Источник: журнал CIO №11

По прогнозам компании IDC, к 2014 году ежегодный объем продаж "облачных" продуктов и сервисов достигнет почти 56 млрд долларов. Главными участниками в дележе этого пирога станут глобальные и ведущие региональные телекоммуникационные операторы связи, предлагающие полный спектр "облачных" сервисов, включая те, что относятся к категории Infrastructure-as-a-Service (laaS) и Software-as-a-Service (SaaS). Одной из первых услуг, к которым корпоративный рынок проявляет интерес уже сегодня, является очистка трафика от различных угроз.

Телекоммуникационные сервис-провайдеры имеют уникальное преимущество с точки зрения требований заказчиков, решившихся на приобретение сервисов laaS или SaaS из "облака", поскольку они выступают экспертами сразу по двум направлениям - в области сетевых технологий и средств обеспечения безопасности. Наиболее популярные сегодня сервисы, предлагаемые из "облака", включают в себя такие услуги, как безопасность, ресурсы хранения, вычислительные ресурсы и сетевые управляемые сервисы для корпоративных заказчиков.

 - Пожалуй, наиболее развитым сервисом, пользующимся устойчивым спросом на аутсорсинг в нашей стране, является управление средствами защиты, а также сопутствующие услуги (мониторинг событий ИБ, анализ логов и т. п.). Однако этот сервис не связан непосредственно с деятельностью операторов связи, - отмечает Леонид Клычев, руководитель группы "Сетей передачи данных" IBS Platformix. Довольно востребованы сервисы предотвращения DDoS-атак, что вполне объяснимо с учетом стоимости таких решений и специфики их внедрения: наивысший уровень безопасности достигается при размещении систем защиты от атак на базе операторской сети.

По мнению Клычева, для корпораций значительный интерес представляют услуги веб- и почтовой фильтрации. Физические же лица ориентированы в большей степени на услуги антивирусной фильтрации трафика и сервисы родительского контроля (это вполне оправдано: аналогичный программный продукт, установленный на домашнем ноутбуке родителями без опыта системного администрирования, вряд ли сможет уберечь продвинутое молодое поколение от просмотра нежелательного контента).

Леонид Клычев констатирует, что традиционные и "облачные" хостинг-провайдеры рассматривают фильтрацию трафика как эффективный элемент борьбы с киберпреступностью. "В последнее время мы наблюдаем объединение усилий крупных провайдеров в области контроля "опасного" контента, - рассказывает он. - Это позволяет снизить риски, связанные с потерей финансов и репутации. Мотивация операторов услуг доступа в Интернет, обладающих большой клиентской базой, несколько иная: немаловажным фактором при принятии решения о внедрении систем фильтрации контента является возможность предоставления абонентам качественно новых услуг, характеризующихся высоким уровнем защиты".

Джабраил Матиев, руководитель группы "Информационная безопасность" компании IBS Platformix, отмечает, что с точки зрения фильтрации интернет-трафика реализация концепции Security asa Service пользуется спросом в нише защиты мобильных станций: "Это эффективно в случае, когда у организации есть мобильные рабочие места для сотрудников, работающих за пределами офиса. При таком варианте классические интернет-шлюзы, фильтрующие интернет-трафик внутри компании, неприменимы. Соответственно, понятие Security as a Service в данном случае - не что иное, как Software as a Service, где в качестве Software используется средство фильтрации интернет-трафика".

Препятствием к динамичному развитию аутсорсинга услуг безопасности зачастую являются опасения клиентов, связанные с потерей контроля не просто над инфраструктурой (модель laaS достаточно распространена), но также приложениями и данными, убежден Леонид Клычев. "Такая ситуация, - подчеркивает он, - усложняет продвижение фактически любых сервисов безопасности, связанных даже с гипотетической возможностью доступа к конфиденциальной информации со стороны поставщика услуг или третьих лиц".

Отечественные заказчики, по словам Алексея Лукацкого, менеджера по развитию бизнеса компании Cisco Systems, только присматриваются к SaaS-услугам: "Их опасения касаются не технологических или юридических рисков, а скорее психологии и менталитета. Отдавать свою почту в чужие руки им кажется немыслимым. Если же говорить о традиционных средствах фильтрации почтового трафика, то в этой нише наша компания наблюдает рост спроса из года в год".

Сервис по фильтрации трафика из "облаков" актуален в западных странах. Например, он позволяет блокировать - в целях защиты авторского права - загрузку нелегального контента вроде музыки или детской порнографии. Корпоративный заказчик, получая такую услугу, может легко проверить ситуацию в корпоративной среде и обезопасить себя от нежелательных рисков. "Например, в Великобритании, - рассказывает генеральный директор компании APL Михаил Кондрашин, - если осуществляется нелегальная загрузка музыки или других медиаресурсов, то компания, где работает такой пользователь, также преследуется по закону. Нарушены ли авторские права или выявлен любитель детской порнографии - вынесут компьютер и будут разбираться!"

Угрозы из Сети

Опросы ряда аналитических компаний, проведенные на корпоративном рынке, показывают, что для компаний интерес к сервисам из "облака" лежит в первую очередь в сфере защиты каналов передачи трафика. Наиболее распространенные каналы передачи трафика - это веб-трафик, почта. Именно через эти каналы по протоколам HTTP, FTP, SMTP и др. происходит заражение и передача различного вредоносного трафика. И именно поэтому к ним необходимо применять различные контентные фильтры (anti-malware, URL). В настоящее время не меньшую активность начинают демонстрировать и мобильные каналы.

 - Большая часть существующих угроз информационной безопасности обнаруживает себя при пользовании Интернетом, - говорит Джабраил Матиев. - Это фишинг-атаки, спам (почтового трафика), вирусы и вредоносные программы, программы-шпионы и так далее. Существуют и такие неявные угрозы (актуальные с точки зрения коммерческого предприятия), как доступ к развлекательным сайтам, которые создают риск потери рабочего времени сотрудниками. Решение этой проблемы лежит и в технической плоскости (блокирование развлекательных сайтов), и организационной (контроль выполнения политики информационной безопасности).

По данным IDC, общий объем спама в почтовом трафике в 2010 году составил 82,2%. "Лаборатория Касперского" ежедневно анализирует 1,5 млн спам-сообщений. В 2010 году общее число инцидентов, связанных с вредоносным ПО, достигло полутора миллиардов. Все атаки классифицируются по четырем категориям: атаки через Интернет (детектируемые веб-антивирусами), локальные инциденты (детектируемые на компьютерах пользователей), сетевые атаки (детектируемые IDS) и инциденты, связанные с атаками на почтовый трафик.

Среди других угроз, обнаруженных специалистами Cisco Security Intelligence Operations и рассматриваемых в ежеквартальном отчете компании Cisco Global Threat Report, можно назвать двукратное увеличение неизвестных ранее веб-угроз; рост числа атак с подбором паролей к базам данных SQL параллельно с ростом числа обнаруженных уязвимостей SQL Injections.

Атаки через браузеры составляют свыше 30% этих инцидентов (в абсолютном исчислении - 500 миллионов блокируемых атак). Количество вредоносных программ в почтовом трафике также растет: в 2010 году файлы с вредоносным кодом были обнаружены в 2,2% всех писем, что в 2,6 раза выше, чем в 2009-м.

В отношении фишинг-атак активность также возросла. В 2010 году пользователи стали получать в два с лишним раза больше писем, которые можно отнести к категории мошеннических, по сравнению с предыдущим годом. Этот вид корреспонденции составляет 3,8% в общем количестве писем.

Компании PayPal и eBay сохранили статус организаций, которые наиболее часто служат мишенью фишинг-атак. Однако ловцы счастья определили для себя много новых целей, переключив внимание с финансовых организаций на различные онлайн-ресурсы, особенно на социальные сетевые акка-унты; при этом основной удар приняла на себя социальная сеть Facebook.

Поданным Gartner, 62% компаний в 2008 году разрешали своим сотрудникам доступ к сайтам социальных сетей. Такие популярные сайты, как MySpace, Facebook и Bebo, становились жертвами атак злоумышленников.

Угрозы типа DDoS в 2010 году испытали на себе 47% респондентов опроса Gartner: им пришлось иметь дело с атаками, число которых варьировалось от 1 до 1 0 в месяц. Еще 47% респондентов отметили, что испытывали на себе от 1 0 до 500 атак в месяц.

Увеличение числа атак "отказ в обслуживании" зафиксировали как многочисленные ловушки, разбросанные по Интернету специалистами Cisco Security Intelligence Operations, так и системы предотвращения атак, установленные на стороне заказчиков Cisco и подключенные к ее системе глобальной корреляции.

Требования к оператору

Говоря об отличиях фильтрации корпоративного и провайдерского трафика, Игорь Хайров, проректор Академии информационных систем (группа компаний "Стинс Коман"), обращает внимание на такой подход, когда фильтрация может производиться как на уровне провайдера, так и внутри самой корпоративной сети. "С точки зрения повышения уровня защищенности ресурсов КИС рекомендуется строить так называемую эшелонированную (то есть многоуровневую) защиту, - рассказывает он. - Этот метод защиты подразумевает, что основные угрозы, в частности потенциально опасный трафик, будут фильтроваться на уровне провайдера. В то же время остаточный "грязный" трафик "вычищается" уже в самой корпоративной сети на уровне серверов и рабочих станций".

Исторически складывалось так, напоминает Игорь, что решения по фильтрации трафика на стороне провайдера не могли гарантировать полной очистки трафика из-за возрастающих объемов передаваемой информации, то есть им не хватало быстродействия. В противном случае эти системы довольно сильно снижали пропускную способность каналов провайдера. С другой стороны, системы фильтрации трафика на уровне корпоративной сети не имели такой нагрузки и "вычищали" остаточный "грязный" трафик.

 - В последнее время появились решения по фильтрации трафика на уровне провайдера, которые обладают большим быстродействием, и грань между системами со стороны провайдера и внутри самой КИС практически размылась, - рассказывает Игорь Хайров. - В связи с этим, сотрудничая с провайдером, который гарантирует полную фильтрацию трафика, можно существенно сэкономить на подобных системах внутри КИС. Одним из недостатков такого подхода является то, что в случае ошибочного "урезания" трафика придется потратить время на решение проблем с провайдером, тогда как внутри самой КИС этот вопрос решается гораздо быстрее силами собственного штатного технического специалиста. Необходимо также отметить, что современные системы фильтрации трафика - как на уровне провайдера, так и внутри КИС - обладают функционалом, позволяющим, помимо основной функции, также обнаруживать и обезвреживать вирусы, зловредное программное обеспечение, выполнять функции системы обнаружения и предотвращения вторжений, а также фильтровать спам.

Характерное отличие традиционных сервисов по фильтрации трафика от "облачных" сервисов, по мнению Михаила Кондраши-на, состоит в ориентации на потребности конечного абонента, а не системного администратора.

 - Например, отчетность в продуктах фильтрации компании Optenet реализуется специфично для потребностей провайдера, -рассказывает Кондрашин. - Отчеты позволяют разобрать подробно, по категориям, например, частоту посещаемости тех или иных сайтов. Разумеется, что сгенерировать отчет из базы данных не представляет трудности. Интрига в том, чтобы делать все это в реальном времени, а для этого нужен специальный движок, позволяющий отслеживать недавние посещения.

Есть и другой пример - действия при блокировке сайта, запрещенного к просмотру. Если в традиционных решениях, получить доступ в обход мнения фильтра можно только изменив какие-то параметры в панели управления продуктом, то в тех же решениях Optenet конечному абоненту сразу предлагается ввести пароль, который позволяет отменить блокировку. Предполагается, что родитель, который включил фильтрацию сомнительных сайтов для своего ребенка, знает пароль, а ребенок нет.

Операторы двигаются в направлении развертывания технологий 4G/LTE и конвергированных сетей. Они нуждаются в понимании, что предоставляемый ими трафик-это не только объем как таковой, но и та уникальная ценность для бизнеса, которую несет с собой видео, Web 2.0, приложения, услуги VIOP и Instant Messaging, которые они предоставляют клиентам. И они понимают, что безопасность - это не просто опция в приложении к пакету услуг, а критически важная его составляющая.

