«Если ключ всегда у вас в кармане, неважно, где ваши данные» - «Интервью» » Новости Банков
bottom-shape image

«Если ключ всегда у вас в кармане, неважно, где ваши данные» - «Интервью»

Сергей Кузнецов
генеральный директор компании SafeNet в России и СНГ


«Если ключ всегда у вас в кармане, неважно, где ваши данные» - «Интервью»

Преимущества облачных технологий неоспоримы, но не всякий бизнес рискнет вывести свои данные за периметр информационной защиты. Генеральный директор компании SafeNet в России и СНГ Сергей КУЗНЕЦОВ рассказал порталу Банки.ру о новом подходе к проблеме безопасности облачных сервисов.

— Ваша компания давно занимается информационной безопасностью. Какие тенденции вы видите на этом рынке?

— На сегодняшний день классические системы безопасности позволяют нам защищаться от вирусов, подбора пароля и фишинга. При этом все угрозы можно разделить на две части. Первая — угрозы вне периметра конкретной организации, например банка, и вторая — угрозы, исходящие изнутри.

Мы пришли к выводу, что как такового безопасного периметра не существует. Статистика свидетельствует, что любой периметр может быть сломан, чаще всего изнутри. Естественно, мы ни в коем случае не призываем не защищать периметр. Его надо защищать и программными, и аппаратными средствами, но полагаться только на это — самоубийство. Защищать надо не периметр, а сами данные. Потому что именно данные, конкретная информация, представляют ценность.

Этот аспект стал наиболее важен в свете развития облачных технологий и виртуализации. Виртуализацию я вообще считаю одной из ключевых технологий для сегодняшнего развития банковской сферы.

Посмотрим на классическую модель виртуализации. Вот у нас есть виртуальная машина. Появляются суперпользователи, администраторы, которые имеют право делать абсолютно все — запустить ее, посмотреть, что там установлено, какие данные доступны. А ведь на ней может работать крайне важная система — например, торговый робот. И малейшее вмешательство в ее работу приведет к серьезным потерям.

— Как можно защитить виртуальную машину, если инфраструктуру, обеспечивающую ее работу, я как клиент контролировать не могу?

— Тут можно выделить три основных момента. Первый: виртуальной машиной должен владеть бизнес-пользователь, а не администратор. Это значит, что администратор может быть каким угодно суперпользователем в системе управления IT, но запустить вашу виртуальную машину он не сможет. А значит, не сможет получить доступ к вашим данным и результатам работы.

Второй момент: управление всеми этапами жизненного цикла виртуальной машины. Например, в виртуальной среде всегда есть копии вашей машины, на случай сбоев. Они могут находиться в библиотеках и хранилищах, о которых вы знать не знаете (большинство IT-администраторов о них тоже могут не знать или не понимать полную инфраструктуру. — Прим. ред.). Но, когда я как бизнес-пользователь удаляю свою виртуальную машину, я хочу быть уверенным, что эта машина будет удалена из всей инфраструктуры. Я не могу допустить, чтобы результаты моей деятельности, тем более если они содержат финансовую или другую конфиденциальную с точки зрения бизнеса информацию, могли попасть в чужие руки.

Представьте, вы пользуетесь почтовым сервисом Gmail. В каком из десятка репликационных центров по миру находится копия ваших данных? Контроля нет. Более того, никто вам его не обещает. Однако вам обещают практически моментально восстановление, в пределах SLA (Service Level Agreement — соглашение об уровне предоставления услуги. — Прим. ред.).

И третий принципиальный момент — журналирование. То есть: кто бы ни пытался получить доступ и ни делал бы что-либо в системе, это должно быть четко запротоколировано. Все ходы должны быть записаны. Если кто-то сделал что-то запрещенное, это станет известно. Также важно отметить, что из-за разграничения прав доступа доступ к этой информации может получить только сотрудник службы безопасности. А при необходимости можно сделать так, что потребуется одновременное присутствие более чем одного представителя.

Предлагаемый подход к защите информации позволяет нашим бизнес-пользователям снять барьер, мешающий переходу не только в частные облака, но и на следующий уровень абстракции — в публичные облака. Может возникнуть справедливый вопрос: а зачем это нужно и при чем здесь бизнес-пользователь? Ответ прост: облака — это не только технологии, но и возможность сокращения инвестиций и капитальных затрат на неосновные виды деятельности организаций.

