Особенности ИБ в облаках

Сегодня облачные услуги предлагают множество преимуществ компаниям, которые стремятся уйти от использования центров обработки данных или ускорить рост бизнеса. Гибкость и масштабируемость облака дает не только возможности для экономии и роста организации, но также сопряжена с определенными рисками, которые можно эффективно минимизировать с помощью решений облачной безопасности.

Облачная безопасность — это раздел кибербезопасности, представляющий собой совокупность технологий, методов и регламентов, защищающих конфиденциальные данные и приложения в облачных вычислениях. В реализации облачной безопасности участвуют как поставщики облачных услуг, так и пользователи — частные лица, малые и средние предприятия или корпорации.

Хотим заметить, что пользователи облака не несут ответственности за безопасность базовой инфраструктуры, но они несут ответственность за защиту своей информации от кражи, утечки и удаления данных.

Какие бывают облака

Есть несколько вариантов облачных сервисов, предоставляемых сторонними поставщиками. Из комбинаций облачных сервисов складывается необходимая для компании облачная среда.

• Программное обеспечение как услуга (SaaS): комплексные программные решения, поставляемые из облака, которые могут быть бесплатными или платными (например, Google Docs).
  

• Платформа как услуга (PaaS): предоставление инструментов и другие вычислительные инфраструктуры, позволяющие организациям сосредоточиться на создании и запуске веб-приложений и сервисов. Примером PaaS в первую очередь является сервис Managed Kubernetes.
  

• Инфраструктура как услуга (IaaS): предоставление возможности клиентам разворачивать в облаке все свои вычислительные ресурсы, такие как виртуальные машины, сети.
  

• Функции как услуга (FaaS): аналогичны PaaS, но подходят для отдельных функций приложений, которые запускаются и тарифицируются по мере их вызова.
  

Облачные среды

Облачные среды представляют собой модели развертывания систем или данных для конечных пользователей и организаций, состоящих из одной или нескольких облачных сервисов (см. выше).

• Публичные. Состоят из облачных сервисов, предназначенных для нескольких арендаторов. В таких средах несколько клиентов делят между собой серверы одного поставщика.
  

• Частные. Инфраструктура предоставляется для эксклюзивного использования одним предприятием или организацией. Частные внутренние облачные среды также рассчитаны на одного арендатора, но управляются из собственного центра обработки данных. В этом случае компания сама управляет облачной средой, контролируя все настройки и установку каждого элемента.
  

• Мультиоблачные. Предполагают использование двух и более облачных сервисов от разных поставщиков, при этом облака могут быть публичными, частными или смешанными.
  

• Гибридные. Это комбинация частного стороннего облака и (или) локального частного облачного центра обработки данных с одной или несколькими публичными облачными сервисами.
  

Защита облачных системТрадиционная модель защиты данных подразумевает их хранение в локальной сети, что, конечно, упрощает создание защиты от внешних угроз. Облачная инфраструктура - распределенная, поэтому работающие в облаке компании должны предусматривать безопасное обновление большого количества модулей и приложений, гибкую настройку прав доступа, защиту облачных сетей при публикации сервисов в интернет. Также нужно учитывать и уязвимости внутри сети.

Многие подходы к обеспечению безопасности в облаке такие же, как и в традиционной ИТ-безопасности, но есть некоторые различия.

Технологии защиты облака направлены на обеспечение безопасности следующих компонентов:

• Физические сети — маршрутизаторы, электросети, кабели, системы кондиционирования воздуха и т. д.
  
• Носители данных — жесткие диски и т. д.
  
• Серверы данных — аппаратное и программное обеспечение опорной сети.
  
• Сети виртуализации — ПО для виртуальных машин, хост-компьютеры, гостевые виртуальные машины.
  
• Операционные системы (ОС) — программное обеспечение, на которое устанавливаются все остальные программы.
  
• Связующие программы — ПО для управления интерфейсами программирования приложений (API).
  
• Среды выполнения — средства запуска и поддержания работы программ.
  
• Данные — вся информация, которая хранится, изменяется и предоставляется пользователям.
  
• Приложения — традиционные программные сервисы (электронная почта, налоговое ПО, офисные приложения и т. д.).
  
• Оборудование конечного пользователя — компьютеры, мобильные устройства, устройства интернета вещей и т. д.
  

