Обеспечение безопасности в офисе и в облаке #28
Журнал БДИ, N4 (112), июль-август 2014
 

Доверие

«Доверие в бизнесе? О чем вы говорите?  Его не существует!»
«Где-то нет заборов, не запирают машины, но это не про Россию».
 
Однако, на самом деле, как ни странно, всегда кому-то приходится доверять. В самолете – пилоту и системе гражданской авиации, в бизнесе - бухгалтеру, который осуществляет платежи с использованием электронной подписи директора (я не встречал других вариантов),    на отдыхе – природе и погоде, при шифровании – корневым УЦ и реализации системы удостоверений по цепочке. Нет гарантий 100% безопасности, и при этом без доверия никакая система, в том числе общество, не существует.
Во многом доверие – это привычка – наличие неких фактов, которые всем известны. В математике это  – аксиомы,  которые не подвергаются сомнению. Привыкли доверять чему-то и всё. И уж точно не привыкли доверять ничему новому.
Хороший пример – банки. После 1998 года деньги лежали исключительно в банке, которая располагалась под матрасом. Длительное отсутствие существенных проблем с финансовыми учреждениями, внедрение системы страхования вкладов, фактически решили вопрос доверия – деньги стали хранить в банках-учреждениях и этот процесс не меняется даже в ходе болезненной чистки банковской системы. Стало принято так делать.
Но чаще движение происходит в другую сторону. Сегодня принято думать, что если сотрудник (физическое лицо) является штатным и подписал внутренний NDA, то это безопаснее, чем более суровый NDA будет подписан с юридическим лицом – провайдером, хотя факты говорят об обратном. Достаточно вспомнить, например, Сноудена, которому в АНБ доверяли и руководство, и, как выяснилось, коллеги.
Все доверяли и многие продолжают доверять своим внедренным сертифицированным средствам защиты, однако через что прослушивали канцлера Германии?
В данной статье нет задачи обсуждать фундаментальные изменения в подходах к информационной безопасности, которые возможно грядут по результатам приведенных расследований. Я лишь ещё раз хочу показать, что многие вещи выглядят совсем не такими, какими являются на самом деле.
 

Очевидные минусы облака

На первый взгляд, размещение информационных ресурсов предприятия в облаке может только уменьшить общую информационную безопасность предприятия, ведь рассуждая на бытовом уровне:
  • Уменьшается доступность, поскольку к вероятности отказа канала локальной сети добавляется вероятность отказа внешнего канала до облака;
  • Уменьшается конфиденциальность. Часть инфраструктуры под информационной системой предприятия обслуживается и контролируется провайдером.
Да, это очевидные минусы безопасности облаков по сравнению с использованием инфраструктуры On-Premise, но настолько ли они критичны по сравнению со всем остальным? Не являются ли такие рассуждения просто той самой привычкой?
В данной статье сравним возможности по обеспечению безопасности в офисе и в облаке.

Безопасность – это когда ей занимаются

Обеспечение информационной безопасности – это непрерывный процесс, заключающийся в постоянном совершенствовании и контроле используемых средств и методов обеспечения безопасности. Если процесс не налажен, то какие бы средства защиты не были закуплены и внедрены, через короткое время они станут не актуальны, в них обнаружатся уязвимости и система безопасности просто рассыплется. В этом смысле процесс обеспечения безопасности схож с методологией ITIL, добрая четверть мероприятий в которой посвящена различным изменениям.
Дело в том, что даже на достаточно крупных предприятиях, реальная ситуация с информационной безопасностью не всегда идеальна, несмотря на наличие собственных офицеров по безопасности и достаточного бюджета, что уж говорить о компаниях СМБ.
Тема обеспечения безопасности сложная, трудоемкая, требующая максимальной автоматизации и скрупулёзности. При этом рост в разы бюджетов на безопасность приводит к уменьшению рисков на проценты.

