Что такое безопасность облака и как ее обеспечить

Что такое безопасность облака и как ее обеспечить
Популярность облачных решений быстро растет. Компании все чаще инвестируют в них и отказываются от физических мощностей в офисах. Облачные инфраструктуры — это часто более гибкие и удобные решения, чем традиционные физические, поскольку позволяет без ограничений масштабировать инфраструктуру и объединять различные решения. Доступ к данным в облаке можно получить из любой точки мира, обслуживанием серверов занимаются либо сами облачные провайдеры, либо их партнёры - так называемые managed service providers. Что касается вопросов безопасности, то настройкой firewall'а (на ВМ и в облачном сервисе), а также политиками безопасности занимается обычно клиент самостоятельно или совместно с managed service provider.

Что подразумевается под безопасностью облака

Безопасность облака — комплекс технологий, правил и мероприятий, обеспечивающих защиту данных, приложений, сервисов и инфраструктуры в целом от различных инцидентов. В него входят различные решения — шифрование каналов передачи данных, средства контроля доступа, резервное копирование и т.д.

Почему важна безопасность облачной инфраструктуры

Пользователи получают доступ к облачным сервисам удаленно. Это удобно, но одновременно создает ряд рисков для безопасности данных. Защищать информацию, которая постоянно передается через интернет, сложно. Хакеры могут незаметно проникнуть в облачную инфраструктуру и незаметно выгружать массивы информации. Поэтому защита данных, хранящихся в облаке, стала одним из ключевых направлений развития бизнеса. Традиционные способы защитить инфраструктуру не работают, поскольку они фокусируются на физической безопасности сервисов и сетевом периметре. В случае с облачными сервисами оба этих направления стали нерелевантными.

Как обеспечивают безопасность облака?

Если не углубляться в тонкости ИБ, то комплексная защита облачных систем включает в себя:
  • Средства контроля доступа.

  • Мониторинг событий.

  • Антивирусную защиту.

  • Шифрование данных.

Также службы безопасности регулярно проводят аудиты систем и выявляют уязвимые места, устраняют «лазейки» для хакеров и т.д.

Сложности защиты облачной инфраструктуры

Трудности обусловлены самой концепцией облачных сервисов и хранилищ. Защищать облако сложно из-за:
  • Большого количества пользователей и устройств.
    К одной облачной среде могут быть подключены сотрудники по всей стране из разных устройств. Это усложняет контроль доступа.
  • Общие ресурсы.
    Провайдеры облачных услуг часто разделяют физические серверы и хранилища данных между несколькими клиентами, что также представляет риски для безопасности и конфиденциальности корпоративной информации и ИСПДн.
  • Удаленность.
    ЦОДы провайдеров расположены на расстоянии от рабочих станций, и нет возможности протянуть кабели для предотвращения внешних атак. Для передачи данных используют только беспроводные каналы.

Риски для безопасности облачных систем

Как и в случае с традиционной инфраструктурой, есть 2 основных риска, связанных с безопасностью облака:
  • Утеря, кража и повреждение данных.
  • Неавторизованный доступ.

Требования и методы для обеспечения безопасности

В 2024 году, когда ожидается рост целевых атак, особенно на крупный бизнес, облачная инфраструктура и хранилища данных должны соответствовать всем требованиям безопасности. Кратко о них и методах защиты:
  • Контроль доступа — идентификация пользователей, ролевые политики с помощью систем IAM (Identity and Access Management) и MFA (многофакторная аутентификация).
  • Шифрование данных — криптографические протоколы.
  • Мониторинг событий — система SIEM (Security Information and Event Management).
  • Контроль и фильтрация трафика — облачные Firewalls.
  • Антивирус — регулярно обновление антивирусного ПО на рабочих станциях и серверах.
Также в комплекс мер для защиты данных входят обучение пользователей. Сотрудники должны знать, как злоумышленники действуют, каких ошибок нельзя допускать, что делать при возникновении различных инцидентов. Также стоит отдельно проработать механизм закупки ПО и контроля лицензий, чтобы работники не использовали пиратские программы, через которые хакеры проникнут в облачную инфраструктуру.

