Концепция Облачных Технологий

• Постоянное обновление программ. В любое время, когда пользователь запускает удаленную программу, он может быть уверен, что эта  программа имеет последнюю версию - без необходимости что-то переустанавливать  или платить за обновления.

• Увеличение доступных  вычислительных мощностей. По сравнению  с персональным компьютером вычислительная мощь, доступная пользователю "облачных" компьютеров, практически ограничена лишь размером "облака", то есть общим  количеством удаленных серверов. Пользователи могут запускать более  сложные задачи, с большим количеством  необходимой памяти, места для  хранения данных, тогда, когда это  необходимо. Иными словами, пользователи могут при желании легко и  дешево поработать с суперкомпьютером без каких-либо фактических приобретений.

• Неограниченный объем  хранимых данных. По сравнению с  доступным местом для хранения информации на персональныхкомпьютерах объем  хранилища в "облаке" может  гибко и автоматически подстраиваться под нужды пользователя. При хранении информации в "облаке" пользователи могут забыть об ограничениях, накладываемых  обычными дисками, - "облачные" размеры  исчисляются миллиардами гигабайт доступного места.

• Совместимость с большинством операционных систем. В Cloud Computing операционные системы не играют никакой роли. Пользователи Unix могут обмениваться документами с пользователями Microsoft Windows и наоборот без каких либо-проблем. Доступ к программам и виртуальным компьютерам происходит при помощи веб-браузера или другими средствами доступа, устанавливаемые на любой персональный компьютер с любой операционной системой.

• Улучшенная совместимость  форматов документов. Если пользователи пользуются одной "облачной" программой для создания и редактирования документов, у них просто нет несовместимости  версий и форматов, в отличие от тех, кто, например, получит документ Word 2007 и не сможет прочитать его  на локальном компьютере с Word 2003 или OpenOffice. Хорошим примером совместимости  является офисный пакет Google Docs, позволяющий  совместную работу над документами, презентациями и таблицами имея под рукой любой компьютер  с веб-браузером.

• Простота совместной работы группы пользователей. При работе с  документами в "облаке" нет  необходимости пересылать друг другу  их версии или последовательно редактировать  их. Теперь пользователи могут быть увереными, что перед ними последняя  версия документа и любое изменение, внесенное одним пользователем, мгновенно отражается у другого. Только представьте себе, как 100 человек  одновременно редактируют макет  книги - совместная работа в реальном времени!

• Повсеместный доступ к  документам. Если документы хранятся в "облаке", они могут быть доступны пользователям в любое время  и в любом месте. Больше нет  такого понятия как забытые файлы: если есть Интернет - они всегда рядом.

• Всегда самая последняя  и свежая версия. В "облаке" всегда находится самая последняя и  самая свежая версия программы или  документа.

• Доступность с различных  устройств. Пользователи Cloud Computing имеют  гораздо более широкий выбор  устройств доступа к документам и программам. Теперь можно выбирать между обычным персональным компьютером, ноутбуком, Интернет-планшетом, наладонником, смартфоном или нетбуком.

• Дружелюбие к природе, экономное расходование ее ресурсов. Cloud Computing позволяет не только экономить  на электричестве, вычислительных ресурсах, физическом пространстве, занимаемом серверами, но и разумно подходить  к расходованию природных ресурсов. Центры обработки информации, те самые "облака", можно расположить в более прохладном климате, пользователи могут заменить тяжелые, ресурсоемкие компьютеры и ноутбуки на легкие и экономичные нетбуки. При этом экономится не только электроэнергия и место, но и материалы, из которых все это изготавливается.

• Устойчивость данных к  потере или краже оборудования. Если данные хранятся в "облаке", их копии  автоматически распределяются по нескольким серверам, возможно находящимся на разных континентах. При краже или  поломке персональных компьютеров  пользователь не теряет ценную информацию, которую он к тому же может получить с любого другого компьютера. Кто-то может возразить, что резервное  копирование на другой персональный компьютер или на другие носители информации, например, DVD диски или  флэш-накопители, также обезопасит данные. Но в последнем случае надо учесть два момента. Во-первых, за резервным  копированием надо следить и регулярно  его выполнять. Во-вторых, данные методы не обеспечивают физической безопасности, например, от пожара, воровства итп. Примечателен случай пассажира, потерявшего  свой компьютер с ценной информацией  при вынужденной посадке самолета на реку. У него была копия данных на втором компьютере, но последний  находился в багажном отделении  самолета... В России физическая безопасность данных, на наш взгляд, еще более  актуальна, если учесть незаконные изъятия  компьютеров различными службами, рейдерские захваты офисов, плохую пожарную безопасность и прочие вполне предвиденные обстоятельства.

