Термин «облачные вычисления» (cloud computing) стал активно употребляться с 2008 года. Разработчики облачных вычислений определяют их как инновационную технологию, которая предоставляет динамично масштабируемые вычислительные ресурсы и приложения через Интернет в качестве сервиса под управлением поставщика услуг.
В 1999 году впервые доступ к приложению был предоставлен через сайт, и пионером в этом деле оказалась американская компания Salesforce.com. Фактически Salesforce.com была первой в мире, кто предоставил программное обеспечение по принципу «программное обеспечение как услуга» (SaaS – software as a service).
Следующим этапом развития облачных вычислений стало создание в 2002 г. компанией Amazon веб-сервиса, позволяющего хранить данные и производить вычисления. В 2006 г. Amazon запустила веб-сервис, который позволял его пользователям запускать свои собственные приложения. Еще одним важным шагом стало создание компанией Google платформы Google Apps для веб-приложений в бизнес-секторе.
Облачные сервисы принято подразделять на несколько моделей:
- Предоставление программного обеспечения как услуги (Software as a service, SaaS) - клиент получает доступ к приложениям, которых находятся в облачной инфраструктуре. Где и на каком оборудовании выполняется приложение, клиент может не знать.
- Предоставление рабочего места как услуги (Desktop as a service, DaaS) - клиент получает полностью готовое к работе («под ключ») стандартизированное виртуальное рабочее место, которое каждый пользователь имеет возможность дополнительно настраивать под свои задачи.
- Предоставление платформы как услуги(Platform as a service, PaaS) - Клиент может устанавливать и разрабатывать свои приложения на предоставленной платформе. Клиент контролирует приложения, имеет частичный контроль над платформой, но не контролирует инфраструктуру.
- Предоставление инфраструктуры как услуги (Infrastructure as a service, IaaS) - Клиенту предоставляется виртуальная архитектура, состоящая из серверов, рабочих станций и сетевого оборудования, где клиент сам может разворачивать свои собственные операционные системы, базы данных и приложения.
Так же, по вариантам внедрения:
- Публичное облако (Public cloud) - доступ имеет любой желающий, чаще всего через Интернет, инфраструктура принадлежит организации, которая это облако создала;
- Частное облако (Private cloud) - создается для одной организации. Инфраструктура может управляться как самой организацией, так и сервис провайдером, который обеспечивает ее обслуживание.
- Общее облако (Community cloud) - инфраструктура принадлежит нескольким организациям, которые объединились для достижения какой-либо цели. Инфраструктура может управляться самими организациями или выделенным сервис провайдером
- Гибридное облако (Hybrid cloud) - используется совокупность двух или более облаков с разными моделями внедрения, объединенные общей технологией или стандартом
Динамика роста использования облачных сервисов.
В результате опроса 102 крупных транснациональных компаний, проведенного аналитической фирмы Ovum, выяснилось, что в этом году в среднем уже 45% из них использует те или иные облачные сервисы. В прошлом году таких компаний было только 28%.
Чаще всего облачные сервисы применяются для хранения данных – как резервного, так и обычного – и обеспечения их безопасности. Об этом сообщили более половины (51%) опрошенных. Чуть реже (в 48% случаев) облачные системы используются для обслуживания сетевых сервисов, и еще реже (45%) – для обеспечения работы коммуникационных систем: контактных центров или веб-конференций.
Среди приложений, которые потенциально могут быть переведены на облачную платформу, опрошенные чаще всего называли CRM-системы, системы управления документами и офисные приложения. Реже обсуждается возможность перевода в облака бизнес-аналитических программ и ERP-систем. Это неудивительно, отмечают организаторы опроса, если учесть сложность их реализации.
Стоит отметить, что рейтинг компаний, предоставляющих те или иные облачные сервисы вырос с 37 процентов в 2010 году до 49 процентов в этом году.
Независимая исследовательская компании Forrester Research рассчитывает, что общий объём рынка облачных вычислений к 2020 году достигнет отметки $241 млрд. Это почти 6-кратный рост по сравнению с $40,7 млрд. в 2010 году. Столь оптимистические прогнозы были опубликованы Forrester в отчёте «Sizing the Cloud».
«Дырявые» облака. Хроники событий.
|
Апрель 2011 |
Ведущий поставщик облачной инфраструктуры по модели IaaS Amazon Web Services (AWS) начал испытывать сбои в работе своих сервисов. Сбой затронул тысячи пользователей AWS, системы которых были размещены на площадках Amazon в нескольких т.н. “зонах доступности” (Availability Zones) в регионе EAST-1 на восточном побережье США. |
|
Апрель 2011 |
Атакованы сервера Sony Computer Entertainment расположеные в дата центре AT&T в Сан Диего (Калифорния) в результате проникновения в систему и 20-го апреля сервис был отключен. 26 апреля SCE сообщила пользователям, что их личные данные, включая номера кредитных карт, возможно, были похищены. Информация касалась владельцев 10 миллионов аккаунтов. Общее число аккаунтов в PSN порядка 78 миллионов. |
|
Март 2011 |
Недоступность сервиса Heroku – популярной облачной PaaS платформы. |
|
Март 2011 |
Проблемы в отказе сервисов в GoGrid одного из лидеров на рынке сервисов IaaS, специализирующегося на облачных инфраструктурных решениях. |
|
Февраль -Март 2011 |
Многочисленные проблемы пользователей сервиса Twitter при отправке сообщений, получения уведомлений, определения местоположения, поиска и других функций. |
|
Февраль 2011 |
Проблемы пользователей Rackspace при работе с почтой, БД MySQL и собственной службой поддержки. Rackspace известен как главный конкурент Amazon на рынке Cloud Computing платформ. Кроме того, Rackspace создает свои собственные веб-сервисы для бизнеса, в т.ч.Rackspace Email (почтовый сервер), Rackspace Cloud Drive (корпоративный сервис для совместной работы с файлами), услуги аренды конкурирующих майкрософтовских приложений: Exchange и Sharepoint |
|
Январь 2011 |
Часть клиентов испытывали проблемы с доступом к пакету Microsoft Business Productivity Online Suite (BPOS), новое название этого сервиса - Office 365. Сервисами BPOS пользуются крупнейшие мировые компании, в том числе департамент сельского хозяйства США, который планирует перевести 120 000 сотрудников на облачные сервисы Microsoft BPOS. |
Кроме того до сих пор на слуху громкие инциденты, произошедшие в 2010 году. Здесь отличилась и Google, подставившая под удар множество крупных компаний, пользовавшихся услугами контекстной рекламы, среди которых оказались AT&T, BP, и ряд других не менее известных компаний.
Популярнейшая в мире социальная сеть Facebook, отличилась тем, что некоторые из приложений, устанавливаемых пользователями на свои страницы в ней, продавали информацию об этих пользователях «на сторону», в результате чего многие пользователи стали жертвами спамеров.
Jown Weinschenk, CEO Cenzic
Риски облачных платформ.
Облака, с точки зрения информационной безопасности имеют несколько проблем, которые обусловлены следующими факторами:
- Слабо проработанные стандарты безопасности
- Отсутствие детального анализа статистики по инцидентам
- Невозможность применения существующих методов защиты ИТ инфраструктуры.
С точки зрения риска для клиента, наименьшие риски находятся в случае публичных облаков, так как вопросами безопасности занимается отдельная организация, которая организовала облако. В этом случае у клиента меньше затрат, так как при аренде приложений клиенту не надо задумываться о поддержке инфраструктуры и разработке приложений.
Наиболее затратный, но и наиболее контролируемый подход, когда арендуется инфраструктура как сервис. В этом случае клиент имеет наибольшее количество возможностей по реализации тех сервисов, которые ему нужны, но и риски в этом случае достаточно большие, так как клиенту приходится заботиться о безопасности всей инфраструктуры.
К выбору провайдера сервиса облачных вычислений клиенту необходимо отнестись очень серьезно. Ему необходимо определить полный список требований к вычислительной платформе, включая и уровень безопасности.
C точки зрения оценки провайдера для обеспечения им информационной безопасности на западе рекомендовано придерживаться определенной методологии. В первую очередь, это следование практикам ISO 27002, аудит на соответствие стандарту SAS 70 Type II, кроме того, несомненным плюсом является сертификация провайдера по ISO 27001.
В России, кроме вышеперечисленных мировых практик обеспечения безопасности, формальным подтверждением соответствия требованиям по безопасности является аттестация по требованиям ФСТЭК, использование сертифицированных средств защиты. Наличие лицензий ФСТЭК и ФСБ является обязательным для предоставления услуг по защите информации и шифрования, так же рекомендуется наличие сертификата EIA/TIA-492 для ЦОД
Для того, чтобы не ошибиться в выборе, крайне важно знать, какие именно вопросы надо задавать и что необходимо искать в ответах провайдера.
Наиболее авторитетная в области безопасности облаков организация Cloud Security Alliance (CSA) опубликовала свои рекомендации, к которым есть смысл прислушаться при просчете рисков.
1. Сохранность данных.
Каким образом провайдер обеспечивает сохранность данных?
Лучший способ защиты расположенных в хранилище данных – использование шифрования. С целью предотвращения случаев неправомерного доступа, провайдер должен шифровать хранящуюся на своих серверах информацию клиента, безвозвратно удалять данные, когда они больше не нужны и не потребуются в будущем.
2. Защита данных при передаче.
Как провайдер обеспечивает сохранность данных при их передаче?
Передаваемые данные должны быть зашифрованы и доступны пользователю только после аутентификации. Это является гарантией того, что эти данные не сможет изменить или прочитать ни одно лицо, даже если оно получит к ним доступ посредством ненадежных узлов сети. Эти технологии давно известны, созданы надежные протоколы и алгоритмы, такие как TLS, IPsec и AES. Провайдеры, должны использовать эти протоколы, а не изобретать свои собственные.
3. Аутентификация.
Как провайдер узнает подлинность клиента?
Самым распространенным способом аутентификации является защита паролем. Однако некоторые провайдеры, для обеспечения более высокой надежности, прибегают к помощи таких средств, как сертификаты и токены. Желательно, что бы провайдеры имели возможность работы с такими стандартами как LDAP и SAML. Это важно для обеспечения прозрачного взаимодействия провайдера с системой идентификации пользователей клиента при авторизации и определении выдаваемых пользователю полномочий. Худший вариант – когда клиент предоставляет провайдеру конкретный список авторизованных пользователей, это увеличит сложность контроля в случае увольнения сотрудника или его перемещении на другую должность.
4. Изоляция пользователей.
Каким образом данные и приложения одного клиента отделены от других?
Лучший вариант, когда каждый из клиентов использует индивидуальную виртуальную машину (Virtual Machine – VM) и виртуальную сеть. Разделение между виртуальными машинами и между пользователями, обеспечивает гипервизор. Виртуальные сети, в свою очередь, развертываются с применением таких стандартных технологий, как VLAN (Virtual Local Area Network), VPLS (Virtual Private LAN Service) и VPN (Virtual Private Network).
Некоторые провайдеры пытаются изолировать данные клиентов друг от друга за счет изменения кода единой программной среды, в которой находятся все данные. Такой подход не надежен. Во-первых, увеличивается риск того, что злоумышленник может найти дыру в нестандартном коде, который позволит ему получить доступ к данным. Во-вторых, ошибка в коде может привести к тому, что один клиент случайно "увидит" данные другого. За последнее время далеко не один раз имели место подобные инциденты.
5. Нормативно-правовые вопросы.
Насколько провайдер следует законам и правилам, применимым к сфере облачных вычислений?
В зависимости от юрисдикции, законы и правила могут быть различными. К примеру, они могут запрещать экспорт данных, требовать использования строго определенных мер защиты, наличия совместимости с определенными стандартами и наличия возможности аудита. В некоторых случаях, они могут требовать обеспечения доступа к информации со стороны государственных ведомств или судебных инстанций.
Провайдеры обязаны следовать жестким правилам и придерживаться единой стратегии в правовой сфере. Это касается безопасности пользовательских данных, их экспорта, соответствия стандартам, аудита, сохранности и удаления данных, а также раскрытия информации.
6. Реакция на происшествия.
Как провайдер реагирует на происшествия, и насколько могут быть вовлечены его клиенты в инцидент?
В случае возникновения инцидентов, провайдер услуг обязан придерживаться конкретных правил поведения и эти правила должны быть задокументированы. Провайдеры обязательно должны заниматься выявлением инцидентов и минимизировать их последствия, информируя пользователей о текущей ситуации.
Риски облачных платформ.
И все-таки, несмотря на возможные дополнительные риски, облачные сервисы переживают бурный рост. Этому способствуют основные два фактора: удобство и выгода.
Компаниям не надо тратить огромные средства на создание собственных центров обработки данных, на оплату лицензионного программного обеспечения, на содержание квалифицированного персонала. Вы просто можете автоматизировать все ИТ-процессы, купив готовые пакеты SaaS, DaaS, IaaS или PaaS.
Кроме того, обеспечивается неограниченная масштабированность, т.е. сколько ресурсов вам нужно, столько и будет вам предоставлено. При этом оплата производится за реальные услуги или ресурсы, за то время, в течение которого вы ими пользуетесь.
Аналитики известной компании Gartner прогнозируют перемещение большей части информационных технологий в облака в течение 5–7 лет.
При написании данной статьи использованы материалы:
http://www.cloudsecurityalliance.org/
http://www.trustedcomputinggroup.org/