За 2022 год российский рынок облачных услуг вырос на 35–40%. По прогнозам экспертов, в текущем году тренд на увеличение сохранится в сегментах IaaS, PaaS, SaaS, и рост рынка составит как минимум 40%. Вероятно, свой вклад в это также внесут облачные сервисы в сфере информационной безопасности — сегодня их используют 20% игроков. Из-за непрекращающихся кибератак, а также ухода зарубежных вендоров и дефицита оборудования многим компаниям пришлось перестроить ИБ-процессы, чтобы качественнее обеспечивать защищенность своих сервисов, в том числе в процессе разработки. В статье вместе с Андреем Красовским, директором по маркетингу Swordfish Security, мы поговорим об индустрии разработки защищенного ПО в облаке, рассмотрим преимущества формата и вызовы, которые стоят перед игроками.
Как сегодня развивается индустрия
Российские компании еще не уверены до конца в безопасности облачных технологий. Поэтому на отечественном рынке популярна гибридная модель: организации совмещают публичные облака и частные решения, которые также могут охватывать инфраструктуру без виртуализации. Среди крупных игроков есть те, кто создает собственные облака для внутреннего пользования. Этот подход не потеряет актуальности в среднесрочной перспективе, поскольку игрокам индустрии нужно время, чтобы вывести продукты на новый уровень зрелости.
Согласно исследованию IDC, в 2022 году объем мирового рынка облачных услуг вырос на 22,9% и составил $545,8 млрд. Самым крупным оказался сегмент SaaS, внутри него эксперты выделили отдельно приложения — на них пришлось около 45% выручки. В России этот формат пока не получил широкого распространения, его используют в основном малые и средние компании. Темпы роста продаж «ПО как услуги» пока замедлились, в перспективе 3–5 лет сегмент ожидает просадка, в первую очередь, из-за ухода зарубежных вендоров.
Сегодня компании стремятся оперативно перейти в российские облака, но они не всегда, к сожалению, полностью соответствуют ожиданиям заказчиков. Большинство ушедших западных провайдеров развивают модель «коллективной аренды», когда единый экземпляр приложения, запущенный на сервере, может работать сразу для нескольких клиентов. Отечественные компании чаще всего предоставляют в аренду мощности, на которых продукт функционирует для одного заказчика. Этот вариант уступает первому в скорости развертывания, но зато позволяет выстроить архитектуру сразу «под себя».
В целом российские облака приближаются к формату PaaS. Например, уже сегодня на рынке появляются облачные платформы для разработки ПО, в том числе защищенного. Их создают и тестируют компании уровня enterprise. Возможно, на горизонте трех лет состоятся полноценные релизы подобных решений, индустрия информационной безопасности подхватит этот тренд, и на рынке расширится линейка ИБ-инструментов, предоставляемых в формате SaaS.
Чем удобны облака
Гибкость. В облачных сервисах можно оперативно масштабировать нагрузки, запускать новые сервисы и проверять гипотезы. На реализацию подобных задач в инфраструктуре обычно уходит год и больше. Здесь не получится сразу приступить к реализации, нужно сначала закупить инструменты виртуализации, установить необходимое оборудование и тому подобное. То есть процессы должны «физически» тянуться за изменениями.
Прозрачность. В облаке понятно, куда уходят ресурсы, как они распределяются между проектами и сотрудниками. Правильно настроенные системы оповещений и инструменты «прозрачности», которые есть практически в любом современном сервисе, помогут трансформировать операционную модель и внутренние процессы. Например, в рамках безопасной разработки специалисты сразу увидят, какой проект тестируется, с помощью какого инструмента, во сколько это обойдется компании.
Экономичность. Компании делегируют множество технически сложных задач провайдерам. Это значит, что организациям необязательно держать в штате специалистов, отвечающих за все слои разработки защищенного ПО. Высвободившиеся ресурсы можно потратить на приоритетные задачи и укрепление слабых мест.
Какие вызовы стоят перед индустрией
Типизация процессов DevSecOps
SaaS — это подписочная модель, которая позволяет купить доступ к продукту на необходимый промежуток времени. Как облачный формат она обладает гибкостью и позволяет внезапно масштабироваться в десятки и даже сотни раз без риска, что сервер упадет. Эти возможности подразумевают, что в основе всего должен лежать простой и понятный сервис. Сегодня у каждой компании свой процесс разработки с определенными особенностями. Процессы Application Security являются его производными, поэтому тоже значительно отличаются в разных организациях.
Таким образом, успех методологии DevSecOps в облаке главным образом зависит от факта наличия понятных функций и сценариев взаимодействия конечных пользователей с облачными сервисами. То есть здесь ждет решения довольно амбициозная задача — создание единых установок и правил для компаний разного масштаба, типизация процессов разработки защищенного ПО. Очевидно, что на первых этапах отклонения от норм неминуемы, потому что реализовать всё это технически будет сложно. Тем не менее индустрии необходимо преодолеть эту преграду, чтобы достичь той степени гибкости, о которой облако заявляет уже сейчас.
Повышение уровня зрелости продуктов
Подавляющая часть инструментов, представленных сегодня в индустрии DevSecOps — свежие решения, которые еще не успели пройти все стресс-тесты. Они работают в формате on-premise. Эти продукты сложны как процессно, так и технологически. Поэтому их запуск в облако — крайне нетривиальная и в текущих условиях необъятная задача. Вендорам предстоит сначала повысить уровень зрелости своих продуктов, сделать их гибче. Чтобы упростить себе жизнь в будущем, игрокам стоит в процессе разработки решений учитывать запросы рынка и делать акцент на универсальности и пластичности.
Развитие компетенций ИБ-специалистов
Эта задача относится скорее к заказчикам, которые планируют строить процесс безопасной разработки в облаке. On-premise и cloud — разные форматы, поэтому компетенции, необходимые для работы с ними, отличаются. Первая модель довольно понятная, ее можно «потрогать руками». В какой-то степени принимать решения в таких условиях психологически проще, чем в облаке.
Для работы в cloud-формате, во-первых, нужны широкие взгляды на профессиональную деятельность, гибкость, способность к адаптации. Специалистам придется абстрагироваться от стандартных моделей угроз, переписать многие алгоритмы работы, перестроить процессы и, конечно, довериться провайдерам. Во-вторых, необходимо стремиться к универсальности и многофункциональности. Поскольку облако в большинстве случаев управляется подходом «инфраструктура как код», для работы в этой парадигме ИБ-специалистам нужно говорить на одном языке с разработчиками и DevOps-инженерами. Таким образом в компании будет формироваться и наполняться новыми знаниями внутренняя техническая культура, общая для всех. И, в-третьих, чтобы «не противоречить» бизнесу, нужно понимать, зачем он переходит в облако, какие цели преследует.
Вывод
В ближайшие годы тренды на скоростную разработку, повышение устойчивости продуктов к современным киберугрозам и экономию ИТ-ресурсов будут только усиливаться. У облака есть все шансы, чтобы стать наиболее удобной и выгодной моделью для бизнеса. Но чтобы не упустить их, поставщики облачных платформ для разработки и инструментов обеспечения безопасности должны довести свои решения до определенного уровня зрелости, тщательно протестировать их и подстроить под особенности российской индустрии, а также типизировать процессы. Иными словами, у вендоров еще много работы. В частности, ИБ-компаниям придется пересмотреть большую часть устоявшихся практик, чтобы создавать инструменты, которые добьются успеха в облаке.
