ИБ-РЕШЕНИЯ ДЛЯ СМБ Заоблачная безопасность Для небольших компаний при выборе средств защиты определяющим фактором часто является стоимость решения. Облачные сервисы информационной безопасности могут стать оптимальным выходом в условиях ограниченного бюджета. В настоящее время провайдеры услуг предлагают широкий спектр сервисов по защите информации. Рассмотрим, чем отличаются сервисы безопасности «в облаках» и сервисы безопасности «из облака», какие задачи по защите информационных систем они помогают решить, основные преимущества и принципы тарификации. Екатерина Валентиновна Сюртукова, руководитель направления сервиса и аутсорсинга ИБ Компания «Инфосистемы Джет» [email protected] В последние годы в ИТ-сфере активно обсуждается тема облачных сервисов. Несмотря на то, что рынок облачных услуг все еще находится в стадии формирования, уже сейчас на нем можно найти достаточно много зрелых и качественных решений по организации корпоративной почты, виртуальной АТС, облачной CRM, бухгалтерскому учту, обмену и хранению данных в облаке, хостингу сайтов и пр. Словом, все то, что в первую очередь необходимо бизнесу, особенно малому. Для небольших компаний и стартапов построение и содержание собственной ИТ-инфраструктуры – часто непосильная задача, требующая значительных финансовых затрат, квалифицированного персонала, времени. С аналогичными проблемами сталкиваются компании и при внедрении систем информационной безопасности. Финансовый и ресурс30 ный дефицит подталкивает небольшие организации к рассмотрению облачных сервисов для решения задач по защите информации. Услуги по безопасности («безопасность как сервис – Security as a Service, SECaaS) активно завоевывают рынок и являются неотъемлемой частью портфеля услуг каждого облачного провайдера. Сервисы безопасности по типу потребителей можно условно разделить на два сегмента. К первому сегменту относятся компании, которые планируют разместить или уже размещают свою инфраструктуру в облаке и задумываются о том, как оптимально закрыть вопросы, связанные с безопасностью. Таким клиентам провайдеры услуг в дополнение к «классическим» облачным сервисами IaaS и SaaS предлагают широкий перечень услуг по обеспечению информационной безопасности – SECaaS. Наиболее популярными сервисами защиты облачных ресурсов являются: ● сервис антивирусной защиты, обеспечивающий защиту как информационных систем, размещенных в облаке, так и рабочих станций на локальных площадках, от воздействия программ-вирусов; сервис защиты электронной почты, который позволяет оградить корпоративную электронную почту от нежелательных писем (спама), вредоносных программ, различного вида угроз и атак; ● сервис защиты размещаемых webсервисов от интеллектуальных атак уровня приложений; ● сервис защиты доступа в Интернет, защиты каналов связи (VPN); ● сервис защиты баз данных; ● прочие сервисы. Провайдеры услуг оперативно подстраиваются под потребности рынка, постоянно расширяя набор сервисов информационной безопасности. Последнее время, например, очень актуальны услуги по размещению в облаках персональных данных с использованием комплекса сертифицированных средств и систем в соответствии с требованиями действующего законодательства РФ, в частности, Федерального закона № 152-ФЗ. Обусловлено это новыми требованиями регулятора, обязывающими хранить и обрабатывать персональные данные на территории Российской Федерации. Компании, использующие зарубежный хостинг, вынуждены в кратчайшие сроки перемещать свои системы на российские площадки. Оперативно решить ● Защита информации. INSIDE № 5'2015 ТЕМА НОМЕРА такую задачу можно с помощью облачных провайдеров, которые предоставляют не только IaaS/PaaS, но и SECaaS-сервисы, удовлетворяющие всем требованиям регуляторов в области ИБ (ФСТЭК России, ФСБ России и Роскомнадзор). Таким образом, каждая компания сможет выбрать для себя оптимальный набор сервисов SECaaS, в зависимости от того, какие именно информационные системы в облаке необходимо размещать и защищать. Некоторое