ЦБ РФ: Облачные технологии меняют менталитет
С недавних пор банки стали активно обращать внимание на «облака». Эта технология постепенно завоевывает доверие крупных организаций. И хотя никто не торопится переносить в данную среду свои критические бизнес-процессы, «облака» вполне успешно используются как тестовые полигоны. О проекте по развертыванию системы облачных вычислений на опытном стенде Центробанка рассказал Александр Шибаев, начальник управления обеспечивающих систем МЦИ Банка России.Выбор Trend Micro Deep Security 8.0 обусловлен тем, что указанное ПО является первым в своем роде решением с поддержкой сред VMware vSphere 5.0 и VMware vShield Endpoint 2.0 и за счет этого занимает лидирующие позиции в ряду продуктов защиты виртуальных сред. ПО Trend Micro Deep Security представлено комплексной платформой реализации механизмов защиты информации на виртуальных серверах и рабочих станциях в составе облачной инфраструктуры. Это позволяет применять конфигурации подсистемы защиты информации с использованием программных агентов, а также без них, включая средства межсетевого экранирования, средства защиты от вредоносного программного обеспечения, средства обнаружения и предотвращения сетевых вторжений, а также средства защиты веб-приложений, средства контроля целостности и средства проверки журнальных сведений. Функции по контролю целостности реализованы с использованием агентов Deep Security Agent. Безагентская защита от вредоносного кода на уровне гипервизора позволяет надежно защищать все объекты виртуальной среды.
Александр Шибаев: Нужно перестроить работу службы ИБ: она должна стать ответственным участником ИТ-процесса, а не сторонним контролером
В рамках реализации подсистемы информационной безопасности стенда предполагается использование продукта для 1 ESX или ESXi в рамках одного кластера. Продукт имеет сертификат ФСТЭК России по ТУ и уровню контроля отсутствия НДВ 4 класса.
Кроме того, мы используем решение vGate от компании "Информзащита". Оно контролирует доступ и осуществляет мандатное управление в «облаке», сертифицировано ФСТЭК. HyTrust HTA – продукт, который позволяет гибко управлять теми же функциями, которыми управляет vGate, но он более глубоко интегрирован с гипервизором. Кроме этого, было начато тестирование продуктов компании «Лаборатория Касперского», которая в прошлом году заявила свое намерение развивать и облачную тему. Таким образом, сейчас мы используем 4 решения разных вендоров.
Важно отметить, что это новое поколение продуктов информационной безопасности, и оно требует изменения в работе служб ИБ. Если мы ставим задачу быстрого удовлетворения требований пользователей в полном объеме, предоставления гарантированного ИТ-сервиса, то работа службы ИБ должна быть перестроена. Недостаточно обнаруживать и пресекать нарушения и составлять акты, создавать комиссии и проводить проверки соответствия состояния ИБ требованиям руководящих документов. Необходимо делать это в ритме бизнес-процесса. То есть службы ИБ должны стать полноценным и ответственным участником ИТ-процесса, а не сторонним контролером. Инструменты для этого есть. Необходимо менять документы и менталитет.
CNews: Как защититься от таргетированных атак? Назовите конкретные примеры.
Александр Шибаев: Сеть Банка России не связана ни с какими внешними сетями. Интернет у нас, безусловно, есть, мы им пользуемся. Для этого существует отдельная сеть, электронная почта передается через сложно организованный шлюз. Но этот сегмент отделен от промышленного «воздушной прослойкой», поэтому прямые атаки на нас невозможны. Это не делает защиту сетей сколько-нибудь проще.
Я согласен и разделяю позицию Банка России в отношении информационной безопасности. Суть ее в следующем. Человек, имеющий на своем столе компьютер, является полноценно вооруженным хакером, который может нанести вред организации. И неважно, что это условный хакер, например, работник предпенсионного возраста, который только набирает текст в Word'е. Я заостряю для наглядности, но смысл, думаю, ясен: у этого сотрудника есть инструмент, и он может им воспользоваться.
Системы, которые применяются внутри сети банка, позволяют отслеживать вредоносное ПО и аномальный трафик, передаваемые, например, сотрудником, который принес «заразу» на флешке. Нельзя же запретить абсолютно все, информация как-то должна к нам попадать! Внутри от потенциального нарушителя Банк России защищен очень серьезно. За годы своей работы здесь я помню всего один случай нарушения, да и тот не очень серьезный. В принципе, сотрудник банка может сделать то, что не запрещено (заметьте: не разрешено, а «не запрещено»). И породить некую аномальную ситуацию. Сеть банка контролируется и, чтобы обнаружить проблему, требуется совсем немного времени. Но все-таки время нужно!
В облаке мы можем без ущерба для пользователя, не затрудняя его работу, применить другую парадигму – «запрещено все, что не разрешено». То есть конкретно и детально описать права каждого пользователя, свойства каждого ресурса. В «физическом мире» это громадная работа, начиная с инвентаризации и заканчивая настройкой всех ПК. В «облаке» – быстрое определение политик безопасности и их реализация. У пользователя просто не остается возможности что-либо нарушить.
CNews: Какие сервисы перенесены в тестовую облачную среду?
Александр Шибаев: Во-первых, у нас развернут сервис IaaS. Тут главное понимать, кто выступает в роли потребителя. В данном случае это ИТ-сотрудник, обслуживающий, например, экономический отдел. Нам не нужно, чтобы аналитик, бухгалтер, кладовщик имели возможность самообслуживания до такой степени, чтобы заказывать количество ядер в виртуальном процессоре. Но мы можем выделить определенный ресурс ИТ-администратору, который обслуживает данное подразделение. При этом требования к квалификации и вероятность ошибок администратора существенно снижаются.