Оценка рынка облачных услуг и технологий
За 2010 год IDC оценивает объем российского рынка облачных услуг в 35 млн. долл. В 2010 году объем рынка публичных облачных услуг в России составил 13 млн. долл., из них на проектные услуги пришлось 38%. Объем рынка частных облачных услуг был гораздо шире и достигал 22 млн. долл., однако доля проектных услуг здесь значительно выше и оценивается в 73%.
Приведенные цифры подтверждаются и тенденциями развития самой технологии. Положение вещей в области развития технологии можно проследить в отчете Gartner: Hype Cycle for Cloud Computing 2011. Для простоты оценки Gartner ввел понятие Цикла зрелости технологий, которое представляет собой кривую исходя из стадий жизненного цикла решения.
Из графика видно, что облачные сервисы сейчас находится на самом пике. Становится понятно, почему большинство компаний производителей так рьяно пытаются уцепиться и занять свое место в этой отрасли. Неизбежное снижение интереса к данному направлению можно смело прогнозировать уже к концу 2012 года, когда потребуется переосмысление существующего подхода в области облачных вычислений. При этом выход из застоя на “прямую продуктивности” потребует серьезных решений, основополагающим из которых будет стандартизация “облака”.
Наилучших прогнозов стоит ожидать тем компаниям, которые максимально подстроились и выбрали правильное направление развития уже сегодня. Если сегодня прогнозы строить достаточно проблематично, совсем не понятно какое же направление станет самым верным. Все же опираться есть на что, одним из интересных докладов в этой области стало сравнение поставщиков облаков от Forrester Market Overview: Private Cloud Solutions, Q2 2011.
Сравнение проходило по 10 параметрам, за каждый из которых компаниям выставлялся бал от 1 до 4. Суммарный итог позволяет оценивать успешность выбранной стратегии тех или иных компаний, при этом примечательно, что из списка четко выделяются группы разработчиков:
Вендоры создания и управления систем для крупнейших предприятий:
Производители гипервизоров и операционных сред: Microsoft and VMware. Лидирующие провайдеры гипервизоров и виртуализации, которые создают на собственных решениях полноценные облака. Имеют комплексные решения по масштабируемой постройке облаков любого уровня: V-Block и Hyper-V.
Конвергентные инфраструктурные решения: Dell and HP. Эти решения совмещают аппаратные и программные средства в единое моновендорное “облако”. HP CloudSystem — первая облачная технология, построенная полностью на продуктах одного производителя. Решения от DELL построено на собственных компонентах компании и программных продуктах технологических партнеров.
Полноценные облачные решения: Abiquo, Cloud.com, Enomaly, and Eucalyptus. В этой категории представлены вендоры не имеющие истории управления системами, построившие облака для собственных нужд. В результате, их продукты гораздо более интегрированы под определенные нужды, но имеют совершенно различные подходы в реализации и идеологии.
Решения распределенных вычислений (Grid): Hexagrid, Platform Computing, and Tibco. Вендоры данной группы, имея обширный опыт внедрения и использования распределенных вычислений, модифицировали их в облачные технологии.
Forrester подчеркивает, что не стоит забывать и об анонсированных решениях в области облачных вычислений. Среди таких игроков, готовых прийти на рынок полнофункциональных облаков, выступают: Cisco Systems, Citrix Systems,Enomaly, Fujitsu, Gale Technologies, Intalio, Nimbula, NRE Alliance (a joint venture of Eucalptus,MomentumSI, newScale, and rPath), Parallels, Quest Software, Red Hat, ThinkGrid, Unisys, VCE (альянс Cisco, EMC и VMware) и Zimory.
Угрозы от “облака”
Становится очевидным, что основой перехода к облачной модели в конечном итоге становится вопрос контроля собственных данных, обеспечения безопасности и ответственности за несанкционированные и неправомерные действия внутри облака. В России компании неизбежно сталкиваются с целым рядом животрепещущих вопросов, которые навеяны требованиями регуляторов, стандартов отдельных отраслей, спецификой деятельности компаний или законодательной базой. Основные вопросы к технологиям реализации публичных и приватных облаков это:
- Как защитить обработку и хранение ПДн в облаке?
- Как обеспечить нужный бизнесу уровень безопасности?
- Какой будет размер ущерба в случае отказа облака или утечки?
- Как расследовать инциденты безопасности в облаке?
- Как прекратить доступ злоумышленникам в случае утечки?
- Как восстановить управление облаком в случае отказа?
- Как выполнять требования регуляторов и как подтверждать их выполнение?
- Как оценить и уменьшить масштабы бедствия в случае инцидента?
- Где конкретно будут храниться данные?
- Надежно ли удаляются ненужные данные?