Основные правила кибербезопасности

Основные правила кибербезопасности
Никакие системы и средства не сделают облачную инфраструктуру действительно безопасной, если сотрудники нарушают все допустимые правила кибербезопасности. Чтобы предотвратить большинство атак, достаточно:
  • Придумывать сложные и уникальные пароли. У каждой учетной записи должен быть свой пароль.
  • Обновление программ. Устаревший софт часто имеет уязвимости, которые позволяют обойти средства ИБ. Поэтому его не должно быть ни на серверах, ни на рабочих станциях.
  • Осведомленность о хакерской угрозе и социальной инженерии. Сотрудников следует научить правилам безопасного поведения в сети, рассказать им, как распознавать попытки мошенничества, как действовать при возникновении различных инцидентов.

Как обеспечить защиту облачной инфраструктуры

Разберем, что нужно сделать для защиты облачных хранилищ и инфраструктуры в целом.

Информация на сервере

Главные угрозы — неавторизованный доступ и утечки. Чтобы их предотвратить, нужно:
  • Введение системы авторизации и белых списков

    Благодаря этим мерам можно ограничить доступ к информации в компании и предотвратить проникновение в систему.
  • Шифрование трафика

    Криптозащита предполагает безопасную передачу данных из облачного хранилища на рабочий ПК или в другие системы. Даже если хакеры получат доступ к отправленной информации, понять содержание файлов невозможно.
  • Регулярные аудиты

    Специалисты ИБ проводят аудит, выявляют уязвимости и создают возможные сценарии взлома системы

Сетевые соединения

С учетом того что достаточно сложно обеспечить контроль за передачей информации для сотен и тысяч клиентов, их защита — один из самых важных элементов безопасности всей инфраструктуры. Как защитить данные:

  • Использовать VPN.

  • Ввести средства фильтрации сетевого трафика.

  • Настроить многоуровневый брандмауэр для предотвращения несанкционированного доступа.

Гипервизор

Гипервизор — специальное ПО, позволяющее создавать виртуальные машины и контролировать их. Если хакер получит доступ к нему, то сможет сделать с виртуальными серверами что угодно. Меры для защиты гипервизора:
  • Изоляция ресурсов виртуальных машин.
  • Мониторинг активности на уровне гипервизора.
  • Регулярные обновления.

Облачное хранилище

Это центр хранения всей информации компании, включая конфиденциальной. Чтобы она так и осталась тайной, специалисты ИБ внедряют:
  • Механизмы шифрования данных, т.е. информация даже на сервере хранится в зашифрованном виде.
  • Контроль доступа и системы идентификации.

Как бороться с распространенными угрозами

Компании обычно сталкиваются с 5 типами угроз, которые легко предотвратить. Разберем, какие средства ИБ нужны для защиты от них.

Криптоджекинг

Это использование вычислительных ресурсов облачных серверов для майнинга криптовалют в тайне от пользователя. В 2024 году криптоджекинг не так распространен, поскольку популярность криптовалют сильно снизилась с 2021 года. Однако он все еще представляет угрозу. Как защититься:
  • Автоматический мониторинг использования ресурсов. Майнинг легко выявить по аномально высокой нагрузке на процессор и видеокарты.
  • Ограничение ресурсов для предотвращения злоупотреблений.

Утечки данных

Под утечками обычно подразумевают преднамеренное или случайное раскрытие конфиденциальной информации. От обоих сценариев помогут защитить:
  • Контроль доступа.
    .
  • Мониторинг активности.
  • Шифрование данных (защищает от внешних атак).
Также следует объяснить сотрудникам, как работать с ИСПДн, чтобы не нарушать 152-ФЗ и основные правила кибербезопасности.

Отказ в обслуживании (DDoS)

DDoS-атаки направлены на перегрузку облачных сервисов «мусорными» запросами, из-за чего обычные пользователи теряют доступ к рабочим системам и инструментам. Такой тип атак приводит к серьезному нарушению отлаженных бизнес-процессов на предприятие. Методы защиты:
  • Использование CDN (Content Delivery Network) для минимизации последствий атак.
  • Фильтрация трафика для отсеивания вредоносного трафика.
  • Гибкое масштабирование облака для поддержания постоянной работы сервисов.

Взлом рабочих аккаунтов

Под взломом понимают несанкционированный доступ к учетным записям в различных корпоративных сервисах. Обычно через них пользователи работают с данными, документами и т.д. Для предотвращения взлома компании используют:
  • Многофакторную аутентификацию (MFA).
  • Инструменты мониторинга активности аккаунтов и фиксации последних операций.

Рисковые приложения

Рисковые приложения — ненадежное ПО (например, нелицензионное), которое создает дополнительные точки уязвимости. Как устранить угрозу:
  • Внедрение политики безопасности.
  • Обучение сотрудников для повышения осведомленности о безопасном использовании приложений.
  • Контроль лицензий на рабочих станциях.

