Ритейл в поисках безопасных «облачных» сервисов

Статья Николая Кочмарского, эксперта по информационной безопасности компании СИС, посвящена насущной проблеме многих CIO ритейловых компаний: как обеспечить лидерство в технологической гонке, применяя «облачные» сервисы и не уступая при этом контроль над своими данными администраторам этого «облака».

Николай Кочмарский, эксперт по информационной безопасности компании СИС

Ритейл и вызовы «облачной гонки»

Розничная торговля в России – один из наиболее динамично развивающихся рынков с высоким уровнем конкуренции. Показателен тот факт, что в российском ритейле сегодня представлено больше компаний, чем во всех остальных отраслях экономики страны вместе взятых. Тот активный рост отрасли, который наблюдался в последние годы, привел к тому, что количество информации в системах ритейлеров стало расти как снежный ком. При этом стоимость накапливаемой информации возрастает буквально с каждым заключенным контрактом.

Основной принцип работы ProtectV состоит в обеспечении прозрачного шифрования виртуального сервера, которое делает бессмысленными попытки украсть информацию или как-либо еще несанкционированно ею воспользоваться

Такие условия неизбежно должны были привести к «гонке технологий» в ритейле, в которой чем выше ставки, тем сильнее затраты. Одним из видимых последствий этой гонки стали не всегда оправданные бюджеты на развитие IT, которые сегодня, в условиях даже небольшого сокращения темпов роста бизнеса, для многих игроков становятся непозволительной роскошью. Вопрос оптимизации затрат на IT без потери эффективности работы информационных систем стал сегодня актуальным для большинства ритейлеров, а попытки его решения создали целый отраслевой тренд. Так, сегодня оптимизацию IT-бюджетов крупные игроки на российском рынке проводят, используя аутсорсинговую модель, делегируя задачи развития IT внешним компаниям. При этом грамотно составленный SLA является в данной модели отличным инструментом для минимизации расходов на инфраструктуру, обслуживание и развитие IT.

Вторым важным следствием «технологической гонки» и стремления ритейлеров оптимизировать свои затраты на IT, стала миграция ключевых сервисов или IT-инфраструктуры в «облако». «Облачная» модель действительно позволяет сегодня решить две основные проблемы ритейлеров, касающиеся обслуживания самого процесса розничной торговли.

Первая проблема заключается в доступности основных информационных систем.

В соответствии со спецификой бизнеса каждый крупный ритейлер обладает широкой распределенной сетью офисов и точек продаж. В первую очередь здесь требуется обеспечить постоянную доступность таких жизненно важных сервисов как ERP и документооборот из любого филиала сети, будь то магазин или офис.

Вторая проблема заключается в том, что при пиковых нагрузках в «горячий» сезон крупные сети сталкиваются с необходимостью резкого и оперативного увеличения мощностей информационных систем.

«Облачная» модель за счет высокой мобильности «облака» дала ритейлерам возможность централизованного размещения  корпоративных сервисов и частично решила первую из названных проблем, но при  этом возросли риски, связанные с вероятностью отказов телекоммуникационного  канала. 

Та же самая гибкость «облачных» решений позволяет за считаные секунды кратно  нарастить мощности для обеспечения стабильной работы IT-инфраструктуры компании. Благодаря этому у торговых сетей отпадает необходимость в тот или иной пиковый  период в спешке брать в аренду или даже  приобретать дополнительное оборудование,  которое, скорее всего, в следующий раз понадобится ему не скоро.

 Разработчики и интеграторы «облачных»  решений, наблюдая за сегодняшним российским рынком IT-технологий в ритейле,  заметили важный тренд, характеризующий  текущий спрос на «облачные» технологии.  Из трех наиболее популярных моделей услуг – IaaS, PaaS, SaaS1 – наибольшей популярностью у торговых сетей пользуются  первые две. В случае роста бизнеса такие  схемы позволяют ритейлеру существенно  экономить на издержках, так как с ее помощью можно резервировать ресурсы под растущие потребности. 

При этом клиент платит только за те  мощности, которые он использует. Так, по  мнению Михаила Марголина, генерального директора компании Enspace (группа  MAYKOR), популярность IaaS-модели среди  ритейлеров объясняется тем, что ее можно  эффективно использовать во время сезонных пиковых продаж, в процессе внедрения новых IT-систем, для тестирования новых решений, а также желанием компаний  полностью контролировать свою IT-инфраструктуру.

