«Облачные» сервисы и технологии

Ещё одним важным фактором развития облачных технологий является создание комплексных экономических  моделей использования IT услуг. Преимущества, предоставляемые cloud системами постепенно осознаются рынком, но вместе с тем нельзя не признать, что существует множество как технических, так и организационных проблем. Зачастую это вынуждает бизнес переоценивать риски и действовать крайне аккуратно. На сегодняшний день использование облаков (как частных, так и предоставляемых провайдером) должно опираться на ряд компромиссов, которые позволят получить наибольшую выгоду при минимальных рисках, но готовых методологий построения подобных решений пока не представлено.

Следует также  отметить ещё один технический момент, который, возможно не является основным приоритетом в настоящий момент, но, по мнению экспертов, должен постоянно  находиться в проработке — это  вопрос безопасности. Обеспечение безопасности облачных систем широко обсуждается в профессиональном сообществе, но до единого структурированного мнения пока далеко. Вполне возможно, что при решении этого вопроса будут выработаны принципиально новые концепции, которые лучше соответствуют духу облачных систем, чем традиционный подход. В любом случае, проблема обеспечения безопасности будет решаться на протяжении всего этапа создания полноценного cloud решения.

4. Безопасность  «облачных» сервисов и технологий

Технология  вычислительных облаков представляет собой гибкую, экономически эффективную  и надежную платформу для предоставления ИТ-услуг бизнесу или частному пользователю через Интернет. Ресурсы облака могут быть быстро развернуты и легко масштабируемы, включая все процессы, приложения и услуги, предоставляемые по требованию, независимо от местонахождения пользователя или устройства. В результате, платформа вычислительного облака дает компаниям возможность повысить эффективность предоставления их услуг, упростить управление ИТ-ресурсами и лучше согласовать действия ИТ-служб с динамикой бизнес-требований.

18-страничный  документ рекомендован к ознакомлению  всем государственным учреждениям,  которые собираются внедрять  облачные технологии у себя  или использовать услуги облачных  провайдеров.

Подробнее: http://www.securitylab.ru/news/405448.php

В тоже время, помимо обычных проблем  разработки защищенных информационных систем, вычислительные облака представляют собой дополнительный уровень риска, поскольку основные услуги зачастую передаются третьей стороны. Внешние  аспекты аутсорсинга затрудняют обеспечение целостности и конфиденциальности данных, поддержку доступности данных и служб.

Следующие меры безопасности являются общим случаем  из лучших практик реализации безопасности облачных сервисов. Тем не менее, применение этих мер не является безусловной  гарантией успеха. Вы можете получить консультацию у представителя службы безопасности компании IBM для осуществления  конкретных требований в свете передового опыта:

• Внедрение и обслуживание системы безопасности ПО.
• Создание и поддержка безопасной инфраструктуры облака.
• Обеспечение защиты конфиденциальных данных.
• Усиленный контроль доступа и управление идентификацией.
• Создание окружения для приложений и выделения ресурсов.
• Внедрение ПО управления, мониторинга и аудита.
• Реализация политики поиска и устранение уязвимостей.
• Поддержка среды тестирования и проверки.

Безопасность  является одним из наиболее важных и документированных вопросов облачных вычислений. Люди беспокоятся о безопасности данных, которые они хранят в облаке. Это стало причиной постоянного  совершенствования алгоритмов разработки безопасных приложений. Со временем растет число новых методов шифрования, протоколов безопасности и других методов  защиты информации.

Австралийская спецслужба, ответственная за безопасность в сфере коммуникаций, Defence Signals Directorate (DSD), выпустила документ, предупреждающий государственные учреждения о возможных рисках, возникающих при использовании облачных технологий. Рекомендован к ознакомлению всем государственным учреждениям, которые собираются внедрять облачные технологии у себя или использовать услуги облачных провайдеров.

   Основное внимание в документе  уделено вопросам определения уровня надежности потенциального поставщика облачных услуг. При этом, в целом, не рекомендуется передавать в облако критически важные или конфиденциальные данные, недоступность или утечка которых могут нанести серьезный урон бизнес-процессам и государственным интересам.

