InfoSecurity 2014: Облака и импортозамещение




Участники выставки с жаром обсуждали, как западные санкции могут повлиять на безопасность информационных систем в России

11:02 06.10.2014   |   3408 |  Валерий Коржов |

Рубрика Предприятие



Облачные технологии — один из векторов развития современных ИТ, однако их использование может вызвать и новые проблемы. Одними из последствий является усиление зависимости пользователей облаков от функционирования Интернета, а также перенос вычислительных ресурсов в ЦОД международных компаний, что может быть опасным в контексте санкций.

Илья Медведовский
Илья Медведовский: «Контролировать отечественные и иностранные программные разработки надо одинаково строго»

Облачные технологии — один из векторов развития современных ИТ, однако их использование может вызвать и новые проблемы. Одними из последствий является усиление зависимости пользователей облаков от функционирования Интернета, а также перенос вычислительных ресурсов в ЦОД международных компаний, что может быть опасным в контексте санкций. При обсуждении темы безопасности облачных вычислений приходится учитывать в том числе и возможность западных санкций. Эта проблема активно обсуждалась на конференции в рамках выставки InfoSecurity 2014.

По словам Олега Глебова, ведущего консультанта компании R-Style, развернутые в России облачные инфраструктуры в большинстве своем построены на открытых технологиях виртуализации. При этом универсального решения для автоматического управления платформой виртуализации нет — каждый разрабатывает свое облако самостоятельно. То есть решения для одного облака не будут подходить для другого, даже если при этом используются одинаковые технологии виртуализации.

Понятно, что и решений по защите облачных сред, построенных на базе открытых технологий, тоже нет. В основном производители современных антивирусных продуктов и межсетевых экранов разработатывают свои решения в расчете на коммерческие гипервизоры VMware, Citrix и Microsoft. Только у израильской компании CheckPoint, по заверениям Антона Разумова, руководителя группы консультантов компании, есть решение для KVM, однако компания про него практически не рассказывает — оно не очень популярно на Западе и поэтому практически не развивается. Таким образом, защитить собственные облака российским провайдерам облачных сервисов оказывается не просто.

В то же время, складывающаяся ситуация подталкивает российских разработчиков отказываться от использования иностранных продуктов в пользу отечественных. Связано это с тем, что крупные компании бояться стать заложниками западных санкций — уже были зафиксированы проблемы с получением технической поддержки у ряда иностранных компаний. Сейчас на многих крупных российских предприятиях идет процесс оценки того, на какие технологии можно будет перейти в случае ужесточения санкций. Естественно, что переходить приходится на свободные продукты. По мнению многих экспертов, наиболее труднозаменимыми компонентами является СУБД Oracle и продукты, на ней базирующиеся. При этом Oracle в значительной мере контролирует и СУБД с открытыми кодами MySQL. Из реляционных СУБД доступной остается PostgreSQL, которая уступает Oracle по масштабируемости. Однако растущая популярность и востребованность технологий Больших Данных позволяет во многих случаях, отказавшись от реляционной модели, использовать распределенные системы хранения и работы с данными. Вполне возможно, что процесс замещения импортной продукции может привести и к переводу существующих информационных систем на облачные распределенные технологии хранения данных и обработки их с помощью решений категории NoSQL.

Однако и с ними не все гладко. В продуктах с открытыми исходными текстами также могут оказаться уязвимости или закладки. Поэтому, прежде чем доверять подобным облачным решениям, стоит проверить надежность работы предлагаемых отечественных разработок на основе открытого кода.

«Появился и активно пропагандируется миф о том, что российское — значит безопасное. Однако это часто не так, — отмечает Илья Медведовский, генеральный директор Digital Security. — Иностранные разработчики уже внедрили у себя методики безопасной разработки, а российским производителям это не по карману. В результате найти ошибку в международном продукте получается с трудом, а в российских разработках — достаточно легко».

В России выстроена система сертификации программной продукции во ФСТЭК, которая проверяет решения на отсутствие закладок — недекларированных возможностей. Скорее всего, проверять вновь разрабатываемые российские продукты придется как раз с помощью этой инфраструктуры контрольных проверок — требования для критически важных информационных систем это подразумевают.


Теги: Информационная безопасность NoSQL Импортозамещение ФСТЭК
На ту же тему: