По данным IDC, расходы на информационные технологии в 2009 году в России сократились на 35-40%, в то время как на системы безопасности было потрачено почти на 10% больше, чем в 2008 году. В результате на текущий момент соответствующая статья расходов занимает до 10-15% ИТ-бюджета предприятий (два года назад было около 5%). Самая острая проблема в этой области — защита центров обработки данных, облачных и виртуализованных систем. Этой теме было уделено значительное внимание на состоявшейся 3 марта конференции IDC IT Security Roadshow 2010.
О проблеме защиты виртуальных серверов и облачных вычислений говорили на конференции все наиболее крупные компании. Владимир Мамыкин, директор по информационной безопасности российского офиса Microsoft, представил стратегию End-to-End Trust, которая ориентирована на защиту облачных вычислений (см. "Комфорт в агрессивной среде", Computerworld Россия № 44, 2008), Николай Романов, технический консультант Trend Micro, рассказал об особенностях защиты виртуальных серверов, а Денис Батранков, консультант по информационной безопасности IBM ISS, проанализировал угрозы виртуализации.
Так, Романов выделил три типа облаков: внутренние, арендованные и гибридные, отметив, что угрозы для разных типов систем различны, да и методы их защиты базируются на различных принципах. Облачные вычисления часто связывают с аутсорсингом приложений. Действительно, распределенные системы лучше всего подходят для предоставления программного обеспечения в аренду. Эти две технологии настолько тесно сплелись, что некоторые эксперты даже утверждают, что облачные вычисления - это новый маркетинговый термин для аутсорсинга. Однако распределенную веб-систему можно построить и внутри компании, которая сама по себе имеет распределенную сеть. Кроме того, компания может арендовать часть облака у провайдера, а наиболее ценную информацию хранить в собственном облаке.
Основу облачных вычислений составляет виртуализация - именно она позволяет перемещать компоненты веб-приложений с одного узла облака на другой без потери работоспособности всей системы. Производители средств защиты уже начали предлагать продукты для обеспечения безопасности виртуальных машин и построенных на их основе систем. Как отметил Батранков, виртуальную систему защитить сложнее, поскольку кроме традиционных в ней возникают и другие угрозы: атаки на системы управления виртуальными машинами и гипервизор, нападения с одной виртуальной машины на другую, нарушение правил доступа виртуальной машины к физическим ресурсам и т. д. От всего этого не могут защитить традиционные средства, необходимы специализированные продукты для виртуальных серверов.
Усложнение защиты виртуализации, на которой, как правило, основаны общедоступные облака, вызывает недоверие к этим системам со стороны пользователей. Тем не менее компаниям приходится прибегать к аренде облачных вычислений, поскольку это наиболее простой способ оперативно реализовать новый проект в условиях сокращения ИТ-бюджетов. В этой связи перед провайдерами облачных вычислений сейчас стоит очень важная задача, без решения которой невозможно успешное развитие облачного рынка: убедить пользователей в безопасности предлагаемых сервисов.