Что такое безопасность облака?
Определение безопасности облака
Безопасность облака – это раздел кибербезопасности, посвященный защите облачных вычислительных систем. Сюда входит защита конфиденциальности и данных во всех объектах сетевой инфраструктуры, онлайн-приложениях и платформах. Участвовать в этом должны как поставщики облачных услуг, так и пользователи, будь то частные лица, малые и средние предприятия или корпорации.
Облачные службы размещаются на серверах с постоянным подключением к интернету. Поставщики рассчитывают на доверие пользователей, поэтому в их интересах обеспечивать неприкосновенность хранящихся в облаке личных данных. Тем не менее облачная безопасность отчасти находится в руках самих пользователей. Для надежной защиты важно, чтобы обе стороны понимали свою ответственность.
Безопасность облака – это следующая совокупность категорий.
- Безопасность данных
- Управление идентификацией и доступом (IAM)
- Административный контроль (политика предотвращения, обнаружения и устранения угроз)
- Планирование хранения данных и обеспечения непрерывности бизнеса
- Соблюдение нормативно-правовых требований
На первый взгляд может показаться, что для обеспечения безопасности в облаке подходят те же методы, что и в традиционных IT-средах, но это не так. Прежде чем углубляться в тему, давайте разберемся, что же такое облачная безопасность.
Что такое безопасность облака?
Безопасность облака – это целый набор технологий, протоколов и наработок для защиты облачных сред, приложений и данных. Для начала необходимо понять, что именно нужно защищать и какие аспекты систем требуют управления.
В целом борьба с уязвимостями происходит преимущественно на серверной стороне: это обязанность поставщика облачных услуг. Но и у клиентов есть свои обязанности, помимо выбора надежного поставщика. Клиенты должны правильно использовать настройки защиты, уметь безопасно пользоваться службами, а также заботиться о защите всех устройств и сетей конечных пользователей.
Независимо от уровня ответственности все меры безопасности облака направлены на защиту следующих компонентов.
- Физические сети — маршрутизаторы, электросети, кабели, системы кондиционирования воздуха и т. д.
- Носители данных — жесткие диски и т. д.
- Серверы данных — аппаратное и программное обеспечение опорной сети
- Сети виртуализации — ПО для виртуальных машин, хост-компьютеры, гостевые виртуальные машины
- Связующие программы — ПО для управления интерфейсами программирования приложений (API)
- Среды выполнения — средства запуска и поддержания работы программ
- Данные — вся информация, которая хранится, изменяется и предоставляется пользователям
- Приложения — традиционные программные сервисы (электронная почта, налоговое ПО, офисные приложения и т. д.)
- Оборудование конечного пользователя
В случае облачных технологий не всегда легко определить, кто несет ответственность за каждый из этих компонентов, в результате чего размываются соответствующие обязанности клиентов. Поскольку процесс защиты облака зависит от того, кто за какие компоненты отвечает, важно понимать принцип классификации этих компонентов.
Для простоты разделим компоненты облачных систем на две основные группы.
- Облачные службы разных типов предоставляются сторонними поставщиками в виде модулей, из которых складывается облачная среда. В зависимости от типа службы может требоваться управление разными компонентами, составляющими ту или иную службу.
- В любой сторонней облачной службе поставщик управляет физической сетью, хранилищем данных, серверами и системами виртуализации. Служба размещается на серверах поставщика и посредством виртуализации предоставляется клиентам для удаленного доступа. Таким образом поставщик экономит на оборудовании и инфраструктуре, а пользователи получают доступ к необходимым вычислительным возможностям через интернет.
- Облачные службы
Software-as-a-Service (программное обеспечение как услуга, SaaS) дают пользователям доступ к приложениям, которые просто хранятся и запускаются на серверах поставщика. Поставщик управляет приложениями, данными, средой выполнения, связующими программами и операционной системой. Клиентам остается лишь получить доступ к своим приложениям. Примеры SaaS: Google Диск, Slack, Salesforce, Microsoft 365, Cisco WebEx, Evernote. - Облачные службы Platform-as-a-Service (платформа как услуга, PaaS) позволяют клиенту разрабатывать свои приложения, которые запускаются в его собственной «песочнице» на сервере поставщика. Поставщик управляет средой выполнения, связующими программами и операционной системой.
- Облачные службы Infrastructure-as-a-Service (инфраструктура как услуга, IaaS)– это оборудование и возможности удаленного подключения, позволяющие клиентам размещать в облаке все их вычислительные ресурсы, вплоть до операционной системы. Поставщик управляет только основными облачными службами. Клиенты отвечают за операционную систему и все, что на ней устанавливается, включая приложения, данные, среды выполнения и связующие программы. Они также управляют пользовательским доступом, устройствами и сетями конечных пользователей.
- Облачные среды представляют собой такие модели развертывания, в которых при помощи одной или нескольких облачных служб создается система для конечных пользователей и организаций.
На данный момент используются следующие облачные среды.
- Публичные облачные среды состоят из облачных служб, предназначенных для нескольких арендаторов. В таких средах несколько клиентов делят между собой серверы одного поставщика, наподобие аренды офисного здания в бизнес-центре. Доступ к этим сторонним службам под управлением поставщика предоставляется через веб-интерфейс.
- В частных сторонних облачных средах поставщик предоставляет клиенту собственное облако в исключительное пользование. Это среды, предназначенные для одного арендатора, которые, как правило, находятся в собственности, под контролем и удаленным управлением внешнего поставщика.
- Частные внутренние облачные среды также состоят из облачных серверов, рассчитанных на одного арендатора, но управляются из собственного центра обработки данных. В этом случае компания сама управляет облачной средой, контролируя все настройки и установку каждого элемента.
- Многооблачные среды предполагают использование двух и более облачных служб от разных поставщиков, при этом облака могут быть публичными, частными или смешанными.
- Гибридные облачные среды – это комбинация частного стороннего облака и (или) локального частного облачного центра обработки данных с одной или несколькими публичными облачными службами.
Как мы видим, безопасность облака может различаться в зависимости от типа облачной среды, однако она одинаково важна как для отдельных пользователей, так и для организаций.
Как работает безопасность облака?
Каждая мера для облачной безопасности нацелена на выполнение одной или нескольких следующих задач.
