Безопасность сегодня превращается из препятствия в одно из главных преимуществ перехода в облака.
Согласно недавнему исследованию по заказу Oracle 78% организаций, опрошенных в Европе, считают, что облако может улучшить и безопасность, и гибкость. В Oracle уверены, что Oracle Cloud может обеспечить такой высокий уровень безопасности, который сами организации не могут предполагать реализовать на локальном уровне. За счет чего это достигается, какова стратегия корпорации в области ИБ и какие облачные сервисы предлагаются российским заказчикам, рассказал Энди Смит, старший директор Oracle по развитию продуктов безопасности. Он впервые приехал в Москву из штаб-квартиры корпорации в Калифорнии. Его интервью - сегодня в блоге.
Какие важные изменения происходят на мировом рынке в области ИБ?
Сегодня все труднее выявлять уязвимости в ИТ-системах, хакерские атаки становятся все более сложными. А каждый пробел в защите обходится компаниям все дороже: убытки от каждого инцидента год от года растут. Поэтому очень большое значение приобретает максимально быстрое выявление потенциальной угрозы и ее устранение. Поставщики решений безопасности постепенно переходят от средств защиты сетевого периметра к реализации аналогичных сервисов в облаке, контролю всего облачного трафика. И это серьезное изменение в области ИБ.
Каким образом обеспечивается безопасность данных в облаке? В чем «философия облачной безопасности» Oracle?
Oracle уделяет вопросам безопасности самое серьезное внимание, причем с самого начала проекта разработки СУБД. В настоящее время компания продолжает инвестировать в обеспечение безопасности значительные средства, особенно это касается публичного облака Oracle Cloud. Речь идет о многоуровневой системе безопасности, от обеспечения физической безопасности ЦОД Oracle, средств контроля доступа и аппаратных технологий, интегрированных в процессоры SPARC («безопасность на кристалле», т.е. ускорение шифрования и аппаратная защита памяти), до процессов разработки приложений, использовании при программировании практических методов, повышающих уровень безопасности конечных программных продуктов.
Безопасность касается не только собственно программного года. Это также применяемые в ИТ процедуры и специалисты, управляющие программно-аппаратными комплексами. Например, в управлении Oracle Cloud задействовано 16 тыс. специалистов. Каждый из них прошел обучение по «практике безопасности», отвечает за те или иные аспекты ИБ. Поэтому безопасность – это не только ПО, но и профессионалы, которые с ним работают.
Очень важно, чтобы безопасность реализовывалась на всех уровнях, охватывала все процессы. Только такая многоуровневая система гарантирует надежную защиту данных наших клиентов.
Как за последние 2-3 года изменились требования и подходы заказчиков?
Традиционный подход - превентивная защита, когда используется шифрование данных, авторизация/контроль доступа и пр. Однако атаки становятся все более изощренными, хакеры применяют более хитроумные способы, находят новые уязвимости. Поэтому требования меняются: заказчики понимают, что превентивных мер уже недостаточно. «Поверх» превентивных средств защиты реализуются предиктивные, осуществляется постоянный мониторинг активности, поведения пользователей. Такой мониторинг помогает выявить потенциальные пробелы в системе безопасности и вовремя отреагировать. Сегодня можно говорить о новой модели, позволяющей предвидеть угрозу, вовремя обнаружить, предотвратить ее и принять ответные меры.
Какие именно решения, по вашему мнению, наиболее важны для «облачной безопасности»?
Один из аспектов безопасности в облаке состоит в том, что облачная модель меняет принципы защиты. Традиционный подход предполагает защиту границы сети, использование систем предотвращения вторжений (IPS), меж��етевых экранов, практики безопасности и пр. Все это по-прежнему актуально. Но теперь приложения и сервисы развертываются не внутри периметра корпоративной сети, а в облаке. Пользователи со своих мобильных устройств обращаются непосредственно к публичному облаку, трафик больше не проходит через периметр корпоративной сети. Разработчики средств обеспечения безопасности пытаются приспособиться к этим переменам, адаптируют свои решения к новой облачной реальности. Появляются такие продукты как файерволы для веб-приложений (Web Application Firewall, WAF), шлюзы безопасности (Security Gateway), Identity-as-a-Service, Cloud Access Security Broker - все это новые технологии, развертываемые в настоящее время вендорами, и они должны функционировать согласованно.
Oдин из наиболее важных аспектов состоит в том, что Oracle рассматривает все эти технологии в контексте применения к ним идентификационной информации – распознавание пользователей и устройств, корреляции их действий и операций, чтобы можно было выявлять аномалии в поведении, потенциальные риски, угрозы и т.д. Такой подход нацелен на мониторинг активности для своевременного выявления угроз.
