Ит Лидери

Опасностите на „облачните“ изчисления

Computer World

Идеята на облачните изчисления – проектирани като архитектура, чието естествено състояние е споделен пул от ресурси извън предприятието – набира сили през последните месеци като начин да се намалят разходите и да се подобри гъвкавостта на ИТ. Използването на облачни изчисления обаче крие и рискове за сигурността, включително опасности, свързани със съвместимостта, отказоустойчивостта и интегритета на данните.

Все още много компании не поставят тези рискове на преден план. Например наличието на правилна технология за отказоустойчивост като вграден компонент от сигурността на облака често се пренебрегва, отбелязва Джош Грийнбаум, шеф на Enterprise Applications Consulting. Същевременно тези същите компании си гарантират доста висока степен на отказоустойчивост що се отнася до установените услуги като електроснабдяването например. „Ако се огледате наоколо, в която и голяма офис сграда да влезете, винаги до нея има поне един алтернативен захранващ източник, включително дизел генератори. Те не разчитат само на мрежата, казва Грийнбаум. Според него няма логика да бъде различно при изчисления в облака.

В някои случаи рискът е твърде голям да се осланяме само на „облака“. И дори ако се вземе решение да се поверят някои услуги и приложения на „облака“, то бизнесът трябва да попита за това какъв риск трябва да управлява.

Дейвид Кърли, вицепрезидент на Gartner, заявява, че поставянето на граници за използване на облачната технология е „тънък момент“, който компаниите трябва да проучат внимателно, сравнявайки степента на риска спрямо това къде и кога облачните изчисления са ефективни. Например давайки известен контрол върху данните, компаниите получава значителни икономии. ИТ заедно с другите висши ръководители трябва да решат дали си струва тази „трампа“. Кърли казва, че евентуално всичко ще бъде достъпно във вид на облачна услуга, но за всеки отделен бизнес случай не всичко ще бъде достъпно от облака.

„В споделен пул от ресурси извън предприятието няма да имате никаква представа или контрол над това къде работят ресурсите. Така че ако имате притеснения относно местоположението на данните, това може да е причина да не ползвате тази услуга“, казва Кърли.

Стандартизирането на сигурността не е стигнала до облака

Има огромен набор от стандарти, включително услуги като SAS Interaction Management например, които се прилага за ИТ сигурността и съвместимостта, ръководейки повечето бизнес взаимодействия, които с времето ще бъдат пренесени в облака, отбелязва консултантът Грийнбаум.

Междувременно докато се създават моделите и стандартите за сигурност за архитектурата на облачните изчисления, по-голямата част от риска и отговорността ако нещо се обърка, ще паднат директно върху плещите на ИТ екипа, а не върху доставчика на облачни услуги. „Salesforce.com и NetSuites не предлагат механизми за управление, риск или съответствие, които да са одобрени от регулаторните органи“, казва Грийнбаум.

„В основата е политиката за информационна сигурност на организацията която ползва такива услуги или е изградила собствен облак, коментира Светлин Йорданов, управител на Еском. - Сертификацията по някой от стандартите ISO27000 би било необходимо условие. Към това може да бъдат добавени и другите международни актове като SOX, Basel и др., както и локалните нормативни уредби.“

Най-добрите практики за облачните изчисления

В края на краищата, именно потребителят на услугите е отговорен за поддържането на конфиденциалността, интегритета и достъпността на данните, казва Кристин Ловджой, директор на поделението на IBM за сигурност и управление на риска. Той цитира примери, при които щатският закон за преносимост на здравната осигуровка HIPAA (Health Insurance Portability and Accountability Act) няма специфични изисквания по отношение на това дали дейността се прави вътре в компанията или е изнесена навън. Вместо това има конкретни части от закона (164.308 и 164.314), които просто изискват от компанията да получи гаранции от трети страни, обработващи нейните данни, че те се пазят надеждно, допълва тя.

Поставянето на ограничения върху това кога да се разгърне облакът, Ловджой съветва компаниите да спазват правилото на Джефри Мур за "контекст спрямо ядрото“. (Мур е бизнес стратег и управляващ партньори в TCG Advisors.)