- Восстановление данных в случае их утери
- Защита хранилищ данных и сетей от кражи данных
- Предотвращение человеческих ошибок и небрежности, приводящих к утечке данных
- Сокращение последствий любого взлома данных или системы
Управление идентификацией и доступом (IAM) связано с правами доступа, предоставляемым пользователям. Сюда также относится управление аутентификацией и авторизацией учетных записей. Контроль доступа позволяет ограничить пользователям доступ к закрытым данным и системам и распространяется как на проверенных пользователей, так и на потенциальных злоумышленников. Управление паролями, многофакторная аутентификация – эти и другие методы защиты относятся к IAM.
Административный контроль сосредоточен на политике предотвращения, обнаружения и устранения угроз. Такие подходы, как анализ угроз, могут помочь предприятиям разных размеров в отслеживании и приоритизации угроз, чтобы защитить важнейшие системы. Индивидуальным клиентам тоже не помешает знать, как безопасно пользоваться облачными службами. Обычно это касается организаций, однако правила безопасного пользования системой и реагирования на угрозы пригодятся любому пользователю.
Планирование хранения данных и обеспечения непрерывности бизнеса включает меры восстановления утерянных данных в случае технического сбоя. При планировании опираются на методы дублирования информации, например на создание резервных копий. Кроме того, не помешают технические средства обеспечения бесперебойной работы. Хороший план обеспечения непрерывности бизнеса должен также включать проверку действительности резервных копий и подробные инструкции по восстановлению данных для сотрудников.
Соблюдение нормативно-правовых требований гарантирует защиту конфиденциальных данных пользователей в соответствии с законом. Государство заботится о том, чтобы личные данные людей не использовались в коммерческих целях, обязывая организации соблюдать установленные требования, например маскировать данные, то есть использовать шифрование для скрытия личности пользователя.
Чем подходы к обеспечению безопасности облака отличаются от традиционных подходов?
С переходом на облачные вычисления традиционный подход к IT-безопасности претерпел огромные изменения. Облачные среды удобнее, однако постоянное подключение к интернету требует новых мер безопасности. Безопасность облака как более современное решение в сфере кибербезопасности отличается от традиционных подходов рядом аспектов.
Хранение данных. Главное отличие в том, что более ранние модели IT полагались на локальное хранение данных. Тем не менее, несмотря на возможность полноценного контроля безопасности, локальные IT-платформы дороги и не отличаются гибкостью. Облачные платформы помогают сэкономить на разработке и эксплуатации систем, но при этом частично лишают пользователей контроля.
Скорость масштабирования. Аналогичным образом безопасность облака требует особого внимания при масштабировании корпоративных IT-систем. В облаке используется модульная инфраструктура и приложения с возможностью быстрой мобилизации. Это облегчает адаптацию системы к организационным переменам, однако, вследствие потребности организации в постоянных обновлениях и повышении удобства работы, постоянно приходится задумываться об уровне безопасности.
Взаимодействие с системой конечного пользователя. Облачные системы взаимодействуют со многими другими системами и службами, которые также необходимо защищать, причем это справедливо как для организаций, так и для индивидуальных пользователей. Необходимо управление правами доступа на всех уровнях: на устройствах конечных пользователей, для ПО и даже в сети. Кроме того, поставщикам и пользователям нужно отслеживать уязвимости, возникающие из-за небезопасных установки приложений и доступа к системам.
Близость к другим данным и системам в сети. Постоянная связь между облаком и пользователями создает угрозу даже для поставщика облачных услуг. В сетевой среде один единственный уязвимый компонент может стать брешью для компрометации всей системы. Предоставляя клиентам услуги, включая хранение данных, поставщики облачных услуг постоянно подвергаются опасности. Сохраняя данные на собственные системы вместо систем конечных пользователей, поставщики вынуждены принимать дополнительные меры безопасности.
Для решения большинства проблем облачной безопасности – как в персональной, так и в деловой среде – требуется проактивное участие и клиентов, и поставщиков. Это означает, что и те и другие равным образом должны уделять внимание:
- безопасной настройке и обслуживанию систем;
- обучению пользователей безопасному поведению и техническим мерам безопасности.
Наконец, и от тех, и от других требуется прозрачность и ответственность как гарантия безопасности обеих сторон.
Риски для безопасности облака
Какие риски свойственны облачной среде? От знания этих рисков зависит, какие меры безопасности будут приниматься. Ведь незащищенная облачная среда подвергает пользователей и поставщиков всем видам киберугроз. Вот самые распространенные из них.
Для облака главным риском является отсутствие периметра. Традиционная киберзащита в первую очередь направлена на обеспечение безопасности периметра, но облачные среды очень тесно взаимосвязаны, а значит, небезопасные API (интерфейсы программирования приложений) и кража учетных записей представляют серьезную опасность. Учитывая специфику рисков, специалисты по кибербезопасности теперь должны делать упор именно на контроль данных.
Взаимосвязанность также представляет проблему для сетей. Часто преступники проникают в сеть через взломанную или незащищенную учетную запись. Если злоумышленник получит доступ к облаку, он сможет воспользоваться его плохо защищенными интерфейсами, чтобы заполучить нужные данные из различных баз данных или узлов. Более того, он даже может использовать свои собственные облачные серверы для экспортирования и хранения похищенных данных. Система безопасности должна защищать все облако, а не только хранящиеся в нем личные данные.
Сторонние услуги хранения данных и онлайн-доступ также представляют угрозу. Если в работе какой-либо службы произойдет сбой, вы не сможете получить доступ к своим файлам. Например, в случае перегрузки мобильной сети вы можете в самый неподходящий момент оказаться без доступа к облаку. Или отключение электроэнергии может затронуть центр обработки данных, в котором хранятся ваши данные, и даже привести к их безвозвратной потере.
Подобные сбои могут иметь и долговременные последствия. Недавнее отключение электроэнергии в облачном хранилище данных Amazon привело к потере данных многих клиентов вследствие повреждения аппаратной части серверов. Этот пример наглядно показывает, почему вам в любом случае необходимы локальные резервные копии хотя бы части ваших данных и приложений.
Почему важна безопасность облака
В 1990-х годах деловые и личные данные размещались локально, а значит, и меры безопасности были локальными. Данные хранились на внутреннем носителе домашнего компьютера или, в случае компании, на ее серверах.
Появление облачных технологий заставило переосмыслить кибербезопасность. Ваши данные и приложения могут перемещаться между локальными и удаленными системами и всегда быть доступными через интернет. Вы редактируете документы в Google Docs на смартфоне или используете ПО Salesforce для работы с клиентами — а сами документы и файлы приложений могут находиться в совершенно произвольном месте. Поэтому обеспечение надежной защиты становится все более сложной задачей по сравнению с прошлыми временами, когда достаточно было всего лишь ограничить доступ к вашей сети. Безопасность облака требует некоторой адаптации прежних методов использования IT, при этом значение безопасности возросло по двум основным причинам.
- Удобство превыше безопасности. Облачные вычисления все стремительнее выходят на первый план, как в бизнесе, так и при личном использовании. Благодаря инновациям новые технологии внедряются быстрее, чем обновляются отраслевые стандарты безопасности, что заставляет пользователей и поставщиков серьезнее относиться к рискам, вызванных простотой доступа к данным.
- Централизация и хранение данных нескольких арендаторов. Цифровые объекты любого объема теперь можно размещать и использовать удаленно, имея к ним круглосуточный доступ. Поскольку все эти данные преимущественно размещаются на серверах немногочисленных крупных поставщиков услуг, это представляет серьезную опасность: теперь злоумышленники могут атаковать крупные центры обработки данных, вызывая масштабную утечку данных многих организаций.
Увы, преступники понимают ценность облачных целей и постоянно ищут новые лазейки. Поставщики услуг берут на себя все большую ответственность за безопасность, но они не всесильны. Поэтому даже самым неискушенным пользователям рекомендуется просвещаться на тему безопасности облака.
И не только им. Понимая свои обязанности по защите информации, мы делаем всю систему значительно безопаснее.
Проблемы безопасности облака: конфиденциальность
Были приняты законы, защищающие пользователей от передачи и продажи их личных данных. Общеевропейские нормативы защиты данных (GDPR) и Закон США о преемственности страхования и отчетности в области здравоохранения (HIPAA), например, предусматривают ограничения по хранению данных и доступу к ним.
На основе GDPR используются методы управления идентификацией, такие как маскировка данных, для отделения идентифицирующих признаков от данных пользователей. HIPAA обязывает медицинские учреждения следить за тем, как их поставщик ограничивает доступ к данным.
Акт Конгресса США, разъясняющий законное использование данных за рубежом (CLOUD), накладывает на поставщиков облачных услуг дополнительные ограничения, потенциально в ущерб конфиденциальности пользователей. Теперь закон разрешает федеральным органам США требовать от поставщиков предоставлять определенные данные, хранящиеся на их серверах. Это сделано для содействия в расследованиях, однако может нарушить права граждан на тайну личной жизни и даже привести к злоупотреблению властью.
Как защитить облако
К счастью, вы сами можете многое сделать для того, чтобы защитить свои данные, хранящиеся в облаке. Рассмотрим некоторые из наиболее распространенных методов.
Шифрование – один из лучших способов защитить облачные системы. Перечислим разные варианты шифрования, которые могут предложить как поставщик облачных услуг, так и сторонний поставщик защитных решений для облачных сред.
- Шифрование всех сообщений в облаке.
- Шифрование особо секретных данных, таких как учетные данные.
- Сквозное шифрование всех загружаемых в облако данных.
Наибольшему риску перехвата данные подвергаются во время перемещения – из одного хранилища в другое или из облака в ваше локальное приложение. Таким образом, сквозное шифрование лучше всего гарантирует безопасность критичных данных в облаке: не имея ключа, посторонние никогда не смогут прочесть ваши сообщения.
Самостоятельное шифрование данных перед их отправкой в облако или использование облачной службы, которая предоставляет такую услугу Если вы используете облако только для хранения не конфиденциальных данных, например рекламных роликов компании, использование сквозного шифрования будет явным перебором. Однако, если речь идет о конфиденциальной финансовой или бизнес-информации, сквозное шифрование просто необходимо.
Если вы используете шифрование, не забывайте о важности безопасного хранения ваших ключей. Храните резервную копию ключа (желательно не в облаке). Также имеет смысл регулярно менять ключи шифрования. Тогда, даже если в какой-то момент они попадут не в те руки, то после смены ключей окажутся бесполезны.
Конфигурация – еще одно мощное средство в арсенале защиты облака. Часто взлом облака происходит из-за такой элементарной уязвимости, как ошибка конфигурации. Исключите такие ошибки, и риск утечки данных из облака станет гораздо меньше. Если вы не разбираетесь в тонкостях настроек, воспользуйтесь услугами специалистов в этой области.
Вот несколько полезных советов.
- Никогда не используйте настройки по умолчанию. Так вы открываете взломщику «дверь» в вашу систему. Не стоит облегчать преступнику задачу.
- Никогда не оставляйте открытым контейнер облачного хранилища. Так злоумышленник сможет просмотреть содержимое контейнера, просто открыв его URL-адрес.
- Если поставщик облачных услуг предоставляет вам возможности безопасности, которые можно включить, используйте их. Игнорируя доступные возможности, вы подвергаете себя риску.
Элементарные принципы кибербезопасности также должны быть частью любой облачной практики. Даже если вы используете облако, не следует игнорировать общепринятые правила кибербезопасности. Если вы хотите обеспечить себе максимальную защиту в Сети, примите во внимание следующие соображения.
- Используйте надежные пароли. Пароли, включающие сочетания букв, цифр и специальных символов, будет сложнее взломать. Старайтесь избегать очевидных замен (таких как замена буквы S символом $). Случайный набор символов – лучший вариант.
- Используйте менеджер паролей – он позволит создать для каждого приложения, набора данных и службы индивидуальные пароли, которые не нужно будет запоминать. Однако в этом случае очень важно защитить надежным мастер-паролем сам менеджер.
- Защитите все устройства, которые вы используете для доступа к облачным данным, включая смартфоны и планшеты. Если ваши данные синхронизируются на множестве устройств, любое из них может оказаться слабым звеном, которое подвергнет риску все ваши облачные файлы.
- Регулярно делайте резервные копии, чтобы в случае недоступности облачной службы или потери данных на стороне поставщика вы могли полностью восстановить информацию. Резервные копии могут храниться на вашем домашнем компьютере, на внешнем жестком диске или даже в другом облаке, если вы уверены, что эти два поставщика облачных услуг не используют одну и ту же инфраструктуру.
- Меняйте разрешения, чтобы никакие пользователи и устройства не могли получить доступ ко всем вашим данным, если только в этом не будет необходимости. Компании могут обеспечить это посредством настроек разрешений базы данных. Дома настройте гостевую сеть, которую будут использовать ваши дети, IoT-устройства и телевизор. Возможность полного доступа зарезервируйте только лично для себя.
- Защитите себя антивирусом или комплексным защитным решением. Преступники с легкостью получат доступ к вашей учетной записи, если в вашу систему проникнет вредоносная программа.
- Не осуществляйте доступ к данным через публичные сети Wi-Fi, особенно при отсутствии надежного механизма аутентификации. Используйте виртуальную частную сеть (VPN) для защиты вашего подключения к облаку.
Облачное хранилище и общий доступ к файлам
Риски для безопасности облачной среды затрагивают всех – как предприятия, так и отдельных пользователей. Например, публичное облако может использоваться для сохранения и резервного копирования файлов (например, в Dropbox), для доступа к электронной почте и офисным приложениям, для подготовки налоговых деклараций и других документов.
Вам следует продумать, как вы будете делиться облачными данными с другими, что особенно актуально, если вы, например, консультант или фрилансер. Предоставление общего доступа к файлам в Google Диске или аналогичной облачной службе – удобный способ отправлять клиентам выполненную работу, но при этом вам необходимо правильно определить разрешения. В конце концов вы же не хотите, чтобы разные клиенты видели имена или папки друг друга или вносили изменения в чужие файлы.
Помните, что многие общедоступные облачные хранилища не шифруют данные. Если вы хотите обеспечить безопасность ваших данных, вам нужно будет самостоятельно зашифровать их, прежде чем выгружать в облако. Затем вам нужно будет предоставить клиенту ключ, иначе он не сможет прочесть свои файлы.
Проверьте уровень безопасности своего провайдера облачных услуг
Безопасность должна быть одним из ключевых критериев при выборе поставщика облачных услуг. Ваша кибербезопасность отныне не является только вашей заботой – поставщик должен сделать свой вклад, создав безопасную облачную среду и разделив ответственность за безопасность данных.
К сожалению, поставщики облачных услуг не дадут вам полную схему безопасности своей сети. Это все равно, что просить банк предоставить вам план своего хранилища вместе с кодами сейфов.
Тем не менее, получив ответы на парочку простых вопросов, вы будете увереннее в безопасности ваших данных в облаке. Кроме того, вам будет понятно, насколько ответственно поставщик подошел к вопросу защиты облака от явных угроз. Вы можете задать своему поставщику следующие вопросы.
Обязательно прочтите условия предоставления услуг вашего поставщика. Только так вы будете точно понимать, что получаете.
Также внимательно изучите все службы, используемые вашим поставщиком. Если ваши файлы хранятся в Dropbox или в iCloud (облачное хранилище Apple), это вполне может означать, что физически они хранятся на серверах Amazon. Соответственно, помимо службы, которой вы пользуетесь, вам желательно ознакомиться также и с работой Amazon Web Services.
Решения для безопасности гибридных облачных сред
Службы безопасности гибридных облачных сред могут стать разумным выбором для бизнес-клиентов. Они больше подходят для бизнеса, потому что они, как правило, слишком сложны для персонального пользования. Сочетание масштабируемости и доступности облака с локальным контролем определенных данных – это то, что нужно малым и средним предприятиям и корпорациям.
Вот несколько преимуществ гибридных облачных сред с точки зрения безопасности.
Сегментация служб позволяет организации контролировать хранение данных и доступ к ним. Например, можно создать несколько уровней безопасности, загрузив основные данные, приложения и процессы в облако и оставив наиболее конфиденциальную информацию под локальным контролем. Кроме того, разделение данных поможет организации соблюсти правовые положения о защите информации.
Избыточность – еще одно преимущество гибридных облачных сред. Можно перенести повседневную деятельность в публичное облако и создавать резервные копии систем на локальных серверах. Так работа будет продолжена даже в случае потери соединения с одним из центров обработки данных или его заражения программой-вымогателем.
Решения для безопасности облачных сред для малых и средних предприятий
В то время как корпорации могут позволить себе такую роскошь, как частное облако (интернет-аналог собственного офисного здания), частные лица и небольшие предприятия вынуждены пользоваться публичными облачными службами. Это все равно что арендовать офис в крупном бизнес-центре или проживать в многоквартирном доме вместе с сотнями соседей. Вот почему безопасность должна быть вашим основным приоритетом.
В случае приложений для малого и среднего бизнеса основная ответственность за безопасность публичного облака лежит на поставщике.
Однако вы можете принимать собственные меры безопасности.
- Сегментация данных в центрах обработки данных, предназначенных для нескольких арендаторов. Владельцы предприятий хотят быть уверенными в том, что их данные будут недоступны другим пользователям облака. Сегментация не помешает, даже если данные шифруются или хранятся на раздельных серверах.
- Контроль доступа пользователей. Контроль разрешений означает ограничение доступа, что может создать неудобства для пользователей. Однако установить ограничения гораздо безопаснее, чем открыть свою сеть для посторонних вторжений.
- Соблюдение правовых норм. Во избежание крупных штрафов и ущерба для репутации необходимо соблюдать положения международных актов, таких как GDPR. Поэтому маскировка данных, классификация конфиденциальной информации и аналогичные меры должны стать приоритетом для вашей организации.
- Разумное масштабирование облачных систем. При стремительном распространении облачных служб убедитесь, что в системах вашей организации безопасность преобладает над удобством. Иногда облака разрастаются в ущерб качеству и контролю.
Решения для безопасности облачных сред для корпораций
Сейчас более 90% крупных корпораций используют облачные вычисления — соответственно, безопасность облака стала важным элементом корпоративной безопасности в целом. Частные облачные службы и прочая дорогостоящая инфраструктура могут оправдать себя в случае крупных организаций. При этом IT-отдел компании все равно должен поддерживать работоспособность ее сетей.
В случае крупных корпораций вложения в корпоративную инфраструктуру обеспечат более гибкую безопасность облака.
Итак, запомните ряд ключевых принципов.
- Активно управляйте своими учетными записями и службами. Если служба или приложение вам больше не понадобится, корректно удалите свою учетную запись. Хакеры легко могут проникнуть в облако через старые неиспользуемые учетные записи, используя неисправленные уязвимости.
- Многофакторная аутентификация (MFA). Можно использовать биометрические данные, такие как отпечатки пальцев, или пароль и отдельный код, отправляемый на ваше мобильное устройство. Это чуть дольше, но поможет сохранить ценные данные.
