Кто отвечает за безопасность инфраструктуры в публичном облаке? Какие инструменты для контроля работы сервисного провайдера есть у клиента? Как понять, можно ли доверять поставщику облачных услуг? Эти и другие вопросы мы обсудили с ведущими экспертами облачного рынка, представителями отечественных сервис-провайдеров.
- Введение
- Безопасность в публичном облаке: ожидания и реальность
- Безопасное использование публичного облака
- Как научиться доверять облачному провайдеру
- Что впереди?
- Выводы
Введение
Очередной выпуск онлайн-конференции AM Live был посвящён безопасности инфраструктуры заказчика в облаке. Перенос вычислительных мощностей на ресурсы облачных провайдеров стал тенденцией последних лет, а пандемия COVID-19 лишь ускорила этот процесс. Сейчас клиентами публичных облачных сервисов являются государственные и коммерческие организации самых разных размеров. Однако миграция в облако породила множество вопросов связанных с безопасностью — начиная от разграничения ответственности и заканчивая опасениями клиентов по поводу сохранности их данных.
В том, как заказчикам и поставщикам облачных услуг начать разговаривать на одном языке, мы попытались разобраться вместе с представителями ведущих отечественных сервис-провайдеров.
В студии Anti-Malware.ru собрались:
- Василий Степаненко, директор центра киберзащиты компании DataLine.
- Иван Гузев, руководитель направления Cloud Security компании «МегаФон».
- Константин Феоктистов, менеджер продуктов компании SberCloud.
- Михаил Фёдоров, менеджер по развитию бизнеса информационной безопасности компании Yandex.Cloud.
Модерировал дискуссию Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности».
Безопасность в публичном облаке: ожидания и реальность
Для «разминки» модератор дискуссии предложил нашим спикерам небольшой блиц-опрос. Каждый из приглашённых экспертов ответил на один вопрос о базовых понятиях облачной безопасности.
— Увидели ли вы всплеск интереса к облачным провайдерам в 2020 году?
Василий Степаненко: Мы не заметили каких-то особых изменений в динамике роста. Ряд компаний, которые сложно переживали кризис вызванный пандемией, уменьшили потребление облачных ресурсов. В то же время другие заказчики, которые ранее не были ориентированы на облака, пришли и заняли освободившееся место.
— Какие вопросы о безопасности заказчики чаще всего задают, впервые обращаясь к облачному провайдеру?
Михаил Фёдоров: Это зависит от зрелости заказчика, однако наиболее часто мы слышим вопросы относительно общей концепции безопасности в облаке, а также информации об имеющихся сертификатах, используемых процессах и стандартах. Для нас наиболее важным и правильным со стороны клиента видится вопрос о разграничении ответственности между провайдером и заказчиком.
— Чем отличается профиль риска компании с собственным ЦОД и компании эксплуатирующей информационную систему в облаке?
Константин Феоктистов: Клиент, который эксплуатирует систему самостоятельно, сам отвечает за вопросы безопасности и имеет возможность прямо или косвенно «дотянуться» до любого объекта ИБ-инфраструктуры. При переходе в облако зона ответственности начинает разделяться. Заказчик может управлять безопасностью только той части инфраструктуры, которая доступна ему в соответствии с моделью предоставления услуг. Риски также делятся между поставщиком услуг и клиентом.
— Насколько соотносится с российскими реалиями схема безопасности в облаке, предложенная Gartner?
Иван Гузев: На мой взгляд, на этой схеме не совсем точно отражены процессы облачного провайдера, поскольку его зона ответственности зависит от типа сервиса. Есть вещи, которые провайдер никогда не передаст в зону ответственности клиента, есть риски, которые всегда останутся на стороне заказчика, и есть сферы ответственности, которые разделяются в зависимости от модели работы — IaaS или SaaS.
Рисунок 1. Схема безопасности в облаке по Gartner
Эксперты отметили влияние уровня зрелости заказчика на эффективность использования облачных сервисов. Клиент, который уже обладает опытом работы с провайдером таких услуг, лучше подготовлен для взаимодействия и понимает правила распределения ответственности. Обычно у таких заказчиков разработана политика взаимодействия с внешними облачными сервисами, существует служба контроля с опросниками и понятными метриками. В самом лучшем случае клиент чётко понимает, с чем он работает и какие механизмы защиты может применять.
Существует и противоположная ситуация, когда заказчик приходит с ожиданием, что на уровне IaaS он получит полный спектр услуг по безопасности, и в итоге сталкивается с проблемами. При этом эксперты обратили внимание, что если заказчик при переходе в облако попадает в более организованную среду, чем та, которая у него существовала ранее, то уровень его безопасности вырастет. Частным случаем такого подхода является построение информационной системы заново, с использованием более современных и безопасных инструментов, предоставляемых провайдером, вместо прямого её переноса в облако.
