In English

От защиты периметра к защите данных

13.12.2013, Белов Исмаил
Издание: Cnews
Развитие новых форматов информационного взаимодействия, напрямую связанных с использованием удаленных и распределенных ресурсов, породило новые вызовы в отношении информационной безопасности. Изменение бизнес-процессов, связанное с внедрением архитектуры VDI, переносом ИТ-активов в централизованный ЦОД, ростом популярности удаленной работы и т.д., приводит к тому, что информация в буквальном смысле выходит из рук сисадминов и перестает быть осязаемой. В новом ИТ-ландшафте, лишенном явных границ, происходит размывание привычного понятия «безопасного ИТ-периметра».

Сегодня в среде российских экспертов нет единого мнения о степени угрозы применения той или иной схемы для ИТ-безопасности. Так, генеральный директор Infowatch Наталья Касперская считает, что как облачные технологии, так и BYOD представляют несомненную угрозу для безопасности данных. «Основную угрозу представляет огромная брешь в информационной безопасности, которая возникает в компании при использовании данных концепций», – утверждает она. Со своей стороны, ИТ-директор группы компаний «Новард» Антон Левиков склоняется к мысли, что использование облачного хранилища и аутсорсинга датацентров не представляет угроз. «Безопасность с физической точки зрения (масштабирование мощностей, архивирование, бесперебойность и т.п.) легче обеспечить провайдеру облачных сервисов за счет эффекта масштаба, – говорит эксперт. – Что касается распространенной точки зрения о нарушении так называемого периметра безопасности при использовании облаков, то она, на мой взгляд, неверна – периметр не нарушается». В то же время, Антон Левиков также подчеркивает высокую степень уязвимости мобильных схем, утверждая, что «периметр безопасности может нарушаться использованием мобильных устройств для обращения к корпоративным данным».

Другие эксперты полагают, что использование новых технологий никак не влияет на понятие безопасного периметра, а облачные платформы и мобильные контуры можно рассматривать как часть объектов высокой уязвимости внутри защищенного контура, подобно давно существующей экосистеме удаленного доступа. Так, руководитель отдела инфраструктурных решений ГК «Астерос» Иван Батов считает несостоятельным расхожее мнение о том, что BYOD пробивает дыры в защищенном периметре. «На мой взгляд, этот главный аргумент производителей MDM-решений является мифом – у бизнеса нет уникальных проблем, возникающих именно из-за концепции BYOD, – комментирует он. – Руководство компании либо серьезно относится к вопросам комплексного обеспечения ИБ, либо этот вопрос его «не сильно заботит», и тогда мобильное устройство не является какой-то исключительной угрозой».

Наконец, ряд экспертов считает, что само понятие «безопасный периметр» преобразилось. «Периметр ИТ-безопасности стал более гибким, – считает заместитель руководителя отдела ИБ компании «АйТи» Аркадий Прокудин. – Это продиктовано быстро развивающимися трендами ведения и развития бизнеса в мире». Эксперты также подчеркивают факт изменения и размытия границ защищенного периметра, которые в «домобильную» и «дооблачную» эпоху четко определялись диапазоном IP-адресов устройств корпоративной сети. «Теперь мы вынуждены строить эти границы на уровне приложений и, более того, обеспечивать безопасность на уровне пользователей», – комментирует заместитель директора департамента информационной безопасности «Энвижн Груп» Дмитрий Соболев.

Подводя итог, можно сказать, что, каковы бы ни были мнения экспертов относительно проблем безопасности, реальная жизнь страны быстро меняется, и корпоративный ландшафт многих предприятий сегодня совсем не похож на тот, каким он был 3–5 лет назад, и в соответствии с этим должен трансформироваться и подход к обеспечению ИТ-безопасности.

Виртуализация: победные шаги

Последнее десятилетие стало ключевым для развития ИТ-инфраструктуры российских предприятий. Большинство организаций, оставшихся на плаву в период безвременья 1990-х – начале 2000-х годов, прошли полное техническое перевооружение и по своему ИТ-оснащению не уступают, а нередко и превосходят своих западных товарищей по цеху. Одним из ключевых и наиболее массовых трендов, благосклонно воспринятых ИТ-руководителями, стала виртуализация.

Доля виртуализованных серверов в различных странах

dolya_virtualizatsii.png

Источник: IDC, 2013

Причины популярности технологий виртуализации понятны: с ее помощью можно существенно упростить и ИТ-ландшафт предприятия, вынеся все вычислительные мощности и корпоративное ПО в виртуализованный, и конвергентный ЦОД, заменив рабочие станции сотрудников на тонкие клиенты. Особенно популярна виртуализация с использованием архитектуры VDI, предоставляющая встроенные возможности удаленного (в том числе мобильного) доступа ко всем информационным активам предприятия.

Но и проблем с виртуализацией тоже хватает. Во-первых, в условиях VDI корпоративный ЦОД становится сердцем ИТ-системы предприятия. Сбои в его работе недопустимы, поскольку приведут к перерыву в обслуживании всех клиентов. В связи с этим особо важное значение имеет принятие необходимых мер безопасности еще при проектировании и строительстве ЦОДа. Сюда входят: размещение вычислительных мощностей в благополучных по климатическому и сейсмическому признаку геолокациях; использование резервирования питающих мощностей; организация создания резервных копий виртуальных машин для особо важной категории пользователей; другие мероприятия в соответствии с протоколами HA (high availability – высокая степень доступности).

Немаловажную роль играет и правильный выбор каналов связи между ЦОД и филиалами предприятия, которые также должны быть зарезервированы. Очевидно, что все описанные меры многократно повышают как капитальные затраты на сооружение ЦОД, так и стоимость его владения TCO (total cost of ownership). Чтобы ИТ-операции в этих условиях не стали баснословно дорогими, в задачи любого ИТ-директора входит достижение оптимального баланса между стоимостными показателями ЦОДа и надежностью системы в целом. Кроме того, склонность бизнеса к виртуализации вскрывает еще одну проблему современных ИТ – проблему сохранности инвестиций. Данный аспект также является неотъемлемой частью политики ИТ-безопасности в широком понимании этого слова.

Наконец, очевидным является появление новых угроз и уязвимостей, обусловленных внедрением данной системы. «Такое изменение бизнес-модели требует совершенно новых подходов к обеспечению безопасности, – говорит заместитель генерального директора SAP СНГ Дмитрий Лисогор. – Выходом является использование централизованных решений для управления безопасностью корпоративных данных».

На графике ниже приведены результаты опроса более 500 ИТ-руководителей, работающих по всему миру, указан процент ответивших утвердительно на тот или иной вопрос. В графе «Итого» значение превышает 100%, так как суммировался процент голосов по категориям.

Какие услуги пользуются популярностью у заказчиков при планировании и внедрении различных видов виртуализации?
kakie_uslugi.png


Источник: IDC, 2012

Таким образом, виртуализация и использование частного облака, с одной стороны, создает новые ИТ-угрозы, повышая уязвимость централизованных ИТ-активов воздействию DDOS-атак и других вредоносных факторов. «Рост внимания к виртуализации в России влечет соответствующее изменение ландшафта угроз, – напоминает Сергей Земков. – Заразив лишь один элемент виртуальной среды, злоумышленник может вывести из строя или получить несанкционированный доступ ко всей системе». С другой – использование виртуального окружения позволяет поставить все информационные ресурсы предприятия под контроль из единой точки. На рынке активно появляются новые специализированные антивирусные программы и другие средства ИБ, специально предназначенные для работы в виртуальных средах.

Не витать в облаках

При использовании VDI-виртуализации и частного облака конфиденциальная информация, хотя и выходит из непосредственного ведения сисадмина, но при этом, по крайней мере, хотя бы номинально остается в пределах организации. Пользование публичными облачными сервисами перечеркивает информационную монополию ИТ-администратора и ставит пользователей в непосредственную зависимость от оператора как в отношении бесперебойности предоставления сервисов, так и в вопросах безопасности данных. С одной стороны, высокая концентрация конфиденциальных данных, принадлежащих сразу нескольким корпоративным пользователям, повышает уязвимость облачных ресурсов. «На одном облачном сервисе хранятся данные не одной и даже не нескольких, а десятков или сотен компаний, что делает такие сервисы лакомым куском для злоумышленников», – напоминает Сергей Земков. С другой – в цепочке появляется еще один игрок в лице оператора, и пользователь становится потенциально подверженным угрозам корыстных действий или простой халатности с его стороны. По данным IDC, все большее число пользователей облачных сервисов высказывают обеспокоенность проблемами безопасности и неприкосновенности данных в облаке.

Изменение отношения CIO к проблемам, наиболее остро стоящим перед компанией при «облачной миграции», США
izmenenie_otnosheniya.png
Источник: IDC, 2012

Особенности подходов к информационной безопасности при пользовании различными схемами облачных сервисов комментирует генеральный директор компании «Облакотека» Максим Захаренко. «Если используется IaaS-платформа, то мероприятия по обеспечению безопасности находятся под контролем пользователя, – говорит он. – При этом правильная IaaS-платформа предоставляет в помощь пользователю средства для организации ИБ. Для SaaS-решений необходимо выяснять детали обеспечения безопасности у провайдера, и, желательно, чтобы эти вопросы были формально включены в SLA и NDA».

Рост популярности облачных сервисов не только ставит новые проблемы безопасности, но и открывает дорогу новому классу продуктов, организованных с участием облачной инфраструктуры. Сюда относятся как уверенно набирающие популярность предложения сервиса «безопасность как услуга», особенно актуальные для защиты мобильного парка, так и различные ИБ-решения, использующие «облако» для проведения действий по изоляции и обезвреживанию подозрительных объектов. Примером может служить облачный сервис Check Point ThreatCloud, входящий в состав аппаратно-программного комплекса Check Point Threat Emulation. При обнаружении вызывающей сомнение активности, подозрительный объект помещается в безопасную виртуальную капсулу – «песочницу», где производится его всесторонний анализ. Полученная в результате анализа информация о внушающем опасение объекте автоматически рассылается на шлюзы других клиентов, использующих аналогичное решение. Такой подход очень эффективен против массовых атак со стороны так называемых «угроз нулевого дня», т.е. новых вирусов, не имеющих аналогов и, соответственно, не описанных в базе вирусных сигнатур.

Центральный федеральный округ