Алексей БЕЛОВ: «Об облаках, уязвимостях и вопросах культуры защиты данных»
На вопросы обозревателя IT News Евгения Курышева отвечает Алексей Белов, генеральный директор компании ТАЛМЕР.
Расскажите, пожалуйста, как, на ваш взгляд, сегодня меняется рынок ИБ-решений для облаков – точки роста, динамика, заинтересованные стороны процесса?
Облака, как вы знаете, бывают разные. Так, частное облако, построенное, как правило, по принципу on premise, – это один подход к обеспечению безопасности, мало чем отличающийся от тех принципов, что используются сейчас для защиты ИТ-инфраструктуры. Если говорить о публичном облаке, тогда перед нами встает вопрос: мы рассматриваем мероприятия по защите информации с точки зрения провайдера услуг или конечного заказчика? С одной стороны, провайдер услуг должен обеспечить информационную безопасность собственной ИТ- и инженерной инфраструктуры, которая нужна для предоставления услуг. С другой стороны, необходимо предоставить решения, обеспечивающие информационную безопасность конечного заказчика. Последний выступает здесь потребителем услуг, причем зачастую симплифицированным – не представляющим, каким образом строится работа по обеспечению ИБ, покупающим услуги по защите через приложение на мобильном телефоне и настраивающим их путем нескольких нажатий на экране. Реальность, конечно, лежит в другой плоскости.
В какой именно?
Несмотря на развитие облачной инфраструктуры и преимущества XaaS-схем, все равно останутся заказчики, строящие приватные облака. ИБ-службы таких компаний, в дополнение к уже имеющимся обязанностям вроде борьбы с утечками конфиденциальной информации, вынуждены будут решать задачи по мониторингу и предотвращению противоправных действий, направленных на инфраструктуру, обеспечивающую работу облака. Заказчики же, которые предпочтут перенести часть своей ИТ-инфраструктуры в публичное облако, вынуждены будут рассматривать стык с облаком как потенциально уязвимую область и предпринимать меры по уменьшению объемов данных, мигрирующих из/в облако и увеличению дополнительного контроля. И провайдеры облачных услуг, как мне кажется, будут развивать только те услуги, которые потенциальный заказчик действительно хочет увидеть в облаке. Среди них, например, защита от DDoS-атак – это решение логично и структурно соответствует концепции облачной услуги. Таким образом, можно ожидать роста услуг по консалтингу, защите частных облаков и инженерной инфраструктуры, а также развития продуктов, предоставляющих некоторые услуги ИБ в облаке.
Как распределяется ответственность за обеспечение ИБ и защиту данных в облаках между сервис-провайдером и заказчиком?
Как я уже сказал, наиболее уязвимое место при прочих равных условиях – стык между инфраструктурой заказчика и облаком. Отвечают за этот стык конкретные специалисты как на стороне провайдера услуг, так и на стороне самого заказчика. Передать только одной стороне ответственность за сохранность данных невозможно. Однако бóльшую ответственность за выбор решения несут специалисты заказчика – они разрабатывают и согласовывают использование облачной архитектуры, принимают решение о переходе в облако, понимая сложность задач, которые придется решать. Таким образом, возвращаясь к первому вопросу, ни о какой симплификации конечного заказчика речи не идет. Заказчик по-прежнему должен понимать, что конкретно защищает и зачем, какие методы и средства у него есть, и самостоятельно выбрать, что и как использовать.
Современная геополитическая ситуация и изменения в области законодательства по защите персональных данных существенно влияют на рынок облачных технологий и услуг. Какие вызовы, проблемы вы отметили бы в первую очередь?
Вопрос очень сложный и глобальный. Безусловно, импортозамещение на данный момент выходит на передний план. За облаком стоит разного рода инфраструктура как ИТ, так и обеспечивающая работу в части энергетики, вентиляции, кондиционирования, пожаротушения. Если в инженерной инфраструктуре уже есть элементы, полностью созданные в РФ, например, системы пожаротушения, то в части ИТ-инфраструктуры мы зависимы от иностранных производителей процессоров, памяти, коммутационных устройств. В части программных продуктов по ИБ в России есть примеры удачных решений, которые являются конкурентоспособными по отношению к зарубежным аналогам, например, решения российского разработчика «Гарда Технологии». Вызов, стоящий перед отраслью, – максимальная независимость от иностранных компонентов и возможность реализации проектов любой сложности с использованием разработок отечественных производителей «железа», инженерных компонентов и ПО.
Базируясь на собственном опыте работы с заказчиками, что вы можете сказать: готовы ли компании уходить в облако?
Приведу пример реализации проекта по обеспечению информационной безопасности облачной инфраструктуры. Один из наших заказчиков принял решение построить гибридное облако, когда уже построенное приватное облако интегрируется с публичным. И мотивировал это несколькими аргументами: а) для хранения в публичном облаке некритических данных в случае недостаточности ресурсов в частном облаке и б) как стратегический резерв на случай выхода из строя критичных элементов частного облака и переноса в публичное облако части бизнес-критичных приложений. Мы отвечали как за строительство приватного облака, так и за реализацию гибрида. По сути, заказчики готовы уходить в облако, но пока только с «парашютом» в виде собственной ИТ-инфраструктуры.
