Так что же такое облачный сервис?
Как устроен облачный сервис глазами
непосвященного человека.
Какие средства защиты информации можно
использовать в облаках.
А нам нужен облачный сервис?
Очень много было написано про облачные сервисы, какие они замечательные, ультрасовременные и без них каждый маломальский продвинутый деловой человек эффективно работать не сможет. И каждый раз читая очередную статью об облачных сервисах ловлю себя на мысли, что слишком много науки и непонятных иностранных терминов. Например, когда пишут про облачный сервис SaaS подразумевают, что Вы давно с этим знакомы и тут и обсуждать уже нечего. Представьте себе локальную сеть своего предприятия. Это персональные компьютеры, сервера находящиеся в специальных помещениях и называемые серверными комнатами. Сетевое оборудование, которое при помощи проводов кабельного хозяйства позволяет физически подключать вместе компьютеры и серверы. Это и образует локальную сеть предприятия или ее часто называют Структурированной Кабельной Системой. Добавьте сюда местную телефонную станцию, специально выделенные каналы связи, предоставляемые специализированными организациями, которые позволяют соединять ваши локальные сети удаленных филиалов с вашей локальной сетью центрального офиса, то мы получим уже корпоративную вычислительную сеть. Она еще называется Интрасеть, потому что строится по технологиям построения глобальной сети Интернет и использует аналогичное оборудование, но только отделена от Интернет, а выход в Интернет защищен. Только в построении сети Интернет оборудование более сложное и высокопроизводительное. Теперь опять новое понятие Облачный сервис. Да это принципиально такая же локальная сеть, только высокопроизводительные сервера, большие массивы жестких дисков-носителей информации и сетевое оборудование установлено в специальных вентилируемых шкафах-стойках и все это размещено в большом специальном помещении называемым Центром Обработки Данных. Эти помещения имеют системы охраны и защиты от неправомерного доступа в помещение и в стойки-шкафы с расположенным оборудованием, мощные системы кондиционирования с поддержкой нужной температуры и влажности, системой пожаротушения, дизель-генераторы бесперебойного электропитания, дублирование каналов связи и энергопитания. Для оценки катастрофоустойчивости и надежности работы используется американский стандарт. Поэтому все приличные ЦОД-ы имеют высокие категории надежности и имеют соответствующие лицензии и сертификаты, выданные специальными надзорными государственными органами. Подключиться к Центру Обработки Данных можно несколькими способами. При помощи организации так называемого выделенного канала, который организуется и настраивается на специальном сетевом оборудовании. Таким образом сервера Центра Обработки Данных станут продолжением вашей локальной сети. Или с использованием Интернет технологий, например, так как вы обращаетесь к поисковому сервису Яндекс при помощи Интернет или еще называют Веб браузера. Специальной программы. В этом случае сотруднику и не понадобится локальная сеть если он работает удаленно, например, он находится дома или в командировке, или предприятие использует радиосеть как в Метро или кафе. Достаточно подключения к сети Интернет. Теперь представим, что облачный провайдер на своих ресурсах-серверах установил прикладную программу 1С или Автоматизированную Банковскую Систему для множества своих клиентов и дал вам так же доступ для работы с программой, а эксплуатацию и сопровождение всего остального взял на себя. Т.е. одну и туже программу на сервере могут запускать много организаций. Таким образом вы получите сервис «Программное обеспечение как услуга» или SaaS (англ. Software-as-a-Service). Если вы желаете разместить собственные программные разработки или сделанные для вас на заказ, то облачный сервис будет индивидуальным и называться «Платформа как услуга» или PaaS (англ. Platform-as-a-Service). Теперь можно поговорить о понятии виртуализации, основы облачного сервиса. Представим себе физический сервер. На сервере установлена Операционная Система, позволяющая «общаться» с ним при помощи клавиатуры, мыши и дисплея. На него можно устанавливать и прикладное программное обеспечение. Вообще работает, как обычный персональный компьютер только мощнее и производительней. Но если на этот физический сервер поставить специальное программное обеспечение, называемое средой виртуализации, то на нем можно эмулировать работу многих серверов как будто вы купили не один сервер, а много. Такие эмулируемые сервера и называются виртуальными серверами или виртуальными машинами, и эта схема работы используется облачным провайдером. И если облачный провайдер даст вам возможность создавать и управлять вашими виртуальными серверами, то такая услуга будет называться «Инфраструктура как услуга» или IaaS (англ. Infrastructure-as-a-Service).