Функции и задачи облачной безопасности:

• Защита облачных сервисов, хранилищ и сетевых компонентов от взлома и кражи информации.
  
• Предотвращение остановки бизнеса в случае взлома или попытки перегрузки ресурсов.
  
• Минимизация человеческого фактора как причины утечки данных.
  
• Минимизация последствий, если произошел взлом сети.
  
• Восстановление утраченной информации.
  

Методы облачной безопасности:

Шифрование

Облачное шифрование данных отличаются от традиционного, поскольку оно уже, как правило, встроено в облачную инфраструктуру, что позволяет организациям шифровать данные во время их передачи и хранения без необходимости вручную управлять ключами шифрования.

Также облачные провайдеры дополнительно предоставляют клиентам сервисы для управления шифрованием.

Облачные решения:

• Встроенные сервисы шифрования данных
  
• Key Management Service
  
• Certificate Manager
  

Мониторинг рисков безопасности инфраструктуры

Метод, при котором выявляются и приоритезируются риски ИБ в инфраструктуре и приложениях. Используя облачные технологии можно отслеживать наличие уязвимостей и неправильных конфигураций, а также блокировать несанкционированные соединения.

Помимо этого, необходимо проводить постоянный аудит системы безопасности, который позволит выявить слабые стороны выбранной стратегии защиты и определить ее эффективность для конкретных задач компании.

• Audit Trails
  
• Cloud Logging
  
• Cloud Monitoring
  
• CSPM
  

Управление доступом — важный аспект управления ИБ в облаках, так как в случае получения злоумышленником учётной записи с широкими правами, он сможет получить доступ ко всей инфраструктуре. В облаках очень важно придерживаться заранее спроектированной ролевой модели доступов и соблюдать принцип минимальных привилегий

• IAM (Identity Access Manager)
  

Это метод на тот случай, если все уже случилось
и необходимо восстановить работу облачных систем. Качественно спланированный план аварийного восстановления позволяет обезопасить бизнес от сбоев в работе
ИТ-инфраструктуры и возможной потери данных. Резервное копирование поможет сохранить данные, в случае их повреждения или компрометации злоумышленником. Для дополнительной защиты данных можно использовать резервное копирование в дата-центр (ЦОД) заказчика или же в другое облако. Хотим отметить, что резервное копирование из облака в облако может дать бизнесу несколько преимуществ по сравнению с локальными резервными копиями, включая более низкие затраты на инфраструктуру, более быстрое резервное копирование и восстановление.

Облачные решения:

• Cloud Backup
  
• S3 Object Storage
  

Методы облачной безопасности обеспечивают:

• Защита данных. Решения облачной безопасности разработаны таким образом, чтобы обеспечить безопасность данных всех облачных сред посредством контроля доступа, защиты и предотвращения потери данных.
  
• Управление доступом. Облачная безопасность реализует многофакторную аутентификацию, чтобы обеспечить доступ к облаку только авторизованным лицам, а также ограничивать и управлять доступом к данным.
  
• Обнаружение угроз в режиме реального времени. Обеспечение мониторинга в реальном времени и автоматические оповещения для защиты от кибератак, таких как DDoS-атаки и SQL-инъекции.
  
• Экономическая эффективность. Облачная безопасность помогает организациям исключить затраты на настройку и обслуживание сложной инфраструктуры безопасности локально. Из-за того, что облачные системы становятся популярной площадкой для развертывания бизнес-процессов, в настоящее время существует и разрабатываться множество инновационных продуктов по защите облаков. Это значит, что вы всегда сможете найти качественное и приемлемое по цене предложение для защиты своих данных.
  
• Соответствие облачным требованиям. Решения облачной безопасности часто соответствуют международным и отраслевым нормативным требованиям. А также активно развиваются законодательные проекты на государственном уровне по защите данных в облачных средах.
  
• Масштабируемость. При необходимости меры безопасности расширяются, чтобы охватить растущую инфраструктуру без внесения существенных изменений в облачную архитектуру.
  
• Сетевая безопасность. Облачная безопасность подразумевает безопасный обмен данными между сервисами, устройствами и серверами через брандмауэры,шифрование иVPN.
  
