Облачный хостинг и его безопасность. Часть 2 |
 |
Вторая часть статьи.
Облачный хостинг - решение всех проблем?
ФИНАМ — брокерские услуги
Никита Цаплин: — Спасибо. Также я хочу спросить у Сергея Слукина. Сергей — представитель организации ФИНАМ, кроме брокерских услуг она сегодня предоставляет заказчикам также услуги VPS Украина для торговли, то есть на стыке технологий, где каждая секунда простоя способна принести огромный финансовый убыток.
Я хотел спросить, насколько ваши заказчики чувствительны к вопросам безопасности? Или когда мы говорим именно о финансовых организациях, здесь важна надежность, в плане сбоев по разнообразным техническим причинам. Все же вопросы безопасности сегодня более актуальны?
Сергей Слукин, глава отдела DMA, АО «ФИНАМ»: — Здравствуйте, меня зовут Сергей. Я начальник отдела торговли в ФИНАМ — это самый крупный брокер в РФ по числу клиентов. У нас есть официальное представительство в каждом большом городе страны. Десятки тысяч клиентов РФ и за границей.
Наши отделы помогают заказчикам строить свою собственную структуру, чтобы их алгоритмы работали удачно, чтобы они зарабатывали деньги. В частности мы предоставляем клиентам разные железные решения, то есть предоставляем свои сервера, приобретаем сервера, если им это надо, представляем облака.
По поводу безопасности. Если же говорить о периметре Сети, то и о клиентах, которые используют виртуальные машины, то услуги безопасности, которые сейчас предоставляются, их вполне достаточно. Если же говорить о периметре локации, то это немного иной круг клиентов, их требования выше. Тем не менее, мы не ограничиваемся лишь тем, что нам дает наш провайдер.
Мы применяем некий симбиоз облачных и биржевых решений, стоят как наши фаерволы, так и фаерволы биржи. Мы разрешаем доступ с некоторых статических адресов IP. Мы обязательно мониторим трафик. Биржа также мониторит трафик на всем своем периметре.
Мы серьезно относимся к безопасности. Ведь это прежде всего волнует наших клиентов. Однако если говорить о том, что важнее устойчивость или безопасность, то это на одном уровне.
Никита Цаплин: — Да, это синонимы, согласен. Случалось ли, что ваши заказчики подвергались взлому, атаке? Или это совсем не про ваших клиентов?
Сергей Слукин: — Это не про наших клиентов. Да, мы видим что иногда прилетают странные пакеты из Китая, что пытаются проводить полноценные DDoS-атаки и пытаются положить каналы, серверы. Разумеется, ничего не получается, поскольку есть симбиоз систем защиты. Так, если бы у нас все было в облаке, тогда, наверное, у клиентов были бы определенные проблемы.
В данном плане, мы пока что не готовы переносить в облако всю инфраструктуру, здесь еще длительное время будет работать специальный симбиоз решений.
Финансовый сектор и перенос
Никита Цаплин: — Финансовый сектор — наиболее тяжелый для переноса, так как там взаимодействие непосредственно с финансовыми потоками. Каково ваше мнение о компании AIG, насколько интересно вашим заказчикам страхование на тот случай, если клиент фонд, управляющий средствами, подвергнется атаке DDoS и будет невозможно выполнять сделки. Кто-то получит несанкционированный доступ к серверу, управляющий транзакциями в итоге могут быть получены просто огромные убытки.
Сергей Слукин: — Вопрос сложный, так как оценить убытки довольно трудно. Естественно что, возмещать цену услуг за месяц по SLA, этого, увы, недостаточно.
Никита Цаплин: — Мы говорим здесь не о недополученной прибыли.
Сергей Слукин: — Я понимаю. В случае если клиент говорит, что у него упал сервер, висит заявка, он не смог ее вовремя снять, поэтому у него убыток на миллион рублей, это очень сложно доказать. Если речь о краже специального алгоритма, то тоже сложно, поскольку стоимость алгоритма клиента невозможно оценить в суде. С точки же зрения базовых функций, когда доказано, что с сервера клиента что-нибудь украдено или, что его сервер подвергся атаке, и поэтому он не смог торговать, то если страховая организация способна возместить больше, нежели нам предлагает SLA, то это будет очень интересно.
Никита Цаплин: — Об этом и речь, так как понятно, что возмещение возможно лишь в случае подтверждения этого события иначе услуга потеряла бы весь смысл. Должно быть полноценное подтверждение несанкционированного доступа, в другом случае любой убыток трейдеры смогут списать на страховой случай.
Сергей Слукин: — Мы пока не предлагали данную услугу клиентам, так как она новая. Однако в принципе на протяжении недели мы готовы запустить специальную акцию. В случае если продукт поможет заказчикам, если точно поймем, как можно и использовать продукт, то сможем активно пиарить.