время назад и наша компания, являясь поставщиком облачных услуг, столкнулась с необходимостью организации расширенных сервисов информационной безопасности для клиентов нашего виртуального ЦОД (см. таблицу). Мы не понаслышке можем сказать, что качество и надежность предоставляемых сервисов – приоритетная задача каждого провайдера услуг. Уровень безопасности, предлагаемый облачными провайдерами, в разы выше, чем могут самостоятельно организовать СМБ-компании в условиях ограниченного бюджета. Параметры качества и доступности фиксируются в рамках SLA – Соглашения об уровне сервиса. Несоблюдение SLA может привести к серьезным репутационным рискам провайдера. Размещая в нашем виртуальном ЦОД почтовые системы, файловые хранилища, ERP-системы, web-сайты, базы данных, корпоративные приложения, включая системы обработки персональных данных, клиенты могут получить весь необходимый набор сервисов безопасности с прозрачной схемой тарификации. Оплате подлежит только фактически используемый объем услуг. Ежемесячная абонентская плата рассчитывается исходя из количества защищаемых хостов, почтовых ящиков, полосы пропускания фильтруемого трафика. Ко второму сегменту потребителей SECaaS относятся компании, которым интересно получение сервисов безопасности «из облака» в качестве инструмента для защиты от тех или иных угроз. Как правило, небольшим компаниям требуется оперативно решить конкретную, часто достаточно узкую задачу, в то время Защита информации. INSIDE № 5'2015 Таблица Перечень сервисов безопасности, реализованных в ЦОД «Инфосистемы Джет» Соответствие 152-ФЗ Повышение уровня ИБ FW + IPS/IDS ✓ ✓ Антивирусная защита ✓ ✓ Защита виртуальной инфраструктуры ✓ ✓ Сканирование уязвимостей ✓ ✓ Site-To-Site VPN (AES/ГОСТ) ✓ ✓ Защита баз данных ✓ SIEM ✓ Двухфакторная аутентификация пользователей ✓ Контроль целостности файлов ✓ Контроль действий администраторов ✓ Защита web-сервисов и электронной почты ✓ Защита от DDoS-атак ✓ как разворачивание собственных средств защиты – процесс длительный и дорогостоящий. Именно поэтому их руководство приходит к выводу о целесообразности выбора сервисов информационной безопасности «из облака». Наиболее востребованы сервисы по защите от DdoS-атак, от webугроз, анти-спам, облачный сервис проксирования. Подключение к сервисам защиты, чаще всего, происходит в течение пары дней, иногда даже в день обращения. Как правило, перечнем оказываемых услуг предусматривается возможность подключения к сервисам фильтрации во время атаки. Независимо от месторасположения информационной системы компании – локально в собственном офисе или на арендуемых мощностях – весь трафик перенаправляется в облако провайдера услуг, где на основании актуальных сигнатур, баз черных списков, поведенческого анализа проходит фильтрацию, и только после этого возвращается в сеть клиента. Анализу подвергаются лишь метаданные, такие как заголовки, размер и количество передаваемых пакетов. Корпоративная информация клиентов остается конфиденциальной. Многие мировые и отечественные разработчики средств защиты информации оказывают услуги по фильтрации интернет-трафика в облаке на базе собственных продуктов за приемлемую абонентскую плату. Обычно используется распределенная система фильтрации, с множеством точек приема и очистки трафика. Тарификация услуг зависит от полосы пропускания легитимного трафика. В соглашении об уровне сервиса фиксируется гарантированная доступность объекта защиты не ниже 99,5 %. Приобретая сервисы по защите облачных ресурсов или услуги безопасности «из облака», клиенты получают выстроенные процессы защиты с гарантированным SLA, возможность оперативно подключить или отключить услугу, оплачивая только тот объем сервисов, который необходим в конкретный момент времени. Независимо от того, являетесь ли вы пользователем каких-либо облачных услуг или придерживаетесь консервативных подходов в сфере ИТ, стоит присмотреться к сервисам SECaaS: возможно именно здесь вы найдете оптимальное решение на■ болевших проблем. 31