Зрители прямого эфира онлайн-конференции также высказали свои мнения относительно планов использования IaaS-сервисов публичных облачных провайдеров. По результатам опроса 33 % респондентов используют такие службы, в том числе и для «боевых» систем. Развернули в облаке только тестовые среды 10 % опрошенных, а 25 % не используют облачную инфраструктуру, но намерены это делать в будущем. Не используют и не планируют использовать IaaS-сервисы 32 % наших зрителей.
Рисунок 2. Каковы ваши планы по использованию IaaS-сервисов публичных облачных провайдеров?
В процессе дискуссии «из зала» поступила реплика потенциального клиента, который упрекнул облачных провайдеров в том, что они по-прежнему мыслят категориями ресурсов (диски, ядра, каналы), а не категориями сервисов, необходимых клиенту. По мнению зрителя прямого эфира, заказчику не интересно разбираться с особенностями технической реализации той или иной облачной службы, но важно, чтобы нужные ему функции предоставлялись — быстро, бесперебойно и с должным уровнем безопасности.
Наши спикеры ответили, что такие заказчики — это один из небольших сегментов облачных клиентов, чаще всего — малый или средний бизнес. Если же речь идёт о крупных клиентах, то в большинстве случаев запрос звучит как «дайте мне ресурсы, а я на их базе буду строить то, что мне необходимо».
Рассуждая о построении защищённых облачных сегментов и влиянии регуляторов на этот рынок, эксперты отметили, что любое регламентирование со стороны государства ведёт к удорожанию услуги. При этом часть заказчиков при переходе в облако неправильно или неточно трактуют требования регуляторов, выставляя сервис-провайдеру избыточные запросы. В этом случае поставщик облачных услуг может выступать также и в роли консультанта, посредника в диалоге клиента и регулятора.
Мы узнали у зрителей прямого эфира, являются ли для них вопросы безопасности ограничивающим фактором при переходе в облако. Большинство опрошенных — 71 % — ответили утвердительно. Не видят в этом препятствий 18 %, а ещё 11 % не определились со своей позицией по этому вопросу.
Рисунок 3. Являются ли для вас вопросы безопасности ограничивающим фактором для перехода в публичное облако?
Безопасное использование публичного облака
Переходя к вопросам безопасной эксплуатации облачного сервиса, спикеры AM Live отметили, что для специалиста по информационной безопасности важно принять тот факт, что у него не будет прямого доступа ко многим привычным ему механизмам контроля безопасности, поскольку они находятся в зоне ответственности провайдера. Подразделению ИБ заказчика необходимо использовать средства аудита и контроля соответствия требованиям нормативных документов, а также стандартов, принятых между клиентом и провайдером.
Говоря о навыках, необходимых ИБ-специалисту для эффективного контроля безопасности в публичном облаке, эксперты обратили внимание на важность умения выстраивать процессную работу. По сути, для организации работы в облаке «безопасник» должен обладать организационными навыками, быть хорошим менеджером, а также уметь пользоваться доступными ему метриками и средствами контроля.
Зрители, наблюдавшие за прямым эфиром, в большинстве своём готовы разделить ответственность с провайдером и использовать сервисы PaaS и SaaS. За такой вариант высказались 53 % опрошенных в ходе онлайн-конференции. Ещё 27 % не готовы работать на таких условиях, а 20 % не знают ответа на этот вопрос.
Рисунок 4. Готовы ли вы пользоваться сервисами PaaS и SaaS, отдав тем самым часть ответственности за безопасность провайдеру?
Гости студии рассказали о поэтапном росте зрелости заказчика в процессе использования облачных сервисов. По мере того как компания получает опыт работы с облачной инфраструктурой, её вопросы к провайдеру усложняются и становятся более осмысленными. Клиент начинает интересоваться сетевой безопасностью, защитой веб-ресурсов, задаёт вопросы относительно тех инструментов мониторинга, которые может предложить провайдер. Для заказчика становится важным то, как у поставщика облачных услуг организован контроль событий безопасности, как он на них реагирует, а также как информирует клиента об инцидентах.
Мы затронули тему рекомендуемой последовательности действий для безопасного переноса инфраструктуры в облако. На какие механизмы безопасности следует обратить внимание, какие действия совершить? Эксперты предложили следующий план:
- Обеспечить непрерывность, продумать модель отката к изначальному состоянию или план перехода к другому провайдеру.
- Определить цели перехода в облако, установить нужные метрики и понять, насколько им соответствует выбранный провайдер.
- С точки зрения конкретных инструментов безопасности следует использовать комплексный подход, подбирая те из них, которые соответствуют поставленным задачам.
Ведущий онлайн-конференции заметил, что в процессе адаптации облачных услуг наблюдается процесс, который называется инверсией безопасности: в центре внимания ИБ-специалистов оказываются пользователи, а не центры обработки данных, как раньше.
