Пожалуй, первыми пользователями облачных технологий были хакеры. Правда, их "облака" носят иное название — зомби-сети. Владельцы таких сетей используют свои вредоносные детища сами и предоставляют их в аренду. И раз уж нападающие "взяли на вооружение" облака, это еще один убедительный аргумент в пользу того, что те, кто подвергаются нападениям, должны применять адекватные технологии. Так или иначе практически все разработчики средств защиты не только имеют собственные облачные инфраструктуры, но и предлагают их в аренду своим пользователям.
Андрей Никишин, руководитель лаборатории облачных и контентных технологий «Лаборатории Касперского», так описывает работу такой системы: «Наши облачные сервисы – это системы защиты, в которых инструменты детектирования расположены в облаке. По каждому объекту мы получаем набор информации, однозначно идентифицирующий проверяемый объект, но не позволяющий заглянуть внутрь него. На основе сведений, хранящихся в облачных базах данных, мы выносим вердикт проверяемому объекту – опасен он или нет. Таким объектом может быть любой файл, сайт или письмо".
На основе подобной системы облачного детектирования вредоносных объектов можно строить защиту от спама, систему URL-фильтрации или антивирус.
Фильтруй свой спам
Раньше других завоевали популярность арендуемые сервисы фильтрации спама. Первый российский фильтр, spamtest.ru, был разработан компанией «Ашманов и партнеры". Этот бесплатный проект предлагал пользователям перенаправить свою почту на сервер проекта и получать ее уже с пометками о наличии спама; эти пометки позволяли отфильтровать ненужные сообщения. Сейчас проект, купленный «Лабораторией Касперского", существует в виде коммерческого сервиса в составе Kaspersky Hosted Email Security.
Модель, в соответствии с которой входящий поток электронной почты с помощью специальной записи в DNS перенаправляется на сервер провайдера сервиса, стала популярной.
"Один из ключевых сервисных продуктов нашего портфеля, Hosted E-mail Security, предполагает очистку почты на наших ЦОД, — отметил Николай Романов, ведущий технический консультант Trend Micro. — Для заказчика это решение может быть интересно тем, что оно не требует использования каких-либо локальных почтовых платформ".
Аналогичные сервисы предоставляют в России и западные компании (GFI, Zscaler, Symantec, Microsoft), и российские ("Лаборатория Касперского", "Яндекс" совместно с "ДиалогНаука").
Максим Скида, менеджер по продуктам безопасности представительства Microsoft, поясняет: "Наша компания предлагает облачный сервис по очистке почтового трафика от вирусов и спама. Сервис, называемый Forefront Online Protection for Exchange, доступен в России уже несколько лет. Заказчик получает полностью очищенный трафик и может управлять настройками сервиса, в том числе карантином для инфицированных или подозрительных писем".
Услуги по очистке почтового трафика в России пользуются наибольшей популярностью. Вот как комментирует этот факт Олег Шабуров, старший системный инженер Symantec: "Облачные сервисы интересны различным категориям клиентов, но наибольшим спросом они обычно пользуются у небольших компаний, где нет выделенных ИТ-служб, поскольку благодаря этим сервисам отпадает необходимость обслуживания сложных шлюзовых систем. В большинстве случаев 90% почтового трафика — это спам. При использовании облачных сервисов в компанию приходит уже очищенный трафик, что не только обеспечивает безопасность, но и ускоряет работу электронной почты, снижает расходы на Интернет".
Веб-репутация
Еще один популярный арендуемый сервис защиты — это URL-фильтрация, которая блокирует доступ к определенным веб-ресурсам. Подключается такой сервис с помощью специального промежуточного сервера, через который перенаправляются все HTTP-запросы. Когда пользователь пытается обратиться к адресу, который представляется неблагонадежным, его запрос перенаправляется на специальную страничку предупреждения. Среди провайдеров подобных сервисов можно назвать Zscaler, ContentKeeper, Trend Micro и "Лабораторию Касперского".
Сервис фильтрации можно предоставлять и по другой схеме, которая аналогична спам-фильтрам. Для этого используется специальный DNS-сервер, фильтрующий доменные имена в Интернете. Если доменное имя находится в черном списке, то оно просто не преобразуется в реальный IP-адрес. Чтобы подключиться, достаточно установить сервер разрешения доменных имен на указанный провайдером данного сервиса. В России подобный сервис предоставляет компания Entensys.
