Основные проблемы безопасности при внедрении облачных услуг

Популярность облачных услуг в последние годы стремительно растет. Перспективы экономии на капитальных и операционных расходах, а также масштабируемость и эластичность побудили компании переходить на облачные сервисы. Однако переход на облачные технологии сопряжен с большим количеством проблем. Одна из них — безопасность, является огромной проблемой для организаций, которые хотят перейти на облачные технологии.

Безопасность данных

Данные организации — один из самых ценных активов. Поэтому их безопасность играет важную роль для многих организаций при переходе на облачные технологии. Поставщики облачных услуг (CSP) держат в секрете точное местоположение своих центров обработки данных. Хотя это передовая практика в области физической безопасности, многие потенциальные клиенты боятся не знать местонахождение своих данных и отказываются от облачных сервисов.

Информационный суверенитет также играет большую роль в вопросе перехода на облачные технологии. Организации не хотят терять доступ к данным из-за юридических сложностей. Соблюдение нормативных требований по типу общего регламента по защите данных (GDPR) — одна из ключевых проблем для компаний. Нарушение GDPR и прочих нормативных актов влечет за собой крупные финансовые штрафы, чего большинство организаций хотят избежать. По этой причине многие организации предпочитают хранить конфиденциальные данные (персональную информацию и т.д.) локально.

Но решающее значение для организации играют системы предотвращения потери данных (DLP). Случайное удаление данных может произойти со стороны организации. Соглашение об уровне услуг (SLA) может говорить о содействии восстановлению систем и информации со стороны CSP. Если CSP не сможет выполнить SLA, клиент понесет большие убытки. Поэтому организации хотят быть уверенными в безопасности своих резервных копий, ведь в случае потери или повреждения данных им нужно, чтобы данные были восстановлены в рамках целевого времени восстановления (RTO) и целевых точек восстановления(RPO).

Риски, связанные с несколькими облаками

Многие компании для решения своих задач используют программное обеспечение и услуги от разных поставщиков. В связи с этим, подобные организации при переходе в облако, иногда вынуждены принять многооблачную модель. По данным исследования, проведенного компанией Tripwire в 2021 году, 98% специалистов по безопасности, работающих в сфере многооблачных сред, считают такую модель более рискованной с точки зрения безопасности. Респонденты того же опроса отметили, что трудно найти специалистов по безопасности, которые являются экспертами во всех облачных средах, используемых различными CSP.

Повышенные риски мультиоблачной модели заставляют организации отказываться от некоторых преимуществ нескольких облачных сервисов в пользу одного CSP.

Проведение комплексной проверки

Выбор одного CSP вместо другого — не всегда простое решение. Некоторые поставщики облачных услуг могут затруднить переход организации к другим поставщикам. Перед выбором CSP компания должна тщательно изучить условия использования облачных услуг конкретного CSP.

Отсутствие должной осмотрительности может замедлить реагирование служб безопасности на кибератаки. Большинство CSP работают по модели совместной ответственности, когда речь идет об обеспечении безопасности в облаке, поэтому клиентам облачных сервисов крайне важно понимать свою роль и роль CSP в этой модели. Кибератаки неизбежны, поэтому компаниям необходимо иметь планы реагирования на различные инциденты и быть уверенными в методах защиты провайдеров.

При оценке варианта публичного облака организация должна понимать, что в такой модели для сокращения расходов используется многопользовательская лицензия. Клиенты сервисов должны быть уверены в CSP и методах “глубокой защиты”, ведь отсутствие многоуровневой защиты позволит хакеру совершать серии кибератак после одной успешной попытки.

Основные типы угроз

Атаки на отказ в обслуживании

Организации, использующие критически важные сервисы в облаке, могут серьезно пострадать от DoS и DDoS-атак, парализующих бизнес-операции. Чтобы минимизировать риск таких атак, компании должны стремиться к устранению единых точек отказа при выделении рабочих нагрузок.

Небезопасные API

Большинство задач по обеспечению, управлению, оркестрации и мониторингу рабочих нагрузок в облаке выполняются через вызовы API. Поэтому важность надежных API нельзя недооценивать, ведь от них зависит безопасность и доступность общих облачных сервисов. Отсутствие грамотно настроенной авторизации, контроля доступа и мониторинга API может привести к различным нарушениям и разрушительным хакерским атакам.

Стихийные бедствия

Возможность стихийного бедствия, хотя и не относится к атакам, все же является событием, нарушающим работу облачных сервисов. Если стихийное бедствие разрушит центры обработки данных CSP, это приведет к серьезнейшим нарушениям в работе предприятий, использующих центры обработки данных, ведь даже несмотря на передовые методы резервирования, в случае стихийного бедствия риск потери информации достаточно высок.

Заключение

Переход в облако — важное, но рискованное бизнес-решение, требующее грамотной оценки всех “за” и “против”. Оно способно нанести непоправимый ущерб организации, но при тщательном соблюдении мер безопасности и оценке рисков может сделать облачные сервисы великолепным инструментом для развития компании.