   Также DSD рекомендует выяснять, на  территории какой страны будут храниться и обрабатываться данные, в том числе, в случае выхода из строя дата-центров и возможного переноса данных на резервные мощности. Для обеспечения «информационной независимости» рекомендуется оказывать предпочтение местным поставщикам информационных услуг либо тем зарубежным поставщикам, которые обладают соответствующими мощностями внутри страны.

   Для повышения уровня надежности  облачных услуг следует принимать  во внимание такие как аспекты как наличие у провайдера плана действий на случай чрезвычайных ситуаций, надежность интернет-соединения, регулярное резервное копирование данных и, по возможности, дублирование ключевой функциональности услугами второго провайдера.

   Контракт между агентством и  поставщиком должен быть направлен  на минимизацию рисков безопасности  и защищать данные потребителя.  Соответствующий уровень надежности  услуг и безопасности данных  должен быть закреплен в Соглашении  об качестве предоставления услуг (Service Level Agreement).

   На случай непредвиденного попадания  конфиденциальной информации в  облако, должны быть предусмотрены  средства полного удаления такой  информации из системы, включая  низкоуровневое удаление без  возможности восстановления.

   Документ, разработанный DSD, появился  вскоре после того, как австралийское  правительство завершило разработку  стратегии в области облачных  вычислений, и некоторые национальные  провайдеры уже начали предлагать  свои услуги государству.

Основные  уязвимости информационных технологий являются. Для того чтобы более глубоко понять проблемы, которые возникают в сфере ИТ, и определить, каким образом можно повысить уверенность компаний при внедрении облачных технологий, Intel недавно провела опрос. Согласно его результатам, 61% специалистов обеспокоен потерей контроля над частными средами, 55% обеспокоены недостаточной защитой данных в публичных инфраструктурах, а 57% опрошенных отказались размещать данные, для которых необходимо соблюдение требований регулирующих органов, в облачные центры обработки данных (ЦОД). Респонденты отметили, что решение этих проблем положительно скажется на их уверенности в надежности защиты данных и будет способствовать внедрению облачных технологий в их корпоративных средах.

Приведенные ниже пункты являются ключевыми вопросами, которые стоит задать провайдеру, облачными услугами которого вы планируете пользоваться. Каждый вопрос касается одной из шести специфических  областей, как показано на рис. 9

 

Области безопасности, требующие изучения при выборе поставщика облачных услуг

Рис.9

Лучшая  мера по защите расположенных в хранилище  данных – использование технологий шифрования. Провайдер всегда должен шифровать хранящуюся на своих серверах информацию клиента для предотвращения случаев неправомерного доступа. Провайдер  также должен безвозвратно удалять  данные тогда, когда они больше не нужны и не потребуются в будущем.

Передаваемые  данные всегда должны быть зашифрованы  и доступны пользователю только после  аутентификации. Такой подход гарантирует, что эти данные не сможет изменить или прочитать ни одно лицо, даже если оно получит к ним доступ посредством ненадежных узлов в  сети. Упомянутые технологии разрабатывались  в течение «тысяч человеко-лет» и привели к созданию надежных протоколов и алгоритмов (напримерTLS, IPsec и AES). Провайдеры, должны использовать эти протоколы, а не изобретать свои собственные.

Наиболее  распространенным способом аутентификации является защита паролем. Однако провайдеры, стремящиеся предложить своим клиентам более высокую надежность, прибегают  к помощи более мощных средств, таких  как сертификаты и токены. Наряду с использованием более надежных к взлому средств аутентификации провайдеры должны иметь возможность работы с такими стандартами как LDAP и SAML. Это необходимо для обеспечения взаимодействия провайдера с системой идентификации пользователей клиента при авторизации и определении выдаваемых пользователю полномочий. Благодаря этому провайдер всегда будет располагать актуальной информацией об авторизованных пользователях. Худший вариант – когда клиент предоставляет провайдеру конкретный список авторизованных пользователей. Как правило, в этом случае при увольнении сотрудника или его перемещении на другую должность могут возникнуть сложности.

