Андрей Новиков: «Сегодня в «облаках» уже вовсю гремит гром»::БИТ 01.2013
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
ноябрь    2024
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

показать все 

Новости партнеров

14.11.2024

Обновление BI.ZONE Secure DNS: гибкая настройка фильтрации и максимальная скорость

Читать далее 

14.11.2024

RED Security: в октябре количество DDoS-атак на ТЭК выросло в 3 раза

Читать далее 

14.11.2024

Falcongaze представила новую версию DLP-системы — SecureTower 7 Helium

Читать далее 

14.11.2024

ИСП РАН покажет результаты 30-ти лет работы на Открытой конференции в Москве

Читать далее 

08.11.2024

Юбилейная конференция ЭОС: ЭОС: 30 лет лидерства на рынке автоматизации документооборота и обсуждение актуальных трендов

Читать далее 

показать все 

Статьи

22.11.2024

Тандем технологий – драйвер инноваций.

Читать далее 

21.11.2024

ИИ: маршрут не построен, но уже проектируется

Читать далее 

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

Читать далее 

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

11.10.2024

Технологический ИИ-арсенал

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

показать все 

Андрей Новиков: «Сегодня в «облаках» уже вовсю гремит гром»

Главная / Архив номеров / 2013 / Выпуск №1 (24) / Андрей Новиков: «Сегодня в «облаках» уже вовсю гремит гром»

Рубрика: Гость номера


Андрей Новиков:
«Сегодня в «облаках» уже вовсю гремит гром»

На вопросы «БИТа» отвечает генеральный директор ЗАО «РНТ»

Андрей Новиков
Досье
Андрей Новиков, генеральный директор ЗАО «РНТ». Член-корреспондент Российской академии естественных наук, член-корреспондент Российской инженерной академии, кандидат технических наук. Окончил Московский электротехнический институт связи по специальности «радиотехника». Лауреат премии Совета Министров СССР. Заслуженный машиностроитель Российской Федерации. Увлечения: путешествия, охота, фотография.

– Андрей Алексеевич, в последнее время практически ни одного форума по вопросам информационной безопасности не обходится без обсуждения «облачной тематики». Это что, дань моде или действительно настолько актуальный вопрос,что от его решения зависит развитие в целом индустрии средств защиты информации в перспективных информационно-телекоммуникационных системах?

В вашем вопросе частично прозвучал и сам ответ. Действительно, в последнее время фактически все крупные форумы, посвященные развитию и практическому внедрению современных безопасных ИТ-технологий, не обходятся безрассмотрения вопроса использования облачных технологий в бизнесе, госструктурах, банковском деле и т.д.

Это связано с тем, что практически все эти направления деятельности для выполнения своих задач требуют все возрастающих вычислительных мощностей.

В свою очередь, увеличение вычислительных мощностей востребовало создание такой универсальной платформы, которая смогла бы обеспечить требуемое разделение ресурсов между различными пользователями и подразделениями, аглавное – обладать свойствами самоуправления и адаптации, гарантирующими необходимое масштабирование и динамизм.

Центральным вопросом практического внедрения таких платформ остаются вопросы обеспечения информационной безопасности самих систем и защиты информации, циркулирующей в «облаках».

Предлагаемые решения по информационной безопасности представляют собой широкий спектр реализаций от продуктов с многофункциональным набором средств защиты от различных типов угроз до узконаправленных решений дляотражения конкретных атак.

Однако пользователям «облаков» важно понимать, что массовое применение виртуализации не предлагает в настоящее время универсального решения вопроса защиты. Каждой компании со своей собственной ИТ-средой при вхождении в«облако» стоит задуматься над применением технологий защиты, сопоставимых с ее функциональными задачами и рисками.

Безусловно, факторы риска зависят от компетенции самой компании в области ИБ, но то, что вопросы обеспечения защиты собственной информации не стоит делегировать провайдеру облачных услуг при всех анонсированных им гарантиях соблюдения их безопасности, по-моему, достаточно очевидно.