Остановимся немного подробнее на технических особенностях трех описанных факторов. Как мы можем избавиться от администратора в качестве суперпользователя? Достаточно просто: мы можем сделать так, что виртуальная машина будет принадлежать только самому бизнес-пользователю. Это значит, что физически ее запустить сможет только бизнес-пользователь.

Мы создали механизм, правильнее сказать — взяли один из своих существующих продуктов, который назвали безопасным запуском. Он позволяет прежде, чем запускается машина, провести полную процедуру аутентификации бизнес-пользователя. Это значит, что администратор имеет все права управления виртуальной машиной. Он может ее настраивать, менять ее параметры. Но запустить ее, то есть получить доступ к содержанию, не может. Так мы решаем вопрос владения, один из наиболее принципиальных.

Вторая проблема — цикл жизни. Нам надо убедиться в том, что, сколько бы версий виртуальной машины ни существовало, при необходимости мы можем их разом уничтожить. И тут, очевидно, мы не можем предложить ничего лучшего, чем то, что мы умеем делать лучше всего, — я говорю о шифровании. При использовании описанного решения виртуальная машина и данные в состоянии покоя зашифрованы. Таким образом, нам неважно, какое количество копий зашифрованной виртуальной машины существует. Если у вашего администратора или недоброжелателя есть копия виртуальной машины, которую он украл из библиотеки или хранилища, — нестрашно, виртуальная машина зашифрована, данные в безопасности.

— То есть суть вашего подхода — шифрование данных в облаке? Но существуют методы атаки и на шифрованные данные, например можно перехватить ключи. Как этому противостоять?

— Да, даже если вы применяете технологии шифрования — это еще не повод успокаиваться. При использовании технологий шифрования возникает ряд других принципиальных аспектов, связанных с управлением ключевой информацией. Принципиально важно использование специальных решений для хранения ключей, резервирования устройств хранения и резервного копирования. Хотя мы обсуждаем программное решение защиты виртуальных сред, защита ключевой информации на 100% связана с «железом». Мы выпустили специальное аппаратное решение, так называемый депозитарий ключей, который управляет жизненным циклом ключа от генерации до уничтожения. При этом ключ не покидает устройства, его невозможно извлечь ни физически, ни программно.

Ваши данные и виртуальные машины могут находиться где угодно, в любом внешнем или внутреннем облаке, но ключи будут у вас, внутри депозитария. Вы же не боитесь закрывать квартиру и уходить со своим ключом. Ключ всегда у вас в кармане, неважно, где ваши данные, если они защищены!

— Как применяется или будет применяться эта технология?

— Эта модель направлена на два типа систем. В первую очередь это, естественно, корпоративный рынок, где основная система виртуализации — VMWare. Во вторую — это единственное полноценное публичное облако, которое предоставляет аналогичные услуги, — Amazon Web Services (AWS).

Мы давно и плодотворно работаем с компанией Amazon по поддержке защиты безопасности виртуальных машин. Теперь Amazon не только предлагает виртуальные ресурсы с защитой, но и предоставляет пользователям возможность управления своей ключевой информацией либо через аренду ресурса у Amazon, либо через покупку отдельного депозитария и стандартной интеграции с их сервисом. Пользователь может получить это решение или услугу у Amazon (One Stop Shopping).

С моей точки зрения, это революция. Облачный провайдер предоставляет свои услуги, и ими пользуются в основном те, кто не особо озабочен защитой своих данных, если их ценность минимальна по сравнению с преимуществами облака. Но Amazon понимает, что предоставляет услуги очень многим клиентам. Может получиться так, что у него найдутся недобросовестные клиенты, которые, находясь в одном центре обработки данных, попытаются получить доступ к данным других арендаторов. То же относится и к возможным недобросовестным сотрудникам. Это понимает не только Amazon, но и многие его клиенты. Потому компания стремится максимально усилить уровень безопасности своего облачного сервиса, а главное, предоставить своим клиентам возможность также сделать это самим стандартным образом.

В основе системы защиты Amazon используются HSM (Hardware Security Module). Теперь же, с применением нового HSM-гипервизора, компания Amazon дает возможность клиенту владеть ключами к своим машинам.