Недостатки

• Постоянное соединение с  сетью Интернет. Cloud Computing всегда требует  соединения с сетью Интернет. Или  почти всегда. Некоторые "облачные" программы загружаются на локальный  компьютер и используются в то время, когда Интернет недоступен. В  остальных случаях, если нет доступа  в Интернет - нет работы, программ, документов. Это наверное самый сильный  аргумент против Cloud Computing. Но признайтесь  честно, как сейчас современному человеку обойтись без услуг, доступных в  сети Интернет? Также не обойтись, как  и без мобильного телефона, платежных  карт и многого другого. Многие уже  ни дня не могут обойтись без электронной почты. Поэтому, учитывая развитие современного мира, Интернет будет доступен всегда и везде, где Вы находитесь, как, например, электричество и вода.

• Плохо работает с медленным  Интернет-доступом. Многие "облачные" программы требуют хорошего Интернет-соединения с большой пропускной способностью. Если Вы "счастливый" обладатель модема 56К, Вам можно только посочуствовать. Сегодня все реже и реже встречаются  старые неоптоволоконные магистрали для  сети Интернет, скорости доступа постоянно  растут, а цены - снижаются.

• Программы могут работать медленнее чем на локальном компьютере. Некоторые программы, в которых  требуется передача значительного  количества информации, будут работать на локальном компьютере быстрее  не только из-за ограничений скорости доступа в Интернет, но и из-за загруженности удаленных серверов и проблем на пути между пользователем  и "облаком".

• Не все программы или  их свойства доступны удаленно. Если сравнивать программы для локального использования  и их "облачные" аналоги, последние  пока проигрывают в функциональности. Например, таблицы Google Docs имеют гораздо  меньше функций и возможностей, чем Microsoft Excel.

• Безопасность данных может  быть под угрозой. Здесь ключевым является слово "может". Все зависит  от того, кто предоставляет "облачные" услуги. Если этот кто-то надежно шифрует  Ваши данные, постоянно делает их резервные  копии, уже не один год работает на рынке подобных услуг и имеет  хорошую репутацию, то угрозы безопасности данных может никогда не случиться. Как сказал известнейший специалист по криптографии и компьютерной безопасности Брюс Шнайер, весь вопрос в доверии.

Если Ваши данные в "облаке" потеряны, они потеряны навсегда. Это  факт. Но потерять данные в "облаке" гораздо сложнее, чем на локальном  компьютере.

Несмотря на то, что количество плюсов превосходит минусы, в каждой конкретной ситуации они имеют большую  важность или, наоборот, не имеют никакого значения. Каждый выбирает сам.

Безопасность  для облачных вычислений

Сегодня облачные вычисления, позволяющие компаниям передать на аутсорсинг их процессы обработки  данных коммерческим провайдерам таких  услуг, стали популярным, уже достаточно большим и быстрорастущим рынком. Но природа облачных вычислений заставляет клиентов задуматься о защищенности данных и безопасности такой услуги. Если данные или их обработка не находятся под непосредственным контролем компании — владельца  информации, то у нее есть повод  для беспокойства.

Количественные и качественные оценки рынка облачных вычислений показывают его устойчивость и стабильный рост. Разные аналитики оценивали его  объемы в 2009 г. от 7,5 до 7,8 млрд долл., прогнозируя  к 2014 г. рост до 12,5-14,0 млрд долл. В отчетах  аналитических фирм приводились  цифры, что при опросах около  половины ИТ-менеджеров сообщали об использовании  или планировании использования  облачных вычислений. В приводимых ниже результатах исследования компании Heavy Reading Insider «Cloud Services Fly Into Some Security Turbulence», посвященном безопасности облачных вычислений, были использованы данные таких компаний-провайдеров этих сервисов, как Amazon Web Services, AT&T, GoGrid Cloud Hosting; Google, IBM, Joyent, Rackspace Hosting, Savvis, Terremark Worldwide, VMware и Verizon Communications.

Главная проблема таких сервисов — отсутствие принятого большей  частью рынка стандарта обеспечения  безопасности облачных вычислений. Несмотря на существование разных сертификационных процедур и тестов, базирующихся на критериях и требованиях безопасности, единого подхода и методики для  обеспечения защищенности облачных вычислений пока нет, нет и единой методики проверки адекватности защиты провайдера подобных сервисов. Клиенты, чтобы получить какие-то гарантии защищенности своих данных, пока должны «блуждать» в море сертификатов, законов, регуляторных требований, разных стандартов и методологий, широко применяемых на основе «лучших  практик», но пока официально не принятых. Часто провайдеры, точно знающие, какой защищенности им достаточно, не могут подтвердить, что таковая  достигнута. И особую озабоченность  вызывает виртуализация.

Вместе с тем, организованная в апреле 2009 г. ассоциация защищенности облачных вычислений — Cloud Security Alliance (CSA) — уже разрабатывает соответствующий  набор критериев. Но пока этот набор  нельзя использовать как практический инструмент для подтверждения защищенности потенциальных клиентов.