Безопасность – это всегда неудобно

Если директор купил новый планшет и хочет переписываться по e-mail с него, то немногие офицеры безопасности запретят ему это, потому что выгоды директору очевидны, а ущерб от ослабления системы безопасности призрачен.
При этом, без методологически правильного построения деятельности пользователей не получается обеспечить достаточный уровень безопасности. Вот и выходит, что  безопасники кажутся скучными, мрачными сотрудниками, сводящими на нет любые инициативы по использованию ИТ-решений.
Система безопасности в результате – это всегда компромисс между достаточной безопасностью, не позволяющей злоумышленникам парализовать работу компании, бюджетом и удобством работы пользователей, то есть требованиями бизнеса.

Безопасность в облаке и в офисе

Возьмем все российские компании и исключим из них самые крупные, которые могут позволить себе сеть собственных ЦОДов,  необходимое количество квалифицированных сотрудников  по всем аспектам безопасности, очень существенные бюджеты и не очень жесткие показатели  эффективности.  Руководителям таких служб дальше будет не очень интересно читать, поскольку их хозяйство сравнимо или даже превосходит провайдерские решения по количеству и качеству средств безопасности. Возьмем теперь все остальные, почти миллион предприятий, которые на самом деле просто не могут обеспечить уровень безопасности, сравнимый с провайдерским.

Физическая безопасность

Что такое ЦОДа (аппаратная) типичной компании? Это выделенное небольшое помещение в офисном здании, зачастую не имеющее резервирования по электропитанию и охлаждению. Допустим, есть система пожарной сигнализации, но часто нет системы пожаротушения или она на воде. Доступ в эту комнату, если в компании не внедрена СКУД, регулируется уровнем безопасности английского замка, видеонаблюдения часто нет.
У провайдера ЦОДа, обычно класса TierII, но сейчас довольно много уже и Tier III, что означает полное резервирование всех систем и предоставление непрерывного сервиса в случае аварий или профилактических работ. В том числе, с собственной системой охраны и установленными процедурами обеспечения физической безопасности и совместного обслуживания большого количества клиентов.
По этому вопросу обычно нет разногласий, тут нечего даже сравнивать.

Средства безопасности

Единственный вариант внедрения какого-либо средства безопасности On-Premise – приобрести его в варианте CAPEX. Чем дороже средство, тем ответственнее решение о его закупке и внедрении, и сложнее объяснять бизнесу, почему именно это средство необходимо. В результате, приобретение откладывается, покупается решение дешевле и т.д.
Какие возможности появляются при размещении ИТ-инфраструктуры в облаке? Провайдер с учетом своих масштабов, вполне может внедрить дорогостоящее средство и использовать его в режиме multitenant для своих клиентов в режиме аренды. Соответственно, у конечного клиента с одной стороны появляется классное средство, по цене:  X рублей цена устройства / 100500 клиентов / 24-36 месяцев, а с другой – гибкость в использовании средств безопасности, то есть возможность отказаться от одного средства и начать использовать другое без последствий и ответственности, потому что квант обязательств использования обычно месяц-квартал.
За счет чего происходит экономия? За счет фактического очень слабого использования закупленного устройства On-Premise. Здесь можно провести аналогию с виртуализацией, которая рушит рынок серверов при сохранении пользовательских свойств, так как 90% ресурсов железа фактически не использовались. Какие-то решения по безопасности просто не бывают дешевыми, например, средства борьбы с DDOS. Единственный способ обеспечить реальную защиту – облачный сервис.

Квалификация сотрудников

Продолжая тему совместного использования ресурсов, переходим к сотрудникам, обеспечивающим безопасность. Провайдер может содержать разноплановых специалистов, каждый из которых обслуживает большое количество клиентов. Цена такого обслуживания одного клиента, соответственно, падает, а вот квалификация падать не может. За счет элементов массового обслуживания, автоматизации мониторинга и анализа защищенности, цена хорошей защиты для конечного клиента ещё больше уменьшается. Предприятие же просто не сможет содержать всех специалистов в штате, поэтому многие аспекты безопасности остаются без внимания. Тут можно привести простой пример. В скольких компаниях разработаны документы типа: «Модель угроз», «Политика информационной безопасности»? У единиц, а в каком проценте из них действуют по установленным правилам и инструкциям? Вот и ответ о реальной ситуации с безопасностью On-Premise. Недаром удовлетворить всем требованиям Федерального Закона 152-ФЗ "О Персональных Данных"‎ для небольших компаний проще в облаке, а не On-Premise.
Впору возразить, что часть функций можно доверить специализированным компаниям, которые придут и всё настроят. Во-первых, требуется постоянное сопровождение, а это дорого, во-вторых, чем это отличается от размещения в облаке, где тоже доверяются внешним специалистам? Просто привычка?

