Поделиться

суббота, 28 ноября 2009 г.

Переменная облачность: информационная безопасность при использовании облачных вычислений

Говоря совсем просто, «облачные вычисления» – это работа на своем компьютере со своими данными, реально находящимися и обрабатываемыми «где-то там», в Интернет. Это парадигма распределения вычислительных ресурсов, хранилищ и программного обеспечения между пользовательским компьютером и сервером в Сети, подразумевающая, что практически все делается сервером. Пользователю же доступен лишь интерфейс для взаимодействия с данными (часть из которых кэшируется на его компьютере для более быстрого доступа), и он может даже не знать ни точно, ни в общем и не заботиться о том, где именно в Сети «лежат» его файлы, какова тактовая частота и количество ядер в обрабатывающих эти данные процессоров, и каким программным обеспечением они обрабатываются. Для него все выглядит практически так же, как если бы он работал с локальным документом, на локальном ПК, только ПК в случае использования «облачных вычислений» может быть куда дешевле и «слабее», поскольку кроме сетевых пересылок, приема ввода от пользователя и отображения документа, он, в общем-то, может больше ничего и не делать.

Вот простой пример: большое количество моих документов хранится не на моем компьютере, а в сервисе Google Docs (где бы он реально ни находился). Я работаю с ними, не видя никаких файлов – просто выбираю название документа в веб-браузере и в нем же редактирую. Я могу дать доступ на чтение или чтение/редактирование этих документов своим друзьям и коллегам, вместо того, чтобы пересылать им отдельные файлы DOCX (иногда весьма немаленькие – на сегодняшний день размер файла с моей книгой «Реальность 2.0b», над которой я продолжаю работать, составляет уже 6 мегабайт, но встречаются файлы и по 30), просить их обязательно использовать режим рецензирования, чтобы можно было понять, что им не понравилось, а затем пытаться разобраться в перекрестных исправлениях и исправлениях в разных файлах (мне далеко не всегда нравится, как работает объединение исправлений в Word) или получать негодующие заявления от коллег о том, что они используют OpenOffice, в котором режима рецензирования нет. Google дает нам возможность совместно работать с документами независимо от того, что мы не входим в какую-то одну локальную сеть какой-либо компании – все происходит при посредничестве Интернет. Еще один плюс такого рода сервиса – я действительно вижу документы, а не файлы, что куда лучше с точки зрения человеко-машинного взаимодействия:
В мире цифровых технологий мышление, основанное на моделях реализации, сильнее всего проявляется свою мерзкую сущность в области управления файлами и в понятии "сохранение". Если вы когда-нибудь пытались научить свою маму обращаться с компьютером, то знаете, что слово трудно является недостаточно выразительным для того, чтобы передать всю серьезность проблемы. Начало не сулит ничего плохого: "Запусти текстовый редактор и набери письмо". Это вполне понятное для нее действие - то же самое, что писать на бумаге. Но, закончив писать, вы щелкаете по кнопке Закрыть - и появляется диалоговое окно с вопросом: "Сохранить изменения?" Вы оба раздосадованы. Она смотрит на вас и спрашивает: "Что это означает? Все ли в порядке?" (Купер А., Рейман Р., Кронин Д. Алан Купер об интерфейсе. Основы проектирования взаимодействия. - СПб.: Символ-Плюс, 2009).

Однако сейчас речь не об этом.

Другой пример: закладки в том же Google. Мой день обычно начинается с того, что я просматриваю сайты новостей (с некоторых пор еще и сайты с вакансиями), выясняю, какие компьютерные игры появились в магазинах «Gamepark», «Gamepost» и «ВИДЕОИГР.NET», а также отдаю должное Дилберту и его автору Скотту Адамсу. Закладки с адресами всех нужных сайтов занесены в мой домашний компьютер, но что, если я НЕ дома (на работе, в транспорте, в другом городе) за чужим компьютером, а утренний план-график соблюсти хочется? Вот в этот момент и проявляется ценность закладок Google, которые хранятся не на локальном компьютере, а в Сети. Мне нужно просто зайти на Goggle, авторизоваться и ву-аля – все загруженные мною на сайт закладки будут доступны с любой машины.

