• »
  • »

Что такое безопасность облака и как ее обеспечить

Кибербезопасность для бизнеса
Наши партнеры
Популярность облачных решений быстро растет. Компании все чаще инвестируют в них и отказываются от физических мощностей в офисах. Облачные инфраструктуры — это часто более гибкие и удобные решения, чем традиционные физические, поскольку позволяет без ограничений масштабировать инфраструктуру и объединять различные решения. Доступ к данным в облаке можно получить из любой точки мира, обслуживанием серверов занимаются либо сами облачные провайдеры, либо их партнёры - так называемые managed service providers. Что касается вопросов безопасности, то настройкой firewall'а (на ВМ и в облачном сервисе), а также политиками безопасности занимается обычно клиент самостоятельно или совместно с managed service provider.

Что подразумевается под безопасностью облака

Безопасность облака — комплекс технологий, правил и мероприятий, обеспечивающих защиту данных, приложений, сервисов и инфраструктуры в целом от различных инцидентов. В него входят различные решения — шифрование каналов передачи данных, средства контроля доступа, резервное копирование и т.д.

Почему важна безопасность облачной инфраструктуры

Пользователи получают доступ к облачным сервисам удаленно. Это удобно, но одновременно создает ряд рисков для безопасности данных. Защищать информацию, которая постоянно передается через интернет, сложно. Хакеры могут незаметно проникнуть в облачную инфраструктуру и незаметно выгружать массивы информации. Поэтому защита данных, хранящихся в облаке, стала одним из ключевых направлений развития бизнеса. Традиционные способы защитить инфраструктуру не работают, поскольку они фокусируются на физической безопасности сервисов и сетевом периметре. В случае с облачными сервисами оба этих направления стали нерелевантными.

Как обеспечивают безопасность облака?

Если не углубляться в тонкости ИБ, то комплексная защита облачных систем включает в себя:
  • Средства контроля доступа.
  • Мониторинг событий.
  • Антивирусную защиту.
  • Шифрование данных.
Также службы безопасности регулярно проводят аудиты систем и выявляют уязвимые места, устраняют «лазейки» для хакеров и т.д.

Сложности защиты облачной инфраструктуры

Трудности обусловлены самой концепцией облачных сервисов и хранилищ. Защищать облако сложно из-за:
Большого количества пользователей и устройств.
К одной облачной среде могут быть подключены сотрудники по всей стране из разных устройств. Это усложняет контроль доступа.
Общие ресурсы.
Провайдеры облачных услуг часто разделяют физические серверы и хранилища данных между несколькими клиентами, что также представляет риски для безопасности и конфиденциальности корпоративной информации и ИСПДн.
Удаленность.
ЦОДы провайдеров расположены на расстоянии от рабочих станций, и нет возможности протянуть кабели для предотвращения внешних атак. Для передачи данных используют только беспроводные каналы.

Риски для безопасности облачных систем

Как и в случае с традиционной инфраструктурой, есть 2 основных риска, связанных с безопасностью облака:
  • Утеря, кража и повреждение данных.
  • Неавторизованный доступ.

Требования и методы для обеспечения безопасности

В 2024 году, когда ожидается рост целевых атак, особенно на крупный бизнес, облачная инфраструктура и хранилища данных должны соответствовать всем требованиям безопасности. Кратко о них и методах защиты:
Контроль доступа — идентификация пользователей, ролевые политики с помощью систем IAM (Identity and Access Management) и MFA (многофакторная аутентификация).
Шифрование данных — криптографические протоколы.
Мониторинг событий — система SIEM (Security Information and Event Management).
Контроль и фильтрация трафика — облачные Firewalls.
Антивирус — регулярно обновление антивирусного ПО на рабочих станциях и серверах.
Также в комплекс мер для защиты данных входят обучение пользователей. Сотрудники должны знать, как злоумышленники действуют, каких ошибок нельзя допускать, что делать при возникновении различных инцидентов. Также стоит отдельно проработать механизм закупки ПО и контроля лицензий, чтобы работники не использовали пиратские программы, через которые хакеры проникнут в облачную инфраструктуру.