ЗАО «РНТ»
Одна из крупнейших российских компаний, работающих в сфере обеспечения информационной безопасности корпоративных и государственных информационно-телекоммуникационных систем и ключевых объектов информатизации, была создана в 1993 году.

Основная задача «РНТ» – создание комплексной многоуровневой системы обеспечения информационной безопасности субъектов любого уровня, как для государственных учреждений, так и для частного бизнеса.

«РНТ» обладает собственной производственной базой и испытательной лабораторией.

Среди собственных разработок компании – маскиратор электромагнитных излучений и наводок «Маис», защищенная ПЭВМ серии «Обруч», система обнаружения атак «Форпост» и другие.

Инновационные продукты и технические решения «РНТ» применяются практически во всех секторах и отраслях информационной индустрии. Компания аккредитована в качестве официального поставщика товаров и услуг для нужд Организации Объединенных Наций.

ЗАО РНТ активно развивает свой технологический потенциал с учетом наметившейся тенденции слияния технологий «облачных» сервисов, мобильных технологий и социальных сетей в новую базовую платформу.

Предлагаемое ЗАО РНТ решение защищенной виртуальной компьютерной системы представляет собой многоуровневую среду, позволяющую контролировать работу операционной системы, периферийных устройств, сетевое взаимодействие, прикладное окружение пользователя.

– Не отстали ли мы в очередной раз от ведущих стран, «прозевав» стратегические тенденции «облачного» развития в области ИТ-технологий? Каково место России в этой области?

Следует отметить, что в США, ведущей стране в области практического внедрения облачных вычислений, только за последние два года официально вступили в действие такие основополагающие документы как Федеральная стратегия облачных вычислений (Federal Cloud Computing Strategy, февраль 2011), так и Стратегия облачных вычислений Министерства обороны (DoD Cloud Computing Strategy, июль 2012). Свой взгляд на развитие облачных платформ представили NIST Cloud Computing Standards Roadmap, компании IBM, Oracle и VmWare.

Согласно документу Federal Cloud Computing Strategy облачные вычисления имеют возможность сыграть революционную роль в изменении текущего положения дел в американском секторе информационных технологий. Из 80 миллиардов, выделяемых на весь сектор информационных технологий, 20 миллиардов будут освоены федеральным правительством для создания инфраструктуры «погружения» вычислительных платформ правительственных учреждений в облачные вычисления.

Активно развивает облачные технологии и Китай. Так Министерством науки и технологий Китая на 2012 год был запланирован рост объема рынка «облачных» технологий в Китае более чем на 60% по сравнению с 2011 годом. На развитие облачных вычислений Государственный комитет по вопросам реформ и развития, Министерство финансов, Министерство промышленности и информатизации Китая выделили в 2012 году 1,5 млрд юаней. На эти деньги после реализации пяти пилотных проектов в дальнейшем будут проработаны 12 главных проектов.

Безусловно, нам пока далеко до таких финансовых вливаний со стороны государства в область ИТ-технологий, а в данном случае в развитие облачных технологий. Однако, как это было в период конкуренции в области развития высокопроизводительной вычислительной техники, Россия находила свой адекватный ответ на стратегические вызовы.

Думаю, что при разработке соответствующей государственной стратегии развития прорывных ИТ-технологий, синхронизированных действий Правительства РФ, Совета Безопасности РФ, других федеральных органов исполнительной власти с участием огромного интеллектуального ресурса нашей академической среды, вузовской науки и бизнес-сообщества Россия сможет определить свое достойное место на рынке облачных технологий и глобальных облачных услуг.

– Как Вам представляется общая тенденция развития облачных вычислений? Точнее, какую нишу они займут на рынке информационных услуг?

Актуальность облачных вычислений связана со снижением затрат, масштабируемостью и гибкостью архитектуры информационных технологий. Облачные вычисления основаны на широком использовании технологии виртуализации.

Использование технологии виртуализации позволяет существенно повысить эксплуатационные характеристики создаваемых информационных систем (ИС), задействовав при этом механизмы, заложенные непосредственно в аппаратной архитектуре процессоров.

Сделать «прозрачным» для пользователей этих систем схему организации вычислительного процесса для реализации его функциональных задач, что фактически позволяет любому пользовательскому приложению использовать вычислительные мощности, совершенно не задумываясь о технологических аспектах. Тогда можно понимать «облако» как единый доступ к вычислениям со стороны пользователя.

В глазах потребителей сервиса основным преимуществом облачных вычислений является, пожалуй, отсутствие необходимости закупать все соответствующее оборудование и ПО, а затем поддерживать их работу. Развитие и внедрение этой идеологии определяет совершенно новый взгляд на построение систем защиты.

– Насколько постановка вопроса о создании средств защиты облачных технологий отличается от традиционных подходов к обеспечению защиты распределенных систем?

На нынешнем этапе развития облачных вычислений выявлен ряд уязвимостей, связанных не только и не столько с классическими угрозами для распределенных информационных систем, но и с принципиально новыми угрозами, порожденными спецификой виртуализации.

Организация вычислительных процессов в информационной системе на основе механизмов виртуализации предоставляет нарушителю больше возможностей, чем в классической распределенной архитектуре информационной системы предыдущего поколения.

Отсюда возникает необходимость разработки новых подходов к анализу уязвимостей виртуальных сред.

– Всё-таки, в чем Вы видите основные угрозы использования облачных технологий для обычных пользователей?

В основном пользователи не могут понять, как в облаках решать проблемы защиты собственных данных. Причём проблема кроется уже в самом принципе «облачности» выполняемых процедур: пользователь не знает, где обрабатываются его данные, а следовательно, не может и контролировать процедуры их обработки и возможной утечки.

Это приводит к тому, что пользователям приходится просто доверять хостинг-провайдеру, который, впрочем, не предоставляет никакой гарантии защиты данных своим клиентам.

Реальной и, пожалуй, единственной гарантией действенного контроля за данными и вычислениями может выступать только шифрование. Передаваемые данные всегда должны быть зашифрованы и доступны пользователю только после выполнения процедуры аутентификации. Процесс передачи ключа шифрования и взаимной аутентификации пользователя и серверов облака также должен быть построен на основе криптографии с открытым ключом. Такой подход гарантирует, что эти данные не сможет изменить или прочитать ни одно лицо, даже если оно получит к ним доступ посредством взлома ненадежных узлов в сети. Упомянутые технологии базируются на хорошо апробированных надежных протоколах и алгоритмах (например TLS, IPsec и AES), которые и должны быть использованы провайдерами.

Однако пока законченных решений, которые бы гарантировали криптографическую защиту данных при обработке их в облаке, нет ни в одном предложении рыночных продуктов.

– Вы отметили, что у пользователя облачных технологий нет возможности гарантированного контроля прохождения и обработки собственных данных. В то же время уже сейчас начинают разворачиваться «облака» в интересах Минздрава, а со временем в эти процессы будут наверняка вовлечены и другие российские ведомства. Как это согласуется с требованиями закона ФЗ-152 «О персональных данных»?

Действительно, для российских операторов облачных сервисов есть дополнительная проблема, связанная с нерешенными законодательными проблемами.

Дело в том, что практически все облачные приложения базируются на иностранных платформах виртуализации. Российские пользователи не имеют возможности встраивать в платформу виртуализации отечественные алгоритмы шифрования, что затрудняет реализацию криптографической защиты персональных данных, что, как я уже отметил выше, является единственной гарантией контроля их обработки.

Хотя есть несколько стандартов, которые специфицируют использование российской криптографии, однако заставить иностранных производителей реализовать их будет непросто.