Гарантия безопасности в  модели облачных вычислений важна больше, чем в традиционной модели, поскольку  перемещение обработки данных в  недоверенную среду таит опасность  потери этих данных. Но уже имеется  множество потенциальных провайдеров  таких сервисов, поэтому рынок  заинтересован в решении этой, ставшей главной, проблемы облачных вычислений. В то же время, обеспечение  облачной защищенности — задача чрезвычайно  сложная, так как добавляет ее к уже существующим множественным  проблемам безопасности, возлагая все  это на ИТ-менеджеров.

Пока для клиентов нет  быстрого и понятного способа  убедиться, что облачные вычисления надежно защищены, но есть путь ускорить достижение этой цели — активное просвещение  и обучение клиентов, чтобы они  понимали и суть проблем и возможности  их решения. И это следует делать не только на уровне CSA, но и на уровне провайдеров таких сервисов

Классы угроз

           • Традиционные атаки на ПО. Они связанные с уязвимостью сетевых протоколов, операционных систем, модульных компонент и других. Это традиционные угрозы, для защиты от которых достаточно установить антивирус, межсетевой экран, IPS и другие обсуждаемые компоненты. Важно только, чтобы эти средства защиты были адаптированы к облачной инфраструктуре и эффективно работали в условиях виртуализации.

• Функциональные атаки  на элементы облака. Этот тип атак связан с многослойностью облака, общим  принципом безопасности, что общая  защита системы равна защите самого слабого звена. Так успешна DoS-атака  на обратный прокси, установленный  перед облаком, заблокирует доступ ко всему облаку, не смотря на то, что  внутри облака все связи будут  работать без помех. Аналогично SQL-инъекция, прошедшая через сервер приложений даст доступ к данным системы, не зависимо от правил доступа в слое хранения данных. Для защиты от функциональных атак для каждого слоя облака нужно использовать специфичные для него средства защиты: для прокси - защиту от DoS-атак, для веб-сервер - контроль целостности страниц, для сервера приложений - экран уровня приложений, для слоя СУБД - защиту от SQL-инъекций, для системы хранения - резервное копирование и разграничение доступа. В отдельности каждые из этих защитных механизмов уже созданы, но они не собраны вместе для комплексной защиты облака, поэтому задачу по интеграции их в единую систему нужно решать во время создания облака.

• Атаки на клиента. Этот тип атак отработан в веб-среде, но он также актуален и для облака, поскольку клиенты подключаются к облаку, как правило, с помощью  браузера. В него попадают такие  атаки как Cross Site Scripting (XSS), перехваты  веб-сессий, воровство паролей, "человек  посредине" и другие. Защитой от этих атак традиционно является строгая  аутентификации и использование  шифрованного соединения с взаимной аутентификацией, однако не все создатели "облаков" могут себе позволить  столь расточительные и, как правило, не очень удобные средства защиты. Поэтому в этой отрасли информационной безопасности есть еще нерешенные задачи и пространство для создания новых  средств защиты.

• Угрозы виртуализации. Поскольку  платформой для компонент облака традиционно являются виртуальные  среды, то атаки на систему виртуализации  также угрожают и всему облаку в целом. Этот тип угроз уникальный для облачных вычислений, поэтому  его мы подробно рассмотрим ниже. Сейчас начинают появляться решения для  некоторых угроз виртуализации, однако отрасль эта достаточно новая, поэтому пока сложившихся решений  пока не выработано. Вполне возможно, что  рынок информационной безопасности в ближайшее время будет вырабатывать средства защиты от этого типа угроз.

• Комплексные угрозы "облакам". Контроль облаков и управление ими  также является проблемой безопасности. Как гарантировать, что все ресурсы  облака посчитаны и в нем нет  неподконтрольных виртуальных машин, не запущено лишних бизнес-процессов  и не нарушена взаимная конфигурация слоев и элементов облака. Этот тип угроз связан с управляемостью облаком как единой информационной системой и поиском злоупотреблений  или других нарушений в работе облака, которые могут привести к излишним расходам на поддержание работоспособности информационной системы. Например, если есть облако, которое позволяет по представленному файлу детектировать в нем вирус, то как предотвратить воровство подобных детектов? Этот тип угроз наиболее высокоуровневый и, я подозреваю, что для него невозможно универсального средства защиты - для каждого облака ее общую защиту нужно строить индивидуально. Помочь в этом может наиболее общая модель управления рисками, которую нужно еще правильно применить для облачных инфраструктур.

Первые два типа угроз  уже достаточно изучены и для  них выработаны средства защиты, однако их еще нужно адаптировать для  использования в облаке. Например, межсетевые экраны предназначены на защиты периметра, однако в облаке непросто выделить периметр для отдельного клиента, что значительно затрудняет защиту. Поэтому технологию межсетевого  экранирования нужно адаптировать к облачной инфраструктуре. Работу в этом направлении сейчас активно  ведет, например, компания Check Point.