Некоторые провайдеры помещают данные всех клиентов в единую программную среду и  за счет изменений в ее коде пытаются изолировать данные заказчиков друг от друга. Такой подход опрометчив и  ненадежен. Во-первых, злоумышленник  может найти брешь в нестандартном  коде, который позволит ему получить доступ к данным, которые он не должен видеть. Во-вторых, ошибка в коде может  привести к тому, что один клиент случайно «увидит» данные другого. За последнее время встречались  и те, и другие случаи. Поэтому  для разграничения пользовательских данных применение разных виртуальных  машин и виртуальных сетей является более разумным шагом.

Несмотря  на то, что сегодня мы имеем значительно  более широкий набор инструментов для обеспечения безопасности, чем  прежде, работа далеко не окончена. В  некоторых случаях для вывода на рынок той или иной технологии, помогающей решить новую задачу, проходит некоторое время, даже несмотря на то, что она уже разработана. Вот некоторые из таких новейших технологий: данные со встроенной защитой (самозащищенные данные) и доверенные мониторы.

Самозащищенные данные (self-protecteddata) – это зашифрованные данные, в которые интегрирован механизм обеспечения безопасности. Такой механизм включает в себя набор правил, которым может или не может удовлетворять среда, в которой находятся самозащищенные данные. При попытке доступа к этим данным, механизм проверяет среду на безопасность и раскрывает их, только если среда является безопасной.

Доверенный  монитор (trustedmonitor) – это программное обеспечение, устанавливаемое на сервер провайдера облачных вычислений. Оно позволяет наблюдать за действиями провайдера и передавать результаты пользователю, который может убедиться в том, что компания действует в соответствии с принятым регламентом.

Когда все исследовательские работы и  разработка новых технологий будут  завершены, следующим шагом станет их внедрение провайдером услуг. Когда это произойдет, клиенты  будут с большим доверием относится к концепции облачных вычислений.

 

 

5.Практическая часть на примере Office 365

В настоящее время  Office 365 находится в стадии публичного бета-тестирования, которое, к сожалению, пока недоступно в России. Поэтому, о функциональности будем судить по доступным англоязычным маркетинговым материалам, а также основываясь на знании on-premise (предназначенных для развертывания на собственной инфраструктуре) версий соответствующих продуктов.

Настольным клиентом для Exchange Online является Microsoft Outlook.

Рис.10

Настольный клиент Microsoft Outlook 2010. Работа с корпоративным ящиком электронной почты, расположенным в инфраструктуре сервиса Office 365.

Видны зеленые  индикаторы присутствия и пиктограммы  с фотографиями отправителей письма

Рис.11

Благодаря наличию  в составе сервиса Office 365 продукта Exchange Online пользователи получают возможность работы с электронной почтой корпоративного класса, со «встроенной» защитой от спама и вирусов. Exchange Online — это облачная версия давно существующего на рынке продукта Microsoft Exchange Server, функциональность которого отнюдь не ограничивается только электронной почтой: пользователи получают возможность централизованного хранения своей контактной информации (адресная книга компании при этом сформируется автоматически), могут управлять своим графиком посредством календарей и задач.

Настольный клиент Microsoft Outlook 2010. Одновременно открыты персональный календарь мероприятий и календарь мероприятий рабочей группы,

хранящийся на сайте SharePoint Online сервиса Office 365

У Exchange Online есть также и онлайновый (тонкий) клиент — Outlook Web App, доступный из браузера и, соответственно, не требующий установки на ПК. Интерфейс пользователя Outlook Web App максимально приближен к настольному варианту Outlook, доступен практически весь функционал, включая щелчки правой кнопкой мышки.

Рис.12

SharePoint Online — облачная версия серверного продукта Microsoft SharePoint Server, предназначенного для организации совместной работы сотрудников предприятия, централизованного интеллектуального хранения документов, поддержки их одновременного редактирования, управления проектами и многих других функций.

Остановимся подробнее на функциональности этого  компонента сервиса Office 365, как, на наш взгляд, наименее знакомого потенциальным пользователям сервиса из секторов малого и персонального бизнеса.