Вступить в Клуб Войти
Введите логин
Введите пароль
напомнить пароль

Александр Куприянов, ИТ-директор НПО им. С.А.Лавочкина: Облака и туманности

16.09.2012

Облака и туманности

Я слышу и забываю.
Я вижу и запоминаю.
Я делаю и понимаю[1].

    Вначале прозвучала обращенная к возносящимся в «облака» федеральным американским технологам по накалу восхвалений сравнимая разве что с Соломоновой «Песнью песней» увертюра в исполнении именитого CTO Боба Гурли о возрастании безопасности информации в облачных вычислениях. Опубликовалась звучная во всех смыслах статья[2] , предваряющая грядущее развитие.
Затем взгляду представились тексты многочисленных государственных ИТ-стратегий США столь возвышенного содержания, что захотелось для приближения к пониманию потрогать мыслью свежие технологические всходы, прорастающие за океаном. Уж если продвинутые американцы стремятся к проникновению в опыт опережающего их в облачном движении Сингапура, то россиянам, что называется, сам Бог велел присмотреться к устремленной в звездные туманности поступи соседей по планете.

Облачные формы

Будь простым и естественным,
 подобно самой Природе.
Будь пустым и открытым,
подобно долине в горах.
Будь сокрытым и непредсказуемым,
подобно вещи, окутанной туманом[3].

    Что такое облачные вычисления? Вопрос столь неочевидный в теоретическом плане, что институт стандартов США (NIST) проделал длинный путь в пятнадцать версий, прежде чем пришел к нынешнему их определению как сервиса[4] , предоставляемого в одной из трех основных моделей[5].  В практическом же отношении недавняя проверка государственными контролерами внешнеполитического ведомства страны обнаружила, что внедренные в Государственном Департаменте ИТ-решения, вопреки ранее сделанным докладам, не соответствуют ни одному из основных критериев «облачности»:
-самообслуживание по требованию;
-универсальный доступ к сетевым ресурсам;
-объединение ресурсов;
-эластичность;
-учет потребления.

    До начала стратегического движения в облака, да еще и, местами, публичные, американские специалисты провели что-то вроде разведки боем, внедрив облачные решения в чувствительных к безопасности ведомствах — Министерстве обороны, Космическом агентстве и т.д.[6]
    CRM Центра армейского опыта (Army Experience Center), являющегося частью обширной совокупности ориентированных на рекрутинг медийных структур сухопутных войск США America's Army (AA или Army Game Project), была построена «облачным» путем в двадцать раз дешевле, чем стоил бы ее традиционный аналог, и с уровнем безопасности, отвечающим требованиям к хранению персональных данных.
    Управление информационных систем Министерства обороны США (The Defense Information Systems Agency, DISA) сформировало собственное частное облако в модели IaaS. Созданная им система быстрого доступа к вычислительным ресурсам RACE (Rapid Access Computing Environment) позволила МО перейти от управления ИТ-активами к управлению сервисами и заметно сократить расходы. Обладая преимуществами в эффективности использования компьютерной мощности, RACE обеспечила требуемый высокий уровень безопасности за счет встроенного управления разделением приложений, баз данных и веб-серверов, а также специальной процедуры их очистки при переносе за пределы облачной платформы.


Врезка
Компоненты информационной системы ведут себя так, как если бы они находились в недружественном окружении и придерживаются логики поведения армейского подразделения, участвующего в контрпартизанской войне, постоянно готового к круговой обороне.

 

    NASA Community Cloud Nebula предоставила американскому космическому агентству свободу концентрации и управления ресурсами, выделяемыми для решения сложных вычислительных инженерных и научно-исследовательских задач в пределах отрасли, создав качественно новые возможности. Идея маневра мощностью совокупности вычислительных ресурсов распределенных организаций в той степени, в которой ее удавалось реализовывать в эпоху мейнфреймов, сдерживалась состоянием коммуникаций, совершивших с тех пор впечатляющий революционный рывок вперед. Собственно, Nebula и есть ее современная реализация в чувствительной к вопросам безопасности космической отрасли большой страны. «Облако» было выстроено на совместимой с Amazon Web Services платформе для создания частных IaaS-решений Eucalyptus[7], его виртуальные серверы могут, в частности, работать в среде Amazon's Elastic Compute Cloud, что позволило решить широкий круг задач поддержки космических миссий NASA.
    В обзоре Министерства внутренней безопасности США отмечаются удачные облачные решения различных типов, внедренные в Управлении информационных систем МО, Космическом агентстве, сухопутных войсках и ВМС. Помимо создаваемых ими частных «облаков», государственные организации США могли, по мнению специалистов ИБ, воспользоваться, например, следующими услугами и продуктами внешних провайдеров. См. рис 1.

oblaka.jpg

рис 1.

    В российских околотехнологических медиа широко распространены оценки, полагающие «облака» центром притяжения для предприятий малого и среднего бизнеса. Американцы же уверенно внедряют соответствующие решения в крупных и очень крупных, в том числе государственных, структурах. Различия подходов определяются не только технологическими факторами, но и правовыми и связанными с ними стратегическими аспектами, способностью формулировать и последовательно реализовывать крупные ИТ-программы.

    NASA Community Cloud Nebula предоставила американскому космическому агентству свободу концентрации и управления ресурсами, выделяемыми для решения сложных вычислительных инженерных и научно-исследовательских задач в пределах отрасли, создав качественно новые возможности. Идея маневра мощностью совокупности вычислительных ресурсов распределенных организаций в той степени, в которой ее удавалось реализовывать в эпоху мейнфреймов, сдерживалась состоянием коммуникаций, совершивших с тех пор впечатляющий революционный рывок вперед. Собственно, Nebula и есть ее современная реализация в чувствительной к вопросам безопасности космической отрасли большой страны. «Облако» было выстроено на совместимой с Amazon Web Services платформе для создания частных IaaS-решений Eucalyptus[7], его виртуальные серверы могут, в частности, работать в среде Amazon's Elastic Compute Cloud, что позволило решить широкий круг задач поддержки космических миссий NASA.     В обзоре Министерства внутренней безопасности США отмечаются удачные облачные решения различных типов, внедренные в Управлении информационных систем МО, Космическом агентстве, сухопутных войсках и ВМС. Помимо создаваемых ими частных «облаков», государственные организации США могли, по мнению специалистов ИБ, воспользоваться, например, следующими услугами и продуктами внешних провайдеров. См. рис 1.  рис 1.     В российских околотехнологических медиа широко распространены оценки, полагающие «облака» центром притяжения для предприятий малого и среднего бизнеса. Американцы же уверенно внедряют соответствующие решения в крупных и очень крупных, в том числе государственных, структурах. Различия подходов определяются не только технологическими факторами, но и правовыми и связанными с ними стратегическими аспектами, способностью формулировать и последовательно реализовывать крупные ИТ-программы.

Стратегии

Лишь тот, кто не стремится оказаться впереди всех,
может освободиться от ошибок.

     Деятельность или процесс, ориентированные на поддержку информационной безопасности, при разумной организации дела должны начинаться с руководства, определяющего их стратегию и охватывающего технологии, процессы, процедуры, оперативное окружение и людей.
    Сильными сторонами явно описанных стратегий в области информационной безопасности можно полагать то, что они[8] :
-Основываются на ясном понимании приемлемых для организации рисков и помогают сотрудникам устанавливать приоритеты и управлять рисками в организации.
-Включают метрики, позволяющие оценивать значимые показатели состояния безопасности на всех уровнях организации.
-Обеспечивают постоянную эффективность всех параметров безопасности.
-Подтверждают соответствие всех требований ИБ, вытекающих из организационной миссии/бизнес-функций, федерального законодательства, директив, уставов, политик стандартов и руководств.
-Содержат сведения обо всех организационных ИТ-активах и способствуют созданию обозримости их безопасности.
-Обеспечивают знание и контроль изменений организационных систем и их окружения.
-Устанавливают осведомленность об угрозах и уязвимостях.

    В управлении информационной безопасностью обычно выделяют три уровня, как это показано на позаимствованном в SP 800-137 рисунке 2.

 oblaka-1.jpg
Рис.2. Уровни ИБ

    ИТ-профессионалам наиболее интересен расположенный в фундаменте пирамиды слой информационных систем.

Безопасность

Будь ровным и спокойным, словно
переправляешься через реку зимой.
Будь внимательным и осмотрительным,
как если бы со всех сторон тебя окружали опасности.
Соблюдай такое достоинство, которое
подобает путнику, обретшему лишь временный приют.