Но для того, чтобы решение по предоставлению "облачных" сервисов на стороне провайдера было рентабельным, оно должно отвечать определенным требованиям. В первую очередь это требования высокой масштабируемости, эффективности и доступности. Все эти качества могут быть обеспечены лишь через многопользовательскую архитектуру (multi-tenant), которая подразумевает режим обслуживания большого числа пользователей с помощью единого решения и предоставление каждому (в качестве корпоративного пользователя может выступать отдельное структурное подразделение) необходимого именно ему набора услуг. Оператору необходимо обеспечить возможность формирования трафика, его оптимизации, контентной фильтрации, кеширования, обеспечения биллинга.

 - Наиболее важные требования к системе фильтрации трафика для операторов связи, резюмирует Джабраил Матиев, - это фильтрация не только по IP- или URL-адресу, но и по содержимому трафика; наличие большого числа категорий фильтрации; возможность централизованного управления; наличие детальной отчетности; возможность гибкой настройки правил фильтрации в зависимости от различных условий (группа пользователей, время доступа, регион доступа и так далее).

Для сервис-провайдеров Интернета традиционный подход требует выделения оборудования для каждого бизнес-пользователя. А это означает установку, настройку, запуск и соответствующее обслуживание каждого нового сервиса. При этом любое приложение требует независимого интерфейса, конфигурации, обновления и установки заплат. Для конечных пользователей это означает дополнительные расходы, которые провайдер, как правило, на них же и перекладывает.

Алексей Лукацкий выделяет несколько критериев, которым должно отвечать решение по фильтрации, чтобы оно имело успех у провайдера:

 - Во-первых, это надежность на уровне пяти девяток. Во-вторых, учет политик для различных заказчиков на базе единой платформы, чтобы не пришлось для каждого нового заказчика ставить новое оборудование и настраивать каждое устройство отдельно. Третий критерий - наличие пользовательского портала или интерфейса для интеграции с имеющимися порталами. Четвертый - интеграция с существующей у оператора системой биллинга. Это основные критерии. Остальные требования касаются частоты обновления, уровня фильтрации, собственной защиты и т. п. Но они уже не относятся к критериям выбора: они просто должны быть. При их отсутствии разговор даже начинать не стоит.

Провайдеру невыгодно иметь дело с распределенным решением, подчеркивает Михаил Кондрашин. "Такой провайдер, - говорит Кондрашин, - рискует быстро оказаться в убытке, потому что он должен приобрести эту коробку за свой счет, а потом окупать расходы в течение длительного времени. А устройство на стороне пользователя тем временем может сломаться, клиент может от услуги в любой момент отказаться - и провайдеру еще придется посылать курьера забирать коробку назад. От такой модели провайдеры всячески стараются уйти. Разумеется, провайдер имеет возможность воспользоваться виртуализацией, что гораздо лучше отдельных "коробок" для каждого абонента. Но физический компьютер может обслуживать всего лишь несколько десятков абонентов. А если счет абонентов идет на тысячи - виртуализация не поможет".

Говоря о состоянии российского рынка, Михаил Кондрашин отмечает, что в настоящий момент тема очистки трафика в "облаках" очень активно развивается. Даже крупнейшие сотовые операторы ведут подобные проекты весьма энергично: "Сейчас у наших крупных сотовых операторов идут в основном инфраструктурные проекты, то есть такие, по завершении которых проходящий трафик можно будет тарифицировать и подвергать хотя бы какой-то фильтрации.

Крупные операторы выстраивают инфраструктуру, которая позволит предоставлять такие услуги. После этого они будут устанавливать решения по фильтрации".

Новичок на российском рынке

Недавно на российском рынке в нише решений по фильтрации трафика из "облака" появился новый игрок со своим флагманским продуктом Optenet Solution for Telecom. Компания Optenet сосредоточена на рынке ПО для построения инфраструктур, предоставляющих услуги SaaS в области веб-безопасности. Эксклюзивное дистри-бьюторское соглашение с Optenet подписала компания APL. В число клиентов компании уже входят такие представители телекоммуникационного рынка, как Telefonica, Orange, Vodafone, а также многие другие.