Такие вот «бытовые облака» имеют массу применений – реальных и потенциальных. Для отдельного пользователя подобные возможности могут быть настолько полезны, что Google дозрела до показа Chrome OS – своей операционной системы для людей, проводящих в Интернет большую часть своей жизни. Центром ОС является подключение к Интернет и браузер. Все остальные компоненты вторичны.

Однако облачные вычисления нужны не только «частникам», но и компаниям – передача функций по хранению, доставке и обработке данных вовне в этом случае – услуга, «аутсорсинг». Компания-клиент не вникает в то, как все это делается – это задача компании-провайдера (тех, кто «нагоняет облака»).

Сам термин «облако» появился в качестве метафоры – Интернет часто изображали на инфраструктурных схемах в виде облака, а английский оригинал слова – cloud – используется еще и в значении «рассеянный».

В своем документе «Cloud Computing. Benefits, risks and recommendations for information security» («Облачные вычисления. Преимущества, риски и рекомендации по информационной безопасности») Европейское агентство по сетям и информационной безопасности (European Network and Information Security Agency - ENISA) систематизировало основные плюсы и минусы облачных вычислений.

Я не стану все перечислять (оригинал по объему составляет всего 123 страницы, а с выжимкой основных мыслей можно ознакомиться на страницах с 4-ой по 10-ю). Отмечу лишь, что рекомендации по применению и развитию услуг в сфере облачных вычислений касаются укрепления законодательной, теоретической базы и базы доверия пользователей к провайдерам, а вот в части преимуществ и рисков все намного интереснее.

С моей точки зрения развитие и распространение облачных услуг вытаскивает «на свет Божий», на первый план все проблемы информационной безопасности, о которых мы не думали, не хотели, не могли или боялись думать. Судите сами: да, я храню документы в Google Docs: эссе, резюме, рецензии и так далее. Существует ли между мной и Google какое-то соглашение, подразумевающее, что Google:
  • не будет без моего ведома распространять, изменять или удалять мои документы?
  • обеспечит мне доступ к ним в режиме 24/7?
  • не имеет сотрудников, которые злонамеренны по отношению ко мне лично?
  • обеспечит возможность миграции моих документов туда, куда я захочу при необходимости или хотя бы возможность сохранить их на локальный диск?
  • обеспечит возможность работать действительно из любой точки мира с любого компьютера и из любого браузера (при работе с документами через Microsoft Internet Explorer в прошлом наблюдались проблемы – не знаю, как сейчас, поскольку давно перешел на Chrome)?
Поскольку я не плачу Google, сомневаюсь, что все так радужно, идеально и без оговорок, но даже буде какое-то соглашение имелось, я все равно его не помню, поскольку не читал. Я могу себе это позволить, поскольку эссе, резюме, рецензии не представляют для меня большой конфиденциальной ценности, скорее уж наоборот – чем больше людей их прочитает, тем известнее я буду. Однако если бы мне понадобилось сохранить в облаке реквизиты банковских счетов и другие подобные данные, я бы не смог относиться к этому вопросу с подобной легкостью – я изучал бы договора, соглашения и правила, я требовал бы гарантий безопасности – у меня просто не было бы другого выхода, я вынужден был бы это делать. Это касается и отдельных пользователей и компаний.

Облачные вычисления неизбежно переворачивают наши представления об информационной безопасности с ног на голову: обычно, если ценные в той или иной мере данные «уплывают» с вашего компьютера в Интернет (без вашего ведома), это означает, что вы уже прокололись в плане безопасности, но процесс взаимодействия с вычислительными облаками начинается с того, что такие данные уплывают в Сеть (в известном направлении, но в неизвестный физический пункт назначения), причем по вашему решению и под вашим контролем – «момент выбора», о котором я ранее говорил, четко определен – вы принимаете решение о миграции данных, а значит, будете требовать гарантий и оценивать степень доверия к ним.

Выражаясь словами странной миссис Сэвидж из одноименной пьесы Джона Патрика (в постановке театра кукол им. С.В.Образцова):
Они будут копать!

Технология (или парадигма) облачных вычислений, на мой взгляд, ближе всех других подвела пользователей к необходимости приобретения знаний в области информационной безопасности и осознанию ответственности за собственные решения.

Комментариев нет:

Отправить комментарий