• Безопасность приложений. Стратегии облачной безопасности предусматривают обеспечение безопасности приложений клиентов, развернутых в облачной среде благодаря брандмауэрам и сканированием уязвимостей, которое защищает данные пользователей.
  
• Безопасность конечных точек. Стратегии ОБ защищают конечные устройства (смартфоны, планшеты и ноутбуки), обеспечивая таким образом безопасный доступ к облаку.
  
• Централизованная безопасность. Это решения, которые анализируют потенциальные угрозы для нескольких объектов из централизованного места. Такой метод позволяет своевременно обновлять программное обеспечение, разрабатывать планы аварийного восстановления и обеспечивать защиту всех устройств.
  
• Хранение данных и обеспечение непрерывности бизнеса. Включает меры восстановления утерянных данных в случае технического сбоя с помощью создания резервных копий.
  

Лучшие на данный момент практики по облачной безопасности

Нескольким пунктам мы посвятим отдельную статью, следите за нашими соцсетями (  VK  |  Telegram  ) и блогом.

• Используйте концепцию Zero Trust (Нулевое доверие). Концепция Zero Trust способствует повышению безопасности конфиденциальных данных за счет непрерывной проверки каждого запроса на доступ и передачу.
  

• Всегда резервируйте и шифруйте данные. Целостность данных в случае кибератак обеспечивается за счет реализации надежной стратегии резервного копирования и шифрования конфиденциальной информации.
  

• Создавайте надежные учетные данные. Реализуйте процессы создания надежных паролей и их контроля.
  

• Непрерывный мониторинг и аудит систем. Отслеживайте и регистрируйте все действия в облачной среде, чтобы упростить обнаружение потенциальных атак. Регулярно проверяйте наличие уязвимостей и неправильных конфигураций, чтобы обеспечить актуальность вашей облачной безопасности.
  

• Включите многофакторную аутентификацию (MFA). Всегда запрашивайте дополнительное подтверждение, когда кто-то пытается получить доступ к конфиденциальным данным или системам.
  

• Примените безопасность конечных точек. Инструменты безопасности конечных точек защищают от фишинга , вредоносного ПО и других угроз устройств, используемых для доступа к бизнес-информации, операционным системам и программному обеспечению.
  

• Имейте план реагирования на инциденты, специфичные для облака. Убедитесь, что план реагирования на инциденты способен учитывать конкретную архитектуру облака. Регулярно тестируйте, чтобы убедиться в его эффективности.
  

• Обучайте сотрудников. Регулярное обучение безопасности проверяет знания сотрудников о новейших угрозах облачной безопасности и учит их тому, как избегать рискованного поведения и распознавать вредоносную деятельность.
  

• Проверка соответствий, соблюдение правовых норм. Отслеживайте отраслевые регламенты и законодательство в вашей стране по соблюдению требований для ОБ, а также регулярно проверяйте свои облачные архитектуры на предмет возможных нарушений.
  

• Разумное масштабирование облачных систем. Убедитесь, что в системах вашей организации безопасность преобладает над удобством. Иногда облака разрастаются в ущерб качеству и их контролю.
  

• Сегментация данных в центрах обработки данных, предназначенных для нескольких арендаторов. Убедитесь, что ваши данные отделены от данных других клиентов – за счет раздельного шифрования или логической сегментации, обеспечивающей изолированное хранение.
  

Выводы

Облачные сервисы могут обеспечить существенную экономию, рост и прибыль бизнесу благодаря своей гибкости и масштабируемости. Однако прогрессивные возможности облаков могут создать определенную угрозу безопасности данных. Значительная часть рисков в облаке может быть связана с непониманием модели общей ответственности, развертыванием неправильно настроенных ресурсов, недостаток доступной информации, экспертизы или времени для формирования верных стратегий и методов защиты облачной инфраструктуры и сервисов.

Напоминаем, что риски для безопасности облачной среды затрагивают всех – как предприятия, так и отдельных пользователей. Качественный аудит всех систем, правильно подобранная стратегия облачной безопасности, своевременное обучение сотрудников и управление средствами безопасности в темпе быстрых инноваций, характерных для облаков, поможет обеспечить бесперебойную и эффективную работу облачных систем.

Присоединяйтесь к сообществу облачной безопасности:  VK  |  Telegram

Узнать подробнее о продукте для защиты облачной инфраструктуры компаний:  NeoCAT