Что вы вкладывает в термин «облачные вычисления»?
Здесь нам стоит несколько отвлечься от задаваемых вами практических вопросов и немного углубиться в историю. На заре развития сети Интернет был модный тренд, связанный с распределением вычислений каких-либо сложных научных задач среди пользователей глобальной сети.
Выглядела задумка очень изящно: людям от науки не хватает вычислительных мощностей, при этом в мире огромное количество персональных компьютеров, в большинстве своем тратящих вычислительные ресурсы очень неэффективно. Статистика может различаться, но большой процент времени персональный компьютер не делает ничего, кроме поддержания работы операционной системы. По сути – греет воздух.
Идея заключалась в том, что большая и сложная вычислительная задача дробилась на маленькие порции и отдельные задания рассылались по компьютерам по всему миру, обрабатывались и результат сходился в одной точке. Отличный пример из области распределенных вычислений.
Сейчас, конечно, термин «облачные вычисления» может трактоваться гораздо шире. Мы, как эксперты, постоянно имеющие дело с бизнес-требованиями, рассматриваем этот термин в следующем ключе. Любой заказчик уже имеет, строит, либо модернизирует вычислительную инфраструктуру, которая в упрощенном понимании представляет собой серверы, системы хранения данных, коммутационное оборудование и программное обеспечение для управления этой инфраструктурой.
Все заказчики используют вычислительную инфраструктуру в своих производственных процессах. Даже если заказчик не имеет сложных АСУТП, систем управления предприятием, все равно он как минимум ведет учет в «1С», то есть использует вычислительную инфраструктуру как основное средство, добавляя его в себестоимость продукции. Таким образом мы приходим к понятию стоимости вычислительных ресурсов, и к тому, что это не отвлеченное понятие, а четко рассчитываемая цифра, увеличивающая себестоимость продукции или услуг.
И что это дает на выходе?
Мы часто сталкиваемся с ситуациями, когда бюджет заказчика на ИТ никак не связан с понятием себестоимости, и, по нашему мнению, это показывает отсталость ИТ-службы, непонимание самой ее роли.
В своей работе мы настраиваем заказчика на то, что любой вычислительный ресурс – будь то IOPS, место на жестком диске, в системе хранения или передаваемый трафик – стоит денег. И что ИТ-стратегия должна в первую очередь предусматривать подходы как в верной оценке стоимости этих ресурсов, так и минимизации их стоимости.
А теперь позвольте вернуться к вашему вопросу. Облачные вычисления, по нашему мнению, это некий пул вычислительных ресурсов, разнесенных географически, имеющих дифференциации в технологической составляющей, но, несмотря на это, представленных как единая сущность, которая способна назначать отдельно выделенные ресурсы, исчисляемые в точных цифрах, например, в объеме памяти или количестве ядер. И именно такой подход дает возможность заказчику четко понимать структуру себестоимости, пути по ее оптимизации, превращая стойки, серверы и другие компоненты в эффективный инструмент производства.
Не так давно компании, предоставляющие облачные услуги, переживали, что финансовые организации не будут мигрировать в облака из-за опасений по направлению ИБ. Однако сегодня доля представителей финансового сектора, пользующихся облаками, растет. Что вы думаете по этому поводу?
На самом деле процесс «клаудификации» идет полным ходом, и это означает только одно: облако из модного тренда превратилось в рабочий инструмент, заказчики перестали его бояться, а значит, научились верно оценивать риски и готовить инфраструктуру к переходу в облако или, как вариант, в гибридное облако.
Многие компании не задумываются на тему защиты данных до первых серьезных проблем из-за взлома или утечки. Как, на ваш взгляд, нужно решать проблему отсутствия «культуры защиты данных»?
Вопрос про культуру очень хороший, и ответить на него всеобъемлюще в рамках одного интервью вряд ли возможно. У человечества не было опыта жизни в условиях глобальной cети, и оно было вынуждено приспосабливаться на ходу. По сути, за последние 15–20 лет на наших глазах происходило очередное подтверждение теории Дарвина.
Человечество порождало разные культурные аспекты работы в сети - вспомните «олбанский», посмотрите, как обмениваются сообщениями современные подростки. Все то же самое касается не только общения, но и защиты личных данных. О защите данных никто не задумывался в ходе развития сети Интернет. Сейчас человечество сталкивается с массой угроз, связанных с мошенничеством, терроризмом. Культуру защиты данных люди нарабатывают прямо сейчас, и задача участников рынка, имеющих компетенцию, равно как и регуляторных органов, – создать инфраструктуру не только в части оборудования, но и инфраструктуру в широком смысле – законодательную, исполнительную, образовательную, способствующую привитию культуры.
Опубликовано 23.04.2019