Владимир Лебедев, директор по развитию бизнеса, Stack Group

В западных странах популярны услуги Security Operation Centers (SOC) [1], которые позволяют полностью отдать на аутсорсинг процессы организации информационной безопасности и получать техподдержку в круглосуточном режиме. В подобном случае агентство, предоставляющее услуги SOC, обеспечивает мониторинг средств защиты, установленных в корпоративной сети клиента. Например, в SOC собираются сообщения межсетевых экранов, систем анализа защищенности, систем обнаружения и предотвращения вторжений и других систем клиентов. Эти данные оперативно обрабатываются, и при необходимости осуществляется быстрое реагирование на возможные аномалии в сетевой активности и переключение трафика на центр очистки от DDoS-атак. Также могут отслеживаться действия пользователей, наличие вредоносного программного обеспечения, несанкционированные проникновения в сеть с сохранением всех данных об инцидентах в журналах безопасности. Весь этот поток данных от всевозможных средств защиты информации поступает в единый центр, где он анализируется и где формируется реакция в соответствии с существующим SLA центра.

Облачные сервисы безопасности

В России концепция SOC приживается с трудом. Потому, во-первых, что компании опасаются полностью отдавать настолько чувствительный процесс, как обеспечение информационной безопасности, под контроль третьих лиц, поскольку от него зачастую зависит целостность бизнеса. Во-вторых, исходя из устоявшихся принципов ведения бизнеса, они не готовы к внутренней перестройке операционных процессов под внешние процессы обеспечения информационной безопасности. В-третьих, существуют опасения по поводу несоответствия требованиям законодательства и регуляторов при таком подходе к обеспечению безопасности. Но отдельные элементы аутсорсинга безопасности некоторые компании уже используют, например облачные сервисы, помогающие защищать информационные системы, в частности от DDoS-атак, пропускающие через себя трафик и анализирующие его аномалии – так называемые экраны уровня приложений (application firewall). Кроме того, появляются сервисы, которые ищут вирусы и программные закладки, способны предотвращать проникновения в сеть под видом архивов и doc-документов, блокируют программы, обладающие недекларированными возможностями, троянские программы и т. д.

По прогнозам Stack Group, в течение трех-пяти лет облачные сервисы безопасности будут столь же популярны, как сейчас услуги инфраструктуры как сервиса (IaaS), когда компании передают на аутсорсинг обработку своих данных, инфраструктуру в виде виртуальных машин, систем хранения данных и потребляют ИТ как сервис. Мощным стимулом дальнейшего развития могут стать стандартизация и государственное регулирование этой отрасли оказания услуг, а также развитие средств защиты информации, в том числе российских.

 

Безопасность colocation-сервисов

Сегодня многие компании крупного бизнеса так или иначе используют аутсорсинг для обработки и хранения данных. По нашей оценке, около 80% заказчиков размещают данные на собственном оборудовании, установленном в среде оператора, остальные доверяют облачным сервисам на базе виртуализированных сред, когда провайдер также имеет возможность управлять ИТ-инфраструктурой своего клиента и сетевыми ресурсами. Он предоставляет для этого либо виртуальные машины, либо платформенные сервисы, либо сервисы приложений.

Еще три-четыре года назад при переезде ИТ-систем компании из собственного офиса в ЦОД ставилось одно обязательное условие – обеспечение безопасности. Для colocation – это в первую очередь обеспечение физической безопасности, т. е. гарантия исключения возможности проникновения третьих лиц в помещение, где расположено оборудование заказчика, своевременное реагирование на попытки бесконтрольного доступа, логирование попыток доступа к сетевым и инженерным системам ЦОД (охлаждения, электропитания и т. д.), организация технических средств охраны (сигнализация, видеонаблюдение, взаимодействие с правоохранительными органами и т. п.).

Для каждого заказчика услуг colocation доступны различные дополнительные меры по обеспечению физической безопасности оборудования, например, установка отдельных видеокамер с выводом в систему мониторинга заказчика, размещение стоек с оборудованием в специально огороженных зонах, куда имеют доступ только представители заказчика, установка систем контроля и управления доступом на каждую стойку, опечатывание стоек.