В то же время, даже в условиях вступления России в ВТО, международные стандарты шифрования у нас использовать не принято, поэтому у российских операторов, которые попытаются это сделать, могут возникнуть юридические проблемы.

Наиболее серьёзные проблемы возникнут у операторов облачных услуг, если они попытаются перенести в облако персональные данные своих клиентов. Подобную систему обработки персональных данных по своему характеру можно отнести к системам с распределённой обработкой информации, что по регламентирующим документам требует использования криптографии, сертифицированной в соответствии с действующим законодательством по требованиям ФСБ.

Насколько мне известно, облачных приложений, которые прошли бы подобную процедуру, пока в России нет, и вряд ли в ближайшее время появятся.

В то же время с точки зрения соблюдения буквы закона «О персональных данных» юридически вообще не понятно, кто является владельцем системы, если хотя бы часть её находится в «облаке».

Таким образом, пока мы можем констатировать, что в ближайшее время вряд ли кому-либо из российских операторов облачных сервисов удастся привести облачную инфраструктуру в соответствие с требованиями закона ФЗ-152.

Но этим вопросом надо обязательно заниматься, и безотлагательно, иначе все преимущества от использования операционных облачных сред превратятся в малоперспективное «метание в облаках».

– Хорошо известно, что информационная безопасность каждой технологии, каждого ИТ-продукта и решения должна закладываться на этапе их разработки. Реализуется ли этот принцип для облаков?

Компании и рядовые граждане игнорируют необходимость обеспечения информационной безопасности до тех пор, пока, как говорится, гром не грянет. А сегодня в «облаках» гром уже гремит вовсю. За последние пару лет стали известны факты утраты конфиденциальной информации многих компаний и частных граждан. Поэтому вопросам информационной безопасности пользователи и создатели информационных продуктов и услуг стали уделять заметно больше внимания.

Если до недавнего времени «точкой входа» к корпоративным заказчикам были, как правило, только специалисты в области информационной безопасности, то сегодня наряду с ними это и руководители ИТ-служб, и топ-менеджеры, игенеральные директоры компаний, что явно свидетельствует о том, что задача обеспечения информационной безопасности стала для бизнеса одной из главных.

Со своей стороны ИБ-вендоры выводят на рынок все больше средств обеспечения безопасности, разработанных специально для «облаков», и они позволяют существенно снизить облачные ИБ-риски. ЗАО «РНТ» имеет свои уникальные продукты, которые мы уже сейчас сможем предложить рынку после завершения проводимой в настоящее время процедуры их сертификации.

– Какие конкретно угрозы Вам представляются новыми в облачных вычислениях?

Облачные вычисления основаны на сетевой централизованности, виртуализации и связанных с этими факторами динамичностью и гибкостью при создании новых функций приложений.

Однако уже на нынешнем этапе развития облачных вычислений выявлен ряд уязвимостей, связанных, как я уже отметил выше, не только с классическими угрозами для распределенных автоматизированных систем, но и с принципиально новыми угрозами, порожденными спецификой виртуализации.

К специфическим угрозам, например, относятся следующие:

  • Механизмы виртуализации основаны на разделении общих ресурсов. При этом появляется огромное количество каналов межпрограммного и даже межплатформенного взаимодействия, которые связаны с защищаемыми информационными ресурсами и не поддаются анализу. Быстрое и гибкое изменение архитектуры предоставляет нарушителю больше возможностей, чем в классической архитектуре.
  • Информационные системы, использующие механизмы виртуализации, снабжаются большим набором механизмов безопасности и правил их использования. Однако выявлены многочисленные уязвимости, связанные сневозможностью и (или) неумением анализировать непротиворечивость и другие свойства совместного применения многочисленных механизмов безопасности. То есть синергетический эффект от их совместного использования может быть и отрицательным.
  • Появились новые типы распределенных вирусов, а также возникают и новые типы скрытого взаимодействия виртуальных систем на одном физическом сервере. Эти «скрытые виртуальные туннели» для злоумышленных целей еще требуют разработки механизмов и инструментария своего выявления, осознания, классификации и необходимости разработки упреждающих и блокирующих действий пользователей облачных услуг.

