Собираетесь в облака? Возьмите с собой парашют!

Почему облака? В 1994 году впервые появилась диаграмма, на которой компьютерные инженеры обозначили в виде тучки кластер услуг, которые можно было бы передавать посредством интернета. Это был образ, которым они очертили все то, что происходило где-то еще и, по сути, не являлось их проблемой. Если такая версия покажется странной, то в учебнике по программной инженерии за 2016 год, написанном Сергеем Орловым, все звучит вполне официально: «Виртуализация означает сокрытие настоящей реализации какого-либо процесса или объекта от истинного его представления пользователю». Таким образом, услуги по хранению и обработке данных, включая каналы связи, приложения и другие сервисы, предоставляются пользователю в облаке под девизом «Это не ваша проблема». Предоставление вычислительных ресурсов в виде интернет-сервиса оставляет за кадром их физическую реализацию: пользователь не знает и не контролирует, с помощью каких серверов, сетей, операционных систем все происходит, куда уходит информация и где она хранится.

Мы все в той или иной степени уже ощутили на себе прелести облачных технологий: они доступные, мобильные и масштабируемые. Пострадавшие пользователи облаков зачастую остаются незамеченными для остального населения земного шара. Но цена, которую они заплатили, всегда неожиданно высока. Один из недавних примеров – блог писателя Дениса Купера. Более 14 лет ежедневной работы – блог, рецензии, книга и почтовая переписка – все исчезло бесследно без объяснений. Только под двухмесячным напором гневных писем и петиций от многочисленных фанов, а также статей в таких изданиях, как The New Yorker, Pen America, The Guardian, представители Google начали переговоры с адвокатом Купера. В результате в Google согласились открыть блог писателя на новом домене, а также размещать на новом сайте старые посты после цензуры.

1. Контроль

Сгинувший блог Дениса Купера иллюстрирует главный недостаток облачных технологий – полная зависимость пользователей от монопольного провайдера. И я имею в виду не только постоянный рост платежей, перевод на более дорогие тарифные планы, оплату из расчета потребления трафика, неконтролируемые обновления и прочие вещи, включая «мелкий шрифт». Любые данные, доверенные облачным технологиям, могут быть удалены, урезаны или подвергнуться цензуре в результате изменений в политике компании.

Раз уж мы заговорили о Google, рассмотрим проблему на примере этого доминирующего провайдера сервисов с лучшей репутацией в США. В 2011 году он без предупреждения заблокировал доступ к службе поиска архива новостей (Google News Archives) с отсканированными копиями 60 млн газет, вышедших за последние два столетия. В результате ряда изменений стали непригодными для исследовательской работы Google Groups, так как потеряли функцию поиска по дате. А год назад Google ошарашили новостью о том, что сервис Blogger, хранивший публикации своих авторов с 1999 года, начнет блокировать контент для взрослых, так что «личные фотографии или видеоролики, изображающие наготу или имеющие откровенно сексуальный характер» будут удаляться. В 2016 году закрылись фотохостинг Picasa и Google Cloud Connect, которые обслуживали миллионы пользователей более десятка лет.

Ричард Столман, основатель GNU, автор Emacs, GCC и концепции копилефта, похоже, был прав, когда еще в 2008-м предупреждал в своем интервью The Guardian: «Облачные сервисы – это ловушка. Делайте свои вычисления на собственном компьютере со своей копией свободной программы. Если вы используете проприетарную программу или чужой веб-сервер, вы беззащитны. Вы попадаете в полное рабство к владельцам этой системы».

2. Сохранность данных

Данные в облаках физически хранятся на миллионах серверов в центрах обработки данных (ЦОД). Соответственно, у любого провайдера с самым современным оборудованием может случиться стандартный набор проблем, связанных с подключением к интернету: перебои с электричеством, стихийные бедствия, перебои с доступом, кибератаки. Учитывая загруженность облачных хранилищ, логично предположить, что с ростом количества пользователей риски только возрастают. Вернемся к примеру с Google: 13 августа 2015 года, «после дождичка в четверг», четыре молнии подряд ударили в один и тот же ЦОД, находящийся в Бельгии.

У облачных провайдеров, как и в любой другой компании, случаются и недобросовестные работники, и финансовые проблемы: от этого никто не застрахован. Около четырех провайдеров в год просто уходят из бизнеса – а вместе с ними уходят и наши данные.