- Оцените рентабельность гибридного облака. Сегментирование данных гораздо важнее в корпоративной среде, где объем обрабатываемых данных намного больше. Вы должны быть уверены, что ваши данные отделены от данных других клиентов – за счет раздельного шифрования или логической сегментации, обеспечивающей изолированное хранение. В этом могут помочь гибридные службы.
- Опасайтесь теневых IT. Учите своих сотрудников не подключаться к непроверенным облачным службам через ваши сети или в рабочих целях. В случае передачи конфиденциальной информации по незащищенным каналам ваша организация может подвергнуться атаке злоумышленников или судебному иску.
Поэтому, будь вы индивидуальным пользователем облака, сотрудником малого, среднего предприятия или даже корпорации, вы обязаны как можно лучше защищать собственные устройства и сети. Это начинается с четкого понимания отдельным пользователем основ кибербезопасности, а также с использования надежных защитных решений для облачной среды на всех ваших устройствах и сетях.
Другие продукты
Статьи по теме
- Как выбрать антивирус для облака
- Зачем защищать IoT-устройства в домашней сети
- Как избежать рисков для безопасности в публичных сетях Wi-Fi
- Советы по созданию уникальных надежных паролей
Источники
https://phoenixnap.com/blog/what-is-cloud-security
https://www.csoonline.com/article/3405439/how-a-decentralized-cloud-model-may-increase-security-privacy.html
https://www.zscaler.com/solutions/cloud-security
https://www.paloaltonetworks.com/cyberpedia/what-is-a-cloud-security
https://www.youtube.com/watch?v=jI8IKpjiCSM
https://www. helpnetsecurity.com/2020/07/09/public-cloud-security-incident/
https://www.beyondtrust.com/resources/glossary/cloud-security-cloud-computing-security
Безопасность облаков: мифы и реальность
Облака как модель организации ИТ в компаниях появились на рынке сравнительно недавно по меркам традиционного бизнеса. И до сих пор существует множество мифов о надежности облаков, что объясняется недостаточной осведомленностью пользователей и наличием большого количества не совсем достоверной информации.
В большинстве случаев удобство, предоставляемое облачными сервисами, существенно перевешивает последствия возможных проблем с надежностью и безопасностью. Так, например, различные стартап-компании успешно запускают новые проекты без существенных вложений в собственную инфраструктуру.
Миф первый: ИТ-безопасность внутри компании обеспечена более надежно, чем в облаке
Нередко анализ ИБ собственной инфраструктуры показывает, что большую часть данных можно безбоязненно вынести на облако, где уровень ИБ на площадке провайдера заметно выше чем в корпоративной среде.
Перечислим основные преимущества облачных провайдеров перед корпоративной ИТ-инфраструктурой:
Безопасность индивидуальных ресурсов заказчика. Провайдеры облачной инфраструктуры обеспечивают безопасность на своем уровне (изоляция сетей и инфраструктуры пользователей, протоколирование действий администраторов, резервное копирование и т.д., но к самим приложениям и данным пользователя провайдер доступа обычно не имеет. Если пользователь использует платформу IaaS (инфраструктура как сервис) или PaaS (платформа как услуга) на уровне приложений пользователь самостоятельно должен обеспечить безопасность данных. В случае с SaaS безопасность должен гарантировать облачный провайдер.
Ответственность провайдера перед компанией-клиентом регулируются соглашением об уровне обслуживания (Service Level Agreement, SLA), а также соглашением о не разглашении (Non-Disclosure Agreement, NDA), которое определяет как и какой доступ к данным клиента провайдер может получить в зависимости от ситуации, как регистрируется факт получения доступа к данным, какие штрафные санкции применяются в случае нарушений.
Облачные провайдеры вкладывают значительные ресурсы в развитие систем защиты и сохранности данных (программные средства, аппаратные средства, оперативный контроль облачных сервисов специалистами провайдера).
Миф второй: данные из облака похитить проще, чем изнутри компании
Подавляющее большинство утечек данных происходит не на стороне сервиса, а на стороне пользователя. Повышенным источником угроз являются не внешние злоумышленники, а сами сотрудники компании, которые уже имеют доступ к информационным ресурсам компании. Утечки могут быть вызваны как непреднамеренными или ошибочными действиями, так и целенаправленным вредительством (продажа информации конкурентам, саботирование, месть кому-либо и пр.). Тенденция смещения акцента с внешних угроз на внутренние также усиливается с повсеместным применением мобильных устройств, которые не всегда настроены корректным образом и не всегда имеют защитное ПО.
Сконцентрировать данные в облаке и организовать их защиту – значит получить более безопасную и контролируемую среду по сравнению с офисной, где вся информация распределена по рабочим станциям, мобильным устройствам и филиалам компании.
Основные риски облачных сервисов и рекомендации по их снижению
Информационная безопасность – это прежде всего процесс управления рисками. Абсолютная защищенность невозможна в принципе. Перед выбором модели построения ИТ-инфраструктуры с участием облака необходимо оценить, насколько те или иные факторы влияют на функционирование конкретной компании. Опишем основные риски информационной безопасности, которые наиболее часто появляются при работе с облаком:
Нарушение законодательства со стороны других пользователей облака с последующим изъятием оборудования.
Серверное оборудование, на котором размещен облачный сервис, зачастую используется одновременно несколькими пользователями облака, в случае его изъятия могут пострадать «соседи» нарушителя.
Рекомендации: инфраструктура провайдера должна позволять переносить мощности клиента на резервное оборудование в случае недоступности основного.
Передача данных по Интернет-каналу.
Обмен данными с облаком осуществляется непосредственно через Интернет-канал, соответственно, без надлежащей защиты злоумышленники теоретически могут получить передаваемые данные (тела документов, пароли, персональные данные и т.д.).
Рекомендации: необходимо использовать те облачные сервисы, которые обеспечивают своим пользователям защиту передаваемых данных (VPN-соединение, HTTPS и прочие защищенные протоколы передачи).
Ограниченные ресурсы
Особенность облачных сервисов – практически неограниченные ресурсы, которыми пользователь может гибко управлять. Однако при значительных нагрузках на оборудование облачного провайдера часть пользователей могут ощущать существенное снижение быстродействия сервисов вплоть до недоступности сервиса.
Рекомендации: уточните у провайдера, каким объемом ресурсов он фактически располагает. Запросите экскурсию в ЦОД провайдера, если есть такая возможность. Проводите регулярное нагрузочное тестирование предоставляемых сервисов (IaaS и PaaS).
