В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Темы облаков и И Б обычно противопоставляют. Это особенно заметно при развертывании систем DLP. На первый взгляд не очень понятно, как может быть вынесено из организации то, что должно быть сохранено внутри. Попробуем разобраться.
Наверное, очень сложно говорить о системе контроля трафика в публичных облаках. Контроля над сетевым периметром у организации нет, нет и доступа к хранилищу, возможности распределения прав или дополнительного шифрования. Можно только пофантазировать на тему, что некая DLP-система встроена и является частью облачного сервиса. В этом случае администраторам ИБ предоставляются возможность какой-то настройки и доступ к неким отчетам движения информации. DLP-система провайдера - единая для всех клиентов, и почему бы не использовать эту возможность при достаточном доверии к провайдеру? Провайдер обычно индифферентен к информации клиентов и вряд ли будет заниматься целенаправленными мероприятиями по нанесению вреда кому-либо из них. Эту DLP-систему сложно отключить или расстроить, что дает дополнительную защиту от привилегированных пользователей клиента.
Такой вариант совсем не идеальный, российским требованиям по защите конфиденциальной информации он не удовлетворяет, но в конце концов это лучше, чем отсутствие DLP вообще.
Частное облако может быть расположено целиком внутри организации, но может быть полностью или частично продолжено на инфраструктуру laaS-npoвайдера. Основное отличие от публичного облака заключается в том, что специалисты организации имеют доступ ко всем объектам, в том числе и сетевым устройствам (пусть и виртуальным), а также могут устанавливать и поддерживать единую систему безопасности, в том числе DLP-систему. Провайдер при этом не имеет доступа на уровень ОС и выше размещенной информационной системы клиента.
Размещение информационной системы в облаке с организацией преимущественно терминального доступа централизует хранение и использование данных, а организация и эксплуатация DLP-системы на компактной инфраструктуре - существенно более простая задача. Если все рабочие столы находятся в облаке, то возможно контролировать не только периметр, чем часто ограничивается внедрение DLP, но и осуществлять контроль на всех остальных уровнях: ОС, прикладное ПО и т.д. Выход в Интернет, даже для удаленной инфраструктуры, можно сделать в любой контролируемой точке, например из офиса, а не от провайдера. Налицо еще один плюс удаленного размещения данных - пользователи точно не смогут записывать данные, размещенные в облаке на переносные устройства. Вообще, DLP-системы дают эффект, только если существует порядок в хранении и использовании данных. В этом смысле переезд в облако может стать поводом навести такой порядок, по крайней мере собрать данные в едином хранилище.
DLP - ресурсоемкая система, поскольку использует емкие с точки зрения вычислительной мощности алгоритмы. Из-за этого DLP-системы помогают в расследовании инцидента, но не могут его предотвратить и заблокировать утечку в реальном времени. DLP - сложная система, зачастую требующая обучения, анализа статистики, апгрейда используемых алгоритмов. На Западе активно развивается тема "DLP как сервис", то есть провайдер организует у себя DLP-систему, работающую на защиту одновременно множества информационных систем клиентов. Эта система располагается в ЦОД провайдера на больших вычислительных мощностях и скоростных каналах.
В России DLP востребована в основном в крупном бизнесе и госсекторе, где используются консервативные методики обеспечения ИБ, разработанные государством много лет назад. В этих требованиях пока нет понятия облаков, аутсорсинга и других удобных современных технологий, однако если что-то успешно работает на Западе, то через какое-то время, несмотря на весь консерватизм, будет работать и у нас. Это просто вопрос времени.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2013