Основные правила кибербезопасности

Кибербезопасность для бизнеса
Никакие системы и средства не сделают облачную инфраструктуру действительно безопасной, если сотрудники нарушают все допустимые правила кибербезопасности. Чтобы предотвратить большинство атак, достаточно:
  • Придумывать сложные и уникальные пароли. У каждой учетной записи должен быть свой пароль.
  • Обновление программ. Устаревший софт часто имеет уязвимости, которые позволяют обойти средства ИБ. Поэтому его не должно быть ни на серверах, ни на рабочих станциях.
  • Осведомленность о хакерской угрозе и социальной инженерии. Сотрудников следует научить правилам безопасного поведения в сети, рассказать им, как распознавать попытки мошенничества, как действовать при возникновении различных инцидентов.

Как обеспечить защиту облачной инфраструктуры

Разберем, что нужно сделать для защиты облачных хранилищ и инфраструктуры в целом.

Информация на сервере

Главные угрозы — неавторизованный доступ и утечки. Чтобы их предотвратить, нужно:
Введение системы авторизации и белых списков
Благодаря этим мерам можно ограничить доступ к информации в компании и предотвратить проникновение в систему.
Шифрование трафика
Криптозащита предполагает безопасную передачу данных из облачного хранилища на рабочий ПК или в другие системы. Даже если хакеры получат доступ к отправленной информации, понять содержание файлов невозможно.
Регулярные аудиты
Специалисты ИБ проводят аудит, выявляют уязвимости и создают возможные сценарии взлома системы

Сетевые соединения

С учетом того что достаточно сложно обеспечить контроль за передачей информации для сотен и тысяч клиентов, их защита — один из самых важных элементов безопасности всей инфраструктуры. Как защитить данные:
  • Использовать VPN.
  • Ввести средства фильтрации сетевого трафика.
  • Настроить многоуровневый брандмауэр для предотвращения несанкционированного доступа.

Гипервизор

Гипервизор — специальное ПО, позволяющее создавать виртуальные машины и контролировать их. Если хакер получит доступ к нему, то сможет сделать с виртуальными серверами что угодно. Меры для защиты гипервизора:
  • Изоляция ресурсов виртуальных машин.
  • Мониторинг активности на уровне гипервизора.
  • Регулярные обновления.

Облачное хранилище

Это центр хранения всей информации компании, включая конфиденциальной. Чтобы она так и осталась тайной, специалисты ИБ внедряют:
  • Механизмы шифрования данных, т.е. информация даже на сервере хранится в зашифрованном виде.
  • Контроль доступа и системы идентификации.

Как бороться с распространенными угрозами

Компании обычно сталкиваются с 5 типами угроз, которые легко предотвратить. Разберем, какие средства ИБ нужны для защиты от них.
  • Криптоджекинг
    Это использование вычислительных ресурсов облачных серверов для майнинга криптовалют в тайне от пользователя. В 2024 году криптоджекинг не так распространен, поскольку популярность криптовалют сильно снизилась с 2021 года. Однако он все еще представляет угрозу. Как защититься:

    • Автоматический мониторинг использования ресурсов. Майнинг легко выявить по аномально высокой нагрузке на процессор и видеокарты.
    • Ограничение ресурсов для предотвращения злоупотреблений.
  • Утечки данных
    Под утечками обычно подразумевают преднамеренное или случайное раскрытие конфиденциальной информации. От обоих сценариев помогут защитить:

    • Контроль доступа.
    • Мониторинг активности.
    • Шифрование данных (защищает от внешних атак).
  • Отказ в обслуживании (DDoS)
    DDoS-атаки направлены на перегрузку облачных сервисов «мусорными» запросами, из-за чего обычные пользователи теряют доступ к рабочим системам и инструментам. Такой тип атак приводит к серьезному нарушению отлаженных бизнес-процессов на предприятие. Методы защиты:

    • Использование CDN (Content Delivery Network) для минимизации последствий атак.
    • Фильтрация трафика для отсеивания вредоносного трафика.
    • Гибкое масштабирование облака для поддержания постоянной работы сервисов.
  • Взлом рабочих аккаунтов
    Под взломом понимают несанкционированный доступ к учетным записям в различных корпоративных сервисах. Обычно через них пользователи работают с данными, документами и т.д. Для предотвращения взлома компании используют:

    • Многофакторную аутентификацию (MFA).
    • Инструменты мониторинга активности аккаунтов и фиксации последних операций.
  • Рисковые приложения
    Рисковые приложения — ненадежное ПО (например, нелицензионное), которое создает дополнительные точки уязвимости. Как устранить угрозу:

    • Внедрение политики безопасности.
    • Обучение сотрудников для повышения осведомленности о безопасном использовании приложений.
    • Контроль лицензий на рабочих станциях.
Также следует объяснить сотрудникам, как работать с ИСПДн, чтобы не нарушать 152-ФЗ и основные правила кибербезопасности.