У владельцев облачных сервисов есть технические ресурсы, позволяющие обеспечить надежность не хуже, чем у традиционного хостинга. Наиболее крупные провайдеры управляют огромным количеством серверов, например, у Google их более миллиона. Это дает возможность правильно распределять ресурсы по множеству серверов в разных регионах. Однако, как правило, процедура back-up в облаках сводится к элементарному созданию копии данных в том же боксе, в той же комнате, что вряд ли поможет в случае пожара, землетрясения или любой подобной напасти. Такие же выводы были сделаны после скандального обрушения Amazon, когда авария в одном ЦОД повлекла за собой отказ в работе размещенных в нем сервисов.

Особую опасность для пользователей облаков представляют кибератаки. Собственно, оставляя любые сведения в интернете, нужно быть готовым к тому, что они могут просочиться в чужие руки – злонамеренно или случайно. Марк Цукерберг (СЕО Facebook), Джек Дорси (CEO Twitter) и Дик Костоло (бывший глава Twitter) в числе тех, чьи учетные записи взламывали в соцсетях, а таких сегодня каждый десятый пользователь. Стоимость утечки данных, согласно последним исследованиям от Ponemone Institute, равняется $7 млн за инцидент. Дороже всего обходится потеря доверия клиентов, которые, как известно, голосуют ногами.

3. Конфиденциальность

Мы не можем гарантировать сохранность данных, также мы не можем быть уверены, что эти данные по нашей команде из облачного хранилища вовремя удалят. Ни один провайдер не дает такой гарантии. Удаление проводится по принципу garbage collection (сборки мусора). Сначала данные отмечаются (mark) как предназначенные для удаления и затем только удаляются (sweep), и момент перехода от одного статуса к другому может серьезно затянуться. Facebook указывает период до 90 дней, Microsoft – до 60, Google Dropbox, Amazon такового вообще не оговаривают. Так, в результате самой крупной утечки данных 2016 года, из 400 млн посрамленных пользователей сети знакомств Friend Finder Network, 15,7 млн аккаунтов числились удаленными, о чем говорили адреса с приставкой @deleted1.com.

Ваши данные могут не только годами витать в облаках, но и использоваться без вашего ведома. Крупные интернет-компании не раз подвергались критике в связи с нарушением конфиденциальности. Эдвард Сноуден в 2013 году впервые опубликовал данные о том, что американское правительство платило Google, Yahoo, Microsoft и Facebook миллионы долларов за информацию об интернет-пользователях (в рамках программы PRISM). В 2016 году Федеральная комиссия по торговле выписала Google в связи с нарушением конфиденциальности крупнейший штраф на сумму $22,5 млн.

Кому нельзя «летать в облаках»

Опираясь на перечисленные факты, облачными технологиями не рекомендуется пользоваться при работе с чувствительными данными – то есть, данными, несанкционированный доступ к которым может повлечь за собой убыток. Это касается, прежде всего, медицинских и финансовых учреждений, силовых ведомств, страховых компаний, e-commerce, которые работают с личными данными, располагают номерами счетов, кредитных карт.

«Вы не можете эффективно защищать наши данные, если не знаете, где они сохраняются», – утверждается в отчете по исследованию утечек данных за 2016 год (Data Breach Investigations Report). Чтобы себя обезопасить, в идеале следует подписать с провайдером соглашение об уровне предоставления услуг и, по возможности, выбрать ЦОД, расположенный вдалеке от густонаселенных районов, где маловероятны стихийные бедствия и перебои с электроснабжением. При этом провайдер должен взять на себя обязательства по защите и восстановлению данных как от стихийных бедствий, так и от внутренних сбоев.

Необходимо пересмотреть политику кибербезопасности: профилактика и защита обязательны. Компьютеры, как и люди: чем больше связей с внешним миром, тем более они уязвимы. Что будет, если заражение все-таки произойдет? Статистика по кибератакам удручающая: если пять лет назад «Лаборатория Касперского» ежедневно обезвреживала около 50-60 новых вирусов, то сегодня она обрабатывает около 310 тыс. новых вредоносных файлов каждый день, и каждый корпоративный компьютер в России за последние полгода в среднем атаковали девять раз.

