Те из вас, кто внимательно следит за ИТ на протяжении последних двадцати лет, наверняка помнят, как в какой-то момент популярнейшим корпоративным продуктом (после операционных систем и офисных программ, конечно) стали антивирусы и системы защиты информации. В этот самый момент системы достигли такого уровня развития, когда не следить за безопасностью или заниматься ей от случая к случаю стало невозможно. Параллельно с системами развивались и угрозы, в том числе нацеленные именно на корпоративного, а не индивидуального пользователя. Поэтому всевозможные системы бэкапа и защиты стали настолько популярными, что на рынок ИТ-безопасности ринулись такие полчища разработчиков, какие сейчас увидишь разве что в сегменте мобильных мессенджеров (спасибо WhatsApp) и фото-приложений (благодаря ещё одной покупке Facebook).
Со временем лихорадка поутихла, и на рынке остались проверенные, устоявшиеся игроки — Symantec, McAfee, ESET, Kaspersky, Avast и другие. Хороших продуктов много — и перечисленные приведены просто потому, что они на слуху, а не в порядке рейтинга антивирусов (слишком уж много параметров оценивания для того, чтобы у одного человека хватило ресурсов для объективного рейтинга). Затем какое-то время рынок набирал обороты и стабилизировался, пока облачные технологии не переросли из концепта в часть ежедневного делового оборота.
Конечно, корпоративный мир забеспокоился о безопасности в облаках, но не было понятно, как именно защищать облачную среду. Судя по многочисленным опросам, правильного понимания концепции облачной защиты до сих пор нет ни у кого. То есть продукты для защиты есть, и мы о них поговорим, но вот у CIO, безопасников и просто ИТ-персонала ещё нет сложившейся картины мира насчёт защиты данных в облаках. Потому как здесь есть некоторая сложность, проще всего вербализуемая вопросом о том, где именно защищать данные. На сервере у провайдера? На собственных серверах и компьютерах? А что в процессе трансфера — защищаем пакеты как при обычных сетевых передачах информации? Пусть эти вопросы звучат абсолютно по-дилетантски, но, судя по разговорам с людьми по ту сторону огня, то есть с офисными сотрудниками, их стесняются задавать, однако они постоянно звучат. Главная тема, конечно, — степень защищённости информации, что на определённом уровне прописывается и в соглашении об уровне сервиса (SLA), но каждый день вопросов становится всё больше.
Именно поэтому защита информации в облаках сейчас становится большим и, вне всяких сомнений, одним из самых перспективных сегментов рынка облачных технологий. Индикатором для того, что настало время сделать подобное заявление, служат, как обычно, всевозможные исследования и опросы. Вот, например, Dell недавно проспонсировала независимого аналитика Венсона Бурне (Venson Bourne), и он проинтервьюировал 1 440 ИТ-профессионалов на тему информационной безопасности в облаках и не только.
Ему удалось выяснить много интересных фактов, косвенно доказывающих, что рынок защиты информации в облаках становится всё более привлекательными. Подавляющее большинство опрошенных, а именно 90% специалистов, сказали, что информационная безопасность становится одним из главных приоритетов в бюджете — и примерно 20% всех затрат на ИТ будет потрачено на всевозможные сервисы и продукты по защите информации. Три четверти опрошенных сказали, что они планируют увеличить расходы на информационную безопасность в этом году, а 58% из них планируют раскошелиться на системы облачной защиты. Однако, 40% ИТ-профессионалов всё ещё сомневаются в эффективности существующих решений по защите облаков. Что, вне всяких сомнений, подтверждает сказанное выше — индустрия пока не очень хорошо понимает как защищать данные при их обращении в облаке. Но лишь 22% опрошенных сослались на то, что для них безопасность является основным препятствием к перемещению данных в облака.
Поскольку традиционные системы защиты работают по принципу обнаружения угрозы в защищаемой среде, они не вполне состоятельны в мире, где каждую минуту появляются десятки угроз, исходящие как извне, так и изнутри компаний. И большинство компаний, по сути, оказывается совершенно неготовым к тому, чтобы защищаться. А чтобы подготовить их, необходимо проводить то, что в западной практике называется market education. То есть выводить рынок из тьмы неведения, показывая ему пути выхода из сложившейся ситуации.
Вывод из вышесказанного можно сделать только один: системы защиты должны функционировать по принципиально иным алгоритмам. И одно из самых разумных предложений на сегодня — интегрировать защиту непосредственно в каждое бизнес-приложение. Чтобы каждый продукт мог контролировать не только свой трафик, но также циркуляцию информации внутри и вне компании. Казалось бы, ничего сложного, ведь сказанное частично осуществляется облачными провайдерами, которые защищают свои продукты с помощью решений от тех же вендоров, выпускающих антивирусы. Все было бы предельно просто, если бы не мобильные устройства и, соответственно, BYOD.
Вот уж где настолько большой и, самое главное, разнообразный выбор устройств для защиты, что сформировать универсальный BYOD-антивирус практически невозможно. Поэтому компании, разрабатывающие решения для мобильной облачной защиты, постепенно отходят от привычной технологии контейнеризации приложений. Вместо этого появляются всё новые и новые способы сберечь корпоративные данные. Например, разработки компаний Elastica и Apprity используют машинное обучение, чтобы их системы могли находить различия между персональным и корпоративным использованием устройства. Принципиально другого подхода придерживается компания Bitglass. Её продукт не разделяет устройства на профайлы типа рабочий/личный, зато создаёт мини-прокси для каждого облачного приложений и маркирует данные специальными метками, которые можно различить на всей протяжённости жизненного цикла информации в корпоративной системе.
Но технологические меры — это не единственное, что планируют предпринять CIO для обеспечения безопасности. Большие расходы на информационную защиту связаны также с тем, что около половины опрошенных профессионалов планируют тратить значительные средства на тренинги и образование персонала в целом. Это во многом позволяет обеспечить распространение облачных решений, поскольку сотрудники станут лучше понимать принципы защиты в облаках.
Другой вопрос в том, что BYOD как явление хаотичное не всегда можно обуздать идеологическими методами. Объяснив сотрудникам правила работы с мобильными устройствами в офисе и даже заставив их подписать соответствующие документы, вы едва ли обеспечите себя полной защитой.
Поэтому для облаков, особенно в мобильном варианте, необходима хорошая комбинация технологических средств защиты, market education со стороны крупных игроков рынка информационной безопасности и тренинг сотрудников. На текущей стадии развития рынка облачной защиты по-другому никак.