ЦБ РФ: Облачные технологии меняют менталитет
С недавних пор банки стали активно обращать внимание на «облака». Эта технология постепенно завоевывает доверие крупных организаций. И хотя никто не торопится переносить в данную среду свои критические бизнес-процессы, «облака» вполне успешно используются как тестовые полигоны. О проекте по развертыванию системы облачных вычислений на опытном стенде Центробанка рассказал Александр Шибаев, начальник управления обеспечивающих систем МЦИ Банка России.Появление «облака» все меняет. У пользователя в «облаке» появляются инструменты по автоматизированному, простому и быстрому развертыванию виртуальных машин, установке на них разрешенного ПО. С помощью этих машин можно произвести как полезные действия, так и недопустимые. Внедрение «облака» требует пересмотреть подход к информационной безопасности: контролировать вход недостаточно, требуется защищать именно ресурсы и контролировать потребление и использование сервисов. Вход в систему должен быть единой и единственной для всех пользователей точкой подключения к «облаку». Внутри должно быть обеспечено контролируемое предоставление сервиса и контроль доступа к ресурсам. Приведу пример. Мой физический компьютер имеет IP-адрес и подключен к сетевому порту. На всем тракте подключения – ПК, сетевое оборудование, доступ к файловым серверам и др. – меня проверяют, и понятно, что работаю именно я, потому что я авторизовался – ввел пароль и т. д.
Александр Шибаев: Создание ПО для «облака» – крайне сложная задача, сделав многомиллиардную инвестицию, не стоит рассчитывать на мгновенное создание таких продуктов
Когда мне дают в пользование виртуальную машину, у меня становится уже не один IP-адрес, а два. Один используется для терминала, а второй – в той самой виртуальной среде. Можно установить, кто работал на терминале. А как проверить, какие изменения внесены в виртуальную среду? Санкционированы они или нет? Службы информационной безопасности должны получить возможность четко отвечать на эти вопросы. На стенде мы провели тестирование специализированных программных решений по информационной безопасности.
CNews: Какая стратегия обеспечения безопасности «облака» выбрана в Банке России?
Александр Шибаев: За основу требований к ИБ облачной инфраструктуры взяты замечания и первичный перечень уязвимостей (который сейчас уже расширен, углублен и осознан), составленные главным управлением безопасности и защиты информации. В результате опытный участок облачных вычислений представляет из себя cloud-ready-систему, на которой установлены средства автоматизации управления и мониторинга – те, которые составляют именно облачную функциональность, и продукты информационной безопасности, которые закрывают обозначенные проблемы.
Если говорить о функциональности этих продуктов и не произносить слово «облачный», то требования никого не удивят. В «облаке» должна быть защита от вредоносного кода, должен быть контроль и разграничение доступа на сетевом уровне, на уровне доступа к различным приложениям и виртуальным машинам. Если мы к этим понятиям прибавим определения «виртуальный» и «облачный», то следует вывод, что все виртуальные машины нужно защищать, например, от вредоносного кода на уровне гипервизора. Основная парадигма «облака» такова: общие для виртуальных машин задачи должны выполняться централизовано, на уровне гипервизора. Узнаете? Это концептуальная основа SaaS. Если у нас сотня виртуальных машин, нет смысла на каждую ставить отдельные антивирусные средства. Правильнее сделать это централизованно.м
Существует защита и на сетевом уровне. Это значит, что мы имеем виртуальную, развернутую в «облаке» локальную вычислительную сеть, которая должна подчиняться ровно таким же законам и быть настолько же удобна в эксплуатации, как и сеть физическая. Требования по авторизации и идентификации пользователей должны соблюдаться те же. При этом надо постараться избежать перехода ответственности – физическую ЛВС (другими словами, путь до «облака») администрирует «сетевик», виртуальную ЛВС (та, что в «облаке») – администратор серверов. Необходимо расширить зону администрирования сетевого администратора на виртуальную среду. Сетевые интерфейсы виртуальных машин должен настраивать серверный администратор, физические и виртуальные коммутаторы, файерволы, сети и подсети – администратор ЛВС. Решения для реализации такого подхода уже появились.
Надо сказать, что год работы показал правильность нашего подхода к организации «облака». Также выявился важный факт: создание программных продуктов для «облака» – крайне сложная задача. Сделать многомиллиардную инвестицию и создать такие продукты мгновенно – нельзя. На российском рынке представлены не более пяти серьезных решений по информационной безопасности в «облаке», удовлетворяющих требованиям крупной организации. И новые что-то не появляются.
CNews: Какие конкретно решения по защите у вас реализованы?
Александр Шибаев: На стенде мы установили и используем несколько взаимно дополняющих продуктов по обеспечению информационной безопасности.
Основа – ПО VMware vShield Endpoint, которое имеет встроенные механизмы используемых в рамках облачной инфраструктуры средств VMware vSphere/ESX/ESXi через специализированный интерфейс VMsafe API. Это позволяет сторонним производителям программного обеспечения, реализующего механизмы антивирусной защиты и информационной безопасности в виртуальной среде, оптимально интегрировать свои решения со средствами виртуализации VMware vSphere. Для программных решений виртуализации фирмы Microsoft аналогичный функционал не предлагается.