А вот теперь важный и главный вопрос. Наконец то про защиту и информационную безопасность в облачном сервисе. Очень часто произносится фраза. Это как же я свою информацию размещу на чужой территории? Ведь ее же смогут скопировать или чего проще посмотреть! Я много раз бывал в первоклассных центрах обработки данных. Длинные ряды стоек с оборудованием тянущиеся на десятки метров. Можно представить себе силовиков, людей в масках выбирающих нужную стойку с нужными серверами и нужными дисками. В среде виртуализации выделенные вам виртуальные серверы и диски как будто бы облако, плавающее по серверам и стойками с оборудованием, нет жесткой привязки к физическим серверам и дискам. Можно заставить инженера показать текущее физическое место оборудования, но нельзя это просто так выдрать всяческие железки. Существует вероятность нарушения работоспособности облачной инфраструктуры и остановки работы других компаний. Один мой коллега работающий в Российском представительстве американской компании рассказал примечательную историю. Венесуэла. Известная американская компания занималась разведкой нефти и арендовала для обработки информации облачный сервис. В какой-то момент правительство страны решило национализировать нефтяную добычу. Наши Венесуэльские товарищи учли международный опыт, зная, как сложно искать нужную информацию на нужном оборудовании, и… подогнали колонну грузовиков к Центру Обработки Данных. Загрузили шкафы-стойки с оборудованием и увезли в неизвестном направлении. А у нас пока появляются сообщения, что полиция проводит обыски в банке, но иностранный рабочий случайно уронил сервер с высоты нескольких метров и попутно залил его водой. А ведь на такие случаи приобретают специальную технологию. Если ваш сервер был выключен или перезагружен, это относится и к виртуальным серверам, то вновь войти по паролю уже нельзя, а информация на диске хранится в зашифрованном виде. Для того чтобы можно было войти на сервер в момент включения существуют несколько специальных ключей-карточек. Сначала прикладывается один, только потом другой, дополнительно вводится код. Код на случай потери ключа-карточки. Рабочие места где можно использовать ключи находятся в другом городе или стране. С этих рабочих мест можно удаленно заблокировать сервер по тревоге или наконец просто отключить питание.
Мы подошли к Российскому законодательству в области информационной безопасности и защиты облачного сервиса с точки зрения требований Регуляторов. В России по законодательству существует в области информационной безопасности только один регулятор Федеральная Служба по Техническому и Экспортному Контролю. А в части криптозащиты для шифрования данных и электронной подписи только Федеральная Служба Безопасности. Закон, кроме требований криптозащиты, допускает трактовку требований информационной безопасности и создание своих отраслевых стандартов безопасности. Например, требования Центрального Банка. Но это только вносит еще большее непонимание требований к информационной безопасности. Важно также понимать, что по Закону средствами защиты у нас являются только то, что создано в специализированных компаниях, прошло испытания в специализированных лабораториях и сертифицировано ФСТЭК и/или ФСБ. Все остальное оборудование или программное обеспечение обладающие функциями защиты, не является средством защиты по Закону. Например, антивирусное программное средство не прошедшее сертификацию в специализированной лаборатории формально не считается средством защиты. ЗАО «Банковские Информационные Системы», ООО «Код безопасности» ГК Информзащита, Компания ОНЛАНТА ГК ЛАНИТ используя опыт и серийно выпускающиеся и апробированные годами сертифицированные средства защиты, создали защищенный облачный сервис максимально отвечающий требованиям всех Регуляторов в области информационной безопасности. Как это работает. На территории Центра Обработки Данных образован периметр физической защиты. Охрана, видеонаблюдение, замки доступа, опечатывание стоек и так далее. Сделано все, чтобы исключить доступ посторонних и контролировать действия своих инженеров. Физическая защита периметра и шкафов-стоек с оборудованием аттестована и имеет аттестат. Мы с вами говорили о среде виртуализации и виртуальных