 

Безопасность облачных сервисов

Когда мы говорим о безопасности облачных сред, то облако должно рассматриваться не как абстрактная модель предоставления сервисов, а как распределенная информационная система – программное обеспечение, физическое оборудование, конкретные ЦОД, их связанность между собой, их службы технической поддержки. С учетом всех этих элементов облако представляет собой конкретную информационную систему на географических либо на логических уровнях. И такая информационная система является объектом защиты, к которому применяются соответствующие традиционные правила по информационной безопасности: рассматриваются модель угроз и модель нарушителя. В зависимости от актуальности тех или иных угроз, их типов и видов реализуются меры по защите, проектируется и реализуется система защиты.

Таким образом, облачный сервис-провайдер помимо физической безопасности обеспечивает безопасность сетевого периметра, используя средства межсетевого экранирования, применяет защиту среды виртуализации, разделение доступа на уровне операционных систем, антивирусных механизмов, выявление инцидентов с помощью специализированных алгоритмов обнаружения вторжений и атак через сеть, защиту от DDoS.

Существует классический подход к организации системы защиты – в соответствии с методологией международных стандартов серии ISO 2700х или со стандартами международной организации CSA (Cloud Security Alliance [2]). Используются также средства защиты, которые прописаны в нормативных документах контролирующих органов, определяющих защиту информационных систем для различных категорий информации – это персональные данные, банковская тайна, платежная информация по стандартам PCI DSS [3] и т. п.

Сегодня мы наблюдаем, что основной объем запросов на ИТ-инфраструктуру связан с безопасностью персональных данных, потому что де-факто 100% компаний являются операторами персональных данных и обязаны организовать защиту в соответствии с требованиями нормативных документов. Прежде всего, в соответствии с п. 3 ст. 6 «Условия обработки персональных данных» Закона № 152-ФЗ «О персональных данных» [4] любая компания может официально поручать обработку персональных данных третьим лицам (оставаясь при этом оператором перед субъектом персональных данных) и в рамках этого поручения требовать от них обеспечения выполнения требований 19 статьи закона по реализации технических мер по защите персональных данных в информационных системах. То есть компания фактически может переложить функцию защиты персональных данных и одновременно функцию по обеспечению информационной безопасности на аутсорсинг. Такое поручение позволяет обеспечить соответствие требованиям контролирующих органов по обработке и хранению персональных данных путем описания в модели тех угроз, от которых она защищается собственными средствами и защиту от которых она поручает третьим лицам.

Достаточно полная нормативная база существует в документах ФСТЭК по защите информации в виртуализованных средах. Защищенная виртуальная и физическая инфраструктура строится в соответствии с требованиями законодательства при обработке и защите персональных данных (приказ ФСТЭК № 21) и требованиями к безопасности информации при обработке в государственных информационных системах (приказ ФСТЭК № 17).

Что касается нормативных актов в области облачных вычислений, то в такой формулировке соответствующих документов пока нет, однако есть ряд инициатив по регулированию процессов, связанных с облачными государственными системами. Так, 26 июля 2016 г. было принято распоряжение Правительства России № 1588-р, где представлен план по переходу в 2016–2018 гг. федеральных органов исполнительной власти и государственных внебюджетных фондов на использование отечественного офисного программного обеспечения. Значительная часть плана посвящена использованию облачных технологий.

 

Этапы построения защищенного контура в виртуализированной среде сервис-провайдера

На первом этапе необходимо определить, для каких персональных данных будет использоваться облачная среда. В Stack Group, например, на протяжении нескольких лет правоприменения данного закона анализировались потребности клиентов. Далее определяются типы используемых информационных систем: соответствующие требованиям приказа ФСТЭК № 21 [5] и приказа ФСТЭК № 17 [6], которые содержат дополнительные требования по защите информации в информационных системах персональных данных и в государственных информационных системах. Кроме того, на этом этапе создается модель угроз и нарушителя.

На втором этапе на основе всех исходных условий функционирования информационной системы разрабатывается технический проект по построению систем защиты в целях нейтрализации выбранных угроз безопасности. Соответственно на этом этапе проводится анализ рынка средств защиты и выбираются средства для защиты каналов связи, гипервизора, средства доверенной загрузки на физическом оборудовании, продукты по шифрованию данных внутри операционных систем и т. д. Далее разрабатывается концепция размещения оборудования контура.

Третий этап – проведение аттестации на соответствие требованиям нормативной документации контролирующих органов.

