РБК Компании
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Продлили скидки до 13.12 в Черную пятницу РБК Компании
Забрать скидку
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Скидки до 100 000₽
black friday
Продлили скидки до 13.12 в Черную
пятницу РБК Компании
Забрать скидку
Главная «Сиссофт» 21 сентября 2023

Облака: правила ИБ для долгосрочного развития

Облачные сервисы дают компаниям как новые возможности, так и новые риски. Что это за риски и как их минимизировать — в новом материале от эксперта «Сиссофт»
Облака: правила ИБ для долгосрочного развития
Дмитрий Ковалев
Дмитрий Ковалев
Руководитель департамента информационной безопасности «Сиссофт»

Более 10 лет он занимается информационной безопасностью, имеет глубокую экспертизу в реализации комплексных проектов, сервисных контрактов и построении управляемых сервисов в сфере ИБ.

Подробнее про эксперта

Облачные сервисы, включая IaaS (Infrastructure as a Service), SaaS (Software as a Service) и PaaS (Platform as aService), помогают бизнесу оптимизировать бюджет, дают компании новые возможности , но неизбежно несут и новые  вызовы. Давайте разберемся, как минимизировать потенциальные  риски от использования облаков. 

Больше удобств — больше рисков 

Среди главных рисков, связанных с безопасностью применения облаков для бизнеса, можно выделить следующие категории:

  1. Риски облачной инфраструктуры, включая несовместимость с устаревшими системами;
  2. Внутренние угрозы из-за человеческого фактора, например, неверные настройки пользовательского доступа;
  3. Внешние угрозы, почти всегда связанные с действиями злоумышленников, например, атаки вредоносных программ, фишинговые и DDoS-атаки.

Известны множество случаев хищения ценных данных из облаков, а также хищения SIP-трафика (от англ. Session Initiation Protocol — протокол установления сеанса). Например, недавнее отключение электроэнергии в облачном хранилище данных Amazon привело к потере данных многих клиентов из-за повреждения аппаратной части серверов. В большинстве случаев причиной утечек становилась недостаточная защита конечных точек. Были и прецеденты, когда заказчики страдали от нарушений работоспособности облачной инфраструктуры.

Информационная безопасность в облаках представляет собой комплекс важных вопросов, которые требуют внимательного рассмотрения. Разберем главные вызовы и мифы, связанные с данной сферой. 

Вызовы:

  • Управление данными. Облачные провайдеры хранят данные клиентов на своих серверах, что может вызывать проблемы с конфиденциальностью и соблюдением требований регулирования;
  • Защита данных. Данные в облаке могут быть подвержены различным угрозам, включая кибератаки, физические повреждения серверов и проблемы с доступностью;
  • Соответствие нормативным требованиям. Компании должны убедиться, что их облачные провайдеры соблюдают все необходимые требования регуляторов.

Мифы:

  • Облачные сервисы всегда менее безопасны, чем локальные системы. На самом деле многие облачные провайдеры имеют строгие меры безопасности и могут предложить более высокий уровень защиты, чем некоторые организации могут обеспечить себе самостоятельно.
  • Переход в облако автоматически решает все проблемы безопасности. По факту облако действительно может предложить некоторые преимущества с точки зрения безопасности, организации все равно должны активно участвовать в управлении рисками и защите своих данных.
  • Облачные сервисы не подходят для обработки конфиденциальной информации. В реальности с правильными мерами безопасности, облачные сервисы могут безопасно обрабатывать и хранить конфиденциальную информацию.
  • Облако означает полный отказ от контроля. На практике, хотя облачный провайдер управляет облаком и обслуживает его, вы по-прежнему контролируете свои данные и решаете, кто получает доступ к той или иной информации.

Нарушение периметра 

Можно сказать, что главной, «верхнеуровневой» уязвимостью всех облаков является отсутствие четкого периметра. Традиционная киберзащита в первую очередь направлена на построение ИБ-периметра компании, однако облачные среды нарушают концепцию замкнутого информационного пространства организации. 

Облака очень тесно взаимосвязаны с ИТ-ландшафтом компании, а значит, небезопасные API (интерфейсы программирования приложений) повышают риски кражи учетных записей, различных утечек и т.д. Это представляет собой большую опасность для бизнеса, вплоть до остановки работы компаний или серьезного репутационного ущерба, несопоставимого с задачами дальнейшего развития. 

Взаимосвязанность облачных сервисов — и между собой, и с локальными ресурсами компании — также представляет проблему на уровне сетевой инфраструктуры. Часто преступники проникают в сеть через взломанную или незащищенную учетную запись. Если злоумышленник получит доступ к облаку, он сможет воспользоваться его плохо защищенными интерфейсами, чтобы получить нужную информацию из различных баз данных или узлов облачной среды. 