Чек-лист проверки вашего провайдера облачных услуг

Если вы планируете пользоваться услугами провайдера, а не создавать собственные облачные сервисы, то нужно понимать, что все контролировать не получится. Безопасностью серверов, данных в хранилищах, мониторингом нагрузки, защитой виртуальных машин занимаются службы ИБ, как на стороне провайдера, так и на стороне клиента.

Поэтому единственное, что может сделать клиент, — изучить подход компании к информационной безопасности, уровень защиты. Все сведения об этом можно запросить у провайдера.
Чек-лист проверки провайдера:
  • Соблюдение стандартов безопасности.
    Убедитесь, что провайдер следует стандарту ISO 27001, имеет сертификаты на соответствие 152-ФЗ, а ЦОД, где хранятся данные имеет уровень Tier III или выше.
  • Шифрование данных.
    Узнайте, какой алгоритм использует провайдер для защиты информации в покое и во время передачи.
  • Контроль доступа.
    У поставщика услуг должен быть надежный инструмент для распределения доступа к виртуальным машинам, созданным на базе физического сервера. Если он есть, то тогда «соседи» не повлияют на работу вашего виртуального сервера.
  • Резервное копирование.
    Это механизм сохранения информации на другом сервере. Если возникнет инцидент (например, повреждение файлового хранилища), компания ничего не потеряет. Провайдер просто выгрузит копию, и все будет работать, как раньше.
  • Меры по обнаружению и устранению инцидентов.
    Проверьте, какие средства ИБ внедрил поставщик, есть ли постоянный контроль инфраструктуры, а также узнайте, как компания действует в случае серьезных атак.
  • Физическая безопасность.
    Обычно ЦОДы размещают в отдельных зданиях, огороженных забором. При этом внутри и снаружи стоят камеры, есть посты охраны, а вход в серверные ограничен и возможен только по записи, т.е. не получится незаметно попасть внутрь и скачать данные.
  • Аудит и мониторинг.
    Провайдеры регулярно проверяют состояние инфраструктуры, проводят тесты и привлекают «белых» хакеров для поиска и устранения уязвимостей.

Перспективы развития облачной безопасности

В 2024 году сфера кибербезопасности будет активно развиваться, поскольку компании вкладывают в нее все больше денег. К примеру, в 2023 году «Яндекс» инвестировал более 6 млрд рублей, а в 2022 — в 2 раза меньше (3 млрд). Растет спрос на более технологичные и автоматизированные способы защиты, которые не требуют постоянного участия человека.
Основные тренды в облачной безопасности:
  • Автоматизация процессов.

    Облачная инфраструктура способствует частичной автоматизации систем ИБ. Компании внедряют ИИ, системы реагирования на инциденты и их устранения.
  • Использование автономных возможностей облаков.

    Эти технологии позволят снизить количество точек входа в инфраструктуру, упростить масштабирование и ликвидировать распространенные ошибки кибербезопасности.
  • Проактивный подход.

    Облачные провайдеры не только борются с возникающими проблемами, но и внедряют новые средства ИБ, чтобы инциденты больше не повторялись.
  • Использование модели общей ответственности.

    За ИБ отвечают не только провайдеры и IT-отделы компаний, но и все остальные пользователи, работающие с облачными сервисами.

Вопросы и ответы

  • Что такое модель коллективной ответственности?
    Shared Responsibility Model определяет зоны ответственности провайдера и клиента. Они совместно обеспечивают безопасность данных. К примеру, провайдер занимается физической защитой сервера, а клиент не допускает установку рисковых приложений, взлома аккаунтов.
  • Какие основные технологии используются для обеспечения облачной информационной безопасности?
    Специалисты ИБ внедряют различные технологии. В базовый набор, который способен защитить от 90% угроз, входят средства идентификации и аутентификации пользователей, механизмы шифрования данных, системы мониторинга безопасности, брандмауэры, антивирусные программы, а также системы для обнаружения несанкционированных вторжений.

Подведение итогов

Сейчас более 90% компаний используют облачные вычисления, поэтому защищенность облака стала ключевым элементом корпоративной безопасности в целом. Внедряя средства ИБ, следует учитывать основные требования безопасности и методы атак. Используйте проактивный подход к созданию системы информационной безопасности. Опирайтесь на наши советы и изучайте опыт других компаний, особенно опыт утечек и взломов, чтобы создать надежную и безопасную инфраструктуру.