Руслан Рахметов, Security Vision
Выбор типа и конкретного технического решения для защиты информации зависит от результатов оценки киберрисков, актуальных угроз, особенностей бизнес-процессов и информационной инфраструктуры. Инфраструктура компаний меняется в соответствии с потребностями бизнеса и возможностями технологий и в последние годы активно переходит в «облака», где используются и специализированные облачные СЗИ, и облачные версии классических решений по кибербезопасности. В данной статье рассмотрим, какие типы облачных решений бывают, каковы их особенности, а также оценим их основные плюсы и минусы.
Для начала рассмотрим основные особенности облачных инфраструктур в целом. Облачные инфраструктуры можно разделить по принципу работы на следующие типы:
· Public cloud (публичные облака): провайдер облачных услуг предоставляет различным заказчикам свою инфраструктуру и сервисы на коммерческой основе, как правило, по подписке;
· Virtual private cloud (VPC, виртуальные частные облака): провайдер облачных услуг предоставляет заказчикам выделенные элементы облачной инфраструктуры, изолированные друг от друга в пределах виртуальных сетей (VLAN) с собственной адресацией и возможностью конфигурирования сетевого взаимодействия внутри VLAN;
· Private cloud (частные облака): организация размещает часть своей инфраструктуры в собственном или арендуемом ЦОД (центре обработки данных) и полностью контролирует все аппаратные и программные компоненты;
· Hybrid cloud (гибридные облака): организация совмещает работу с публичным и частным облаком, размещая свои приложения и данные в зависимости от удобства и потребностей в той или иной инфраструктуре;
· Multi-cloud (мультиоблако): организация пользуется услугами нескольких провайдеров облачных сервисов для надежности и повышения отказоустойчивости, например, размещая основную инфраструктуру в одном публичном облаке, а бекапы и резервные сервисы - в другом.
Для работы с облачными инфраструктурами используются следующие основные модели облачных вычислений:
· IaaS (infrastructure as a service): предоставление услуги по модели «инфраструктура как сервис», когда облачный провайдер предоставляет только своё аппаратное обеспечение, сетевой доступ и гипервизор системы виртуализации, а заказчикам дается возможность установить свои операционные системы, прикладное и системное ПО, бизнес-приложения;
· PaaS (platform as a service): предоставление услуги по модели «платформа как сервис», когда облачный провайдер предоставляет установленную операционную систему (как правило, давая на выбор несколько вариантов ОС на базе Windows и Linux), а заказчики уже устанавливают только свое программное обеспечение;
· SaaS (software as a service): предоставление услуги по модели «программное обеспечение как сервис», когда облачный провайдер предоставляет конечному заказчику предварительно установленное бизнес-приложение с некоторыми возможностями по его настройке и модификации.
Использование облачных решений имеет определенные преимущества и особенности:
1. Снижение затрат: построение собственного ЦОД или даже оснащение небольшой серверной комнаты требует существенных капитальных затрат на производительное оборудование, СХД, ПО (включая ОС, гипервизоры, СУБД), сетевые устройства, СКС, системы энергоснабжения, вентиляции, пожаротушения. Облачная модель позволяет заменить капитальные затраты (CAPEX) на операционные расходы (OPEX) и «растянуть» эти инвестиции во времени.
2. Гибкое управление: облачные решения предлагаются по модели pay as you go (оплата по мере потребления), что позволяет оплачивать ИБ-сервис или облачное защитное решение только по факту их использования - например, тарифицироваться может только время работы системы без учета её простоя по инициативе потребителя. Кроме того, некоторые решения позволяют оплачивать не весь продукт целиком, а только реально используемые функции и возможности. В классических on-prem решениях заблаговременная закупка лицензий становится и организационным, и финансовым бременем, а облачные решения свободны от подобных ограничений.
3. Отсутствие дополнительных накладных расходов: обслуживание собственного ЦОД или серверного помещения связано с необходимостью обеспечивать их функционирование, включая поддержание заданного температурного режима и влажности, обеспечение пожарной безопасности, энергоснабжения и теплоотвода, а также необходимостью затрат на программное и аппаратное обеспечение для обеспечения высокой доступности, отказоустойчивости, катастрофоустойчивости, резервного копирования и аварийного восстановления.
4. Быстрое горизонтальное масштабирование по требованию: облачная инфраструктура продемонстрирует преимущества и в случае необходимости оперативного увеличения вычислительных мощностей, активации дополнительных функций, поднятия дополнительных сервисов. Крупные облачные провайдеры имеют достаточный пул ресурсов для того, чтобы в периоды пиковой нагрузки клиенты не чувствовали себя стеснёнными.
5. Простота развёртывания: в облачных инфраструктурах доступ к административной панели предоставляется через обычный браузер, а поднятие нового сервера выполняется в несколько кликов мышью.
6. Возможность использования недоступных on-prem решений: в связи с санкционными ограничениями многие зарубежные продукты могут быть недоступны небольшим компаниям, однако крупные облачные провайдеры зачастую обладают необходимыми возможностями по закупке и предоставлению таких решений клиентам.
