Все проблемы и риски, которые несет с собой централизованный ЦОД, в том числе и внешний, поддаются управлению.
Главный вопрос круглого стола на тему информационной безопасности ЦОДов, подготовленного организаторами из правительства Санкт-Петербурга и журнала IT Manager, — выяснить, насколько фатальны риски концентрации информационных ресурсов в едином ЦОДе.
Ожидания и прогнозы
Приветствуя участников круглого стола, прошедшего в рамках V международного инновационного форума в Северной столице, председатель комитета по информатизации и связи Санкт-Петербурга Иван Громов объяснил свой интерес к данной теме насущной потребностью в создании ЦОДов, необходимых для эффективной работы различных отраслей городского хозяйства и бизнес-сообщества. Для города представляет интерес строительство как собственных, так и коммерческих ЦОДов в различных облачных форматах, включая публичные ресурсы. Однако, какова бы ни была принадлежность подобного центра, в первую очередь ЦОДы должны полностью соответствовать современным требованиям ИБ, которые в настоящее время предъявляются к информационным ресурсам. При этом Иван Громов отметил, что централизованное сосредоточение ресурсов позволяет оптимально регулировать взаимоотношения между всеми участниками информационного общества, но какие-либо сбои в данном процессе могут привести к катастрофическим последствиям. Вот почему для правительства Санкт-Петербурга указанная тема настолько актуальна, насколько это можно представить в рамках подобных проектов.
По оценкам, которые привел сопредседатель комитета по ИБ Союза ИТ-директоров России (СоДИТ), Юрий Шойдин, сегодня примерно половина всех ИТ-бюджетов в российских компаниях тратится на поддержание или развитие облачных технологий. Опрос собственников малого и среднего бизнеса подтверждает, что их компании готовы рассматривать в качестве основы для своих информационных систем (ИС) именно облачные технологии, чтобы не выстраивать у себя сложные ИТ-инфраструктуры. Но с развитием облачных сервисов остро встает вопрос разграничения полномочий между владельцем ЦОДа и клиентами, которые ему доверяют свои активы. По прогнозам Юрия Шойдина, концепция ИБ смещается от защиты периметра к защите приложений. Однако вопросы недостаточной нормативной базы и соответствующих стандартов добавляют свои риски, особенно в случае применения ЦОДов в государственном сегменте.
В ответ директор государственного автономного учреждения Республики Татарстан Динар Насыров представил практику республиканского Технопарка. Созданный в рамках федеральной целевой программы «ИТ-парк» с подведенной мощностью 5 МВт, площадью 1000 кв. м, он рассчитан на 280 стоек. В результате с 2005 года началась централизация всех государственных информационных ресурсов и систем на базе этого ЦОДа. На сегодняшний день более 90% всех государственных ИС размещены в республиканском ИТ-парке. Но говоря про ИБ, необходимо понять, кто и как собирается оценивать вероятные риски, отметил Насыров. «По нашему опыту утечка информации именно из дата-центра не разу не происходила. Когда все ресурсы централизованы в одном месте и ее защитой заняты квалифицированные специалисты как сетевой, так и виртуальной среды, это позволяет получить более качественный результат, нежели если этими вопросами занимались бы отдельные подразделения и специалисты, чья квалификация не всегда соответствует уровню решаемых задач. Для этого у нас регулярно проходят тренинги сетевых атак. Иногда они бываю успешными, иногда нет, но главное, что по итогам атак проводится анализ защищенности и выявленные уязвимости исправляются».
В начале 2012 года. с ИТ-парком был подписан договор о передаче холдингом «КамАЗ» всей ИТ-инфраструктуры в частное облако. На сегодняшний день около 70% ИС КамАЗа уже размещено в Технопарке. «На расстоянии 250 км шесть заводов КамАЗа работает у нас. Прежде чем решиться на подобный шаг, владельцы КамАЗа тщательно просчитывали вероятные риски и ожидания эффективности. В результате, по прогнозам, за четыре года экономия должна составить 47% от того, если бы пришлось развивать и поддерживать свой собственный ЦОД. А во-вторых, у КамАЗа появилась возможность без наращивания ИТ-ресурсов и ИТ-специалистов в 13 раз увеличить производительность ИС в первую очередь за счет оптимизации работы самих виртуальных серверов и ИС».