Экономические последствия DDoS-атак.
Это атаки, нацеленные на то, чтобы загрузить все доступные ресурсы сервиса с целью сделать его недоступным для пользователей. Поскольку плата идет за фактическое потребление ресурсов, резкое увеличение трафика существенно скажется на стоимости потребленных облачных ресурсов в момент DDoS- атаки.
Рекомендации: выбирайте тарифные планы без платы за фактический объем потребляемого трафика, отключайте по возможности автоматическое увеличение ресурсов хостинга, регулируйте производительность вашего облака вручную Большинство рисков локальной ИТ-инфраструктуры практически полностью применимы к облачной инфраструктуре (уязвимости сетевых протоколов, уязвимости ОС и отдельных компонентов и т.д).
Прочие риски, о которых часто забывают
Безопасность данных в облаке – это не единственный риск.
- Пользователи облаков могут потерять собственные компетенций в области поддержки инфраструктуры и/или могут попасть в зависимость от внешнего поставщика услуг.
- Так или иначе пользователи теряют собственный контроль над действиями удаленных администраторов и над потоками информации за пределами корпоративной сети.
- Требования российского законодательства во многом ограничивают возможности облачной модели. Для обеспечения требований законодательства облачные провайдеры должны оснащать ЦОДы специальным оборудованием, сертифицированным на соответствие нормативным требованиям. Этим частично объясняются стоимость решений, привязка сервисов к конкретным ЦОДам и невозможность масштабирования.
При переносе ИТ-инфраструктуры в облако следует предварительно тщательно взвесить риски, учесть надежность облачных провайдеров, оценить потенциальные убытки от возможных простоев, ознакомиться со штрафными санкциями регуляторов. Совсем не обязательно выносить в облака сразу всю ИТ-инфраструктуру. Изначально можно ограничиться определенной долей информации и вынести на облака ряд бизнес-процессов.
При верном подходе и правильном выборе поставщика услуг облака способны обеспечить бОльшую надежность и удобство использования бизнес-приложений, нежели существующая в компании ИТ-инфраструктура, а также повысить эффективность вашего бизнеса.
Источник: TADviser
Безопасность облачных хранилищ. Стоит доверять облачным хранилищам?
Когда одного из основателей компании Apple и признанного авторитета в мире цифровых технологий Стива Возняка пару лет назад спросили, доверяет ли он облакам, Стив ответил: “Меня действительно очень беспокоит, что все переносится в облака. Мне кажется, это должно нас пугать… в облаках тебе ничего не принадлежит”. И добавил:
“Мне кажется, что чем больше данных мы отдаем в сеть, в облака, тем меньше мы на самом деле их контролируем”.
Можно ли доверять облачным хранилищам?
Думаю, большинство ответит отрицательно на первый вопрос, но при этом положительно на второй.
В настоящее время облачные сервисы стали настолько распространены и тесно интегрированы с оборудованием ведущих производителей компьютеров и различных гаджетов, что многие даже не задумываются о том, где именно хранятся их данные и что с ними может произойти.
Так ли страшны облака, и так ли безопасны наши домашние компьютеры?
Давайте посмотрим на аргументы Стива.
Аргумент первый — «в облаках тебе ничего не принадлежит». Информация, созданная вами, тем более, информация о вас самих (персональные данные), всегда принадлежит вам, независимо от того, где она расположена. Передав ее на хранение в облачный сервис, вы не передаете его владельцу никаких прав на информацию. Она была и остается вашей.
Аргумент второй — «чем больше данных мы отдаем в сеть, в облака, тем меньше мы на самом деле их контролируем». Вы не сталкивались с такой ситуацией: пытаетесь загрузить компьютер, он не грузится, а на экране высвечивается предложение заплатить денег за разблокировку, или обращаетесь к файлу, а он зашифрован, и за расшифровку опять-таки требуют определенную сумму? Миллионы компьютеров в мире заражены и являются частью бот-сетей. Возможно, и ваш компьютер находится уже не под вашим контролем, а соответственно, и все данные, которые на нем находятся.
Безопасность облачных хранилищЕсть ли у нас основания не доверять облачным сервисам?
Теория учит, что для защиты информации необходимо обеспечить ее конфиденциальность, целостность и доступность. Посмотрим, обеспечиваются ли эти свойства при использовании облаков.
Правовые аспекты
В пользовательских соглашениях облачных сервисов практически никогда не содержатся обязательства по сохранению конфиденциальности и целостности ваших данных. Организациям следует помнить, что как операторам ПДн им необходимо обеспечивать весь комплекс требований по обработке и защите персональных данных, что не всегда реализуемо в облаке.
Помимо этого в ближайшее время должен вступить в силу запрет на хранение ПДн в базах данных, размещенных не на территории России (данное положение должно вступить в силу с 01.09.2016 г., хотя в настоящее время активно лоббируется перенос этого срока на 01.09.2015 г.).
В части доступности облачного сервиса на первый взгляд все хорошо. Большинство поставщиков облачных услуг гарантируют высокую доступность сервиса. Но давайте прикинем, где кончается зона ответственности поставщика облачных услуг и где находитесь вы со своими устройствами доступа в Интернет.
Существуют десятки причин, по которым вам могут быть недоступны ваши данные, хранящиеся в облаке, при том что сам по себе облачный сервис будет полностью работоспособным. Поэтому реальная доступность облачного сервиса значительно ниже заявленных в пользовательском соглашении цифр.
К этому еще следует добавить риски, связанные с западными санкциями в отношении России. Большинство, я думаю, слышали об указе президента США о дополнительных санкциях в отношении Крыма, последствиями которого может стать блокировка на полуострове сервисов, типа Gmail, Skype или iCIoud. В условиях сложившейся сложной политической обстановки нельзя быть уверенным, что в один прекрасный момент вас просто не отключат от облачного сервиса, особенно если этот сервис предоставляется американской компанией.
Безопасность облачных хранилищ
Попробуем оценить, каково же реальное положение с обеспечением целостности и конфиденциальности информации в облаке.
Несмотря на то, что формальных обязательств по обеспечению данных свойств информации у провайдера нет, все известные мировые IT-компании при организации облачных сервисов обеспечивают достаточно высокий уровень защиты данных как от несанкционированного доступа к ним, так и от уничтожения по каким-то техническим причинам. Т.е. прямой атакой на ресурсы провайдера облачных услуг злоумышленники вряд ли смогут достигнуть цели. Хотя, как говорится, и на старуху бывает проруха, о чем свидетельствуют периодически появляющиеся в СМИ громкие заявления об утечке пользовательских данных у крупных IT-компаний и интернет-сервисов.