Такие защищенные контуры выстраиваются для каждого из географически распределенных центров обработки данных, в которых локализуется виртуализированная среда провайдера, для обработки приложений, к которым предъявляются высокие требования по доступности. В Stack Group защищенный контур облака M1Cloud, соответствующий требованиям Закона № 152-ФЗ, реализован в катастрофоустойчивом исполнении на двух удаленных друг от друга площадках в Москве, включая собственный ЦОД «М1» для обработки критичных данных. В облаке M1Cloud реализована защита с использованием сертифицированных средств защиты, которые обеспечивают выполнение максимальных требований безопасности УЗ-1 и К-1. Предоставление защищенной инфраструктуры осуществляется на основании лицензий ФСТЭК на деятельность по технической защите конфиденциальной информации и лицензий ФСБ на деятельность по криптографической защите данных.

Особенностью защиты виртуальных сред на базе сервис-провайдера, прежде всего для крупных клиентов, является обеспечение максимальной доступности сервисов – как тех, которые защищаются, так и самих средств и сервисов по защите. Поэтому ключевой фактор для сервис-провайдера при построении промышленных систем – резервирование и дублирование физического оборудования, логических сервисов, сетевых компонентов, инженерных систем ЦОД, что безусловно существенно увеличивает инвестиции в подобные решения, но позволяет выдержать самые высокие требования заказчиков по доступности конечных сервисов.

 

 

Преимущества защищенных облачных сервисов

Во-первых, размещение информационных систем в защищенном облаке сервис-провайдера значительно сокращает затраты на ИТ-инфраструктуру, средства защиты информации, проведение аттестации в соответствии с законодательными требованиями.

Во-вторых, защищенные облака – это гибкое использование вычислительных ресурсов. Заказчик использует ровно те мощность и пропускную способность канала, которые необходимы ему в конкретный момент, и имеет возможность в любой момент увеличить объем запрашиваемых ресурсов и расширить канал либо сократить потребление ресурсов, если они ему не нужны.

В-третьих, в соответствии с п. 3 ст. 6 Закона № 152-ФЗ при передаче обработки персональных данных на сторону провайдера заказчик может на основании поручения обработки требовать соответствующего подтверждения того, что данные будут обрабатываться с определенной целью, в определенном объеме, в указанный срок, с использованием конкретного набора мер по защите. Таким образом, ответственность по защите информации полностью переносится на сторону провайдера.

 

Примеры подходов ведущих вендоров

Глобальные облачные провайдеры также добавляют в свои портфели услуг сервисы по безопасности, которые имеют ограниченное действие с точки зрения российского законодательства, когда заказчик размещает данные за пределами Российской Федерации. Это требует определенного ИТ-решения для обеспечения легитимности использования публичных облаков.

Для локализации персональных данных на территории России существуют подходы к созданию локальных защищенных сред обработки информации (содержащих максимальный объем персональных данных, которые затем могут быть в неизменном и неизменяемом виде переданы за пределы РФ), а также методы по обезличиванию персональных данных и передаче их за пределы страны. Важным условием успешной реализации таких подходов для международных компаний является организация из-за рубежа прямого защищенного подключения (с гарантированными техническими характеристиками) к российской инфраструктуре для первичной обработки персональных данных.

За последние три года многие вендоры, которые занимаются решениями по информационной безопасности, стали выпускать продукты, полностью выполняющие необходимый функционал в виртуализированных средах, где их можно использовать по гибким ОРЕХ-моделям. Это свидетельствует о том, что использование информационных систем в облачных средах является теперь неотъемлемой частью развития ИТ.

Для соблюдения технических требований по защите персональных данных в соответствии с требованиями Закона № 152-ФЗ и связанных с ним нормативных актов необходимо использовать средства защиты, прошедшие в установленном законодательством порядке оценку соответствия нормативным требованиям, относящимся к каждому типу средств защиты: системы защиты от несанкционированного доступа, средства межсетевого экранирования, средства анализа защищенности, средства обнаружения и предотвращения вторжений, средства криптографической защиты информации, средства антивирусной защиты и т. д. Российские и некоторые иностранные вендоры уже прошли такую оценку своих продуктов, которые успешно применяются для построения защищенных информационных систем.

Литература:

 

  1. https://en.wikipedia.org/wiki/Security_operations_center
  2. https://cloudsecurityalliance.org/
  3. http://tadviser.ru/a/82178
  4. http://www.consultant.ru/document/cons_doc_LAW_61801/
  5. http://fstec.ru/normotvorcheskaya/akty/53-prikazy/691
  6. http://fstec.ru/normotvorcheskaya/akty/53-prikazy/702-prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17

 

Поделиться:
Спецпроект

Форум «ИТОПК-2020» оценил потенциал господдержки

Подробнее
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее

Подпишитесь
на нашу рассылку