Практика в примерах
Старший менеджер PwC и президент ассоциации профессионалов ИБ RISSPA Евгений Климов затронул вопросы выстраивания процессов ИБ внутри ЦОДа, а именно каким образом и на каких принципах строить Центр управления безопасностью, или SOC (Security Operation Center). В условиях, когда копании становятся все более и более ИТ-зависимыми, появляются новые ИС, а старые совершенствуются, получается, что рост систем и инфраструктур увеличивается в геометрической прогрессии. Это приводит к увеличению объема данных, с одной стороны, и к росту числа ИС — с другой. Для того чтобы эффективно управлять таким хозяйством, надо выстраивать централизованную систему управления, которая может быть создана в рамках ЦОДа и станет одним из его подразделений, отвечающим за эти вопросы в компании, или будет сформирована как внешняя структура. Основные задачи SOC — централизованное управление существующими средствам защиты. Сколько бы не говорили, что ИТ пытается избавляться от «зоопарка», однако не все бизнес-процессы удается реализовать с помощью централизованных, унифицированных решений, которые при этом должны взаимодействовать между собой. То же касается и ИБ. Поэтому SOC должен предоставлять специалистам ЦОДа централизованную консоль управления всеми устройствами, принимающими участие в процессе обеспечения ИБ. Но как только речь заходит о передаче своих ИТ-инфраструктур в сторонний дата-центр, появляются новые угрозы, например - отказ в обслуживании.
Для создания SOC существуют два проверенных пути: привлечение сторонней организации или решение проблем своими силами. Но сторонняя компания в первую очередь будет думать о том, как на этом заработать денег. В случае собственного решения экономическая составляющая выражена не настолько характерно. Но с точки зрения ИБ, если строить свой центр, то прежде всего придется думать о безопасности собственной компании и защите собственных ресурсов.
Хотя сегодня возникает все больше понимания того, что бизнес зависим от ИТ, тем не менее очень мало кто из руководства имеет представление, для чего нужны инвестиции в ИБ. В результате бюджеты на ИБ продолжают отпускаться по остаточному принципу. В случае со сторонним провайдером очень легко просчитывается экономическая модель и возврат инвестиций. В случае собственного центра мы полностью контролируем всю инфраструктуру и людей и сами несем затраты на поддержку этих инициатив. В случае стороннего сервис-провайдера можно заключить SLA и требовать от провайдера предоставления услуг в соответствии с этим соглашением.
Евгений Климов подчеркнул, что когда речь идет о строительстве собственного центра, то, как правило, на первых этапах нет возможности принимать на работу отдельных специалистов, которые будут отвечать за новое направление. Соответственно, сотрудники будут совмещать свои обязанности с новым направлением, и их квалификация может варьироваться от низкой до высокой. Если же пользоваться услугами стороннего сервис-провайдера, то его специалисты обычно «заточены» на выполнение одних и тех же задач, обладают для этого соответствующей квалификацией, что является бесспорным преимуществом.
Директор по ИТ НПО им. Лавочкина Александр Куприянов привел примеры безопасности облачной миграции из практики госучреждений США. Движение «в облака» американского государства, в отличие от корпоративного сектора, характеризуется своей прозрачностью, обусловленной реализацией программы e-Government и создает опыт, достойный и доступный для изучения, в том числе в вопросах ИБ. США к этому мотивировало постоянно возрастающее финансирование ИТ-ресурсов, из которых при тщательном технологическом анализе около 800, а по более поздним оценкам около 1000, оказалось возможным сократить за четыре года. Так при переходе в облака удалось выявить множество дублирующих функций и сервисов.
По словам исполнительного директора компании САЛД Михаила Бачинского, современному ЦОДу приходится решать огромное число задач, в рамках которых фактор антивирусной защиты поднимается до категории глобальных. Согласно приведенной Михаилом статистики, в первой десятке угроз (а это более 60% их общего объема) – программы, способные загрузить из Сети определенные функции. Большинство из них завязаны на глобальные серверы для создания bot-сети, то есть зомбированных компьютеров, которые могут приводиться в действие с удаленных управляющих серверов. Если же говорить об утечках информации из ЦОДов, то здесь, как правило, задействуются электронные каналы связи. Все это говорит о том, что ЦОД уязвим и будет подвергаться вирусным атакам, поскольку там есть клиенты, есть компьютеры и есть информация. Но если ЦОД разделить, например, на корпоративную сеть, на сеть самого ЦОДа и сеть клиента, то при такой детализации становится уже более ясно, что и как следует защищать. Однако в современном понимании ЦОД должен защищать не только себя, но и клиентов. И для этого он должен уметь предоставлять услугу в формате SaaS.
Итоги
Подводя итог круглого стола, Иван Громов отметил, что ему было интересно ознакомиться с опытом реализации проектов по построению и организации ЦОД. Важно узнать практические вопросы и опыт взаимодействия участников рынка, практику получения услуг госорганами от выделенного ЦОДа. «И второй вопрос, который меня интересовал, — сможет ли кто-то публично заявить, что риск создания и концентрация информационных ресурсов в одном месте настолько фатален, что преодолеть его невозможно. Я этого не услышал! Более того, все проблемы и риски, которые несет с собой централизованный ЦОД, в том числе и внешний, поддаются управлению. А значит, можно и дальше двигаться в этом направлении».