Основная уязвимость интернет-сервисов заключается в использовании практически исключительно парольной аутентификации и применении не вполне надежных способов восстановления забытых аутентификационных данных — логинов и паролей (прежде всего — через электронную почту). Правда, в последнее время в части восстановления аутентификационных данных есть явная тенденция к их усложнению.
Организациям при подключении облачных сервисов стоит сразу озаботиться реализацией какого-либо механизма двухфакторной аутентификации. Зрелость облачных сервисов в части обеспечения информационной безопасности на данный момент оставляет желать лучшего. Вы вряд ли найдете в них большой спектр способов аутентификации, очень гибкую систему разграничения доступа, развитый аудит событий с поддержкой SIEM-систем, встроенные средства работы с криптографией и т.д.
Безопасность облачных хранилищЕсли вы не доверяете поставщику облачного сервиса или хотите обеспечить дополнительную защиту информации в облаке, то следует применять шифрование данных в облаке. Такой способ защиты возможен, если вы не планируете обрабатывать информацию в облаке (например, редактировать фото или текст), а только хранить и передавать данные в исходном виде.
При этом надо учесть сложности с распределением и управлением криптографическими ключами (особенно для больших организаций) и потери в мобильности (для доступа к данным у вас на устройстве должен быть актуальный криптографический ключ, хранящийся безопасным способом, а с этим могут возникнуть технические или технологические проблемы).
Да, у нас есть основания не доверять облачным сервисам. Да, крупные организации, которые вкладывают серьезные средства в обеспечение безопасности данных, могут обеспечить более высокий уровень их защиты при размещении информации в своем ЦОД, чем в облаке.
Но в то же время очевидно, что использование облачных сервисов будет только расширяться. Удобно, когда тебе не надо задумываться о создании того или иного IT-сервиса и поддержании его в работоспособном состоянии, а можно использовать облака практически мгновенно.
Проводя аналогию, большинство предпочитают покупать торт, а не печь его сами. Причем облачный сервис, как правило, позволяет оперативно изменять параметры сервиса, что не просто удобно, а для большинства организаций необходимо при существенно возросших темпах изменений в требованиях бизнеса. Нельзя не отметить и значительно большую приспособленность облачных сервисов для мобильных пользователей, а бизнес и мы сами с каждым годом становимся все более мобильными.
Поэтому независимо от того, доверяете вы облакам или нет, они уже вошли или скоро войдут в вашу жизнь. И стоит уже сейчас стоит задуматься о том, какую информацию вы готовы доверить облакам и как можно минимизировать те риски, которые мы обсудили в данной статье.
Анатолий Скородумов
Что такое облачная безопасность? Облачная безопасность определена
Обзор облачной безопасности
Облачная безопасность — это набор процедур и технологий, предназначенных для устранения внешних и внутренних угроз безопасности бизнеса. Организациям нужна облачная безопасность, поскольку они продвигаются к своей стратегии цифровой трансформации и включают облачные инструменты и сервисы в свою инфраструктуру.
Термины «цифровая трансформация» и «миграция в облако» в последние годы регулярно использовались в корпоративных условиях. Хотя обе фразы могут означать разные вещи для разных организаций, у каждой из них есть общий знаменатель: потребность в переменах.
По мере того, как предприятия принимают эти концепции и движутся к оптимизации своего операционного подхода, возникают новые проблемы при поиске баланса между уровнями производительности и безопасности. В то время как более современные технологии помогают организациям расширять возможности за пределами локальной инфраструктуры, переход в первую очередь к облачным средам может иметь несколько последствий, если не будет выполнен безопасным образом.
Для достижения правильного баланса требуется понимание того, как современные предприятия могут извлечь выгоду из использования взаимосвязанных облачных технологий при развертывании передовых методов облачной безопасности.
Что такое облачные вычисления?
«Облако» или, точнее, «облачные вычисления» относится к процессу доступа к ресурсам, программному обеспечению и базам данных через Интернет и за пределами ограничений местного оборудования. Эта технология дает организациям гибкость при масштабировании своих операций за счет передачи части или большей части управления своей инфраструктурой сторонним провайдерам хостинга.
Наиболее распространенными и широко распространенными службами облачных вычислений являются:
- IaaS (инфраструктура как услуга): Гибридный подход, при котором организации могут управлять некоторыми своими данными и приложениями локально, полагаясь на облако поставщиков для управления серверами, оборудованием, сетями, виртуализацией и хранением.
- PaaS (платформа как услуга): Предоставляет организациям возможность оптимизировать разработку и доставку приложений, предоставляя настраиваемую платформу приложений, которая автоматически управляет операционными системами, обновлениями программного обеспечения, хранилищем и поддерживающей инфраструктурой в облаке.
- SaaS (программное обеспечение как услуга): облачное программное обеспечение, размещенное в Интернете и обычно доступное по подписке. Сторонние поставщики управляют всеми потенциальными техническими проблемами, такими как данные, промежуточное ПО, серверы и хранилища, сводя к минимуму расходы на ИТ-ресурсы и оптимизируя функции обслуживания и поддержки.
Почему важна безопасность в облаке?
На современных предприятиях наблюдается растущий переход к облачным средам и моделям вычислений IaaS, Paas или SaaS. Динамический характер управления инфраструктурой, особенно при масштабировании приложений и сервисов, может создать ряд проблем для предприятий при адекватном обеспечении ресурсами своих отделов. Эти модели «как услуга» дают организациям возможность избавиться от многих трудоемких задач, связанных с ИТ.
Поскольку компании продолжают мигрировать в облако, понимание требований безопасности для обеспечения безопасности данных становится критически важным. Хотя сторонние поставщики облачных вычислений могут взять на себя управление этой инфраструктурой, ответственность за безопасность и подотчетность активов данных не обязательно смещается вместе с ней.
По умолчанию большинство поставщиков облачных услуг следуют передовым методам обеспечения безопасности и принимают активные меры для защиты целостности своих серверов. Однако при защите данных, приложений и рабочих нагрузок, работающих в облаке, организациям необходимо принимать собственные меры.
