Облака: правила ИБ для долгосрочного развития

Облачные сервисы, включая IaaS (Infrastructure as a Service), SaaS (Software as a Service) и PaaS (Platform as aService), помогают бизнесу оптимизировать бюджет, дают компании новые возможности , но неизбежно несут и новые  вызовы. Давайте разберемся, как минимизировать потенциальные  риски от использования облаков. 

Больше удобств — больше рисков 

Среди главных рисков, связанных с безопасностью применения облаков для бизнеса, можно выделить следующие категории:

1. Риски облачной инфраструктуры, включая несовместимость с устаревшими системами;
2. Внутренние угрозы из-за человеческого фактора, например, неверные настройки пользовательского доступа;
3. Внешние угрозы, почти всегда связанные с действиями злоумышленников, например, атаки вредоносных программ, фишинговые и DDoS-атаки.

Известны множество случаев хищения ценных данных из облаков, а также хищения SIP-трафика (от англ. Session Initiation Protocol — протокол установления сеанса). Например, недавнее отключение электроэнергии в облачном хранилище данных Amazon привело к потере данных многих клиентов из-за повреждения аппаратной части серверов. В большинстве случаев причиной утечек становилась недостаточная защита конечных точек. Были и прецеденты, когда заказчики страдали от нарушений работоспособности облачной инфраструктуры.

Информационная безопасность в облаках представляет собой комплекс важных вопросов, которые требуют внимательного рассмотрения. Разберем главные вызовы и мифы, связанные с данной сферой. 

Вызовы:

• Управление данными. Облачные провайдеры хранят данные клиентов на своих серверах, что может вызывать проблемы с конфиденциальностью и соблюдением требований регулирования;
• Защита данных. Данные в облаке могут быть подвержены различным угрозам, включая кибератаки, физические повреждения серверов и проблемы с доступностью;
• Соответствие нормативным требованиям. Компании должны убедиться, что их облачные провайдеры соблюдают все необходимые требования регуляторов.

Мифы:

• Облачные сервисы всегда менее безопасны, чем локальные системы. На самом деле многие облачные провайдеры имеют строгие меры безопасности и могут предложить более высокий уровень защиты, чем некоторые организации могут обеспечить себе самостоятельно.
• Переход в облако автоматически решает все проблемы безопасности. По факту облако действительно может предложить некоторые преимущества с точки зрения безопасности, организации все равно должны активно участвовать в управлении рисками и защите своих данных.
• Облачные сервисы не подходят для обработки конфиденциальной информации. В реальности с правильными мерами безопасности, облачные сервисы могут безопасно обрабатывать и хранить конфиденциальную информацию.
• Облако означает полный отказ от контроля. На практике, хотя облачный провайдер управляет облаком и обслуживает его, вы по-прежнему контролируете свои данные и решаете, кто получает доступ к той или иной информации.

Нарушение периметра 

Можно сказать, что главной, «верхнеуровневой» уязвимостью всех облаков является отсутствие четкого периметра. Традиционная киберзащита в первую очередь направлена на построение ИБ-периметра компании, однако облачные среды нарушают концепцию замкнутого информационного пространства организации. 

Облака очень тесно взаимосвязаны с ИТ-ландшафтом компании, а значит, небезопасные API (интерфейсы программирования приложений) повышают риски кражи учетных записей, различных утечек и т.д. Это представляет собой большую опасность для бизнеса, вплоть до остановки работы компаний или серьезного репутационного ущерба, несопоставимого с задачами дальнейшего развития. 

Взаимосвязанность облачных сервисов — и между собой, и с локальными ресурсами компании — также представляет проблему на уровне сетевой инфраструктуры. Часто преступники проникают в сеть через взломанную или незащищенную учетную запись. Если злоумышленник получит доступ к облаку, он сможет воспользоваться его плохо защищенными интерфейсами, чтобы получить нужную информацию из различных баз данных или узлов облачной среды. 

Представляют угрозу сторонние услуги хранения данных и онлайн-доступ. Если в работе какой-либо службы произойдет сбой, компания не сможет получить доступ к своим файлам.

С точки зрения безопасности ряд преимуществ есть у гибридных облачных сред (когда локальные ресурсы и облачные сервисы сочетаются в одном ИТ-ландшафте). Среди них можно выделить сегментацию служб, позволяющую организации контролировать хранение данных и доступ к ним. Например, можно создать несколько уровней безопасности, загрузив основные данные, приложения и процессы в облако. Так компания может оставить конфиденциальную информацию под локальным контролем. 

В качестве преимущества гибридных облачных сред — возможность переносить рутинную работу ИТ-систем в публичное облако и создавать резервные копии систем на локальных серверах. При этом важно помнить, что гибридные облачные среды подходят в большей степени для крупных компаний: для мелкого бизнеса их организация, контроль и обслуживание слишком сложны.

На чьей стороне? 

Провайдеры облачных сервисов обычно забирают вопросы киберзащиты сервисов и данных на себя. Полностью ли защищены заказчики при таком подходе или какая-то часть обеспечения ИБ остается на их стороне? 

Провайдеры облачных услуг, безусловно, берут на себя основную часть обеспечения ИБ. Это касается, прежде всего, защиты собственной инфраструктуры от несанкционированного доступа, обеспечение ее отказоустойчивости и непрерывности работы. А вот в том, что касается конечных точек облачной инфраструктуры (пользовательских УЗ, приложений и т.д.), ответственность за безопасность, как правило, лежит на потребителе облачной услуги. То есть на бизнесе, который размещает в облаках свои ресурсы. 

На стороне пользователей облаков может оказаться такая задача, как обеспечение антивирусной защиты виртуальных машин в облаке при предоставлении услуги типа IaaS. Здесь можно применять различные системы обеспечения безопасности виртуальных сред.

В случае с облачной SIP-телефонией пользователю необходимо позаботиться о безопасности конечных устройств. В частности, нужно соблюдать парольную политику для SIP-оборудования и обеспечивать безопасность предоставления доступа к хостам с установленными программными SIP-клиентами. 

Здесь уместным будет как использование двухфакторной аутентификации, так и использование антивирусной защиты конечных узлов (инструменты класса endpoint security).

Как найти надежного провайдера

Среди основных критериев доверия облачному провайдеру в плане обеспечения ИБ можно выделить следующие: опыт компании в построении и эксплуатации SOC (Security Operations Center), а также уровень компетенций его команды. Далее идут возможности масштабирования операций по ИБ, уровень обслуживания и комплексный подход. 

Заметное место в этом списке занимают возможность и готовность проведения пилотного проекта для клиента с учетом его исходных условий и бизнес-задач. 

Отдельно стоит упомянуть сертификацию и статус провайдера. Он должен обладать сертификатами ISO 27001, 20000, 9001 и лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации, в том числе на мониторинг. 

Вместо заключения

Облака — не панацея в плане ИБ для ИТ-составляющей бизнеса. Скорее, они требуют к себе повышенного внимания по мере роста их значения в общем объеме бизнес-процессов. Все ошибки, которые можно допустить с точки зрения ИБ при подключении и использовании облачных сервисов, являются следствием пренебрежения основными правилами работы с облаком. 

Вот простой чек-лист правил, которые нужно соблюдать:

• Активное управление учетными записями и службами;
• Использование многофакторной аутентификации;
• Сегментация данных в центрах обработки данных, предназначенных для нескольких арендаторов;
• Контроль доступа пользователей;
• Использование гибридного облака в инфраструктуре;
• Разумное масштабирование облачных систем;
• Повышенное внимание безопасности конечных узлов;
• Повышение грамотности сотрудников в области кибербезопасности.