Представляют угрозу сторонние услуги хранения данных и онлайн-доступ. Если в работе какой-либо службы произойдет сбой, компания не сможет получить доступ к своим файлам.

С точки зрения безопасности ряд преимуществ есть у гибридных облачных сред (когда локальные ресурсы и облачные сервисы сочетаются в одном ИТ-ландшафте). Среди них можно выделить сегментацию служб, позволяющую организации контролировать хранение данных и доступ к ним. Например, можно создать несколько уровней безопасности, загрузив основные данные, приложения и процессы в облако. Так компания может оставить конфиденциальную информацию под локальным контролем. 

В качестве преимущества гибридных облачных сред — возможность переносить рутинную работу ИТ-систем в публичное облако и создавать резервные копии систем на локальных серверах. При этом важно помнить, что гибридные облачные среды подходят в большей степени для крупных компаний: для мелкого бизнеса их организация, контроль и обслуживание слишком сложны.

На чьей стороне? 

Провайдеры облачных сервисов обычно забирают вопросы киберзащиты сервисов и данных на себя. Полностью ли защищены заказчики при таком подходе или какая-то часть обеспечения ИБ остается на их стороне? 

Облака: правила ИБ для долгосрочного развития
Провайдеры облачных услуг, безусловно, берут на себя основную часть обеспечения ИБ. Это касается, прежде всего, защиты собственной инфраструктуры от несанкционированного доступа, обеспечение ее отказоустойчивости и непрерывности работы. А вот в том, что касается конечных точек облачной инфраструктуры (пользовательских УЗ, приложений и т.д.), ответственность за безопасность, как правило, лежит на потребителе облачной услуги. То есть на бизнесе, который размещает в облаках свои ресурсы. 

На стороне пользователей облаков может оказаться такая задача, как обеспечение антивирусной защиты виртуальных машин в облаке при предоставлении услуги типа IaaS. Здесь можно применять различные системы обеспечения безопасности виртуальных сред.

В случае с облачной SIP-телефонией пользователю необходимо позаботиться о безопасности конечных устройств. В частности, нужно соблюдать парольную политику для SIP-оборудования и обеспечивать безопасность предоставления доступа к хостам с установленными программными SIP-клиентами. 

Здесь уместным будет как использование двухфакторной аутентификации, так и использование антивирусной защиты конечных узлов (инструменты класса endpoint security).

Как найти надежного провайдера

Среди основных критериев доверия облачному провайдеру в плане обеспечения ИБ можно выделить следующие: опыт компании в построении и эксплуатации SOC (Security Operations Center), а также уровень компетенций его команды. Далее идут возможности масштабирования операций по ИБ, уровень обслуживания и комплексный подход. 

Заметное место в этом списке занимают возможность и готовность проведения пилотного проекта для клиента с учетом его исходных условий и бизнес-задач. 

Отдельно стоит упомянуть сертификацию и статус провайдера. Он должен обладать сертификатами ISO 27001, 20000, 9001 и лицензией ФСТЭК России на деятельность по технической защите конфиденциальной информации, в том числе на мониторинг. 

Вместо заключения

Облака — не панацея в плане ИБ для ИТ-составляющей бизнеса. Скорее, они требуют к себе повышенного внимания по мере роста их значения в общем объеме бизнес-процессов. Все ошибки, которые можно допустить с точки зрения ИБ при подключении и использовании облачных сервисов, являются следствием пренебрежения основными правилами работы с облаком. 

Вот простой чек-лист правил, которые нужно соблюдать:

  • Активное управление учетными записями и службами;
  • Использование многофакторной аутентификации;
  • Сегментация данных в центрах обработки данных, предназначенных для нескольких арендаторов;
  • Контроль доступа пользователей;
  • Использование гибридного облака в инфраструктуре;
  • Разумное масштабирование облачных систем;
  • Повышенное внимание безопасности конечных узлов;
  • Повышение грамотности сотрудников в области кибербезопасности.

Интересное:

Новости отрасли:

Все новости:

Профиль

Дата регистрации04.05.2008
Уставной капитал100 000,00 ₽
Юридический адрес г. Москва, вн.тер.г. муниципальный округ Южное Тушино, пр-д Походный, д. 4, к. 1, эт 7 пом XII ком 19 офис 702
ОГРН 1087746599335
ИНН / КПП 7733654906 773301001
Среднесписочная численность241 сотрудник

Контакты

Адрес Россия, г. Москва, 1-ый Волоколамский пр-д, д. 10, стр. 1 БЦ «Диапазон»

Социальные сети

ГлавноеЭкспертыДобавить
новость
КейсыМероприятия