Основните бизнес практики осигуряват конкурентно разграничаване. Контекстните практики предоставят бизнес дейности, които са типично вътрешни като HR услуги или ведомости за заплати. Както опорните, така и контекстните услуги могат да бъдат разделени на критични за мисията приложения и не толкова критични. „Ако некритично приложение спре, компанията може да оцелее“, обяснява Ловджой.

Правилото на Мур, цитирано от нея, е следното: „Ако бизнес практиката е контекстна и некритична, то тя винаги трябва да се ползва през облака. Ако е контекстна и критична за мисията на компанията, може да я направите „достъпна“ през облака. Ако обаче е основна и некритична, може би ще поискате да я скриете зад вашия firewall. Ако е критична и основна, то тази дейност задължително се пази зад стените на корпоративната firewall система“, обяснява Ловджой.

Добрата сигурност отнема време

Облачният подход не означава директно добро проектиране на мерките за сигурност, казва Джон Пескаторе, главен анализатор на темите за сигурността в Gartner. Неговото кариера изглежда като извадена от филм за Джеймс Бонд – Пескаторе е изпълнявал задачи и за ФБР, и за Агенцията за национална сигурност на САЩ, и за тайните служби.

Областта, която тревожи най-много Пескаторе, е това колко бързо облачно базираните услуги се обновяват и променят. Той цитира усърдието, с което Microsoft разработва инициативата SDLC (Software Development Life Cycle). Тя допуска, че критичният за мисията софтуер няма да претърпи съществена промяна в рамките на 3 до 5 години.

„В облака на всеки две седмици има добавена нова функция, приложението се променя непрекъснато. Но защитеният SDLC не е създаден да прави това. Връщаме се пак в дните на стария Netscape, когато натискът за нови възможности водеше до бърза промяна, а никой не придвижваше защитата със същите темпове“, казва Пескаторе.

Това, което влошава нещата е, че бизнес потребителят не може да каже, че иска да остане на старата версия. „В облака трябва да приемете следващата версия, като е възможно анулиране на всякакви защитни функции, които са били вградени в старото приложение или са придобити чрез интегриране на потребителския сайт.“

Лидери и преследвачи в облачно базираната сигурност

В близко бъдеще, когато сигурността ще бъде основна и критична за мисията задача за всеки - от големите предприятия и финансовите институции до правителствата – ИТ ще трябва да добави свой собствен слой за сигурност. Това означава, че облачните изчисления няма да бъдат по-евтини от приложение, работещо вътре в организацията, смята Пескаторе.

Ако големите предприятия не могат да разчитат на сигурността на облачните услуги, то по-малките компании всъщност постигат по-високо ниво на сигурност, казва още той. Една от причините е, че доставчикът на облачни услуги може да инвестира повече в защитата от всеки отделен малък бизнес, тъй като ще получи цена за няколко стотици потребители. Друг мотив е, че ако доставчикът на облачни услуги „закърпи“ пропуск в сигурността, то всички негови потребители биват защитени веднага, което не е така в случаите, когато всеки ИТ отдел сам трябва да си тегли обновяванията.

Да получиш контрол върху местоположението на данните

Друг дискусионен въпрос, който засяга и малките, и големите потребители, е местоположението на техните данни, което ще търпи сериозна промяна през следващите няколко години, казва Пескаторе. Това е особено важно за компании, които правят бизнес извън националните граници, тъй като в отделните страни се прилагат различни закони за управление и защита на данните. В Европейския съюз например се налагат строги ограничения върху това кои данни за нейните граждани могат да бъдат съхранявани и за какъв период от време. Много банкови регулатори също изискват финансовите данни за потребителите да не напускат границите на съответната държава. Редица регулации за съответствие с правилата за сигурност категорично забраняват смесване на данните с други, например на споделени сървъри или бази данни.

Днес никога не знаете къде в облака ще записани вашите данни. Този факт предизвиква многобройни въпроси за съответствието, свързано с неприкосновеността на данните, изолирането и сигурността. Тази неопределеност на местоположението започва да се променя. Google например позволява на потребителите да специфицират дали техните данни от Google Apps да бъдат запазени, което стана възможно благодарение на поглъщането на Postini, компания за сигурност на е-поща. Swiss Bank например иска нейните файлове за потребителските данни да бъдат съхранявани в Швейцария и Google вече може да го изпълни.