7. Обеспечение кибербезопасности: облачные провайдеры предоставляют услуги по защите от DDoS, межсетевому экранированию, защите веб-приложений с помощью WAF, защите от сетевых вторжений с помощью IDS/IPS, обеспечению безопасного удаленного доступа к облачной инфраструктуре. Кроме того, при использовании моделей PaaS и SaaS управлением уязвимостями и установкой обновлений безопасности ОС занимается провайдер услуг, снимая данную нагрузку с клиента.
8. Технологии Cloud-native: создание и запуск масштабируемых и гибких приложений в облаках с использованием контейнеризации, микросервисной архитектуры, бессерверных вычислений позволяют эффективно использовать свойства облачных инфраструктур.
9. Работа с API и подход API-first: при разработке современных приложений возможности API-взаимодействий с внешними и внутренними сервисами проектируются изначально и закладываются в основу будущих систем, что позволяет беспроблемно мигрировать их в облачную инфраструктуру.
10. Централизованная экспертиза: высокий уровень предоставляемых услуг и технической поддержки обеспечивается тем, что штат крупных облачных провайдеров состоит из специалистов и экспертов, которых зачастую не могут себе позволить небольшие компании.
Большинство современных решений, включая ИБ-продукты, могут быть развернуты в облачных инфраструктурах - по сути, установка решения в облаке (с использованием моделей IaaS или PaaS) не отличается от on-prem установки, достаточно лишь убедиться в безопасности каналов связи и корректной сетевой связности между облаком, корпоративной сетью и устройствами. Однако, сама возможность установки продукта в облаке не делает его полноценным продуктом класса Security-as-a-Service, поскольку решения этого типа предоставляются провайдером "под ключ", снимая с клиента необходимость администрирования платформы установки. По модели Security-as-a-Service сейчас предлагаются в том числе такие ИБ-решения, как:
· защита от DDoS;
· межсетевой экран как услуга (FWaaS);
· межсетевой экран веб-приложений (WAFaaS);
· SIEM как услуга (SIEM as a service);
· DevSecOps как услуга;
· AppSec как услуга;
· резервное копирование как услуга (Backup as a service);
· аварийное восстановление как услуга (Disaster recovery as a service).
Кроме того, есть класс решений, которые были разработаны специально для защиты облачных инфраструктур:
· CASB (Cloud Access Security Broker, брокеры безопасного доступа в облако): решения для контроля работы пользователей с облачными сервисами, управления политиками обработки данных и доступа к приложениям в облаке, выявления вредоносной или нежелательной активности;
· CWPP (Cloud Workload Protection Platform, платформы защиты облачных рабочих нагрузок): инструмент для контроля работы облачных приложений, сред, серверов, контейнеров, функций, с поддержкой управления уязвимостями в них, выявления ВПО и эксплойтов, сетевого микросегментирования, управления перечнем разрешенных облачных приложений, контроля целостности, выявления аномалий, реагирования на киберугрозы;
· CSPM (Cloud Security Posture Management, платформы управления состоянием безопасности облака): инструмент для выявления киберрисков в облачной инфраструктуре, обнаружения уязвимостей в конфигурации облаков, выполнения проверок компонентов облачной инфраструктуры на соответствие законодательству (например, контроль и ограничение доступа пользователей и приложений к персональным данным в облаке);
· ZTNA (Zero Trust Network Access, средства предоставления сетевого доступа с нулевым доверием): решения для предоставления сетевого доступа на основании непрерывной проверки подлинности субъекта (пользователя, сервиса, сущности, устройства), прав доступа субъекта к объекту (информационному ресурсу, активу, данным) с проверкой состояния киберзащищенности субъекта и с гранулированными правилами сетевого доступа (только к определенному приложению, сервису, IP-адресу, порту);
· SASE (Secure Access Service Edge, платформы безопасного пограничного доступа): решение для обеспечения сетевой безопасности облачного и удаленного доступа за счет применения защитных решений SWG (Secure Web Gateway) и CASB, сетевых технологий ZTNA и SD-WAN (программно-определяемая сеть).
При выборе облачного провайдера следует оценивать такие характеристики, как уровень качества и доступности сервиса (метрика SLA), уровень надежности ЦОД (Tier I/II/III/IV), соответствие ЦОД требованиям стандартов ГОСТ Р 58811-2020 и ГОСТ Р 58812-2020, наличие аттестата соответствия облачного провайдера требованиям по защите ПДн (т.н. «Облако 152-ФЗ») и/или по обеспечению безопасности ОКИИ (т.н. «Облако КИИ»).
Разумеется, кроме описанных выше преимуществ, у облачных ИБ-решений и самой облачной инфраструктуры есть минусы и сложности, такие как:
· необходимость доверять сервис-провайдеру облачных услуг;
· невозможность гарантировать отсутствие прямого физического доступа сотрудников сервис-провайдера к данным;
· необходимость обеспечения корректного и полного разделения данных между клиентами;
· необходимость защиты канала связи до облака;
· невозможность полного контроля за местом и способами хранения данных и их резервных копий.