Резервирование

Целостность и доступность данных обеспечиваются, в том числе резервированием. Резервировать из ЦОДа типичной компании либо просто некуда, у неё нет других площадок, либо кросс-бекапирование «сажает» не очень емкие офисные каналы, поэтому обычно резервные копии в варианте On-Premise располагаются физически в том же помещении с соответствующими последствиями в случае аварий или действия злоумышленников.
Именно для решения задачи максимально независимого размещения резервных копий, внешние облачные сервисы хранения получают особую популярность в корпоративном секторе, в том числе среди крупных компаний.
Можно с уверенностью утверждать, что резервирование как система отсутствует как минимум в компаниях СМБ. 1С ещё бекапится, а «Мои документы» на ноутбуках и ПК никогда нет. Появление новых папок на файловом сервере также может привести к тому, что они не будут включены в бекап. Ручная монотонная работа, требующая постоянной внимательности, наложенная на необязательность всего, приводит к потере данных. Провайдеры ИТ-инфраструктуры обычно просто бекапят все данные пользователя с заранее оговоренной глубиной, используя современные мощные (читай: «дорогие») средства с мониторингом и обеспечением целостности, что опять же в расчете на одного пользователя существенно дешевле.

 

Конфиденциальность

Конфиденциальность - краеугольный камень аргументов противников облаков. Провайдер, с точки зрения таких критиков, только и занят тем, что читает данные клиента и распространяет их в сеть интернет, конкурентам и соответствующим органам.
Рассмотрим угрозу утраты конфиденциальности по вине сотрудника, имеющего доступ к данным. Если это штатный сотрудник компании, то это конкретное лицо, на которое может осуществляться воздействие. Если же безопасность обеспечивается в облаке, то это коллектив сотрудников провайдера, причем априори (из открытых или доступных источников) выяснить, кто конкретно куда имеет доступ, намного проблематичнее.  У провайдера, кстати, далеко не всегда есть доступ к пользовательским данным (на уровень OC, AD), даже почти никогда нет при предоставлении облачных сервисов уровня IaaS. Провайдер полностью индифферентен к бизнесу клиента и не заинтересован ни в чем, кроме максимально долгого размещения информационной системы клиента.
Обеспечение безопасности на организационном уровне регулируется документом NDA. У провайдера он проработан, накатано его использование за счет частого применения и особой ответственности за нарушения. Провайдер  также осознает репутационные риски от нарушения NDA по его вине. В конце концов, провайдер – юридическое лицо, которое просто так не исчезнет, с ним можно успешно судиться.

Какие NDA реально подписаны с сотрудником? Одной общей фразой в шаблоне трудового договора? Какой ущерб он физически сможет возместить в случае утраты конфиденциальности по его вине, которую ещё нужно доказать?
При размещении информационной системы On-Premise все данные здесь, физически внутри помещения и могут быть обнаружены, в том числе и те, о которых злоумышленник не знал.
В случае размещения информационной системы в облаке на географически распределенных мощностях, зачастую никто, включая самого провайдера, не может точно сказать, где фактически размещены данные, что существенно затрудняет получение доступа к ним злоумышленника. Особенно, если изначально неизвестно, что данные вообще существуют, потому что трудно искать «черную кошку в темной комнате, особенно, если её там нет».  Воевать с противником фронтом удобнее и понятнее, чем с партизанами, которые непонятно где и что задумали, и постоянно мигрируют.
В случае если вся ИТ-инфраструктура (все данные, большинство вычислений) переходит в облако, а в офисе остается что-то типа тонких клиентов, то в облаке организуется более четкий контур безопасности с возможностью ограничения ввода-вывода данных и использования DLP на выходе, не говоря уже об автоматическом бекапе, обновлениях и т.д. Традиционную On-Premise архитектуру контролировать значительно сложнее, потому что данные разбросаны по толстым клиентам, есть возможность сбросить их на флешку или отправить через мобильный телефон и вывести или завести другим способом, в обход контролируемых средств.
Скептики скажут, что усиленный NDA можно подписать и с сотрудником офисе, можно взять сервер в недорогом месте и организовать резервирование, можно всех перевести на внутренний VDI... Во-первых, сервер где-то – это уже внешний облачный сервис, а, во-вторых, можно всё сделать, но фактически мало, где сделано. Нет необходимости, нет повода, дорого, дополнительные усилия... А в облаке же все по умолчанию архитектурно сделано.