Чек-лист проверки вашего провайдера облачных услуг

Если вы планируете пользоваться услугами провайдера, а не создавать собственные облачные сервисы, то нужно понимать, что все контролировать не получится. Безопасностью серверов, данных в хранилищах, мониторингом нагрузки, защитой виртуальных машин занимаются службы ИБ, как на стороне провайдера, так и на стороне клиента.

Поэтому единственное, что может сделать клиент, — изучить подход компании к информационной безопасности, уровень защиты. Все сведения об этом можно запросить у провайдера.
Соблюдение стандартов безопасности.
Убедитесь, что провайдер следует стандарту ISO 27001, имеет сертификаты на соответствие 152-ФЗ, а ЦОД, где хранятся данные имеет уровень Tier III или выше.
Шифрование данных.
Узнайте, какой алгоритм использует провайдер для защиты информации в покое и во время передачи.
Контроль доступа.
У поставщика услуг должен быть надежный инструмент для распределения доступа к виртуальным машинам, созданным на базе физического сервера. Если он есть, то тогда «соседи» не повлияют на работу вашего виртуального сервера.
Резервное копирование.
Это механизм сохранения информации на другом сервере. Если возникнет инцидент (например, повреждение файлового хранилища), компания ничего не потеряет. Провайдер просто выгрузит копию, и все будет работать, как раньше.
Меры по обнаружению и устранению инцидентов.

Проверьте, какие средства ИБ внедрил поставщик, есть ли постоянный контроль инфраструктуры, а также узнайте, как компания действует в случае серьезных атак.
Физическая безопасность.
Обычно ЦОДы размещают в отдельных зданиях, огороженных забором. При этом внутри и снаружи стоят камеры, есть посты охраны, а вход в серверные ограничен и возможен только по записи, т.е. не получится незаметно попасть внутрь и скачать данные.
Аудит и мониторинг.
Провайдеры регулярно проверяют состояние инфраструктуры, проводят тесты и привлекают «белых» хакеров для поиска и устранения уязвимостей.

Перспективы развития облачной безопасности

В 2024 году сфера кибербезопасности будет активно развиваться, поскольку компании вкладывают в нее все больше денег. К примеру, в 2023 году «Яндекс» инвестировал более 6 млрд рублей, а в 2022 — в 2 раза меньше (3 млрд). Растет спрос на более технологичные и автоматизированные способы защиты, которые не требуют постоянного участия человека.

Основные тренды в облачной безопасности:
  • Автоматизация процессов.
    Облачная инфраструктура способствует частичной автоматизации систем ИБ. Компании внедряют ИИ, системы реагирования на инциденты и их устранения.
  • Использование автономных возможностей облаков.
    Эти технологии позволят снизить количество точек входа в инфраструктуру, упростить масштабирование и ликвидировать распространенные ошибки кибербезопасности.
  • Проактивный подход.
    Облачные провайдеры не только борются с возникающими проблемами, но и внедряют новые средства ИБ, чтобы инциденты больше не повторялись.
  • Использование модели общей ответственности.
    За ИБ отвечают не только провайдеры и IT-отделы компаний, но и все остальные пользователи, работающие с облачными сервисами.

Вопросы и ответы

Подведение итогов

Сейчас более 90% компаний используют облачные вычисления, поэтому защищенность облака стала ключевым элементом корпоративной безопасности в целом. Внедряя средства ИБ, следует учитывать основные требования безопасности и методы атак.
Используйте проактивный подход к созданию системы информационной безопасности. Опирайтесь на наши советы и изучайте опыт других компаний, особенно опыт утечек и взломов, чтобы создать надежную и безопасную инфраструктуру.