Веб-фильтрация традиционно представляется мерой контроля за поведением сотрудников в Интернете, ограничивающей доступ на развлекательные ресурсы, и позволяет тем самым экономить корпоративный трафик. На самом же деле более важна блокировка загрузки вредоносных программ: до 90% заражений сейчас происходит через Web, когда пользователи даже не знают, с какого адреса грузится вредонос: специальные модули перенаправляют пользователя с благонадежных сайтов на хранилища вредоносных программ. Веб-фильтр, фиксирующий репутацию каждого URL, контролирует все запросы браузера и попросту блокирует запросы к неблагонадежным сервисам. И подобная деятельность фильтра оказывается для общей защиты ключевой.
Облачный антивирус
Для доступа к так называемому облачному антивирусу клиент обычно должен установить на свой компьютер специальную программу-агент, однако контролирует действие такого агента не пользователь, а администратор системы. Подобные сервисы сегодня в основном предоставляют сами провайдеры.
"Облачные сервисы могут предоставлять мобильные операторы, интернет-провайдеры или владельцы центров обработки данных, — пояснил Шабуров. — Такая схема может быть очень удобна для конечных пользователей и выгодна поставщикам, и мы активно развиваем это направление в России".
Кроме Symantec, такого рода сервисы в России на платформе AV-Desk продвигает компания Dr. Web.
Trend Micro предоставляет доступ к облачному антивирусу по несколько иной схеме, когда защитой управляет ИТ-администратор предприятия, но через сервер вендора.
Романов так описывает данный сервис: "Worry-Free Business Security Services обеспечивает централизованную защиту от вредоносных программ на рабочих станциях, серверах и ноутбуках под управлением Windows. Ключевая особенность этого решения как сервиса — возможность организации централизованной защиты без применения локального сервера управления. Все управление осуществляется через веб-консоль, работающую на наших ЦОД».
Аналогичные услуги предоставляет своим корпоративным клиентам компания Panda Security.
Впрочем, разработчики предлагают и безагентный способ защиты от вредоносных программ, поступающих из Интернет. Этот способ очень похож на веб-фильтрацию, однако защищает в первую очередь именно от вредоносных программ, поскольку построен на определении репутации не адресов, а конкретных файлов. В этом случае весь поток веб-трафика вначале направляется на сервер оператора сервиса, там очищается от вирусов, а затем уже передается пользователям. Такие услуги по фильтрации трафика предоставляют, в частности, "Лаборатория Касперского» и компания Zscaler.
Правда, защита без установки агента не уберегает от USB-троянцев, которые устанавливаются на компьютеры с помощью процедуры автозапуска; тем не менее она в состоянии заблокировать коммуникации троянца с контрольным сервером, а если троянец не будет обновляться, то через какое-то время его можно будет удалить с помощью лечащей утилиты. Аналогично и традиционные антивирусные продукты не гарантируют отсутствие проникновений, но требуют регулярного запуска проверки файловой системы на наличие новых вредоносных программ.
Перспективные сервисы
Итак, основные типы облачных сервисов защиты корпоративной сети таковы: защита от спама, веб-фильтрация и защита от проникновения вредоносных программ. Однако это далеко не полный список сервисов, предоставляемых в том числе и на российском рынке. В частности, целый сегмент рынка связан с предоставлением сервисов PKI: заверение SSL-сертификатов, проставление различных меток и электронной подписи на документах и иные услуги, актуальность которых диктуется законом "Об ЭЦП».
Развиваются и набирают популярность сервисы по резервному копированию пользовательских данных в интернет-хранилища. Подобные сервисы интегрируют в свои комплексные антивирусные продукты Symantec, G Data и ряд других производителей.
В России распространение облачных сервисов в области информационной безопасности сдерживается из-за недоверия к поставщикам услуг, нежелания клиентов, чтобы их трафик проходил через сети сторонних компаний.
"Между тем, принимая во внимание архитектуру Глобальной сети, почтовый и веб-трафик всегда будут перемещаться через системы третьих сторон, и никогда нельзя быть уверенным, каким именно маршрутом он пойдет", — отвечает на это Шабуров. — Поэтому в действительности использование облачных сервисов в данном случае привносит минимум дополнительных рисков, особенно если пользоваться услугами доверенных вендоров».