Какие ключевые уровни обеспечения безопасности реализованы в Oracle Cloud? Как разделяются обязанности между Oracle и заказчиком?
Подчас заказчики полагают, что если они не управляют дата-центром, а просто покупают сервисы у поставщика, то и за безопасность не отвечают, – это обязанность сервис-провайдера. И мы стараемся объяснить заказчикам, что они разделяют ответственность с провайдером. Конечно, облачный поставщик, в частности, Oracle, берет на себя бОльшую долю ответственности, но сути модели это не меняет. Мы стараемся предоставить клиентам инструменты, которые помогли бы им упростить задачу обеспечения безопасности «на стороне клиента». Однако в целом это зависит еще и от вида сервисов – IaaS, PaaS или SaaS.
В случае инфраструктурных IaaS-сервисов на Oracle ложится больше обязанностей по обеспечению информационной и физической безопасности на уровне ЦОД, ИТ-инфраструктуры. Использование PaaS-сервисов добавляет к этому обеспечение безопасности на уровне операционной системы, базовых платформенных сервисов. А SaaS – уровень приложений, патчи, но заказчик, со своей стороны, осуществляет контроль доступа, управление конфигурациями, мониторинг и пр.
Во всех трех случаях клиент сам определяет, насколько критичны те или иные его данные, выбирает соответствующую конфигурацию защиты, и в этом ему помогают инструментальные средства, предлагаемые нами.
А как это происходит в случае использования сервисов Oracle Cloud Machine, публичного облака Oracle в ЦОД заказчика?
Облачное предложение Oracle Cloud Machine - действительно уникально и особенно подходит для российского рынка. Сервисы публичного облака Oracle, размещенные в ЦОД заказчика, – хорошая альтернатива, позволяющая удовлетворить локальные требования к размещению данных. По сути, Oracle Cloud Machine дает возможность каждому заказчику открыть свой ЦОД с Oracle. При этом клиенты имеют все преимущества Oracle Cloud. Им не нужно беспокоиться об аппаратном обеспечении, инфраструктуре, обновлении ПО. Oracle это берет на себя.
Клиенты могут уделять больше внимания своему бизнесу и переориентировать ИТ-отдел на более стратегические инициативы. Базовая конфигурация системы обеспечения безопасности в этом случае также полностью соответствует Oracle Cloud, включая аппаратные, программные компоненты, управление идентификационной информацией (IDM) и пр. Но физическая безопасность, контроль доступа на площадку – это уже ответственность самого заказчика, а не Oracle.
Какую роль Oracle отводит облачным сервисам безопасности Cloud Security Services в портфолио решений ИБ? Какие возможности предлагает в России?
Портфолио сервисов Cloud Security Services – важнейшее направление. Те же сервисы, которые мы предлагаем во всем мире, применимы и в России. Они наценены на то, чтобы предоставить новые возможности для разработки приложений, интеграции, аналитики и вместе с тем обеспечить безопасность этих приложений, в том числе при развертывании в облаке.
Сейчас активно развивается интернет вещей. Как обеспечить защиту в IoT?
Хакеры еще не освоили эту область, но хорошим решением могут стать IDM-системы, которые обеспечат авторизацию и доступ доверенных устройств. То есть давно известные подходы к обеспечению безопасности можно применить и к IoT. И это уже используется. Например, в Oracle IoT Cloud Service задействовано все то же базовое программное обеспечение Oracle IDM.
Какие новые технологии Oracle планирует использовать в своих будущих ИБ-решениях? Например, аналитика больших данных, машинное обучение?
Это уже не технологии будущего, мы их используем и продолжаем совершенствовать. Они применяются, в том числе, в таких новых сервисах как Oracle Identity Cloud Service, мониторинг событий безопасности, сервис аналитики, Oracle Cloud Access Security Broker. В них задействованы аналитика больших данных, технологии машинного обучения. Все это позволяет автоматизировать процессы, прежде статичные и требовавшие больших трудозатрат.
Одна из проблем обеспечения безопасности сегодня состоит в том, что для анализа больших объемов информации вручную и своевременного выявления угроз просто не хватает специалистов, а многие последовательности событий очень сложно отследить, поэтому нужна автоматизация. Например, «поток событий» анализируется в реальном времени с использованием ресурсов в облаке. В наш «брокер безопасности» Cloud Access Security Broker интегрирован движок анализа поведения, для оценки рисков применяется машинное обучение и аналитика больших данных. Такие новые возможности помогают заказчикам повысить уровень безопасности и анализировать гораздо большие объемы данных, чем прежде. И мы продолжаем активно работать по всем новым направлениям.
