Недавно на одном из отраслевых форумов разгорелась нешуточная дискуссия о том, можно ли обеспечить безопасность корпоративных данных в облаке. Говорили о технологии защиты, о рисках и опасениях владельцев информации. И вот что интересно - представляя компанию InfoWatch, в чьем портфеле решения для облака пока нет, я не мог отделаться от мысли, что именно за таким ИБ-решением будущее. Здесь точка роста для всей отрасли информационной безопасности.
Предвижу скепсис ИБ-профессионалов и просто искушенных читателей. Да, тема облака пока во многом лишь маркетинговый шум, да основная проблема «облачной» безопасности – недостаток доверия клиентов к владельцам облачных ресурсов, да DLP (Data Leak Prevention, технологии предотвращения утечек конфиденциальной информации из информационной системы вовне) как услуга – пока концепт. Но пройдет 4-5 лет, и привязка бизнеса к инфраструктуре уже не будет столь жесткой, как сейчас. Так почему же заранее не подумать, как организации будут контролировать свои данные в облаке? Какие модели и сценарии работы DLP применимы в облачную эпоху?
Уже сегодня многие компании скорее арендуют почтовый сервис у провайдера, чем купят новое железо под Exchange. То же самое справедливо по отношению к практически любым бизнес-приложениям и системам – ERP, BI, CRM... В будущем, при условии, что облако безопасно, бизнес-пользователь предпочтет SaaS, IaaS. Наконец, ISaaS – информационная безопасность как сервис. (Кстати, чем не новое направление развития разработчиков софта и провайдеров облачных услуг?)
И вот что получается. О чем сегодня, помимо основной работы, должен думать офицер безопасности, решивший защитить информацию компании при ее перемещении? Инфраструктурный уровень – десятки легитимных протоколов выхода информации за пределы защищенного контура, - мобильные устройства, принтеры, флешки. На каждый канал нужен снифер – для почты, для HTTP, для "аськи"... Для каждого устройства – теневые копии и ролевой доступ. В каждом случае – работа в тесной связке с ИТ-отделом, поскольку железки и протоколы – их ведомство. Стоит говорить, что айтишники безопасников не очень жалуют?
С другой стороны, в облаке офицер безопасности встроен в парадигму бизнес-процессов. Заботы об инфраструктуре ограничиваются развертыванием агентов для защиты конечных точек. Весь трафик с конечных устройств шифруется и маршрутизируется в облако. Дальнейшая работа офицера безопасности заключается лишь в том, чтобы настроить систему путем простановки нужных галочек в интерфейсе и применить предустановленные шаблоны. Возможно, адаптировав их под специфику компании.
Вся работа пользователя с облачными сервисами идет по HTTPS. Мы – компания – полностью контролируем процесс перемещения данных от своего шлюза до облака и обратно. Приложения развернуты в нашем (частное облако) либо стороннем (публичное облако) ЦОДе. Там хранится вся чувствительная информация, там идет обработка данных, там почта, бизнес-приложения, инструменты для совместной работы.
Лингвистический анализ информации, сличение цифровых отпечатков, применение ИБ-политик, сбор и хранение инцидентов – тоже в облаке. Любое движение информации фиксирует DLP-система, которая накрывает зонтиком весь ЦОД. Для безопасника ее настройка не связана с встраиванием в отдельные протоколы. Офицер безопасности видит лишь логику, инциденты на уровне приложений, но не инфраструктуры.
Развертывание такой DLP-системы в том виде, в каком это есть сейчас, не требуется – все уже преднастроено, пробуй и покупай. DLP-как сервис – это путь к понятной модели затрат на ИБ, без запредельных CaPex'ов, путь к масштабируемой функциональности. Захотел офицер безопасности мониторить веб-трафик в дополнение к почтовому – поставил соответствующую галочку. Захотел в текущем месяце сформировать нестандартный отчет – внес дополнительный платеж и получил нужную ему информацию. По сути, облачная безопасность – это оперативный ответ на запросы бизнеса, без долгосрочных рисковых внедрений с непрозрачным эффектом.
Популярная до недавнего времени идея апплайнс – поставки оборудования с предустановленными ИБ-решениями, которое можно было бы легко интегрировать в инфраструктуру компании – это ария из той же оперы. Бизнес готов платить за удобство, за скорость исполнения желаний, за то, что нужная компании система будет сегодня, а не через полгода. Легко попробовать, легко подписаться на услугу, легко отказаться. Подобной динамики не хватает не только информационной безопасности, но и отрасли ИТ в целом.
И, наверное, самый интересный вопрос – кто же за это заплатит. Написать DLP-решение под облако – это огромные деньги. Понятно, что ни одна крупная компания, ни один наш заказчик не пойдет на замену традиционной DLP на облачное решение. Но есть провайдеры вычислительных ресурсов – владельцы ЦОДов, операторы услуг связи. Им нужно утилизировать имеющиеся мощности, наращивать ARPU. Наиболее очевидный путь – предоставлять пользователям уже «раскрученные» ИБ-услуги, вроде защиты от DDoS, DLP, очистки трафика. За массовостью дело не станет – компании СМБ-сегмента первыми встанут в очередь. Персональные данные, бухгалтерия, ноу-хау – все это нужно защищать, да и планка на вход для пользователей DLP существенно снизится.
В общем, облачной DLP быть. Заметьте – чистый расчет, и никакой ненаучной фантастики.