Можно отметить и ряд других угроз, но выделенные выше являются, на мой взгляд, основными.

– В чем состоит сложность реализации средств защиты для информационных систем, построенных на облачных технологиях?

Сложностей в реализации облачной информационной безопасности остается немало. Наиболее серьезной проблемой, на мой взгляд, здесь является комплексная идентификация ИТ-пользователей, учитывающая множество параметров и их изменения, и характеризующая состояние, в котором пользователи находятся при обращении к ИТ-ресурсам: их ролевые полномочия, тип конечной точки доступа, место и время обращения, и т.д.

Одна из самых сложных проблем обеспечения информационной безопасности подобных информационных систем – динамическое изменение вычислительного процесса, которое является одним из основных преимуществ виртуализации,но нарушает принцип детерминированности модели защиты для существующих систем с фиксированным периметром защиты. Отсюда возникает необходимость разработки новых подходов к анализу уязвимостей виртуальных сред.

Такие методы должны быть основаны на инвариантности проводимого анализа относительно динамичного изменения конфигурации виртуальных сред и по возможности легко и быстро учитывать появление новых недоверенных приложений и информационных технологий.

Разработка технологий реализации и сопровождения виртуальных сред в форме типовых решений, учитывающих проблемы безопасности информационных ресурсов, позволят эффективно решать задачи обеспечения их защищенности длявыбранного класса информационных систем.

– Какие направления исследований Вам представляются первоочередными?

Среди первоочередных задач по выработке подходов к обеспечению информационной безопасности «облаков» я бы отнес следующие:

  • исследование вопросов наличия уязвимостей виртуальных сред;
  • построение классификации уязвимостей виртуальных сред;
  • разработку типовой модели угроз для виртуальных сред;
  • разработку типовых решений по реализации виртуальных сред, обеспечивающих защищенность обрабатываемых информационных ресурсов.

– Какие актуальные задачи возникают при создании и эксплуатации информационных систем на основе облачных вычислений?

Одной из актуальных задач, возникающих при создании и эксплуатации такого рода информационных систем, является обеспечение возможности использования в их составе недоверенного программного обеспечения (ПО) с сохранением соответствия самих информационных систем требованиям по безопасности.

В качестве возможного решения может быть рассмотрено использование технологии виртуализации, позволяющей изолировать потенциально опасное ПО. Необходимо исследовать состав механизмов защиты и организацию обработки информации в каждой создаваемой информационной системе, вопросы оценки степени доверия к заявленным механизмам защиты информации в случае использования механизмов виртуализации и определения уровня защиты, использующих эту технологию информационных систем, сформулировать класс задач в области защиты информации, которые могут быть решены с использованием указанной технологии.

Разработка ЗАО «РНТ» собственных подходов к реализации информационных систем различного прикладного назначения с использованием технологий виртуализации в форме типовых решений, учитывающих существующие ипрогнозируемые проблемы безопасности информационных систем, позволит эффективно решать задачи обеспечения требуемого уровня их защищенности для выбранного класса информационных систем.

Наш опыт применения разработанных компанией подходов к реализации комплексной защиты информации в конкретных корпоративных системах дает нам основание считать, что мы идем верным путем.

Беседовал Петр Царев

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №06 (139) 2024г.
Выпуск №06 (139) 2024г. Выпуск №05 (138) 2024г. Выпуск №04 (137) 2024г. Выпуск №03 (136) 2024г. Выпуск №02 (135) 2024г. Выпуск №01 (134) 2024г.
Вакансии на сайте Jooble

БИТ рекомендует

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика