Поставщики "облачных" услуг уделяют все больше внимания нормативным требованиям

Сегодня каждый ИТ-директор мечтает как можно скорее окунуться в сетевое "облако", но при этом многие из них натыкаются на всевозможные государственные правила и ограничения. Правительство требует, чтобы ИТ-директор знал, где находятся его данные, кто может получать к ним доступ и как эти данные защищены. Если данные находятся в "облаке", ответить на эти вопросы весьма сложно.

Однако решение не за горами. Альянс за "облачную" безопасность (Cloud Security Alliance) опубликовал пакет бесплатных программ под названием "Governance, Risk Management and Compliance Stack" («Программный стек для управления, борьбы с рисками и удовлетворения нормативных требований»), позволяющий выполнить множество требований государства. Кроме того, "облачные" вендоры один за другим проходят сертификации на соответствие различным режимам информационной безопасности. Компания Amazon, например, недавно заявила о том, что ее веб-сервисы прошли сертификацию по стандарту PCI (Payment Card Industry), который используется для защиты карточных платежных систем.

Так или иначе, пора действовать, ибо нормативные требования стали превращаться в серьезное препятствие на пути распространения «облачных» вычислений. "Распространению публичных «облачных» услуг мешают, прежде всего, вовсе не соображения безопасности. Главное препятствие - необходимость соблюдения нормативных и законодательных требований", - заявил директор компании Cisco по вопросам «облачных» вычислений и виртуализации Кристофер Хофф (Christofer Hoff).

Преимущества «облачных» вычислений

Несмотря на проблемы с удовлетворением нормативных требований, коммерческие организации и государственные органы стремятся в сетевое "облако", ибо оно проще и дешевле полноценного корпоративного центра обработки данных (ЦОД). "Облако" привлекает ИТ-директоров высокой масштабируемостью, предсказуемыми расходами, возможностью доставки ресурсов по требованию и совместной работы.

"Облако" дает заказчику небывалую гибкость. К примеру, организация может мгновенно получить ресурсы для запуска рекламной кампании, а через неделю вернуть их обратно в общедоступный пул. Разработчик может быстро создать среду для бета-тестирования и так же быстро ликвидировать эту среду, когда потребность в ней отпадет. Пользователям не придется закупать ненужные аппаратные средства и заключать долгосрочные сервисные соглашения.

Экономия же возникает из-за того, что крупный поставщик «облачных» услуг может размещать данные и приложения заказчиков на любом из тысяч физических серверов в любом из десятков ЦОД в разных регионах мира. Доставка «облачных» услуг обходится дешево, так как эти услуги не привязаны к выделенным серверам, системам хранения и коммутаторам - они могут размещаться на виртуальных машинах вместе с данными десятков других компаний. Кроме того, их можно переносить с одного физического сервера на другой в зависимости от спроса и даже от местных тарифов на электроэнергию.

Соблюдение нормативных требований как предпосылка развития частных «облаков»

Законы, требующие от компаний строгого соблюдения принципов невмешательства в частную жизнь, не предусматривали быстрого распространения виртуальных машин. Например, германское законодательство запрещает хранить любые данные о гражданах Германии за пределами ее территории. Законы других стран требуют от компаний надежной защиты личных данных от несанкционированного доступа. По словам Кристофера Хоффа, законодательные требования стали одной из причин, по которой многие крупные предприятия решили использовать частные «облака», защищенные межсетевыми экранами, и не обращаться к сетевым «облакам» общего доступа.

В ходе исследования, проведенного осенью 2010 года аналитической компанией Harris Interactive по заказу Novell Inc., 81 процент опрошенных лиц, принимающих решения в информационно-технологической области, заявили, что сложность выполнения нормативных и законодательных требований в публичном «облаке» представляет для них реальную проблему. Именно поэтому крупные банки и медицинские страховые компании создают собственные частные «облака» с выделенными серверами и системами хранения. Частное «облако» стоит дороже публичного, но позволяет легко продемонстрировать выполнение законов, поддерживая при этом виртуализацию и другие экономичные функции «облачной» архитектуры. Хофф считает эту стратегию достаточно разумной, хотя, по мнению многих сторонников "облачных" технологий, идею частного «облака» выдумали поставщики аппаратных систем, чтобы их заказчики продолжали покупать серверы и дисковые массивы.

Многие ИТ-директора склоняются к сетевым «облакам», несмотря на трудности с соблюдением законодательных требований. Опросив 384 крупных пользователя, компания Courion Corp. (продает программные решения для защиты данных) установила, что "почти половина опрошенных - 48,1 процента - не уверена, что аудит их «облачных» приложений покажет полное соответствие нормативным требованиям к пользовательскому доступу".

Все больше заказчиков переносят некоторые типы приложений и инфраструктурных систем в частные «облака», размещенные на правах хостинга в провайдерских центрах обработки данных. Виртуальное частное «облако», напоминает Кристофер Хофф, представляет собой "массив частных вычислительных систем и систем хранения, расположенный в помещениях внешней компании и подключаемый к предприятию через зашифрованный туннель VPN". Такое решение обычно стоит дороже публичного «облака», но позволяет предприятию пользоваться многими преимуществами «облачных» вычислений.

В авангарде этого процесса идет правительство США. В начале декабря 2010 года федеральная Администрация общих служб (General Services Administration) объявила о переходе 17 тысяч своих сотрудников с приложений Microsoft для электронной почты и настольных компьютеров к «облачным» приложениям Google. По подсчетам этого госучреждения, за пять лет расходы на указанные приложения сократятся наполовину - до 15 млн долларов.

Соблюдение нормативных требований в «облаке»

Поставщики публичных «облачных» услуг стремятся соблюдать законодательные требования так, чтобы при этом не увеличивать расходы на выделенные аппаратные средства. Как уже упоминалось, недавно компания Amazon объявила о выполнении строгих требований стандарта PCI. Вот что написал в своем блоге главный исполнительный директор Amazon Джефф Безос (Jeff Bezos): "До недавнего времени мы не могли даже мечтать о возможности выполнения требований PCI в виртуализированной многопользовательской среде". По его словам, компания смогла доказать аудитору PCI, что ее "базовые услуги эффективно и безопасно изолируют каждого заказчика веб-услуг Amazon в своей защищенной среде". Тем не менее, признает Безос, опубликованные недавно спецификации PCI хоть и учитывают виртуализацию, но ничего не говорят о "многопользовательской среде" (multi-tenancy), то есть о размещении данных нескольких конкурирующих компаний на одном физическом сервере.

Специалисты в области информационной безопасности считают требования PCI более жесткими по сравнению с требованиями используемого в здравоохранении стандарта HIPAA. Это значит, что публичные «облака» вполне могут соответствовать самым строгим стандартам безопасности в самых "зарегулированных" отраслях, по крайней мере, в США. "Это очень большое достижение", - пишет в своем блоге Рич Могалл (Rich Mogull), главный исполнительный директор консалтинговой компании Securosis, работающей на рынке информационной безопасности. Однако, предупреждает он, все приложения и процессы на сайтах, связанных с услугами Amazon, также должны пройти проверку на совместимость со спецификациями PCI.

Успешные действия компании Amazon и других вендоров, направленные на удовлетворение требований к безопасности и защите личных данных в виртуальной среде, показывают, что сложности с соблюдением нормативных требований вполне могут быть преодолены.