Russian Information Systems Security Professional Association (RISSPA) и компании LETA IT, Cisco и Trend Micro провели семинар, посвященный безопасности облачных вычислений. RISSPA — некоммерческая ассоциация, созданная в июне 2006 года под эгидой консорциума (ISC)2. Свою задачу она видит в формировании сообщества профессионалов, предоставлении возможностей для обмена идеями и опытом, повышении уровня знаний специалистов. Одна из инициатив — поддержка деятельности российского отделения CSA (cloudsecurityalliance.org), созданного немногим более месяца назад. Организация CSA, куда входят более 90 компаний, имеет свыше 30 филиалов в разных странах мира.
По словам вице-президента RISSPA Евгения Климова, в документах CSA описываются основные угрозы безопасности в сфере облачных вычислений. Недавно введена сертификация специалистов Cloud Security Knowledge (CCSK), а главными задачами CSA в России являются повышение доверия к облачным вычислениям, оценка соответствия российских и зарубежных поставщиков услуг облачных вычислений требованиям безопасности, адаптация руководств и методических рекомендаций, разработка и реализация учебных программ. Еще одно приоритетное направление — оказание помощи провайдеру в обеспечении соответствия требованиям регуляторов, которые, несомненно, появятся с развитием облачных вычислений и сервисов. Самые ближайшие цели — локализация важнейших документов CSA и разработка регламентов по аудиту провайдеров.
Рассказывая об основных рисках облачных вычислений, Александр Бондаренко, руководитель департамента консалтинга компании LETA IT, акцентировал внимание на тщательном подходе к выбору провайдера. В числе рисков облачных вычислений — привязка к конкретному провайдеру, незапланированные простои, потеря связи с провайдером, перехват информации, утрата соответствия требованиям законодательных актов и регуляторов, потеря контроля над данными или инфраструктурой, противоправная деятельность инсайдеров. С этими проблемами предлагается бороться с помощью открытых стандартов, SLA, резервирования, шифрования, обучения пользователей, аудита провайдеров. К сожалению, многие традиционные средства ИБ для облака не подходят или работают плохо, однако в ряде случаев обеспечить безопасность в облаке удается проще и эффективнее, чем в корпоративной среде, при этом затраты распределяются по всем клиентам, что ведет к их снижению.
Инженер-консультант компании Cisco Павел Антонов считает безопасность, производительность и доступность основными проблемами облаков — таково мнение и аналитиков IDC. Что касается обеспечения ИБ, то существуют как технические, так и организационные и юридические проблемы. Заказчику нужно оценить риски, сформировать требования к ИБ, предусмотреть процедуры контроля провайдера и юридические аспекты, согласовать с провайдером процедуры взаимодействия по вопросам безопасности.
Денис Безкоровайных, технический консультант Trend Micro в России и СНГ, представил некоторые разработки этой компании для обеспечения безопасности виртуализированных и облачных сред. В частности, он рекомендует использовать систему шифрования данных и управления ключами. В марте были выпущены новое решение Trend Micro SecureCloud 1.1, обеспечивающее защиту данных путем шифрования в облаке, а также система Trend Micro Deep Security 7.5 Update 1, повышающая производительность виртуального устройства Deep Security. Сейчас продукцию Trend Micro SecureCloud применяют пользователи облачных инфраструктур Amazon EC2, Eucalyptus или VMware vCloud. В будущем Trend Micro планирует обеспечить поддержку и других вариантов облачных вычислений.