Самая последняя тенденция в мире IT сегодня — облака. Облачные вычисления, облачные услуги и, даже — облачная безопасность (cloud security). Но не все и не всегда правильно понимают, что стоит за этим термином.

Зачем нужна облачная безопасность?

Сегодня множество людей используют удаленный доступ в Интернет через лэптоп, смартфон или планшет. В развитых странах число сотрудников, работающих за пределами офисов, постоянно растет, и в настоящее время уже превышает количество тех, кто работает в офисе. Согласно исследованию IDC, к концу 2011 г. 75% трудоспособного населения США будет работать мобильно. Эта тенденция, дополненная возможностью подключения из любой точки мира, означает, что понятие традиционного периметра сети компании размывается, границы сети становятся все более виртуальными, а само предприятие становится «безграничным» (borderless).

Мобильные сотрудники подключаются к Интернету из дома, из офиса клиента, из аэропорта и из отеля. И это удобно. Но множество преимуществ удаленной работы сопровождается повышением рисков информационной безопасности (ИБ), связанных с более низким уровнем защищенности общедоступных сетей. Злоумышленники же активно расширяют набор вредоносного ПО для атак на ноутбуки и прочие гаджеты и получения доступа к персональным и служебным конфиденциальным сведениям мобильных пользователей, нередко очень ценных.

По данным ряда исследований средняя стоимость конфиденциальных сведений, хранящихся на ноутбуке мобильного сотрудника в Северной Америке или Европе, составляет 525 тыс. долл. И хотя в России таких исследований не проводилось, «наши» риски безопасности тоже не следует недооценивать.

В традиционной среде администраторы ИТ-инфраструктуры практически не контролируют Web-контент, к которому получают доступ мобильные пользователи. Ситуация усугубляется тем, что вероятность доступа к ненадлежащему контенту за пределами офиса в пять раз выше вероятности такого доступа из офиса. Дополнительным фактором риска является тот факт, что мобильные сотрудники используют защищенное VPN-подключение лишь в течение 17% времени своей работы с Интернет-ресурсами вне офиса. Как же обеспечить контроль и защиту корпоративных ноутбуков в течение оставшихся 83% времени?

Решения предыдущего поколения предусматривали установку клиентского ПО на ноутбуки и перенаправление трафика удаленного сотрудника в корпоративную сеть для сканирования. Такой подход повышает затраты на управление всей ИТ-инфраструктурой и нередко приводит к возникновению задержек в работе пользователя. Кроме того, при перенаправлении трафика удаленных пользователей в корпоративную сеть увеличивается нагрузка на канал подключения этой сети к Интернету. Более эффективно решить проблему сегодня позволяет облачная безопасность.

Что такое облачная безопасность?

Прежде всего отметим, что облачная безопасность является подмножеством новой бизнес-модели на рынке информационной безопасности, заключающейся в предоставлении полностью законченной услуги ИБ ее поставщиком — «безопасность как сервис» (security as a service, SaaS).

В этом ее отличие от бизнес-модели «безопасность как продукт», ярким примером которой является передача управления каким-либо из средств защиты в третьи руки. Например, вместо использования арендуемого у оператора связи межсетевого экрана (managed firewall) заказчик получает готовый сервис защищенного подключения к Интернету (операторы связи называют такие сервисы Clean pipes или «чистый Интернет»). В случае с моделью «безопасность как продукт» предприятие-заказчик снимает с себя только головную боль по эксплуатации межсетевого экрана; оставаясь при этом с проблемой выбора, приобретения и списания системы защиты. В модели же «безопасность как сервис» потребитель полностью забывает про Интернет-защиту, делегируя эту задачу провайдеру услуг.

Рейтинг популярности сервисов и основные игроки

Рынок облачной безопасности как категории SaaS, по данным IDC, оценивался в 6% от общего рынка средств защиты, т. е. в 1,4 млрд долл. (от общего объема в 24,5 млрд долл.). Однако другие аналитики представляют иные цифры, так как составляющие SaaS (так же, впрочем, как и рынка ИБ) могут отличаться. Есть различия и в классификации сервисов. Приведенную ниже градацию использует, в частности, компания Forrester, но ее аналитики не дают оценок объемов каждого сегмента, а лишь показывают уровень спроса на конкретный сервис SaaS.

Сегодня уже никто не сомневается в насущной необходимости защиты мобильных пользователей, «потребляющих» Интернет вне корпоративного периметра и его средств защиты — межсетевых экранов, систем предотвращения вторжения, систем URL-фильтрации, средств контроля утечек информации (DLP), систем борьбы с вредоносным контентом и т. п. Поэтому сегодня самой распространенной услугой облачной безопасности является именно безопасность Интернет-контента — Web и электронной почты. Суть этих услуг проста — весь Web- или e-mail-трафик проходит через облачную инфраструктуру, которая и проверяет его на предмет нарушения политики безопасности. К числу игроков этого сегмента рынка, представленных в России, можно отнести Cisco Systems (ScanSafe), WebSense, Trend Micro, Google Postini.

Вторая по популярности услуга — Threat Intelligence (информация об угрозах). Ее суть в том, что потребитель получает информацию обо всех новых угрозах, не занимаясь собственными исследованиями и поиском в Интернете средств защиты от них. Здесь налицо экономия времени для персонала компании и возможность сконцентрироваться на более приоритетных задачах. К числу основных игроков этого сегмента рынка, представленных в России, можно отнести Cisco (сервис Security Intelligence Operations или IntelliShield Alert), Symantec (сервис DeepSight) и российскую компанию Positive Technologies (сервис SecurityLab Alert).

Уступает предыдущим по распространенности услуга дистанционного сканирования ресурсов заказчика для поиска уязвимостей. Однако, учитывая растущее число нормативных требований по анализу защищенности (приказ ФСТЭК № 58, PCI DSS, требования по защите критичных инфраструктур, СТО БР ИББС Банка России и т. п.), эта услуга постепенно завоевывает все больше сторонников и пользователей.

Последней по популярности услугой безопасности из основных четырех является сервис перевода в облако системы идентификации, аутентификации и авторизации пользователей. Этот сегмент рынка, рожденный компанией VeriSign, набирает обороты, но потихоньку, так как внедрение такого сервиса своими силами — весьма трудоемкая задача. Ниже приведена таблица основных поставщиков четырех перечисленных сервисов.

Таблица. Основные поставщики SaaS-сервисов безопасности российского рынка

У компании IDC другая классификация сервисов, которая дает и количественные оценки этих сегментов (см. рисунок).

Рисунок. Распределение долей сервисов SaaS (данные IDC, 2008 г.)

IDC делит область SaaS на сервисы: защиты сообщений (messaging security, MS), доступа (Identity and access management,IAM), конечного пользователя (еndpoint security, ES), управления уязвимости (security and vulnerability management, SVM), защиты Web (Web security) и сетевой защиты (network security). По данным IDC, самая большая доля — 40% — у сегмента «messaging security». Мировыми лидерами на нем являются Symantec, Google, Microsoft, McAfee, Cisco и Websense. В России все эти поставщики представлены, но все предлагают этот сервис не очень активно в силу его неприятия отечественными компаниями, которые опасаются, что «их» электронная почта может стать доступной третьим лицам.

Второй в рейтинге IDC — сегмент IAM — 27% рынка. Здесь основные игроки — VeriSign, Authentify, Tricipher, Lieberman и EMC, среди которых VeriSign явно лидирует с долей в сегменте 64% . В России о проектах в этой области данных нет (это и понятно, так как наш менталитет не готов отдать службы контроля доступа в «чужие руки»).

На третьем месте — сегмент защиты конечного пользователя с долей 12%. Основные игроки: McAfee, Trend Micro, Panda, F-Secure и PGP. В России данных о таких проектах тоже нет. Немногим меньше доля сегмента «управление уязвимостями» — 11%. Его основные игроки: Qualys, McAfee, SecureWorks, Cenzic и White Hat. Из этих компаний в России работают только Qualys и McAfee, но на отечественном рынке есть и российский производитель, выпускающий продукты этого класса — Positive Technologies. Далее следуют сервисы защиты Web (6%) и сетевой безопасности (4%). В сегменте «Web» работают такие компании, как ScanSafe (купленная Cisco), Websense, Symantec, Trend Micro и McAfee. В России представлены все эти игроки и известны проекты на базе этого сервиса. К сегменту сетевой безопасности IDC причисляет хорошо известные на нашем рынке компании AlertLogic, Positive Networks, Trend Micro, Citrix и Check Point. Но данного сервиса на отечественном рынке не предлагает почти никто по понятным объективным причинам (госрегулирование+менталитет).

Следует заметить, что если на мировом рынке сервисы SaaS предлагают как провайдеры услуг, так и поставщики решений, реализующих сервисы (становясь тем самым поставщиками SaaS-сервиса), то в России это в основном поставщики решений. Из операторов, пожалуй, лишь у «Вымпелкома» есть сервис очистки трафика от вирусов и червей, но пока без специальной оплаты.