Однако сегодня на рынке действует  и ряд факторов, тормозящих развитие  «облачной» инфраструктуры в России.  В первую очередь они связаны с проблемами информационной безопасности.  На состоявшемся в этом году мероприятии VII CISO FORUM 2014 были подняты такие острые для отрасли проблемы,  как выявленные факты передачи информации сторонним хостерам (в практике  работы ЦОДа для обеспечения надлежащего уровня обслуживания во время пиковых загрузок провайдер действительно может передавать часть информации  сторонним хостерам), отсутствие единых  стандартов предоставления «облачного»  сервиса и необходимость создания отраслевого регулятора в данной области.

 Наконец, само понятие «облака» всегда  неразрывно связано с виртуализацией. Этот  факт, в свою очередь, означает, что наряду  со всеми преимуществами данной технологии «облака» таят и новые специфические  угрозы безопасности. В частности, определенные риски несет с собой то обстоятельство, что администратор «облака» по своим  правам стоит выше администратора сервера и имеет доступ ко всей хранимой информации. 

Все крупные вендоры, представленные на  рынке виртуализации, по какой-то причине  игнорируют данную проблему, не предоставляя штатных инструментов разграничения доступа. На данный момент единственным решением данной проблемы является  применение наложенных средств защиты.  Долгое время не было специализированых,  разработанных под среду виртуализации  решений. Программные продукты, позволяющие создать защищенное локальное хранилище, требуют внесения изменений в работу корпоративных сервисов, а отсутствие  централизованного управления многократно усложняет работу администратора. Требовалось гибкое и сбалансированное решение по защите информации.

Риски миграции в «облака»

– Отсутствуют сертификаты соответствия, а ни один ЦОД не пустит ваших специалистов с аудитом безопасности

– ЦОД не гарантирует защиты от утечек по некомпетентности или намеренной инсайдерской атаки

– ЦОД вправе передавать информацию третьим лицам (от провайдера к провайдеру и субподрядчикам)

– В договоре обслуживания у ЦОДа минимальная ответственность, он не боится суда, так как компенсации, к которым его обяжут, будут минимальны

SafeNet ProtectV: ключ к контролю  за «облаком»

 Компания SafeNet, имея многолетний  опыт разработки продуктов для обеспечения информационной безопасности, в качестве такого решения сегодня предлагает  систему ProtectV. По нашим оценкам, на  сегодняшний день это наиболее простой  и надежный путь защиты облачной инфраструктуры IaaS и PaaS от «всевидящего  ока» администратора «облака». Нелишним  здесь будет упомянуть то обстоятельство,  что и сам этот путь органично «вырос» из  потребностей бизнеса: решение ProtectV  изначально разрабатывалось для среды  Amazon, клиенты которой не спешили мигрировать в «облачную» инфраструктуру, опасаясь за конфиденциальность своих данных. 

Пример отчета Parallels SMB Cloud

Основной принцип работы ProtectV состоит в обеспечении прозрачного шифрования виртуального сервера. Такое шифрование делает, по сути, бессмысленными  любые попытки украсть информацию или  как-либо еще несанкционированно ею  воспользоваться. Технология доверенной  загрузки гарантирует, что недоверенное  лицо не сможет запустить виртуальный  сервер и получить доступ к конфиденциальной информации. Решение реализует  и основную концепцию безопасного хранения данных, заключающуюся в раздельном хранении ключей и самой зашифрованной информации.

Что касается рабочих сред и особенностей интеграционных процессов, то ProtectV  поддерживает сегодня виртуальную среду  VMware и гостевые операционные системы семейств Windows и RedHat. Благодаря  достаточно простой схеме самого решения  и интуитивно понятному интерфейсу интеграция не занимает много ресурсов: достаточно установить агенты на защищаемые  серверы, провести инсталляцию менеджера  и хранилища ключей из готовых шаблонов,  а далее приступать к работе.  Одна из важнейших задач при миграции  в «облако» – надежное хранение ключевой  информации, и компания Data Protection  Systems – ООО «Системы защиты данных»  (www.dpsys.ru) помогает решить эту задачу с минимальными трудозатратами для  компании, выбравшей путь миграции своей  IT-инфраструктуры в «облако». Специалисты по IT могут сосредоточиться на обязанностях по поддержанию бесперебойной работы инфраструктуры, будучи уверенными,  что криптографические ключи находятся  в руках специалистов, обеспечивающих их  доступность для ProtectV, конфиденциальность и целостность. Компания имеет все  необходимые лицензии регуляторов, позволяющие работать с криптографией и оказывать услуги в области информационной  безопасности.

– Virtual KeySecure k150i – виртуальное устройство, размещается в собственной среде гипервизора. Лучший выбор для небольшого парка защищенных серверов 

– KeySecure k150i – аппаратное устройство управления ключевой информацией FIPS 140-2 level 2

– KeySecure k460i – устройство, обеспечивающее наивысший уровень безопасности, соответствующее стандарту безопасности FIPS 140-2 level 3

– Сервис хранения ключевой информации от компании DPS

Безопасная миграция в «облако»:  пример из практики

Хорошим примером успешной и безопасной миграции в «облако» и одновременно  перехода на аутсорсинговое обслуживание  IT с помощью решений SafeNet, включая  ProtectV, может служить опыт компании  Informa.  Это одно из крупнейших европейских  информационных агентств, обладающее  широкой сетью распространения своей  продукции (аналитические периодические  издания и книги) по всей Европе. В группу компаний Informa входят The Taylor  и Francis Group, Lloyd’s List, iMoneyNet,  Agra, и CRC Press и др. Кроме того, Informa  проводит ряд ведущих европейских конференций, такие как GSM, Euroforum и многие  другие. В штате компании на сегодняшний  день насчитывается около 7000 сотрудников, работающих в 150 офисах в более чем  40 странах мира.

Задачи, решенные в ходе проекта, были  поставлены перед специалистами SafeNet  руководством Informa, которое приняло решение о переносе центра обработки данных  в «облако». При этом главным по важности  критерием при миграции было обеспечение  высокого уровня информационной безопасности конфиденциальных данных клиентов  и персональных данных сотрудников.

 Специалисты помогли SafeNet выполнить  данную задачу, защитив активы компании  от доступа неавторизованных пользователей. Для этих целей было применено решение для шифрования облачной инфраструктуры SafeNet ProtectV и хранилище  ключей KeySecure. 

Такой подход SafeNet помог компании  Informa полностью использовать бизнес-преимущества «облачной» модели. В распоряжение клиента была предоставлена единая платформа, позволяющая прозрачное  шифрование и контроль виртуальной инфраструктуры. При этом вместе с возросшей мобильностью и отказоустойчивостью  корпоративных сервисов заказчик получил  гарантированную уверенность в том, что  только авторизованные пользователи смогут получить доступ к конфиденциальной  информации.

Таким образом, данный кейс продемонстрировал возможность максимизации выгоды от миграции ключевых информационных систем в «облако». В то время как  для многих организаций риски информационной безопасности ограничивают или  обусловливают отсрочку такой миграции,  компания Informa на собственном опыте  доказывает, что компании могут мигрировать конфиденциальные данные, сохраняя  при этом надлежащий уровень контроля  над ними. Данный кейс продемонстрировал, в частности, что миграция в «облако»  в нашем случае помогла внедрить и соблюдать более жесткие требования в отношении информационной безопасности. Решения SafeNet позволили компании Informa  запустить свой центр обработки данных  во внешнем «облаке», сохраняя ту степень  контроля и прозрачности, которая необходима для соблюдения корпоративной политики безопасности и ранее была доступна лишь для физических серверов. При  этом само внедрение прошло практически  незаметно для пользователей мигрированных информационных систем, в то время  как сотрудники отдела информационной  безопасности получили в свои руки инструмент централизованного управления  IT-системами компании, обеспечивающий  им широкие возможности контроля и аудита доступа. 

«Облако» меняет наше представление об  информационном обеспечении компании,  давая конкурентные преимущества, но и добавляя новые угрозы. Быстрорастущее количество провайдеров – это прямое отражение  потребностей бизнеса. Компании идут на сознательные риски, для того чтобы быть впереди. Но подобные уязвимости с легкостью  можно закрыть и держать информацию под  контролем. Данная статья будет полезна  тем, кто еще сомневается в выборе «облачной» инфраструктуры из соображений конфиденциальности. Решение есть!

¹ IaaS (Infrastructure-as-a-Service) – «Инфраструктура как  услуга», модель предоставления облачных вычислений,  предполагающая возможность использования клиентом  «облачной» инфраструктуры для самостоятельного  управления ресурсами обработки, хранения, сетями и  другими фундаментальными вычислительными ресурсами. 

 PaaS (Platform-as-a Service) – «Платформа как услуга») – модель предоставления облачных вычислений,  предполагающая, что вся информационно-технологическая инфраструктура, включая вычислительные сети,  серверы, системы хранения, – целиком управляется  провайдером.  

SaaS (Software-as-a-Service) – «Программное обеспечение как услуга», бизнес-модель продажи и использования ПО, при которой поставщик разрабатывает веб-приложение и самостоятельно управляет им, предоставляя  заказчику доступ к ПО через интернет.