В связи с резким скачком общего количества кибератак и развитием целевых устойчивых атак, по отношению к которым не выработано абсолютных методов противодействия, специалисты по кибербезопасности считают необходимым переключить фокус с количества отраженных или остановленных атак на время, затраченное на обнаружение и отслеживание вторжения. В частности, Антон Чувакин, научный вице-президент группы безопасности и управления рисками в Gartner, рекомендует компаниям перестать противодействовать вторжению хакеров и заняться более целесообразным поиском способов саботировать их деятельность. «Если хакеры украдут у вас зашифрованные данные, и им придется три дня провести в поисках шифровальных ключей, то у вас будет больше шансов их обнаружить», – советует господин Чувакин.

Необходимо определить приоритеты и выстроить многоуровневую систему безопасности по степени важности хранящихся у вас данных. Большинство компаний, как правило, аккумулируют слишком много ненужных данных. Самый простой и часто недооцениваемый способ избежать последствий хакерских атак – определить данные, которые могут вызвать негативный общественный резонанс, и сократить их объем, регулярно удаляя неактуальные файлы из системы.

Как лидеры рынков борются за безопасность

Справедливости ради следует поделиться историями успеха. Месяц назад случилась мега-утечка на Weebly – одном из самых популярных сервисов по бесплатному созданию вебсайтов. Хакеры получили доступ к именам, email-адресам и паролям практически всей базы данных подписчиков – а это более сорока миллионов пользователей. Однако злоумышленников ждало разочарование: пароли были зашифрованы с помощью стойкой на сегодня хеш-функции bcrypt с добавлением уникальной соли. Так что у руководства Weebly было достаточно времени, чтобы на всякий случай провести обнуление паролей. Кроме того, Weebly не хранила на серверах платежную информацию своих клиентов. И, как говорится, в ходе эксперимента никто не пострадал.

Datadog, провайдер облачного сервиса анализа данных, принадлежащих IT-структурам таких компаний, как Facebook, Adobe, Samsung, Airbnb, Warner Bro, также подвергся атаке в июле 2016 года. Но украденные пароли стали бесполезной добычей для хакеров, так как тоже были зашифрованы с хешем bcrypt с добавлением уникальной соли. Агенты Datadog – программное обеспечение, собирающее информацию для Datadog с хостов клиентов – не были затронуты атакой. Директор по безопасности Datadog, Эндрю Бечерер пояснил: «Агенты изолированы от нашей собственной инфраструктуры, а вся коммуникация с инстанциями базы данных осуществляется по защищенному протоколу HTTPS. Наши агенты не посылают локально хранящиеся учетные данные на сервера Datadog на хранение».

Что делать всем остальным

Публичное облако не отвечает требованиям контроля, конфиденциальности и сохранности данных жестко регулируемых отраслей. Долгое время бытовало мнение, что будущее за публичными облаками, куда собирались переехать 98% приложений. Этим летом основатель и СЕО Dropbox Дрю Хьюстон объявил о том, что Dropbox будет двигаться обратно к гибридной облачной модели, так как она более «эффективная, гибкая и самое главное – более безопасная». Согласно последнему исследованию IDG, 40% организаций с опытом работы в публичном облаке переехали на собственное оборудование. В обозримом будущем, согласно исследованиям HPE, компании будут уходить из публичного облака.

По надежности популярные облачные технологии уступают автономным решениям. Если прибыль вашего бизнеса зависит от скорости и безопасности работы серверов, лучше воспользоваться традиционным хостингом, а для размещения чувствительных данных остановиться на выборе выделенного сервера, collocation, а то и автономного решения. Для сокращения расходов на IT-инфраструктуру работу по системному администрированию можно отдать на аутсорс команде профессиональных системных администраторов. Помимо выгод по стоимости, преимущество таких команд – стратегический подход. Они изначально выстраивают масштабируемую систему, которую легко можно изменить с минимальными затратами и в короткие сроки. Сисадмины на аутсорсе используют системы мониторинга, которые позволяют проактивно реагировать на проблемы, а также автоматизированные системы резервного копирования с уведомлением об успешном или неуспешном его выполнении.

Если Google все равно, что ведущие западные СМИ могут поднять шум по поводу удаленного блога известного писателя, команда сисадминов всегда будет располагать планом реагирования и восстановления и даже будет готова пойти на уступки ради сохранения клиента и своей репутации.

Фото: Doug Wong, автор скульптуры Caitlind R.C. Brown