С одной стороны, заказчик использует преимущества коммерческих моделей: платишь за то, чем пользуешься, не делаешь крупных капитальных затрат на внедряемые IT- решения, минимизируешь расходы на поддержку. С другой стороны, заказчик имеет возможность использовать лучшие модели систем безопасности, когда он и только он владеет ключевой информацией. А где находятся его зашифрованные данные — дело техники.

Беседовал Михаил ДЬЯКОВ, Банки.ру

Технологии облачных вычислений обеспечивают удаленный доступ к ресурсам компании-провайдера. Расходы на создание и эксплуатацию инфраструктуры несет облачный провайдер, клиент платит лишь за требующиеся вычислительную мощность и дисковое пространство для хранения данных. В облаке могут размещаться как отдельные приложения и массивы данных, так и виртуальные серверы, рабочие станции, системы хранения данных.


Сергей Кузнецов генеральный директор компании SafeNet в России и СНГ Преимущества облачных технологий неоспоримы, но не всякий бизнес рискнет вывести свои данные за периметр информационной защиты. Генеральный директор компании SafeNet в России и СНГ Сергей КУЗНЕЦОВ рассказал порталу Банки.ру о новом подходе к проблеме безопасности облачных сервисов. — Ваша компания давно занимается информационной безопасностью. Какие тенденции вы видите на этом рынке? — На сегодняшний день классические системы безопасности позволяют нам защищаться от вирусов, подбора пароля и фишинга. При этом все угрозы можно разделить на две части. Первая — угрозы вне периметра конкретной организации, например банка, и вторая — угрозы, исходящие изнутри. Мы пришли к выводу, что как такового безопасного периметра не существует. Статистика свидетельствует, что любой периметр может быть сломан, чаще всего изнутри. Естественно, мы ни в коем случае не призываем не защищать периметр. Его надо защищать и программными, и аппаратными средствами, но полагаться только на это — самоубийство. Защищать надо не периметр, а сами данные. Потому что именно данные, конкретная информация, представляют ценность. Этот аспект стал наиболее важен в свете развития облачных технологий и виртуализации. Виртуализацию я вообще считаю одной из ключевых технологий для сегодняшнего развития банковской сферы. Посмотрим на классическую модель виртуализации. Вот у нас есть виртуальная машина. Появляются суперпользователи, администраторы, которые имеют право делать абсолютно все — запустить ее, посмотреть, что там установлено, какие данные доступны. А ведь на ней может работать крайне важная система — например, торговый робот. И малейшее вмешательство в ее работу приведет к серьезным потерям. — Как можно защитить виртуальную машину, если инфраструктуру, обеспечивающую ее работу, я как клиент контролировать не могу? — Тут можно выделить три основных момента. Первый: виртуальной машиной должен владеть бизнес-пользователь, а не администратор. Это значит, что администратор может быть каким угодно суперпользователем в системе управления IT, но запустить вашу виртуальную машину он не сможет. А значит, не сможет получить доступ к вашим данным и результатам работы. Второй момент: управление всеми этапами жизненного цикла виртуальной машины. Например, в виртуальной среде всегда есть копии вашей машины, на случай сбоев. Они могут находиться в библиотеках и хранилищах, о которых вы знать не знаете (большинство IT-администраторов о них тоже могут не знать или не понимать полную инфраструктуру. — Прим. ред.). Но, когда я как бизнес-пользователь удаляю свою виртуальную машину, я хочу быть уверенным, что эта машина будет удалена из всей инфраструктуры. Я не могу допустить, чтобы результаты моей деятельности, тем более если они содержат финансовую или другую конфиденциальную с точки зрения бизнеса информацию, могли попасть в чужие руки. Представьте, вы пользуетесь почтовым сервисом Gmail. В каком из десятка репликационных центров по миру находится копия ваших данных? Контроля нет. Более того, никто вам его не обещает. Однако вам обещают практически моментально восстановление, в пределах SLA (Service Level Agreement — соглашение об уровне предоставления услуги. — Прим. ред.). И третий принципиальный момент — журналирование. То есть: кто бы ни пытался получить доступ и ни делал бы что-либо в системе, это должно быть четко запротоколировано. Все ходы должны быть записаны. Если кто-то сделал что-то запрещенное, это станет известно. Также важно отметить, что из-за разграничения прав доступа доступ к этой информации может получить только сотрудник службы безопасности. А при необходимости можно сделать так, что потребуется одновременное присутствие более чем одного представителя. Предлагаемый подход к защите информации позволяет нашим бизнес-пользователям снять барьер, мешающий переходу не только в частные облака, но и на следующий уровень абстракции — в публичные облака. Может возникнуть справедливый вопрос: а зачем это нужно и при чем здесь бизнес-пользователь? Ответ прост: облака — это не только технологии, но и возможность сокращения инвестиций и капитальных затрат на неосновные виды деятельности организаций. Остановимся немного подробнее на технических особенностях трех описанных факторов. Как мы можем избавиться