Задача внедрения “облака” неизбежно связано с требованиями обеспечения информационной безопасности. Продвижение облачных технологий происходит на конкурентном рынке, многие поставщики и разработчики опускают вопросы защиты даже от классических угроз, чтобы например не раздувать бюджеты. Что уж говорить о совсем специфичных угрозах, которые сопутствуют и появляются в этих областях еженедельно, и связаны с появлением многих, ранее неизвестных элементов информационной среды. К сожалению даже в редком стремлении построить защищенное облако компании сталкиваются с проблемами невозможности применения классических средств защиты и необходимости пересмотра многих вопросов безопасности. На множественные просьбы и пожелания со стороны клиентов, компания VmWare выпустила небольшой документ, где попыталась кратко изложить основные задачи обеспечения защиты облачных вычислений. Компания предлагает ряд предписаний, которые берут свое начало от наиболее острых проблем связанных с виртуализацией и облачными вычислениями. Изолирование сетей
1. Изолирование сетей управления
2. Изолирование сетей миграции виртуальных контейнеров и IP сетей хранения данных
3. Изолирование клиентских сетей
4. Безопасный доступ клиентов к облаку
5. Защищенный консистентный бэкап и восстановление
6. Многофакторная аутентификация, механизмы аудита и авторизации систем
7. Библиотека с шаблонами безопасных (со всеми последними обновлениями) ОС и приложений
8. Управление ресурсами
9. Следование стандартам и лучшим практикам защиты ОС
10. Шифрование критичных данных
Решения для защиты облаков
На первый взгляд может показаться, что еще нет таких решений, которые очевидно смогли бы защитить “облако” от всех угроз. С этим можно согласиться только отчасти, ведь даже при всех факторах сдерживающих развитие ИБ в этой отрасли, разработчики выпускают всевозможные специализированные решения.
Обзор таких решений ежегодно проводит издание по информационным технологиям CRN, выпуская “Top 20 вендоров информационной безопасности”. Представленные в списке компании выбраны согласно ключевым факторам: безопасность в облаке, безопасность для облака и безопасность из облака.
Websense ThreatSeeker Cloud предлагает технологию контроля и обеспечения безопасности контента (данных и электронной почты) и защиту по модели Безопасность-как-услуга, для предоставления технологии через Интернет.
Webroot представляет защиту веб-приложений, почты и технологии архивации электронной почты. Решения предоставляются из собственного облака компании без необходимости что-либо устанавливать на компьютер клиента. WatchGuard с помощью облачной технологии Reputation Enabled Defense компания предоставляет защиту веб-приложений. Услуга, дополненная XTM и XCS решениями по безопаснсоти, обеспечивает защиту от вирусов, вредоносного ПО, шпионских программ и других Веб-угроз. Veracode решение из облака управления рисками позволяет проводить бинарный анализ кода, динамическмй доступ через Веб и обучение разработчика для точной и необходимой оценки и подтверждения анализа безопасности приложения без сторонних средств или проверки исходного кода. Trend Micro Secure Cloud – это система управления ключами и шифрованием данных для защиты и управления конфиденциальной информацией, размещенной в публичных и приватных облаках. Symplified – компания сама себя называет “компания по обеспечению безопаснсоти облаков”. Она предлагает универсальное средство управления доступа, построенное для облачных архитектур SaaS и интегрируемое в существующую инфраструктуру облака для поточного управления, снижения стоимости и улучшения безопасности. Symantec – решение для защиты и управления информацией на рабочих местах в “облаке”, предаваемой по почте, размещаемой на веб-сайтах или посланной через программы мгновенного обмена сообщениями. SyferLock – компания предлагает подход идентификации и управления доступа с запатентованной системой аутентификации, безопасности и SSO. Система предлагает организовывать контроль доступа в облаке, мобильных устройствах и сетевых устройствах, используя однофакторную, двухфакторную или многофакторную аутентификацию без дополнительных аппаратных средств, токенов или клиентского софта. Sentrigo – компания стала заниматься обеспечением безопасности БД с момента интеграции веб-приложений с базами данных, компания стала заниматься обеспечением безопасности БД. С применением программного продукта Hedgehog появляется возможность контролировать доступ к базе данных, размещенной в облаке, и вести анализ того, как данные были изменены. SafeNet – trusted cloud fabric состоит из нескольких программных продуктов для комплексной защиты облака по образу дата центра. Qualys – продвигает на рынке идею next generation Security-aaS,которое совмещает проверку на соответствие требованиям безопасности и защиту от уязвимостей в едином продукте QualysGuard. Ping Identity – система федеративной идентификации пользователей (Single Sign On) для облака и SaaS-приложений без использования множества различных паролей. Panda – Cloud protection в виде SaaS модели предоставляет защиту в трех направлениях: защита конечных точек, почты и веб. McAfee – компания предлагает целый спектр различных решений для защиты как самих “облаков”, так и инфраструктур в целом по модели услуги из “облака” компании. M86 – компания предлагает гибридный подход к обеспечению защиты от веб-ориентированных угроз в реальном времени. Решение совмещает программные продукты на оконечных точках и компоненты в публичном облаке для защиты. Duo Security – одно из немногих решений на рынке в виде аутентификация как услуга (AaaS). Предлагает простой способ двухфакторной аутентификации пользователей при доступе к облаку с использованием сотовых телефонов. CloudPassage – компания представлена на рынке двумя продуктами Halo SVM и Halo Firewall, решениями для оценки уязвимости серверов, мониторинга конфигураций и обеспечения контроля сетевого доступа, для защиты публичных и гибридных облачных серверов. Barracuda Networks — Barracuda Web Security Flex это облачный продукт для защиты от вредоносного кода, фильтрации URL и контроля приложений в сети, обеспечения безопасности удаленных и мобильных пользователей через SaaS, предоставляется в виде шлюзов и агентов. Awareness Technologies – компания обеспечивает защиту от утечек данных при помощи DLP системы по модели SaaS, выступают с первым решением на рынке по контролю данных в облаке. AppRiver – SaaS ориентированное решение для защиты email и веб приложений, включающее защиту от спама и вирусов, шифрование почты, как плюс предлагают функционал полной интеграции с Microsoft Exchange. Основой защиты облака не всегда предлагают именно облачные специализированные решения. Если классические варианты защиты не подходят для самих облаков, то для защиты инфраструктуры, в котором облако находится, они вполне применимы. Так организация защиты от внешних вторжений или использования уязвимостей может быть построено на текущих решениях от мировых вендоров ИБ. Когда же вопрос встает о разграничении прав внутри облака, контроля виртуальных сетей передачи данных, то в выигрыше остаются производители, которые изначально разрабатывали не аппаратные средства защиты а программные. Модернизированные под облачные задачи программные продукты в первую очередь стали предлагаться разработчиками систем защиты. Преемственность виртуализации и облачных вычислений так же открыла простор для применения защиты виртуальных сред в контексте обеспечения безопасности “облака”. В существующую модель развития “облаков” идеально вписываются специализированные средства контроля гипервизора, виртуальных каналов передачи данных и управления доступом. Более того комплексные решения для защиты виртуализации могут представлять собой основу и ядро для построения безопасности “облака”. На российском рынке информационной безопасности отдельную линейку комплексных решений, которые выполняют все необходимые специализированные задачи по защите и имеют необходимую сертификацию, представляет компания “Код безопасности” (группа компаний “Информзащита”). Выполнение требований регуляторов при построении защиты – это неоспоримое преимущество российских разработок перед решениями зарубежных разработчиков. Не дожидаясь создания стандартов безопасности, эти решения подходят к вопросу защиты “облака”, как физической среды. Такой подход позволил до принятия стандартов по безопасности облачных вычислений, обеспечить защиту от существующих как классических, так и специализированных для виртуализации угроз. Показательно, что в таком случае владелец облака не остается наедине с уязвимостями в ожидании стандартов, а получает уже рабочее средство специализированной защиты виртуальной инфраструктуры и “облака” построенного на ней. Подробнее об информационной безопасности виртуализации на основе программных продуктов российских (“Код Безопасности”) и зарубежных разработчиков (IBM) уже говорилось в статье “Обеспечение защиты виртуальных сред”: http://www.infosec.ru/_upload/editor_files/kGlebov.pdf ).
Перспективы облаков и защиты
Скромные показатели рынка облачных услуг в России должны смениться периодом роста и большего интереса к облачной технологии. IDC, к концу 2015 года прогнозирует рост только рынка российских облачных услуг до отметки в 1,2 млрд долл., что соответствует среднегодовому темпу роста более 100%. Для реализации таких прогнозов потребуется не только развитие самой технологии, но и выбор определяющих отрасль стандартов построения облаков и обеспечения их безопасности. На ближайшие годы в претендентах на такую ответственную роль стоит рассматривать комплексные решения от лидеров ИТ индустрии. Сегодня на рынке мы уже видим как минимум два крупнейших полюса – это V-Block и HyperV. И у альянса EMC, Cisco, VmWare и у Microsoft есть успешные внедрения и крупные проекты, но им на пятки наступает HP, IBMCloud, а ведь еще больше комплексных решений анонсировано на 2012 год. Находясь сейчас на пике жизненного цикла облачных вычислений, мы можем не сомневаться в том, что “облака” уже здесь и “пришли” они надолго. Но не стоит безрассудно кидаться от одних решений к другим, непременно стремясь перехода в “облака”. Полноценные и защищенные “облака”, которые удовлетворяли бы всем требованиям и задачам придут не раньше чем через 5-10 лет. Не стоит пугаться таких сроков, у нас появляется время, чтобы переосмыслить допущенные ошибки и подготовить не только инфраструктуру собственных компаний, но и все необходимые требования для прихода “облаков”.
Автор: Олег Глебов, специалист департамента маркетинга компании «Информзащита»