Освен това трябва да има възможност за физическо разделяне на вашите данни от тези на другите потребители в облачната многозадачна архитектура, обяснява Пескаторе. Той предвижда подобно разделяне да бъде постигнато от набиращата сили виртуализираща технология.

Вярвай на вътрешния си импулс за „повсеместен контрол“

Експертите по сигурността са наясно, че без значение колко строги са SLA споразуменията с доставчиците или колко „яка“ е тяхната технология за сигурност, намаляването на риска във всяка среда – физическа или облачна, остава в ръцете на компанията и нейното готовност да проверява какво работи и какво не.

Грийнбаум твърди, че всички ние притежаваме някакъв вътрешен импулс за „контролиране на всичко“, вярвайки единствено на себе си. Може би това е добър подход, казва той. Когато става дума за облачни услуги, специалистите дават винаги един и същи съвет, който може да бъде обобщен от двата популярни лозунга. Единият е руския израз от сталинско време „Вярвай, но проверявай“, цитиран чест и от бившия щатски президент Рейгън. Вторият е на известният бивш шеф на Intel Анди Гроув: „Ще оцелеят само параноиците.“

Страховете за сигурността в облака са „пресилени“, обясняват на IDC форум

IDC очаква похарчените за облачни услуги средства да се утроят до 2012 г.

В тези времена на растяща заплаха от кибератаки може и да прозвучи еретично, но е възможо все пак да се тревожим твърде много за сигурността на средата за споделени (облачни) изчисления, заявиха говорителите по време на форума на IDC Cloud Computing Forum, проведен в началото на февруари 2009 г.

Сигурността е цитирана като притеснение No. 1 от ИТ мениджърите, когато разглеждат възможността за разгръщане на облачни услуги, следвана от производителността, достъпността и възможността за интегриране на облачните услуги с вътрешните ИТ системи и операции, пише е изследване на IDC.

Запазването сигурността на данните е критично, разбира се, но компаниите трябва да бъдат реалисти относно нивото на сигурност, което постигат в собствения си бизнес, и това как може да се сравни доставчик на услуги в облака като Amazon Web Services или Salesforce.com, казват говорители на форума.

„Мисля, че много от възраженията спрямо сигурността в облака са твърде емоционални, това е рефлексен механизъм, казва Джозеф Тоболски, директор за облачни изчисления в Accenture. - Някои хора създават списък с изисквания за сигурността в облака, който не прилагат дори спрямо своя собствен център за данни.“

Такъв е и опитът на Дъг Менефи, CIO на Schumacher Group, която предоставя управляващи услуги за спешните кабинети в болниците. Компанията е по средата на проект за мигриране на повечето си приложения към хоствани, облачно базирани услуги.

„Моят ИТ отдел дойде при мен със списък от над 100 изисквания към сигурността и аз си помислих: „Чакай малко, повечето ги нямаме и в нашия център за данни“, обяснява Менефи на форума. Естествено Schumacher Group взема насериозно темата за сигурността, допълва той, но средна компания, в чийто ИТ екип само 3 човека се занимават с въпросите за сигурността, е по-добре да се обърне към голям доставчик на „облачни“ услуги. „Ще получим от Salesforce.com същото ниво на защита како на всяка голяма компания, използваща услугата. Така използвам икономията на мащаба“, казва още Дъг Менефи.

Анализаторът от IDC Франк Генс предлага Twitter дефиницията за облачни изчисления: „Споделени услуги, под виртуално управление, достъпни през интернет от хора и други услуги чрез интернет стандартите.“ Някои неща, макар и не всички, се предлагат на база самообслужване, допълва той. IDC преразгледа своите прогнози за ръста във всички ИТ области след началото на рецесията, като облачните услуги са единствените, за които прогнозите са подобрени. Генс очаква, че средствата, вложени в облачни изчисления почти ще се утроят до 2012 г., достигайки $42 млрд., или около 9% от ИТ пазара.