В чем плюсы и минусы для потребителя?

Надо заметить, что облачная безопасность нужна не только и не столько для мобильных пользователей, как это могло показаться. На них в первую очередь ориентирована услуга «чистый Интернет». Но она полезна и для любого стационарного офиса любого размера, ибо снижает затраты. В этом случае выгода потребителя — примерно 30-40%, поскольку предприятию не требуется приобретать, развертывать и поддерживать оборудование безопасности, устанавливаемое на территории заказчика. Для мобильных же пользователей такая услуга в принципе не имеет альтернатив. В целом можно заметить, что выгода от перехода к облачной безопасности обладает рядом неоспоримых достоинств для потребителя такого сервиса.

  • Снижение капитальных и операционных затрат.
  • Абсолютная прогнозируемость расходов, ежемесячная оплата, фиксированная при неизменном количестве пользователей.
  • Возможность отказаться от непрофильных средств, т. е. концентрация на ключевых компетенциях.
  • Безопасность в режиме 24×7. Поставщик услуги обеспечивает защиту в круглосуточном режиме (обычный режим в 99% организаций — 8×5).
  • Прозрачность модернизации и ее оперативность.
  • Высокая и гарантируемая надежность.
  • Гибкость развертывания, простота подключения новых пользователей и площадок заказчика.

Основными мотивами обращения к облаку являются экономия и прогнозируемые финансовые потоки, а также концентрация на ключевых компетенциях компании.

Итак, наиболее значимый фактор выбора — экономический. Затраты на устройства защиты, которые приобретаются и поддерживаются заказчиком самостоятельно, могут составлять от нескольких сотен до несколько сотен тысяч долларов на каждую точку подключения, в зависимости от уровня защиты и используемых систем безопасности. (Точкой подключения может быть как отдельный удаленный сотрудник, так и целое подразделение компании). Но это далеко не все: по данным компании Gartner, «прайсовая» стоимость устройства или ПО составляет всего 15-20% TCO. А если к этой сумме добавить затраты на резервирование устройств и принципиальную невозможность защитить мобильных пользователей, не находящихся вне корпоративной защиты, то выбор в пользу облачной безопасности становится очевидным.

Самая популярная бизнес-модель поставщика услуг для обеспечения контентной безопасности (как наиболее распространенной облачной ИБ-услуги) — продажа по фиксированной цене. Например, цена подключения одного пользователя заказчика у одного из игроков рынка составляет от 130 (для 25–249 пользователей) до 50 (свыше 10000 пользователей) руб. в месяц только за очистку Интернет-трафика от вредоносных программ. Контроль посещаемых сайтов обойдется в дополнительные 75–30 руб. соответственно. Таким образом, защищенный Интернет для одного сотрудника обходится заказчику около 100 руб. в месяц (при подключении свыше 10 тыс. пользователей). При минимальном подключении (от 25 до 249 пользователей) цена на одного сотрудника составит около 180–200 руб. в месяц. Соответствующий месячный доход поставщика услуги «контентная безопасность» составит в случае 10 тыс. пользователей — 240 тыс. руб., в случае минимального подключения — примерно 5 — 40 тыс. руб.

Перспективы

Есть ли у этого направления бизнеса будущее или это очередная маркетинговая фишка? На первый взгляд, облачная безопасность — направление выгодное со всех сторон. Поставщики услуг получают новые рынки и рост доходов, а конечные потребители — высокий уровень защищенности своих информационных активов с фиксированными и заранее спланированными затратами, причем гораздо ниже тех, что пришлось бы заплатить за создание и поддержание собственной инфраструктуры безопасности. О вполне радужном будущем говорят и тенденции Интернет-рынка. Это и взрывной рост мобильного Интернета, и постепенное стирание границы между компьютером и Интернетом, и, конечно же, подключение к Интернету любого устройства, а не только тех, за которыми работают пользователи. А следовательно, вопрос защиты такого подключения будет становиться все острее и острее.

С другой стороны, все не так просто и радужно. Облачная безопасность, конечно же, будет расширять свое присутствие, но полностью традиционные принципы построения системы защиты корпоративных сетей конечно жене заменит. Особенно в России — с ее регуляторами, каналами связи, менталитетом большинства руководителей служб ИБ и уровнем доверия к бизнес-партнерам.

Полная электронная версия этой статьи доступна только для подписчиков. Для получения полной электронной версии статьи сейчас Вы можете оформить запрос.