машинах. Их нужно контролировать и защищать от неправомерных действий администраторов и внутреннего обслуживающего персонала Центра Обработки Данных, например, связанных с администрированием, изменением или копированием виртуальных серверов. Поэтому поверх среды виртуализации устанавливается сертифицированное программное обеспечение защиты, а управление и мониторинг передается службе банка. Далее. На виртуальном сервере находится Операционная Система и установлена, например, программа Автоматизированная Банковская Система. Здесь уже администратор или сотрудник банка может попытаться внести изменения в Операционную Систему или скопировать информацию на внешний носитель. Для этого поверх Операционной Системы на виртуальном сервере ставится еще одно сертифицированное средство защиты, а управление и мониторинг передается в службу банка. Такие сертифицированные средства защиты называют наложенными средствами защиты. Основная идея состоит в многоступенчатом контроле за действиями других. Состояние информационной среды серверов фиксируются на начальном этапе и после этого включается защитный контроль за изменениями информационной среды серверов. Офицер безопасности не имеет прав что-либо сделать с информационной средой серверов, ни читать, ни копировать, только контролировать. В этом ему в автоматическом режиме помогает сертифицированное средство защиты. Администратор не сможет что-то удалить, дополнительно установить или попытаться скопировать на внешний носитель. Несмотря на то, что он администратор к файлам с документами он вообще не получит доступ. Для этого администратору придется получить разрешение у офицера безопасности. Конечно же там чуть по-другому, но для понимания логики достаточно. Ну и последнее. Подключение к вашим облачным серверам, находящимся в Центре Обработки Данных. Мы с вами говорили о двух вариантах. Вариант подключения по выделенному каналу, это когда продолжением вашей локальной сети будут ваши виртуальные сервера находящиеся в Центре обработки данных. В этом случае на границе вашей локальной сети и границе сети Центра Обработки Данных ставиться сертифицированное сетевое оборудование, которое шифрует передаваемые данные с использованием Российской криптографии. На стороне Центра Обработки Данных сертифицированное сетевое оборудование уже стоит, вам нужно только установить на своей стороне. Здесь управление этим сетевым оборудованием имеет только служба облачного провайдера, а мониторинг отдается службе банка. А графическая иконка, например, Автоматизированной Банковской Системы будет отображаться на экране-рабочем столе вашего персонального компьютера. Вы даже не будете знать, что запускаете программу, расположенную в облачном сервисе. Второй вариант подключения, о котором мы тоже говорили, с использованием Интернет технологий. Это также, как если бы вы делаете запрос к страницам Интернет сайта Яндекс. Т.е. используете Интернет браузер. Но здесь вы увидите рабочий стол такой же как на своем персональном компьютере. На нем будут графические иконки программ, которые вам разрешено запускать. Например, Автоматизированная Банковская Система, текстовый редактор, все что разрешит вам служба банка. Для этого варианта банк или его удаленный филиал должен иметь только подключение к сети Интернет. Осталось только защитить Интернет вход по требованиям Российского законодательства. Появляется еще одно понятие как Удостоверяющий Центр. В нашем случае Удостоверяющий Центр поддерживает Российскую криптографию. Это организации, которые удостоверяют вашу личность при помощи электронной подписи. Что-то вроде паспорта выданным паспортным столом, только электронным способом. В результате у человека появляется физический носитель, например, пластиковая карточка на которую записан закрытый секретный ключ и открытый сертификат секретного ключа подписанный Удостоверяющим Центром. Секретный ключ скопировать нельзя, только украсть вместе с карточкой. Но для этого еще есть пин-код, который знает только хозяин. Вдаваться в эту технологию сейчас не имеет смысл. Важно что, прикладывая эту карточку к специальному носителю подключенному компьютеру вы будете автоматически распознаны или говорят авторизованы, а в определенных случаях даже можете подписывать