопасность как одно из основных направлений инвестиций. Рассматриваются отдельно физическая, техническая, пожарная безопасность. Важно формировать понимание, что сегодня надо рассматривать все направления безопасности в комплексе, только тогда система безопасности предприятия будет работать и решать все поставленные задачи успешно. Сегодняшний день диктует необходимость интеграции всех направлений безопасности для построения эффективной защиты предприятия. Но по факту IT-безопасности не уделяется должного внимания. Мы рекомендуем следующий алгоритм действий при решении задач IT-безопасности: с руководителем предприятия или руководителем СБ определяются угрозы, от которых надо защититься; составляется список проблем, с которыми столкнулось предприятие за последние 3–5 лет, и определяется размер причиненного ущерба, проводится технический аудит той системы, которая функционирует на предприятии; разрабатываются технические рекомендации по решению выявленных проблем.

В нашей стране так уж сложилось, что пока не случится утечки информации, потери данных и т. п., решать задачу никто не будет. Надо менять отношение людей, прежде всего руководителей, к работе с информацией. Информация сегодня – это и средство производства, и основной капитал. Именно эту мысль надо донести до руководителей, тогда изменится взгляд на безопасность в целом и решение проблем безопасности станет действительно эффективным.

При этом надо работать по рыночным законам и предлагать лучший, чем зарубежные аналоги, продукт. В этом залог успеха. Все остальное – путь в никуда.

ТЗ:

– Приведет ли повышение безопасности облачных технологий к их более широкому использованию?

– Конечно. Это будет стимулом для развития существующих компаний и появления новых игроков. Тогда и возникнет здоровая конкуренция, которая так необходима для успешного движения вперед.

ТЗ:

– Как влияет развитие облачных технологий на рынок видеонаблюдения в целом?

– Прежде всего надо сказать, что развитие облачных технологий дает больше функциональных возможностей для использования софта, который обеспечивает работу камер видеонаблюдения, позволяет использовать больше ресурсов, обеспечивает сохранность больших данных, возможность систематизации и аналитики. То есть услуга становится более привлекательной и понятной для конечного пользователя.

ТЗ:

– Ваши прогнозы развития сферы облачных технологий на ближайшее будущее в России

– Темпы роста не будут высокими, и на то есть вполне объективные причины. Сейчас идет активная фаза экономического кризиса, это не способствует развитию новых технологий. Проекты замораживаются, бюджеты сокращаются.

Облачные технологии обходятся дороже, чем другие решения. Объясню: физические ресурсы те же, что и были для прежних решений, но добавляются расходы на лицензирование софта и системное администрирование, чтобы облако работало и поддерживалось. Кстати, именно поэтому мы обращаем особое внимание клиентов на открытую облачную платформу, использование которой не связано с лицензионными выплатами.

Нужно учитывать и тот факт, что частные облака, а в рамках этого интервью мы говорим только о них, пока еще сыроваты с точки зрения предлагаемого функционала и надежности. Курс на импортозамещение не приведет к продвижению этих технологий на российском рынке. В итоге хотелось бы отметить, что облака – это индивидуальные решения под конкретного заказчика, под конкретную задачу.

Павел ЧЕРНОБРОВ,
Директор по развитию компании «Окей-Телеком» (бренд ATLEX.Ru),
Опубликовано в журнале "ТЗ" № 3 2016