О Швейцарии
Никита Цаплин: — Что вы думаете об инфраструктуре Швейцарии? Это же столица банковского дела. Это вопрос к современным финансовым рынкам. Я понимаю, что территориально это совсем не лучший вариант с точки зрения общей скорости доступа к финансовым рынкам, однако насколько для вас интересно предложение по размещению сервисов клиентов вот в таком безопасном месте, где просто невозможно событие запроса местных властей.
Насколько интересна именно юридическая безопасность клиентам? Большинство фондов, оперирующих в частности на московской бирже, не принадлежит российской юрисдикции. Однако, размещая оборудование в России, они несут риск местных властей. Насколько данный вопрос интересен сегодняшнему клиенту?
Сергей Слукин: — Все зависит от типа клиента. Если зарубежный фонд желает иметь инфраструктуру в РФ, то 90-99% будет размещаться в биржевой локации, в РФ.
Швейцария — это хорошо, однако с точки зрения торговли это не очень хорошо применимо к клиенту, которому крайне важна скорость доступа. Из Швейцарии сигнал идти будет несколько десятков миллисекунд. Но клиенты соревнуются уже по наносекундам. В случае если клиент сможет экономить, скажем, 200 наносекунд, то это уже огромное преимущество.
Если же речь о хранении информации бэкофиса, то это может быть интересно, однако сервисы, принимающие решения должны находиться там, где расположена торговая площадка. Правда я не вижу ничего такого в разделении клиентских сервисов. Когда сервис здесь, а база данных и бэк в другом месте.
О страховании
Никита Цаплин: — Спасибо. Сейчас я хочу снова вернутся с вопросом к Александру из компании AIG. Вот есть ли у вас опыт сотрудничества с фирмами из сектора ИТ по вопросам страхования? Есть какие-либо кейсы или проекты?
Я понимаю, что данная сфера конфиденциальная, но может есть какие-либо интересные кейсы взаимодействия с компаниями ИТ, о которых можно было бы здесь рассказать? Как облачный хостинг в Украине, мы были первыми, кто застраховался от данных рисков, однако возможно есть какие-нибудь иные проекты, тех же фирм-вендоров по безопасности?
Страхование — это в настоящее время единственный выход. Вопрос доверия, вопрос физической безопасности и надежности. Все это решается. Но все равно всегда может случится крупный сбой.
В любом случае от него можно будет защититься лишь страховкой.
Александр Мисюрев, директор по развитию компании AIG: — Про клиентов я рассказывать не буду, так как это конфиденциальные сведения. Поскольку я занимаюсь адаптацией определенных продуктов в РФ, наиболее сложное — кто ваши клиенты, кто именно покупает? Все привыкли, что обычно все российские страховые компании в своих презентациях показывают миллион логотипов. Вот все они купили.
У нас иной подход. Мы сначала работаем с крупными корпоративными клиентами, в настоящее время развиваем средний и малый бизнес. Cyber, как встроенный продукт, который дает возможность защищаться. В этом очень большая перспектива когда существует не просто финансовое решение как страхование, но и еще определенная сигнализация на ваше оснащение.
Вот с нашим дорогим партнером, Group-IB, мы сделали специальный продукт под названием Group-IB TDS, а также CyberEdge. Cyber дает клиенту свой сенсор, а далее если сенсор не справляется с задачей, то работают какие-то определенные части нашего полиса. Из интересных решений ИТ, могу сказать, что около трех хостинг провайдеров, которые предоставляют надежную защиту от атак DDoS — мы ведем с ними переговоры в данной части.
Идея появилась изначально из этого, когда DDoS-атака проходит и организация несет убытки, тогда уже должна работать страховка. Понятно, что мы хотим предоставить клиентам 99.9% защиты, так как под 100% защиты я сомневаюсь, что кто-то подпишется, это просто нереально. Однако после того, как вышел наш небольшой пресс-релиз с RUVDS, Никита, к нам еще один облачный сервис обратился — если это можно страховать, то давайте работать.
Мнение представителя организации по защите от DDoS
Никита Цаплин: — Удивительно, но многие не знают, что это можно сегодня страховать. У нас есть представитель организации по защите от атак DDoS.
Как вы считаете, дострахование услуг защиты вообще целесообразно сегодня предлагать клиентам? Или же вы придерживаетесь мнения, что обеспечиваете абсолютную защиту и не можете допустить мыли о том, что может что-либо произойти? Есть также такая точка зрения, что вы не хотите предлагать страховку, так как это сломает парадигму, внесет сомнения.
Данила Чежин, директор по продажам компании Variti: — Человек несовершенен и, увы, кто-то всегда допускает какие-то ошибки. Это видно из каких-то постоянных утечек.
Дырки в любом программном обеспечении. Они находятся спустя довольно долгое время. Уязвимости в SSL, к примеру, которые несли весьма солидную угрозу.
Все это говорит о том, что какое число девяток после запятой вы у себя в сайте не написали, чтобы вы не написали в договоре — все равно, безусловно, вероятность того, что что-нибудь случится, есть. Вопрос в том, какое число ресурсов хакер должен потратить на достижение своей цели.
Никита Цаплин: — Суммы вполне доступные.
Отзывы о хостинге:
