Сегодня многие предприятия находятся в эпицентре перемен, вызванных тем, что новые центры обработки данных стирают границы между физическими и виртуальными средами, между общедоступным и частным «облаком». При модернизации и оптимизации своих центров обработки данных, организации сталкиваются с тем, что для обеспечения безопасности центров обработки данных следующего поколения необходимы непрерывно совершенствующиеся решения.

Облачные вычисления охватывают большой спектр различных вычислительных ресурсов и услуг, используемых пользователями через Интернет. Такие решения позволяют строить информационные системы для управления без приобретения «коробочных» продуктов.
Это дает возможность потребителям решить проблемы несанкционированного использования программного обеспечения, а также снизить большой процент затрат на построение центров обработки данных. Облачные технологии имеют возможность мгновенно реагировать на увеличение спроса по вычислительным мощностям, что позволяет решить вопросы, связанные с длительным временем построения и ввода в эксплуатацию крупных объектов IT инфраструктуры.

В данной статье мы рассмотрим преимущества и недостатки безопасности SaaS сервиса

SaaS имеет повсеместный доступ, его можно использовать в любом месте, где есть выход в интернет. Доступ к ПО предоставляется удаленно по сетевым каналам. Это может быть Веб-интерфейс, терминальный доступ или тонкие клиенты. Программное обеспечение развертывается в центре обработки данных в виде единого программного ядра. Простота внедрения, возможность сделать полноценное тестирование системы перед покупкой, низкая стоимость и возможность доступа к системе из любой точки – основные плюсы SaaS.
Однако, у SaaS есть не только достоинства. Самым большим недостатком сервиса является вопрос безопасности хранимых данных клиентов. Многие российские компании не привыкли хранить свои проекты и клиентские базы на чужих серверах из-за боязни конфиденциальности данных.
По их мнению, штат собственных квалифицированных специалистов по информационной безопасности, защитит общие базы куда надежнее, чем компания, предоставляющая услугу и имеющая очень отдаленное представление об информационной безопасности. Кроме того, пользователи зависимы от интернета. В случаи потери доступа в интернет – теряется доступ к SaaS. Пользователь не управляет серверами, операционными системами, сетью, хранением данных и даже некоторыми возможностями приложений, в результате чего основная обязанность по обеспечению информационной безопасности практически полностью ложится на провайдеров, предоставляющих услуги по облачным вычислениям.
Провайдеры облачных услуг далеко не всегда стремятся усложнять свою платформу интеграцией с системой управления идентификацией. Существуют несколько технологий, позволяющих расширить управление доступом на основе ролей в облаке, например через технологию единого доступа (single sign-on, SSO). Но в целом, эта область находится все еще на ранней стадии развития. В настоящий момент каждый из крупных игроков на рынке SaaS стремится создать свою технологию взаимосвязи с клиентом. У Google есть Secure Data Connector, который формирует шифрованное соединение между данными клиентов и бизнес-приложениями Google и позволяет клиенту контролировать, какие сотрудники могут получать доступ к ресурсам Google Apps, а какие нет. CRM Salesforce обеспечивает похожий функционал, реализованный на собственной технологии. При обращении клиентов к множеству различных SaaS-приложений растет и количество используемых инструментов безопасности, что может привести к неповоротливости и плохой масштабируемости такой модели. Существуют несколько сторонних продуктов, которые, по крайней мере, предполагают возможность их использования при подключении к множеству типов SaaS-приложений, но на данный момент они еще не достаточно опробованы провайдерами. Поэтому управление идентификационными данными и контролем доступа для корпоративных приложений, по мнению экспертов Digital Design, остается одной из основных проблем, стоящих перед ИТ сегодня.

Центр обработки данных (ЦОД) представляет собой совокупность серверов, размещенных на одной площадке с целью повышения эффективности и защищенности. Защита центров обработки данных представляет собой сетевую и физическую защиту, а также отказоустойчивость и надежное электропитание. В настоящее время на рынке представлен широкий спектр решений для защиты серверов и ЦОД от различных угроз. Их объединяет ориентированность на узкий спектр решаемых задач. Однако спектр этих задач подвергся некоторому расширению вследствии постепенного вытеснения классических аппаратных систем виртуальными платформами. К известным типам угроз (сетевые атаки, уязвимости в приложениях операционных систем, вредоносное программное обеспечение) добавились сложности, связанные с контролем среды (гипервизора), трафика между гостевыми машинами и разграничением прав доступа. Расширились внутренние вопросы и политики защиты ЦОД, требования внешних регуляторов. Работа современных ЦОД в ряде отраслей требует закрытия технических вопросов, а также вопросов связанных с их безопасностью. Финансовые институты (банки, процессинговые центры) подчинены ряду стандартов, выполнение которых заложено на уровне технических решений. Проникновение платформ виртуализации достигло того уровня, когда практически все компании, использующие эти системы, весьма серьезно занялись вопросами усиления безопасности в них. Отметим, что буквально год назад интерес был скорее теоретический.
В современных условиях становится все сложнее обеспечить защиту критически важных для бизнеса систем и приложений.
Появление виртуализации стало актуальной причиной масштабной миграции большинства систем на ВМ, однако решение задач обеспечения безопасности, связанных с эксплуатацией приложений в новой среде, требует особого подхода. Многие типы угроз достаточно изучены и для них разработаны средства защиты, однако их еще нужно адаптировать для использования в облаке.

Cуществующие угрозы облачных вычислений

Контроль и управление облаками — является проблемой безопасности. Гарантий, что все ресурсы облака посчитаны и в нем нет неконтролируемых виртуальных машин, не запущено лишних процессов и не нарушена взаимная конфигурация элементов облака нет. Это высокоуровневый тип угроз, т.к. он связан с управляемостью облаком, как единой информационной системой и для него общую защиту нужно строить индивидуально. Для этого необходимо использовать модель управления рисками для облачных инфраструктур.

В основе обеспечения физической безопасности лежит строгий контроль физического доступа к серверам и сетевой инфраструктуре. В отличии от физической безопасности, сетевая безопасность в первую очередь представляет собой построение надежной модели угроз, включающей в себя защиту от вторжений и межсетевой экран. Использование межсетевого экрана подразумевает работу фильтра, с целью разграничить внутренние сети ЦОД на подсети с разным уровнем доверия. Это могут быть отдельно серверы, доступные из Интернета или серверы из внутренних сетей.
В облачных вычислениях важнейшую роль платформы выполняет технология виртуализации. Для сохранения целостности данных и обеспечения защиты рассмотрим основные известные угрозы для облачных вычислений.