Ползите от изчисленията в облака, които най-често се изтъкват като мотив за миграция към такива услуги, са бързината и ниската цена за разгръщане на нови приложения, възможността за плащане само на използван капацитет, възможността за гъвкаво мащабиране на услугите в двете посоки, по-малкият ИТ екип, необходим на организацията потребител, както и достъпът до най-съвременните технологии.

Облачните изчисления вече преминаха етапа на ранните внедрители и навлизат в ерата на „ранна зрялост“, обяснява Генс. Това все още е прохождаща област и има все още въпроси, които притесняват потребителите, допълва той.

Освен споменатите досега, дискусионни остават взаимната съвместимост, в частност невъзможността да се „мести“ приложението лесно и безпроблемно между различните доставчици на облачни услуги. Друга тревога е да не изберем доставчик, който заради рецесията да „излезе“ от бизнеса.

„Възприехме агресивен подход за мониторинг на нашите доставчици на услуги и оборудване, тъй като всеки е застрашен днес, казва Менефи. - С малкото фирми, с които работим, сме поставили код в доверителна сметка, като най-малкото, което правим, е да имаме копие на всички наши данни при нас. Това може и да не е функционално вътре в приложението, но поне имаме имаме достъп до тези данни, ако ни потрябват.“ Според него най-голямата му тревога за 2009 г. е да не би SaaS и облачните компании да орежат сериозно инвестициите си за развой, което ще доведе до застой на техните технологии.

E-mail сигурността като услуга

Световната мода, наречена „софтуер като услуга“, не подмина и решенията за корпоративна защита на електронната поща. Нещо повече, вече има и редица успешни внедрявания на такива подходи. Неотдавна американските медии огласиха „историята на успеха“ на юридическа кантора, преминала към „SaaS“ модела именно по отношение на защита на електронната поща. Става дума за международната компания Ashurst LLP, която избрала уеб базирано средство за управление на електронната си поща, в резултат на което драстично е намалял делът на спама, а за технологичния отдел е освободено време, в което той да работи за подобряването на ефективността на фирмата. Според ИТ директора на Ashurst Паоло Пиконе изборът на SaaS решение е позволил на екипа му да се концентрира върху същинската си работа, да развива вътрешните системи и да ги управлява по-ефективно.

Естествено, подобен „изнесен“ преход надига неизменния въпрос – как да запазиш контрола върху най-критичните потоци, най-деликатните комуникации с потребителите. Според Пиконе, „една от причините да не е потърсено управляемо решение по-рано е липсата на грануларност в контрола на това, което можеш да позволиш да влезе в пощата и което не можеш да позволиш да влезе“.

Друга полза от решението се оказало това, че доставчикът може да съхранява и архивира email комуникацията за 10 години. Подобна възможност съответства на все по-масово навлизащите регулации за задължително съхранение на данни за комуникациите, а и може да послужи при евентуални одити. Не на последно място сред условията се е оказала възможността за криптиране на комуникацията между Ashurst и нейния доставчик.

У нас представителите на различни доставчици на решения за информационна сигурност посрещат с доста смесени чувства новата тенденция – SaaS. Мненията им са нерядко доста противоречиви.

„Донякъде моделът SaaS би могъл да се възприеме от потребителите поради несъмнените предимства, които предлага: няма нужда от закупуване на допълнителен хардуер, ангажиране на ИТ специалисти в компанията, плащане единствено според нуждите на потребителите и др., - казва Анна Иванова. - Но в случая с електронната поща може би по-добре да се преценят и неговите недостатъци. Твърде висок е рискът за сигурността в случай на обмен на чувствителна информация и за повечето компании е трудно да преотстъпят управлението на електронната поща на трети лица. Освен това многократно се удължава процесът за реагиране при възникнал проблем при ползването на чужди администратори, които обслужват множество фирми. В някои компании електронната поща е подложена на динамични бизнес процеси, при които се изисква своевременна намеса с цел промяна на правилата на управление. В такива случай моделът SaaS не е приложим“.

