Как следовало из докладов, прозвучавших 2 марта в Москве на конференции IDC IT Security Roadshow 2011, основной причиной отказа от использования облачных технологий являются сомнения в их безопасности. Об этом заявили более 58% опрошенных аналитиками в 2010 году пользователей. В то же время, по данным IDC, на сегодня уже 45% корпоративных ИТ-инфраструктур виртуализовано, то есть находится на первой стадии движения к облакам. При этом 90% виртуализованных сред имеют механизмы обеспечения мобильности виртуальных машин, 20% уже установили базовые средства автоматизации управления, а 10% имеют системы самообеспечения. Таким образом, в глобальном масштабе доля полностью автоматизированных виртуализованных ИТ-инфраструктур, которые в IDC и принято называть облаками, достигла 4,5%, что уже составляет заметную величину.
Тимур Фарукшин, директор по консалтингу российского отделения IDC, отметил, что основной проблемой безопасности современных информационных технологий является их сложность. С развитием облачных технологий эта сложность и количество угроз будут только возрастать, а ИТ-бюджеты останутся неизменными. Разрыв между сложностью решений и ресурсами, направляемыми на их сопровождение, будет только увеличиваться. Облачные системы состоят из большого количества компонентов, каждый из которых имеет свои уязвимости. А поскольку система защищена настолько, насколько защищено ее самое слабое звено, то может оказаться, что общая защищенность облака будет минимальной. Для обеспечения безопасности облака в целом недостаточно защиты отдельных его компонентов — необходимо скоординированное функционирование различных механизмов безопасности.
В большой системе даже типовая задача может стать источником серьезных проблем. Возьмем, к примеру, управление привилегированными учетными записями. В облаке неадекватное управление привилегиями пользователей может поставить под угрозу защищенность информационной системы. Для решения подобной проблемы компания Cyber-Ark предлагает специальный инструментарий, который позволяет навести порядок с привилегиями в распространенных операционных системах и приложениях.
Не менее ответственной задачей в облаке становится управление потоками данных, поскольку облачная инфраструктура содержит много составляющих, мобильных виртуальных машин и самоуправляемых компонентов, разобраться в конфигурации которых непросто. Неправильная конфигурация сетевого оборудования представляет опасность как для приложений, так и для данных в облаке. Для мониторинга облачной инфраструктуры компания Lancope предлагает решение по анализу сетевых потоков, позволяющее выявить не только проблемы сетевой инфраструктуры, но и уязвимости с точки зрения безопасности. Аналогичные решения для управления событиями есть у LANDesk, HP, Cisco и нескольких других компаний; они обрабатывают сообщения о происходящих событиях, систематизируют их и могут даже адекватно отреагировать в соответствии с заранее определенными правилами. Подобные инструменты как раз и призваны уменьшить сложность контролируемой системы и выделить важные события.
Компания Check Point рассматривает задачу обеспечения безопасности информационных систем как бизнес-процесс, построенный на основе организационных процедур с использованием инструментов защиты и привлечением сотрудников предприятия. В такой модели важно не только установить и настроить технические решения, но также выработать организационные процедуры и научить пользователей эффективно пользоваться защитными механизмами. Предлагаемый Check Point подход к организации защиты информационной системы является более общим, чем просто управление событиями, однако для его реализации уже недостаточно технических средств — нужны организационные процедуры. В России облачные технологии пока не получили должного распространения, однако уже сейчас разработчикам средств защиты стоит задуматься о выработке общих подходов по защите облачных инфраструктур.