от администратора в качестве суперпользователя? Достаточно просто: мы можем сделать так, что виртуальная машина будет принадлежать только самому бизнес-пользователю. Это значит, что физически ее запустить сможет только бизнес-пользователь. Мы создали механизм, правильнее сказать — взяли один из своих существующих продуктов, который назвали безопасным запуском. Он позволяет прежде, чем запускается машина, провести полную процедуру аутентификации бизнес-пользователя. Это значит, что администратор имеет все права управления виртуальной машиной. Он может ее настраивать, менять ее параметры. Но запустить ее, то есть получить доступ к содержанию, не может. Так мы решаем вопрос владения, один из наиболее принципиальных. Вторая проблема — цикл жизни. Нам надо убедиться в том, что, сколько бы версий виртуальной машины ни существовало, при необходимости мы можем их разом уничтожить. И тут, очевидно, мы не можем предложить ничего лучшего, чем то, что мы умеем делать лучше всего, — я говорю о шифровании. При использовании описанного решения виртуальная машина и данные в состоянии покоя зашифрованы. Таким образом, нам неважно, какое количество копий зашифрованной виртуальной машины существует. Если у вашего администратора или недоброжелателя есть копия виртуальной машины, которую он украл из библиотеки или хранилища, — нестрашно, виртуальная машина зашифрована, данные в безопасности. — То есть суть вашего подхода — шифрование данных в облаке? Но существуют методы атаки и на шифрованные данные, например можно перехватить ключи. Как этому противостоять? — Да, даже если вы применяете технологии шифрования — это еще не повод успокаиваться. При использовании технологий шифрования возникает ряд других принципиальных аспектов, связанных с управлением ключевой информацией. Принципиально важно использование специальных решений для хранения ключей, резервирования устройств хранения и резервного копирования. Хотя мы обсуждаем программное решение защиты виртуальных сред, защита ключевой информации на 100% связана с «железом». Мы выпустили специальное аппаратное решение, так называемый депозитарий ключей, который управляет жизненным циклом ключа от генерации до уничтожения. При этом ключ не покидает устройства, его невозможно извлечь ни физически, ни программно. Ваши данные и виртуальные машины могут находиться где угодно, в любом внешнем или внутреннем облаке, но ключи будут у вас, внутри депозитария. Вы же не боитесь закрывать квартиру и уходить со своим ключом. Ключ всегда у вас в кармане, неважно, где ваши данные, если они защищены! — Как применяется или будет применяться эта технология? — Эта модель направлена на два типа систем. В первую очередь это, естественно, корпоративный рынок, где основная система виртуализации — VMWare. Во вторую — это единственное полноценное публичное облако, которое предоставляет аналогичные услуги, — Amazon Web Services (AWS). Мы давно и плодотворно работаем с компанией Amazon по поддержке защиты безопасности виртуальных машин. Теперь Amazon не только предлагает виртуальные ресурсы с защитой, но и предоставляет пользователям возможность управления своей ключевой информацией либо через аренду ресурса у Amazon, либо через покупку отдельного депозитария и стандартной интеграции с их сервисом. Пользователь может получить это решение или услугу у Amazon (One Stop Shopping). С моей точки зрения, это революция. Облачный провайдер предоставляет свои услуги, и ими пользуются в основном те, кто не особо озабочен защитой своих данных, если их ценность минимальна по сравнению с преимуществами облака. Но Amazon понимает, что предоставляет услуги очень многим клиентам. Может получиться так, что у него найдутся недобросовестные клиенты, которые, находясь в одном центре обработки данных, попытаются получить доступ к данным других арендаторов. То же относится и к возможным недобросовестным сотрудникам. Это понимает не только Amazon, но и многие его клиенты. Потому компания стремится максимально усилить уровень безопасности своего облачного сервиса, а главное, предоставить своим клиентам возможность также сделать это самим стандартным образом. В основе системы защиты Amazon используются HSM (Hardware Security Module). Теперь же, с применением нового HSM-гипервизора, компания Amazon дает возможность клиенту владеть ключами к своим машинам. С одной стороны, заказчик использует преимущества коммерческих моделей: платишь за то, чем пользуешься, не делаешь крупных капитальных затрат на внедряемые IT- решения, минимизируешь расходы на поддержку. С другой стороны, заказчик имеет возможность использовать лучшие модели систем безопасности, когда он и только он владеет ключевой информацией. А где находятся его зашифрованные данные — дело техники. Беседовал Михаил ДЬЯКОВ, Банки.ру Технологии облачных вычислений обеспечивают удаленный доступ к ресурсам компании-провайдера. Расходы на создание и эксплуатацию инфраструктуры несет облачный провайдер, клиент платит лишь за требующиеся вычислительную мощность и дисковое пространство для хранения данных. В облаке могут размещаться как отдельные приложения и массивы данных, так и виртуальные серверы, рабочие станции, системы хранения данных.