     «Облачные вычисления при правильной аппаратно-программной реализации создают впечатляющие позитивные изменения в надежности функционирования федеральной системы. Облачные вычисления порождают более высокую безопасность конечных узлов сети и лучшую защиту данных. Они также создают все выгоды в области безопасности, связанные с использованием тонких клиентов. При этом управление идентификацией и аутентификацией и шифрование сохраняют свою критическую важность»[9] . Вот этот замечательный смысловой сжатостью пассаж из статьи Боба Гурли и вызвал у меня ассоциацию с «Песнью песней». Восхитила деликатность, с которой он вскользь упоминает основные болевые точки облачного пути, связанные с идентификацией, аутентификацией и шифрованием хранимых и обрабатываемых данных.
    Существенным моментом американского подхода к перемещению информационных активов государственных ведомств в «облака» является использование открытых стандартов и «опенсорсных» решений. В теоретическом плане об этом писал Боб Гурли, упоминавший в этой связи Linux, Solaris, MySQL, Glassfish, Hadoop, Вивек Кундра, опиравшийся на собственные достижения по внедрению GoogleDocs и краудсорсинга в столичном округе Колумбия, и множество прочих авторитетных практиков.
Интересен опыт американского Космического агентства с его изначально «опенсорсным» проектом Nebula, постепенно развившимся от IaaS к PaaS[10]  и на основе открытых стандартов создавшим сервис распределенных вычислений, успешно примененный, в частности, в MATLAB, SeaDAS[11] . Как отметил бывший руководитель проекта Рэй О’Брайен[12] , Nebula вышла за пределы NASA и, сумев привлечь множество сторонних специалистов в сообщество своего имени, стала не только высококлассным и недорогим, но и безопасным саморазвивающимся информационным продуктом, использующим, в частности, OpenStack, Lustre и RabbitMQ.
    Первоначально создание туманности[13]  Nebula велось в Центре NASA в Эймс, что в Силиконовой долине, под пятым из тринадцати глобальных корней дерева DNS, и, судя по всему, за государственный счет. Поэтому периодически возникающие в среде российских ИТ-медиа волны негатива по поводу национальной ОС за бюджетные деньги и засилья «опенсорсников» на фоне набирающего силу на Западе основанного на открытых стандартах и софте сетецентрического подхода выглядят довольно откровенным рецидивом исконно-посконного мышления.
    Созданные авторитетными сообществами «опенсорсные» продукты традиционно считаются безопасными, порождающими несравнимо меньшие риски, нежели проприетарные, и NASA Ames Research Center тому надежный свидетель.
Переход в «облака» и «туманности» изменяет ландшафт информационных рисков за счет изменения как их технологических, так и организационных компонент, обусловленных перераспределением ролей и функций между организациями, подразделениями и людьми.
    Факторы, повышающие информационную безопасность, хорошо известны и внятно изложены Вивеком Кундрой, пытавшимся снять таким образом опасения ведомств, в конкретном случае Госдепа[14] , по этому поводу. «Облачные вычисления зачастую гораздо безопаснее традиционных, поскольку такие компании, как Google или Amazon, способны нанять гораздо более квалифицированных специалистов в области кибербезопасности, нежели многие государственные ведомства. Сотрудники государственных учреждений настолько привыкли к использованию облачных сервисов, таких как Dropbox или Gmail, что если их ведомства не будут формально разрешать облачную работу, они будут их использовать, создавая таким образом «теневые ИТ», что ведет к большей уязвимости организации, нежели легальное использование «облаков». Замена Dropbox на iCloud — это, пожалуй, единственное, чего не хватает приведенной цитате для российской локализации содержащегося в ней смысла.
    Окутанная «облаком» информация становится уязвимой для атак виртуальных «соседей» и сетевых «злодеев», поэтому как в системе взаимодействия с провайдером, так и в собственной организации должны быть предусмотрены адекватные методы мониторинга такого рода действий и защиты от них.
    Межсайтовый скриптинг, для которого Google-переводчик пока не умеет найти русского эквивалента, став привычным оборотом XSS (Cross Site Scripting)[15] , прочно займет свое место в лексиконе не только специалистов ИБ, но и среднестатистических сисадминов.

Познав Великий Образец,
коему следует весь мир,
следуй ему и не причинишь себе вреда,
 но достигнешь мира, согласия и полноты.

    Американские политики и, разумеется, специалисты в области безопасности максимально серьезно относятся к проблемам информационного благополучия живущих и грядущих поколений. «То, как мы встретим современные вызовы кибербезопасности, будет определять, остались ли лучшие времена нашего народа в прошлом или же они ожидают нас в будущем»[16]  .
    Грядущее благоденствие стран и народов заметным образом связано с новыми, созидающими вычислительные облака и туманности безопасными технологиями.

 


[1]Конфуций.

 

 

[2]Gourley B. Cloud Computing and Cyber Defense. March, 21, 2009.

[3]Здесь и далее эпиграфы из Дао дэ цзин.

[4]Department of Homeland Security, National Cyber Security Division. Cloud Computing White Paper.

[5]NIST SP 800-145. The NIST Definition of Cloud Computing.

[6]Vivek Kundra. Federal Cloud Computing Strategy. February 8, 2011.

[7]Department of Homeland Security. National Cyber Security Division. Cloud Computing White Paper.

[8]NIST SP 800-137 Information Security Continuous Monitoring for Federal Information Systems and Organizations

[9] Gourley Bob. Cloud Computing and Cyber Defense. March 21, 2009.

[10]James Williams. NASA Ames Research Center. NASA Nebula in Action: Cloud Computing Case Examples. Aug. 16, 2011.

[11]Stennis Uses Nebula to Advance Study of Nutrients in Gulf Waters. April 11, 2011.

[12]Ray O’Brien. NASA and OpenStack 2012. May 29, 2012.

Nebula (от латинского “облако"; мн. Nebulae или nebulæ) — межзвездное «облако» из пыли, водорода, гелия и других ионизированных газов. Туманность.

[13] Vivek Kundra. Tight Budget? Look to the ‘Cloud’. The New York Times. August 30, 2011.

[14] XSS (Сross Site Sсriрting — «межсайтовый скриптинг») — тип уязвимости интерактивных информационных систем.

[15] XSS возникает, когда в генерируемые сервером страницы по какой-то причине попадают пользовательские скрипты. Специфика подобных атак заключается в том, что вместо непосредственной атаки сервера они используют уязвимый сервер в качестве средства атаки на клиента. Самый распространенный вид атак на веб-приложения.

[16] Darrell M. West «A Vision for Homeland Security in the Year 2025» Brookings Institution, June 26, 2012

Александр Куприянов

IT Директор

Другие публикации Александр Куприянов