Андрей Роговой

В силу исторических причин. Parallels изначально занималась программным обеспечением для сервис-провайдеров. Компания разрабатывает и продает такие продукты, которые помогают сервис-провайдерам, хостерам и операторам связи зарабатывать деньги на продаже аренды веб-приложений, сервисов совместной работы (collaboration services), виртуальной инфраструктуры и прочих «облачных» услуг. Для такой бизнес-модели виртуализация — это технологическая основа, одна из многих подсистем «облака».

На наш взгляд, если амбиции компании простираются в направлении контроля целого сегмента рынка ПО для сервис-провайдеров, концентрироваться на инфраструктурных вещах (чем и является виртуализация) — не совсем правильно. Концентрироваться нужно на клиенте, а именно на среднем и малом бизнесе. Главное — позволить клиентам наших партнеров пользоваться IT как услугой — по аналогии с телефонией и интернетом, а провайдерам — дать инструменты для того, чтобы предоставлять эти услуги в аренду максимально быстро и с наименьшими затратами. Да, у Parallels был и есть очень хороший продукт для виртуализации серверов Parallels Virtuozzo Containers в версиях как для Windows, так и для Linux, но сейчас компания использует его не для продажи в корпоративный сегмент, а для создания виртуальной инфраструктуры сервис-провайдеров и для последующей автоматизации управления этой инфраструктурой. Поэтому считать Parallels «виртуализационным» брендом неактуально уже как минимум пару лет. Мы разрабатываем решения для автоматизации бизнеса сервис-провайдеров. Наше ПО работает в дата-центрах 80% хостинговых компаний мира.

И у «коробочного», и у «облачного» подходов есть свои плюсы и минусы. Софт, устанавливаемый на локальный компьютер, оберегают антивирусы, файрволлы (как правило, они есть в любом маршрутизаторе даже начального уровня), а также политики сетевой безопасности, заложенные в приложение еще на этапе написания кода — например, когда программа в целях безопасности блокирует сетевые соединения извне по определенным портам. В этих условиях главная опасность исходит от пользователя. Трояны, зараженные файлы электронной почты, шпионское ПО и вирусы подстерегают на каждом шагу. Если пользователь не знает, как отвести угрозу, его компьютер точно будет инфицирован, это лишь вопрос времени. Не исключено, что вирус повредит и нужный бизнес-софт.

«Облачная» модель потребления сводит к минимуму и риски со стороны пользователя, и обеспечивает высокий уровень сетевой безопасности. «Облачный» софт находится под опекой профессиональных системных администраторов сервис-провайдера. Да, у SaaS-приложений есть риск чаще подвергаться массированным хакерским атакам из сети интернет, да и плотность этих атак будет выше, поскольку cloud-приложения доступны с публичных IP-адресов. Но пробить защиту дата-центра и добраться до ядра приложения непросто даже злоумышленникам.

Что касается пользователя, то он тоже не сможет повредить программу, поскольку не обладает нужным уровнем доступа. Он не сможет перезагрузить приложение, доинсталлировать туда что-либо или каким-то другим способом причинить вред ядру сервиса. Даже его преднамеренные действия не выведут приложение из строя. Все разговоры о безопасности в облаке – это вопрос восприятия. Пройдет время и никого вообще эти вопросы не будут волновать. Вот у вас наверняка есть аккаунт на бесплатном почтовом сервере. И ведь ничто не останавливает с точки зрения безопасности, верно?

Именно так. С одной стороны, конечному пользователю не дается особых прав, поэтому он не в состоянии что-то повредить. Но с другой — слабым местом остаются логины и пароли. Ни разработчик сервиса, ни провайдер ничего не смогут сделать, если аутентификационные данные были утрачены. Тогда хакер может спокойно войти в систему под учетной записью пользователя, скопировать или изменить нужные данные. При таком развитии событий любые технические методы практически бесполезны. Большие SaaS-провайдеры (такие как SalesForce) делают определенные шаги, чтобы подстраховать пользователя — например, дают доступ к сервису только с ограниченных подсетей (с конкретных IP-адресов), но это не слишком серьезное препятствие для злоумышленника с логином и паролем.

Второй участник процесса обеспечения информационной безопасности в «облаке» — это сервис-провайдер. Он управляет дата-центром и обеспечивает сквозную безопасность на всех уровнях — начиная от физической безопасности (доступ в здание, страховка от отключения электроэнергии и т.д.) и заканчивая уровнем приложения. Это делается множеством способов — аппаратными файрволлами, защитой определенных портов, через которые приложение подключается к Сети, применением безопасных «свитчей», антивирусов, антиспамов, IDS/IPS (системы обнаружения и предотвращения вторжения), защитой от DDoS. Это целая наука, и сервис-провайдеры в ней отлично разбираются.

Третий участник — разработчик. Он ответственен за то, чтобы разумным образом защитить ядро приложения. Тут главный риски — «баги» и дыры в ПО. Если они будут, то никакой сервис-провайдер с его арсеналом средств информационной безопасности не сможет защитить пользователей приложения и само приложения. По-настоящему защищенное приложение должно рождаться в содружестве провайдера и разработчика. А дело пользователя — не допускать утечек аутентификационных данных.

Единственная задача пользователя – просто сохранить свой логин и пароль в секрете, о всем остальном должны позаботиться сервис провайдер и разработчик ПО.

Стандартных вариантов миграции из «облака» одного провайдера в «облако» другого нет. Но такая услуга стала появляться в списке сервисов российских IT-консультантов. «Облака» разных провайдеров отличаются друг от друга — в плане организации хранения информации (структуры таблиц), использования различных языков программирования, использования различных платформ для запуска приложений и т.д. Все это делает миграцию данных очень трудным и дорогим решением.

Если компания использует SaaS-ресурсы, при смене одного «облака» на другое сценарий всегда один: сначала надо скопировать информацию из старого «облака» и затем залить ее в новое. Вот на этом отрезке безопасность необходимо обеспечить на всех этапах — в процессе экспорта данных, их временного хранения, форматирования под использование в другом «облаке» и их последующего импорта в другое «облако».

Приведу в качестве примера тот же SalesForce.com. Крупнейшие компании мира хранят данные по своим клиентским базам в данной системе. Уверен, что для крупных компаний проблема безопасности данных является ключевой. Возможно, пользователи могут относиться предвзято к сервисам, которые предоставляют малоизвестные компании — например, небольшие разработчики, продающие свой cloud-сервис из собственного «облака». Но пользователи давно доверяют сервис-провайдероам и операторам связи, иначе не стали бы покупать у них критически важные для бизнеса услуги хостинга и доступа в интернет. И сервис-провайдеры, и операторы связи или уже являются, или станут поставщиками «облачных» услуг, поэтому доверие их пользователей автоматически распространится и на SaaS. Поэтому тут, как и в других бизнесах, это вопрос времени, имени и доверия.

Спасибо!


Parallels — это мировой лидер в области ПО виртуализации и автоматизации, применение которого помогает оптимизировать использование вычислительных ресурсов компьютеров и серверной инфраструктуры провайдеров услуг, компаний и частных лиц на всех основных аппаратных платформах и операционных системах. Считается одной из четырех наиболее известных софтверных компаний (Kaspersky Lab, Acronis, Parallels, ABBYY) с центрами разработки в России. С момента своего основания в 1999 году Parallels остается развивающейся компанией, чей штат насчитывает более 700 сотрудников на всей территории Северной Америки, Европы и Азии.