В основе решения Optenet лежат две технологии - GIANS и MIDAS. GIANS расшифровывается как глобальная сеть расследований и обнаружения угроз, информация в которую поступает из разных источников - от собственных заказчиков Optenet, от огромного числа ловушек, от автоматических поисковых систем, собирающих базу адресов сомнительных сайтов.

MIDAS - это та часть решения, которая работает в фильтрующем устройстве и интеллектуально анализирует контент. Например, если какого-то сайта нет в базе данных, а сомнения имеются, то вопрос о том, пропускать или блокировать, решается посредством перехода к фильтрации на следующий уровень, уже интеллектуальными средствами. По некому интеллектуальному алгоритму проверяются доменные имена.

 - Если вы заходите на сайт Come-to-me.com - это может быть что угодно, фильтр этого понять не способен, - рассказывает Михаил Кондрашин. -Он пойдет дальше, на третий уровень, и будет анализировать содержимое, текст веб-сайта. Фильтр набирает некоторую статистику и пытается на лету определить категорию сайта. Анализ этого содержимого основан не просто на ключевых словах (потому что в противном случае по слову "sex" вы заблокируете 50% Интернета: в тех же анкетах слово "sex" означает пол). Фильтр Optenet работает на более глубоком уровне анализа контекста, с применением элементов искусственного интеллекта. В результате коэффициент фильтрации достигает от 97 до 99%. Если система блокирует очень много ссылок, то она может вообще заблокировать Интернет для данного пользователя, а его руководителям (родителям) может быть выслано предупредительное письмо.

В среде телекоммуникационного оператора возникает целый ряд проблем. Это вопрос масштабируемости, вопросы интеграции с инфраструктурой провайдера (например, с Radius-серверами), формирования и настраивания услуг, которые нужно адресовать разным абонентам.

Оператор получает возможность формировать различные пакеты услуг для конечного пользователя: с помощью интерфейса оператора все услуги настраиваются в соответствии с единой логикой. С помощью интерфейса пользователя он сам формирует услугу.

Добавленная стоимость

Как отмечает Алексей Лукацкий, современная система фильтрации трафика дает возможность провайдеру предложить абонентам услуги "чистого Интернета" - и тем самым выделиться на фоне остальных провайдеров, предлагающих только услуги подключения к Сети. Но в целом фильтрация трафика важна для любых провайдеров, желающих предложить добавочную ценность своим абонентам и имеющих желание заработать на этом.

Говоря об услугах, которые пользуются у провайдеров наибольшим спросом, Алексей Лукацкий отмечает: "Выделить явных фаворитов пока сложно. У каждой услуги своя аудитория. Например, у фильтрации контента есть потребители в лице руководителей компании, не желающих, чтобы их сотрудники часами висели в Интернете на ненужных для работы сайтах. У родительского контроля аудитория - родители. Да и внимание со стороны государства к родительскому контролю усиливается. Недавно был принят закон, обязывающий операторов связи внедрять такого рода услуги на своих сетях. Тут уж не до оценки спроса: можно и операторской лицензии лишиться".

Вопрос о том, какие услуги безопасности заказчики готовы или не готовы отдавать на аутсорсинг, по мнению Алексея Лукацкого, зависит не от услуг, а от зрелости заказчика и его уровня доверия к поставщику услуг: "При достаточном уровне обоих показателей отдать на аутсорсинг можно что угодно. При низком уровне или отсутствии хотя бы одного из двух элементов на аутсорсинг не отдадут даже внешнее сканирование защищенности".

Подобные услуги из "облаков", на которые в Европе существует немалый спрос как на корпоративном, так и на массовом рынке, позволяют телекоммуникационным операторам, провайдерам интернет-услуг зарабатывать неплохие деньги. Типичный пример: начальные инвестиции европейского провайдера в услуги фильтрации трафика из "облака" на основе решения Optenet составили чуть больше четверти миллиона долларов. В последующие 6 месяцев он уже вернул свои деньги и дальше начал получать чистую прибыль. Через четыре года прибыль этого провайдера составила уже 15 миллионов.