Отзывы клиентов

Айри.рф работает как SaaS, обеспечивая ускорение и защиту сайтов. Нам важна 100% доступность серверов и максимальная отказоустойчивость. Нам как специалистам по облакам приятно иметь дело с профессионалами!
Николай Мациевский, генеральный директор Айри.рф
Мы открыли портал на базе системы управления сайтами UMI.CMS. Работая с 1998 года, мы накопили несколько десятков тысяч материалов и статей. В 2010 году мы призвали читателей активно комментировать статьи, и база стала расти еще быстрее. Вместе с ней росло и количество читателей. В определенный момент мы начали испытывать трудности, так как административная панель часто «подвисала», и порой приходилось ждать до нескольких минут, пока статья сохранится или откроется для редактирования. Все это серьезно замедляло нашу работу. Мы обратились к Сергею Житинскому, и уже через неделю «подвисания» исчезли, база стала работать нормально. Скорость работы редакторов с контентом возросла, мы стали размещать больше материалов, перестали тратить время на бесполезное ожидание. Что касается посещаемости ресурса, то она существенно увеличилась. Мы сотрудничаем с Житинским на постоянной основе и теперь стали клиентами его предприятия Git in Sky, хотя русскому уху приятнее официальное название его компании — ООО «Жить в небе».
Анатолий Степанов, главный редактор портала «Русская народная линия»
Поскольку почтовые рассылки - это один из основных элементов деятельности - к ТП Git in Sky чаще всего обращаемся по поводу каких-то неполадок с почтой, хотя в последнее время они случаются совсем редко - может быть - раз в полгода".
Денис Каланов, генеральный директор, ООО «АйТи-Событие»
На простом языке наша задача звучала так: «Мы хотим, чтобы сайт не падал, и чтобы ни при каких условиях (сбой, человеческий фактор, наводнение и т.п.) данные наших пользователей не пропали».

Коллеги помогли подобрать правильную конфигурацию серверов, хранения и резервного копирования данных, всё настроили и научили программистов с этим работать. Что очень понравилось в сотрудничестве, так это то, что все работы были выполнены без остановки проекта и практически без участия нашей команды.

Также стоит отметить доступность коллег и быстрый отклик, а особенно — наличие "аварийного" чата, где всегда кто-то дежурит и где можно рассчитывать на оперативную поддержку.
Олег Баша, генеральный директор, Learme
Успешно сотрудничаем с конца 2013 года. Компания Git In Sky помогла нам перенести данные в «облака», оптимизировать инфраструктуру. Оперативно помогает справляться с возникающими сложностями.
— Кузнецов Антон, системный администратор
Стек технологий
Ansible • Terraform • MS Center • Puppet
Anycast • CDN • GeoIP • Multicast
postgers • MySQL • MSSQL • Redis • Mongo • Tarantool • ClickHouse
postgersql / pgbouncer / pgpool / patroni • Nginx • Rabbitmq • Redis / Sentinel • mysql / percona / maxscale / sqlproxy
Nginx • Apache • Openrestry • Traefik
Nginx • HAProxy • Traefik • Envoy
Frontend / Backend балансировка
Управление инфраструктурой
Кластеризация и отказоустойчивость
Ansible
Terraform
MS Center
Puppet
postgersql / pgbouncer / pgpool / patroni
nginx
rabbitmq
redis / sentinel
mysql / percona / maxscale / sqlproxy
postgres
mySQL
MSSQL
redis
mongo
tarantool
ClickHouse
anycast
CDN
geoIP
multicast
Nginx
openresty
Traefik
Apache
Nginx
HAProxy
Traefik
Envoy
СУБД
Сетевые технологии
Web серверы
Libvirt • VMware • KVM
LOM • BMC • ILo • IPvkm • Idrac
cPU • Mem • disk • net • HAProxy • Traefik • Load Balancing • Flamegraph
Prometheus • Zabbix • telegraf • Alertmanager • grafana • graphite
IpTables • UFW • WAF • Firewall • Pentests • Selinux • ACL / Exec Bits • Spam • Anti DDOS
Безопасность
Виртуализация
Мониторинг
libvirt
vMware
KVM
Prometheus
Zabbix
telegraf
Alertmanager
grafana
graphite
cPU
MEM
Disk
net
HAProxy
Traefik
Load Balancing
Flamegraph
LOM
BMC
ilo
ipvkm
idrac
iptables
UFW
WAF
firewall
pentests
selinux
ACL / exec bits
spam
Anti DDOS
Высокие нагрузки
Обслуживание датацентров

Часто задаваемые вопросы

Наши клиенты
и реализованные проекты
Git in Sky реализовал 250+ проектов в разных отраслях. Основные группы наших клиентов и кейсы:
Давайте обсудим
ваш проект
Оставьте заявку — наш специалист свяжется с вами для детального обсуждения задачи
Нажимая на кнопку, вы соглашаетесь на обработку персональных данных согласно политике конфиденциальности
Также можете позвонить по номеру
8 800 222 19 68
Читайте также