электронные документы своей персональной электронной подписью. Дополнительно в этом варианте подключения компьютер автоматически проверяет к тому ли он подключается виртуальному серверу. А сервер проверяет разрешено ли этому компьютеру и пользователю подключаться. Удостоверяющий Центр это подтверждает или опровергает. Если условия совпали и связь установлена, то данные идущие через Интернет будут зашифрованы Российской криптографией. Эту карточку можно использовать и для прохода в определенные помещения если имеется система доступа и соответствующая служба банка «прошьет» разрешительную информацию. А носители секретных ключей бывают разными. Наиболее распространенные на так называемых флэш накопителях, флэшках. Конечно коммерческие организации могу иметь свои Удостоверяющие Центры, но это очень хлопотно, да и как правило не соответствуют требованиям Законодательства по защите. Хочу отметить, что сертифицированные средства защиты имеют так называемые предустановленные профили безопасности, настройки, соответствующие лучшим практикам защиты. Захотели, чтобы вы соответствовали требованиям Центрального банка и стандарту PCI DSS, поставьте в нужном меню сертифицированной программы нужные галочки и профили-настройки включатся. В этом вам помогут специализированные организации на старте. Без них не обойтись. По Закону проектировать, строить, сопровождать сертифицированные системы защиты могут только организации, обладающие специальными лицензиями. Но это проблемы облачного провайдера, он такими лицензиями обладает. Так же по требованию Законодательства для государственных организаций или коммерческих организаций, работающих с госзаказом необходима обязательная аттестация облачного сервиса. Для чисто коммерческих организаций аттестация не обязательна, только рекомендована. Но и это проблемы облачного провайдера, все обязательные средства защиты на всех уровнях у вас есть. Вы покупаете только сервис, который технически по формальным требованиям Законодательства максимально защищает банковскую тайну и персональные данные. Обязательные организационные мероприятия в нашем случае сводятся к небольшому количеству внутренней нормативной документации. Ну вот собственно и все в очень кратком и упрощенном описании защищенного облачного сервиса.
Остается определить для себя на сколько это дорого и нужно в работе, насколько повысится эффективность в обслуживании и сопровождение информационной структуры и управления ИТ персоналом. В случае с облачным сервисом вам не надо держать большой штат администраторов, это делает облачный провайдер. Дорого? Да, дороже чем сейчас у вас есть. Но посчитайте какие у вас были стартовые расходы на сервера и построение сети с оборудованием. Сколько времени уходит на выбор конфигурации, закупку, монтаж и подготовку серверов к боевой работе включая заливку и настройку прикладного программного обеспечения. Ведь облачный сервис позволяет расширять характеристики серверов по производительности в один клик мыши, масштабируется. Сколько вам обходится обслуживание серверов, дополнительные закупки на модернизацию оборудования, заработная плата, электроэнергия и аренда серверных комнат. А переезд в другое здание. В вашем случае использование облачных сервисов может быть окажется и не сильно затратным чем цена владения информационной инфраструктурой, которая у вас уже есть. В любом случае это будет эффективнее при начале нового дела и целевой аудиторией могут быть крупные, средние и мелкие банки, микро финансовые организации, для которых важно время развертывания инфраструктуры и снижение управленческой нагрузки:
· По открытию удаленных точек.
· По установке, обновлению и поддержке оборудования и программного обеспечения требующих создания непрофильных подразделений и сложных механизмов управления.
· И в свободе выбора времени и места работы с программным сервисом, где поставщик облачного сервиса обеспечивает ее круглосуточную работу через сеть Интернет гарантируя стабильную работу на последней версии прикладной программы, соответствующей последним изменениям Законодательства.
· И сосредоточению на ведении основного бизнеса. Обслуживание информационной инфраструктуры бизнеса передано на сопровождение внешней организации, аутсорсинг.
Comments