Возможна ли работа DLP в облаке?
В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Возможна ли работа DLP в облаке?
Контролировать распространение конфиденциальной информации становится все труднее и труднее. Развитие удобных и экономически выгодных облачных систем, использование единых устройств на работе и дома (BYOD), а также другие современные тенденции быстрого распространения информации добавляют головной боли администраторам ИБ.
Максим Захаренко
Генеральный директор компании "Облакотека"
Генеральный директор компании "Облакотека"
Темы облаков и И Б обычно противопоставляют. Это особенно заметно при развертывании систем DLP. На первый взгляд не очень понятно, как может быть вынесено из организации то, что должно быть сохранено внутри. Попробуем разобраться.
DLP в публичном облаке
Наверное, очень сложно говорить о системе контроля трафика в публичных облаках. Контроля над сетевым периметром у организации нет, нет и доступа к хранилищу, возможности распределения прав или дополнительного шифрования. Можно только пофантазировать на тему, что некая DLP-система встроена и является частью облачного сервиса. В этом случае администраторам ИБ предоставляются возможность какой-то настройки и доступ к неким отчетам движения информации. DLP-система провайдера - единая для всех клиентов, и почему бы не использовать эту возможность при достаточном доверии к провайдеру? Провайдер обычно индифферентен к информации клиентов и вряд ли будет заниматься целенаправленными мероприятиями по нанесению вреда кому-либо из них. Эту DLP-систему сложно отключить или расстроить, что дает дополнительную защиту от привилегированных пользователей клиента.
Такой вариант совсем не идеальный, российским требованиям по защите конфиденциальной информации он не удовлетворяет, но в конце концов это лучше, чем отсутствие DLP вообще.
DLP в частном облаке
Существуют два принципа защиты, которые могут использоваться отдельно или комбинированно: установка агентов на все устройства клиента и перенаправление всего внешнего трафика на DLP-провайдера. Доступ к отчетам по его информационной системе есть только у клиента и нет даже у провайдера. В России, насколько мне известно, такого провайдера нет. При этом существует рыночная ниша - компании СМБ чувствительные к защите конфиденциальной информации, но не способные внедрить полноценную DLP-систему. Такие компании с удовольствием воспользовались бы внешним сервисом.
Частное облако может быть расположено целиком внутри организации, но может быть полностью или частично продолжено на инфраструктуру laaS-npoвайдера. Основное отличие от публичного облака заключается в том, что специалисты организации имеют доступ ко всем объектам, в том числе и сетевым устройствам (пусть и виртуальным), а также могут устанавливать и поддерживать единую систему безопасности, в том числе DLP-систему. Провайдер при этом не имеет доступа на уровень ОС и выше размещенной информационной системы клиента.
Размещение информационной системы в облаке с организацией преимущественно терминального доступа централизует хранение и использование данных, а организация и эксплуатация DLP-системы на компактной инфраструктуре - существенно более простая задача. Если все рабочие столы находятся в облаке, то возможно контролировать не только периметр, чем часто ограничивается внедрение DLP, но и осуществлять контроль на всех остальных уровнях: ОС, прикладное ПО и т.д. Выход в Интернет, даже для удаленной инфраструктуры, можно сделать в любой контролируемой точке, например из офиса, а не от провайдера. Налицо еще один плюс удаленного размещения данных - пользователи точно не смогут записывать данные, размещенные в облаке на переносные устройства. Вообще, DLP-системы дают эффект, только если существует порядок в хранении и использовании данных. В этом смысле переезд в облако может стать поводом навести такой порядок, по крайней мере собрать данные в едином хранилище.
DLP как сервис
Остается теоретическая возможность утечки данных через провайдера на совсем низком уровне путем копирования дисков виртуальных машин. Эта угроза ликвидируется, с одной стороны шифрованием данных, а с другой - повышением доверия к провайдеру путем прохождения им определенных процедур и сертификации. Эти риски обязательно нужно рассматривать не сами по себе, а в сравнении с аналогичными внутри организации: договор с сертифицированным провайдером (юридическое лицо, репутация - основа бизнеса и т.д.) против обычного трудового договора с физическим лицом, которого по ТК даже невозможно наказать.
DLP - ресурсоемкая система, поскольку использует емкие с точки зрения вычислительной мощности алгоритмы. Из-за этого DLP-системы помогают в расследовании инцидента, но не могут его предотвратить и заблокировать утечку в реальном времени. DLP - сложная система, зачастую требующая обучения, анализа статистики, апгрейда используемых алгоритмов. На Западе активно развивается тема "DLP как сервис", то есть провайдер организует у себя DLP-систему, работающую на защиту одновременно множества информационных систем клиентов. Эта система располагается в ЦОД провайдера на больших вычислительных мощностях и скоростных каналах.
В России DLP востребована в основном в крупном бизнесе и госсекторе, где используются консервативные методики обеспечения ИБ, разработанные государством много лет назад. В этих требованиях пока нет понятия облаков, аутсорсинга и других удобных современных технологий, однако если что-то успешно работает на Западе, то через какое-то время, несмотря на весь консерватизм, будет работать и у нас. Это просто вопрос времени.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3, 2013