Рисунок 5. Инверсия безопасности
Как пояснили эксперты, такое положение дел представляется разумным, поскольку все информационные системы работают для человека, а человек в свою очередь является «слабым звеном» в контуре безопасности. Инверсия приводит к тому, что подход к обеспечению безопасности становится более многогранным, учитывающим все аспекты деятельности заказчика.
Как научиться доверять облачному провайдеру
Одним из ключевых факторов успешного взаимодействия между клиентом и поставщиком облачных услуг является доверие заказчика. Мы попросили наших экспертов пояснить, какие факторы в этой сфере являются определяющими, а какими, на их взгляд, можно пренебречь.
Как отметили гости студии, вопрос недоверия к провайдеру — это вопрос недоверия к его сотрудникам, а единственный способ убедить заказчика в безопасности его инфраструктуры — это показать, как работает безопасность в публичном облачном сервисе. В процессе аудита клиент может убедиться, что провайдер внедрил и использует все необходимые процедуры безопасности, в том числе и в работе с подрядчиками, а также контролирует работу администраторов. При этом наличие различных сертификатов и аттестаций, по мнению наших экспертов, не является фактором увеличивающим доверие к провайдеру. С другой стороны, сертификация — это не только маркетинговый инструмент, но и способ наведения порядка в работе поставщика облачных услуг.
Возвращаясь к вопросу доверия к сотрудникам сервис-провайдера, наши спикеры напомнили, что от инсайдера внутри компании не застрахован никто. Эффективным способом противодействия «сливу» конфиденциальной информации является процесс регистрации, хранения и анализа событий в информационной системе поставщика облачных услуг. Кроме того, учитывая необходимую квалификацию специалиста способного украсть данные клиента на стороне провайдера, риск такого инцидента соизмерим с потерей ценной информации на стороне заказчика.
Со своей стороны зрители онлайн-конференции высказали мнения относительно способов, которыми можно оценивать уровень безопасности облачного провайдера. Как выяснилось, большинство опрошенных (24 %) доверяют только аттестации по требованиям регулятора сегмента. Почти столько же — 22 % — ставят на собственный аудит и анализ внутренней документации провайдера. Ещё 18 % доверяют результатам внешнего аудита, а 8 % — заполнению опросников, таких как CSA CAIQ. Прислушиваются к советам коллег по рынку и обращают внимание на сертификаты в области ИБ по 14 % респондентов.
Рисунок 6. Какой оценке уровня безопасности облачного провайдера вы доверяете больше всего?
Что впереди?
В финальной части беседы мы попросили наших спикеров поделиться своим видением тех перспектив, которые ждут рынок публичных облачных сервисов.
Как заметили эксперты, перенос вычислительных ресурсов под контроль провайдера, у которого риски стандартизированы, а ресурсы более надёжны, — это правильный подход. Поэтому компании продолжат перенос своей инфраструктуры в облако и совместно с поставщиками услуг будут искать механизмы контроля и стандартизации такого взаимодействия. Одним из вариантов, который наши спикеры считают перспективным, является привлечение страховых компаний для хеджирования рисков заказчика. Страховщики будут заинтересованы в качественной и всесторонней оценке системы безопасности облачного провайдера и смогут выступать независимым аудитором и гарантом в отношениях двух сторон.
В качестве итога беседы мы спросили наших зрителей, изменилось ли их мнение относительно безопасности публичных облаков после эфира. Почти половина опрошенных (48 %) сообщила нам, что безопасность и облака по-прежнему несовместимы. Ещё 28 % ответили, что провайдеры делают всё возможное в рамках законодательства, а 14 % сказали, что их устраивает текущее положение дел с безопасностью публичных облаков. Считают, что провайдеры прилагают недостаточно усилий для обеспечения безопасности, 6 % респондентов, а ещё 4 % оценили уровень облачной безопасности как недостаточный для их компании.
Рисунок 7. Каково ваше мнение относительно безопасности публичных облаков после эфира?
Выводы
Безопасность публичных облачных систем вызывает опасения у потенциальных заказчиков. И несмотря на то что сервис-провайдеры вполне обоснованно доказывают беспочвенность подобных страхов, им необходимо учиться находить правильные аргументы, беседуя с клиентами на эту тему. Как показала онлайн-конференция AM Live, диалог возможен, понимание достижимо, а перспективы развития этого сегмента рынка более чем реальны.
Мы продолжаем цикл прямых эфиров, посвящённых наиболее актуальным вопросам информационной безопасности применительно к отечественным реалиям. Для того чтобы не пропускать новые выпуски онлайн-конференции AM Live и иметь возможность задать вопросы экспертам, подпишитесь на YouTube-канал Anti-Malware.ru. До встречи в эфире!