Според Светлин Йорданов, управител на дистрибутора Еском, представител на няколко фирми за сигурност като Trend Micro, IronPort, Apani и др., защитата от спам и вируси чрез т.нар. облачни услуги е една от горещите тенденции днес. „Очакванията на аналитиците са този тип на работа да стане масов в близките месеци и години, тъй като е по-евтин, в редица случаи е по-ефективен и по-гъвкав, не изисква начални вложения, може да го спреш или пренасочиш към друг доставчик на такава услуга по-бързо отколкото да си сменяш инфраструктурата, обяснява Йорданов. - При масовото навлизане на преносимите компютри потребителят на лаптоп е максимално защитен и извън организацията, където и да се намира.“

Специално за този вид „облачна услуга” заинтересованите могат да се обърнат към Еском или партньорите му, има много „топли”, не скъпи, но много приятни решения ... и както винаги достъпни за безплатен тест, допълва шефът на Еском.

В Компютел, която предлага решенията на Panda Security, отдавна предлагат възможност за „изнесено“ решение и твърдо отстояват неговите предимства. „Сигурността като услуга е вариантът, който ще облекчи значително задачите на ИТ администраторите посредством възможността за ефективно отдалечено управление и ще разтовари организацията-клиент от отговорността и необходимостта да инвестира в хардуерни и софтуерни решения за сигурност. Изместването на защитата от локалната клиентска мрежа към услугата „in the cloud” има предимство не само в това, че намалява инвестициите, но също така увеличава степента на ефективност на самата защита. Локалното антивирусно решение от една страна не съдържа сигнатурни файлове за всички активни вируси, циркулиращи в момента в уеб-пространството, и от друга страна по различни причини то може да бъде неактивно или необновено. Това създава предпоставки да бъдем „успешно” атакувани от различни Интернет заплахи“, казва Янко Спасов.

Защитните стени

са необходимият контролен пропусквателен пункт, който налага прилагането на правилата за сигурност на границата между 2 мрежи, но променящите се бизнес условия и съответните заплахи засилват натискат върху пазара на firewall решения, пише в анализа на Gartner Magic Quadrant за корпоративните мрежови защитни стени от ноември 2008 г. „Все повече предприятия преправят своите демилитаризирани зони, за да реагират на реалния начин, по който служителите и потребителите се свързват с корпоративните ресурси, допълват от Gartner. - Нарастващите изисквания към мрежовата защита срещу комплексни заплахи наложи внедряването на системи за блокиране на прониквания и накара производителите да разработят продукти, които комбинират традиционната защита на протокол и порт с технологии за блокиране на прониквания, базирани на дълбока проверка на пакетите.“

Според аналитиците на Gartner виртуализацията е създала възможности за развитието на нови firewall платформи, които могат да заменят няколко отделни физически устройства с едно-единствен firewall комутатор, с блейд сървър, в който работят няколко виртуални защитни стени, или с виртуални firewall системи, които се стартират заедно с виртуализираните услуги. „Засега иновациите във виртуализационен аспект са ограничени само до първо ниво на виртуализационна поддръжка, предупреждават от Gartner. - Едва няколко продукта са сертифицирани от VMware – моделите на Astaro, Stonesoft и Check Point Software Technologies.“

“Защитните стени еволюираха от устройства за контрол на достъпа между мрежите в усъвършенствани мултифункционални шлюзове, предоставящи защита на информацията от периметъра на мрежата до центровете за данни, а сега вече и в облака. Продължаващите иновации, които правим в продуктовата фамилия VPN-1 ни позволяват да предложим решения както за физическите мрежи, така и за виртуалните приложения”, каза Жулиет Султан, директор глобален маркетинг в Check Point. Според нея позиционирането на компанията в лидерския сегмент на магическия квадрант на Gartner за корпоративни firewall решения е показателно за значителната добавена стойност, което защитните решения на компанията осигуряват на потребителите.

В магическия квадрант на Gartner от края на 2008 г. в сегмента на лидерите са разположени компаниите Check Point и Juniper, като близо до тях, но все още в квадрата за „преследвачите“ са Cisco и Fortinet, заедно с доставчици като Secure Computing и Stonesoft. В сегмента на визионерите са малки компании като Astaro и phion, а сред нишовите играчи са SonicWALL, WatchGuard и NetASQ.


Оценка на рисковете при облачните услуги и услугите по заявка

 





© Ай Си Ти Медиа ЕООД 1997-2019 съгласно Общи условия за ползване

X