Доступность

Доступность данных зависит от качества (SLA) канала связи.
Проведем аналогию с тем же электричеством. Технологии доставки электричества достигли в России таких высот, что фактический SLA на него составляет 99,9% (отсутствие не более 8 часов в год), хотя это никто никогда в офисах не гарантирует. Даже, если где-то SLA 99,7%, то это вполне достаточный SLA для существования почти всех бизнесов. По крайней мере, очень мало кто из рассматриваемого миллиона компаний строит собственную резервную генерацию.
Давайте посмотрим на интернет. У него SLA уже почти всегда лучше, потому что почти всегда можно организовать резервирование. Как минимум офисный интернет можно зарезервировать «свистком» сотовой связи, довольно часто это уже 4G. При любом резервировании вероятности отказа умножаются, то есть уменьшаются на порядок. На самом деле, большинство бизнесов при размещении On-Premise уже сейчас не может функционировать без интернета. Получение информации с сайтов, общение по электронной почте, IP-телефония -  это ключевые инструменты ведения бизнеса. Если качества интернета хватает сегодня, то хватит и для размещения в облаке.
Опять же рассматривать доступ исключительно в разрезе «Офис-ЦОД» тоже не более чем привычка. Удаленная работа, например, летом с дачи (помните: «укусила сова, работаю по интернету»), для офисных сотрудников становится всё популярнее. Хоть, я сам из IT, но я не знаю знакомых, кто бы не читал почту на смартфоне во внерабочее время. И эта доступность данных отовсюду может быть для кого-то уже важнее доступа из офиса.

Сводная таблица

 
Показатель
Облако
On-Premise
Физическая безопасность
+
+-
Средства безопасности
+
+-
Квалификация сотрудников
+
+-
Резервирование как система
+
-
Резервирование на независимую площадку
+
-+
Риск утраты конфиденциальности по вине сотрудника
+
+-
Вероятность возмещения ущерба
+
-
Контур безопасности
+-
+-
Доступность из офиса
+-
+
Доступность из мира
+
+-
 
В целом, с точки зрения привлекательности облако выглядит даже лучше, потому что обеспечить реальную безопасность силами типичной компании на самом деле сложно.

Безопасность как сервис

В заключение опишем новую облачную услугу «Безопасность как сервис» (SecaaS), которая активно развивается на Западе. Она заключается в том, что внешний облачный сервис получает доступ в вашу локальную ИТ-инфраструктуру и обеспечивает её комплексную защиту. То есть, даже средства безопасности стоят не в офисе, а где-то у провайдера.
Казалось бы, разве можно так делать? Да, доверие к провайдеру зачастую выше, чем к своим возможностям.
Плюсы этой услуги – традиционные плюсы облаков. Гибкость и отсутствие необходимости самостоятельно поддержки.  Предприятие или просто не может поддерживать самостоятельно аналогичный уровень безопасности у себя в офисе, или это просто слишком дорого и несравнимо с возможным ущербом. Лучше в облаке, чем никак.
 
Услуга Резервное копирование как сервис в Облакотеке http://oblakoteka.ru/services/uslugi-rezervirovaniya/
 
Максим Захаренко, генеральный директор компании Облакотека
 
 
Журнал БДИ, N4 (112), июль-август 2014