Лучшие новости сегодня

Вы искали сегодня

Комментарии (0)


Другие новости сегодня

Клиенты Модульбанка получили возможность без комиссий выводить выручку с десяти маркетплейсов - «Тема дня»

​ Модульбанк расширил список маркетплейсов, партнеры которых имеют возможность подключить специальные условия обслуживания и выводить выручку без комиссии и лимитов. Теперь в этом списке значатся Wildberries, Ozon,...

«Новая нормальность». Аналитики спрогнозировали курс рубля к доллару - «Тема дня»

​ Девальвация рубля в октябре оказалась значительнее, чем ожидалось: российская валюта ослабла к доллару еще на 4%, а к юаню — на 3%. По мнению аналитиков инвестиционного Банка Синара, к началу 2025 года ожидается...

Рубль укрепляется. Курсы доллара и евро на 8 ноября - «Тема дня»

​ Российский рубль опустился к доллару США и укрепился к евро. Официальный курс доллара, установленный Центробанком на 8 ноября 2024 года, составляет 98,0726 рубля (прежнее значение — 98,2236 рубля), официальный...

Рубль уступает основным валютам. Курсы доллара и евро на 29 октября - «Тема дня»

​ Российский рубль уступает доллару США и евро. Официальный курс доллара, установленный Центробанком на 29 октября 2024 года, составляет 97,2300 рубля (прежнее значение — 96,6657 рубля), официальный курс евро — 105,2229 рубля (предыдущий показатель — 104,8094 рубля). Прекращение торгов валютами

Рубль продолжает дешеветь. ЦБ установил официальные курсы валют на 30 октября - «Тема дня»

​ ЦБ установил официальные курсы валют на 30 октября. Рубль продолжает дешеветь к американской и европейской валютам. Курс доллара вырос на 0,0961 рубля, составив 97,3261 рубля (97,2300 рубля на 29 октября). Курс...

Рубль снова подешевел. Курсы доллара и евро на 30 октября - «Тема дня»

​ Российский рубль уступает доллару США и евро. Официальный курс доллара, установленный Центробанком на 30 октября 2024 года, составляет 97,3261 рубля (прежнее значение — 97,2300 рубля), официальный курс евро — 105,4375 рубля (предыдущий показатель — 105,2229 рубля). Прекращение торгов валютами


Новости

Последнее из блога

«Наши задачи» - предоставлять самую оперативную, достоверную и подробную информацию по банковскому рынку; - помогать клиентам в выборе самых выгодных банковских продуктов; - способствовать банкам в поиске качественных клиентов; - налаживать общение между банками и их клиентами.

Следите за новыми промоакциями от Pari

Следите за новыми промоакциями от Pari

Промокоды обладают рядом характеристик, таких как ограниченный срок действия и

Подробнее
Проект освоения водных ресурсов профинансирует Исламский банк развития - «Экономика»

Проект освоения водных ресурсов профинансирует Исламский банк развития - «Экономика»

Проект освоения водных ресурсов профинансирует Исламский банк развития. Такое

Подробнее
От приватизации в госбюджет поступило 578,8 млрд тенге - «Экономика»

От приватизации в госбюджет поступило 578,8 млрд тенге - «Экономика»

Анализ результатов Комплексного плана приватизации на 2016-2020 годы провели в

Подробнее
Что покупали казахстанцы на Wildberries в дни распродаж - «Экономика»

Что покупали казахстанцы на Wildberries в дни распродаж - «Экономика»

На Wildberries во время акции Всемирного дня шопинга с 28 октября по 11 ноября

Подробнее
Сейчас Irwin Casino также отличается высоким качеством обслуживания

Сейчас Irwin Casino также отличается высоким качеством обслуживания

Среди русскоязычных игроков прекрасно известен один из самых ярких игровых

Подробнее
Экономика сегодня

Клиенты Модульбанка получили возможность без комиссий выводить выручку с десяти маркетплейсов - «Тема дня»

Клиенты Модульбанка получили возможность без комиссий выводить выручку с десяти маркетплейсов - «Тема дня»

​ Модульбанк расширил список маркетплейсов, партнеры которых имеют возможность подключить специальные условия обслуживания и выводить выручку без комиссии и лимитов. Теперь в этом списке значатся Wildberries, Ozon,...

Подробнее
«Новая нормальность». Аналитики спрогнозировали курс рубля к доллару - «Тема дня»

«Новая нормальность». Аналитики спрогнозировали курс рубля к доллару - «Тема дня»

​ Девальвация рубля в октябре оказалась значительнее, чем ожидалось: российская валюта ослабла к доллару еще на 4%, а к юаню — на 3%. По мнению аналитиков инвестиционного Банка Синара, к началу 2025 года ожидается...

Подробнее
Рубль укрепляется. Курсы доллара и евро на 8 ноября - «Тема дня»

Рубль укрепляется. Курсы доллара и евро на 8 ноября - «Тема дня»

​ Российский рубль опустился к доллару США и укрепился к евро. Официальный курс доллара, установленный Центробанком на 8 ноября 2024 года, составляет 98,0726 рубля (прежнее значение — 98,2236 рубля), официальный...

Подробнее
Рубль уступает основным валютам. Курсы доллара и евро на 29 октября - «Тема дня»

Рубль уступает основным валютам. Курсы доллара и евро на 29 октября - «Тема дня»

​ Российский рубль уступает доллару США и евро. Официальный курс доллара, установленный Центробанком на 29 октября 2024 года, составляет 97,2300 рубля (прежнее значение — 96,6657 рубля), официальный курс евро — 105,2229 рубля (предыдущий показатель — 104,8094 рубля). Прекращение торгов валютами

Подробнее
Рубль продолжает дешеветь. ЦБ установил официальные курсы валют на 30 октября - «Тема дня»

Рубль продолжает дешеветь. ЦБ установил официальные курсы валют на 30 октября - «Тема дня»

​ ЦБ установил официальные курсы валют на 30 октября. Рубль продолжает дешеветь к американской и европейской валютам. Курс доллара вырос на 0,0961 рубля, составив 97,3261 рубля (97,2300 рубля на 29 октября). Курс...

Подробнее
Рубль снова подешевел. Курсы доллара и евро на 30 октября - «Тема дня»

Рубль снова подешевел. Курсы доллара и евро на 30 октября - «Тема дня»

​ Российский рубль уступает доллару США и евро. Официальный курс доллара, установленный Центробанком на 30 октября 2024 года, составляет 97,3261 рубля (прежнее значение — 97,2300 рубля), официальный курс евро — 105,4375 рубля (предыдущий показатель — 105,2229 рубля). Прекращение торгов валютами

Подробнее

Разделы

Информация


Граждан временно освободили от штрафов за неиспользование участков под ИЖС по назначению - «Финансы»

Граждан временно освободили от штрафов за неиспользование участков под ИЖС по назначению - «Финансы»

КС принял решение, согласно которому обязанность использовать участки пока что законом не установлена. В этих целях не следует "притягивать за уши" некоторые нормы, которые вообще про другое (как поступили земконтроль...

Подробнее

      
Курс валют сегодня