Угрозы безопасности стали более совершенными по мере развития цифрового ландшафта. Эти угрозы явно нацелены на поставщиков облачных вычислений из-за общего отсутствия у организации информации о доступе к данным и их перемещении. Без принятия активных мер по улучшению своей облачной безопасности организации могут столкнуться со значительными рисками управления и соответствия требованиям при управлении информацией о клиентах, независимо от того, где она хранится.
Безопасность в облаке должна быть важной темой для обсуждения независимо от размера вашего предприятия. Облачная инфраструктура поддерживает практически все аспекты современных вычислений во всех отраслях и во многих вертикалях.
Однако успешное внедрение облачных технологий зависит от принятия адекватных контрмер для защиты от современных кибератак. Независимо от того, работает ли ваша организация в общедоступной, частной или гибридной облачной среде, облачные решения по обеспечению безопасности и лучшие практики необходимы для обеспечения непрерывности бизнеса.
Какие проблемы с безопасностью в облаке существуют?
Отсутствие видимости
Легко потерять информацию о том, как и кем осуществляется доступ к вашим данным, поскольку доступ ко многим облачным службам осуществляется за пределами корпоративных сетей и через третьих лиц.
Мультиарендность
Общедоступные облачные среды содержат несколько клиентских инфраструктур под одной крышей, поэтому возможно, что ваши размещенные службы могут быть скомпрометированы злоумышленниками в качестве побочного ущерба при нацеливании на другие предприятия.
Управление доступом и теневые ИТ
Хотя предприятия могут успешно управлять и ограничивать точки доступа в локальных системах, администрирование таких же уровней ограничений может быть затруднено в облачных средах. Это может быть опасно для организаций, которые не внедряют политики использования собственных устройств (BYOD) и не разрешают нефильтрованный доступ к облачным службам с любого устройства или из любой точки.
Соответствие
Управление соответствием нормативным требованиям часто является источником путаницы для предприятий, использующих общедоступные или гибридные облачные среды. Общая ответственность за конфиденциальность и безопасность данных по-прежнему лежит на предприятии, и сильная зависимость от сторонних решений для управления этим компонентом может привести к дорогостоящим проблемам с соблюдением требований.
Неправильные конфигурации
Неправильно настроенные активы составили 86% взломанных записей в 2019 году, что делает непреднамеренный инсайдер ключевой проблемой для сред облачных вычислений. Неправильные настройки могут включать сохранение административных паролей по умолчанию или отсутствие соответствующих настроек конфиденциальности.
Какие типы облачных решений безопасности доступны?
Управление идентификацией и доступом (IAM)
Инструменты и службы управления идентификацией и доступом (IAM) позволяют предприятиям развертывать протоколы принудительного применения на основе политик для всех пользователей, пытающихся получить доступ как к локальным, так и к облачным службам. Основная функциональность IAM заключается в создании цифровых удостоверений для всех пользователей, чтобы их можно было активно отслеживать и при необходимости ограничивать во время всех взаимодействий с данными и услуги, предназначенные для обеспечения безопасности регулируемых облачных данных. Решения DLP используют комбинацию предупреждений об исправлении, шифрования данных и других превентивных мер для защиты всех хранимых данных, независимо от того, находятся ли они в состоянии покоя или в движении.
Управление информацией о безопасности и событиями (SIEM)
Управление информацией о безопасности и событиями (SIEM) предоставляет комплексное решение для оркестрации безопасности, которое автоматизирует мониторинг угроз, их обнаружение и реагирование в облачных средах. Используя технологии искусственного интеллекта (ИИ) для сопоставления данных журналов на нескольких платформах и цифровых активах, технология SIEM дает ИТ-специалистам возможность успешно применять свои протоколы сетевой безопасности, одновременно быстро реагируя на любые потенциальные угрозы.
Непрерывность бизнеса и аварийное восстановление
Независимо от превентивных мер, которые организации принимают для своих локальных и облачных инфраструктур, утечка данных и аварийные сбои все еще могут происходить. Предприятия должны иметь возможность быстро реагировать на недавно обнаруженные уязвимости или значительные сбои в работе систем как можно скорее. Решения для аварийного восстановления являются одним из основных элементов облачной безопасности и предоставляют организациям инструменты, услуги и протоколы, необходимые для ускорения восстановления потерянных данных и возобновления нормальной работы бизнеса.
Как следует подходить к облачной безопасности?
Подход к облачной безопасности отличается для каждой организации и может зависеть от нескольких переменных. Однако Национальный институт стандартов и технологий (NIST) составил список передовых методов, которым можно следовать для создания безопасной и устойчивой среды облачных вычислений.
NIST разработал необходимые шаги для каждой организации, чтобы самостоятельно оценить свою готовность к безопасности и применить адекватные превентивные и восстановительные меры безопасности к своим системам. Эти принципы основаны на пяти столпах структуры кибербезопасности NIST: идентификация, защита, обнаружение, реагирование и восстановление.
Еще одна новая технология в области облачной безопасности, которая поддерживает выполнение структуры кибербезопасности NIST, — это управление состоянием облачной безопасности (CSPM). Решения CSPM предназначены для устранения распространенного недостатка многих облачных сред — неправильных конфигураций.
Облачные инфраструктуры, которые остаются неправильно настроенными предприятиями или даже поставщиками облачных услуг, могут привести к нескольким уязвимостям, которые значительно увеличивают поверхность атаки организации. CSPM решает эти проблемы, помогая организовать и развернуть основные компоненты облачной безопасности. К ним относятся управление идентификацией и доступом (IAM), управление соблюдением нормативных требований, мониторинг трафика, реагирование на угрозы, снижение рисков и управление цифровыми активами.
Связанные решения
Облачные решения для обеспечения безопасности
Интегрируйте безопасность на каждом этапе вашего путешествия в облако.
Облачные службы безопасности
Защитите свои гибридные облачные среды с помощью облачных служб безопасности.
Службы стратегии облачной безопасности
Работайте с доверенными консультантами, чтобы направлять ваши инициативы по обеспечению безопасности в облаке.
Облачное управление идентификацией и доступом (IAM)
Внедрите облачный IAM, чтобы обеспечить бесперебойный и безопасный доступ для ваших клиентов и сотрудников.
Стратегия безопасности с нулевым доверием
Поддержите трансформацию облака с помощью современного подхода к безопасности со стратегией нулевого доверия.
Ресурсы облачной безопасности
Последние новости в области облачной безопасности
Ознакомьтесь с последними новостями о защите облачных данных, безопасности контейнеров, защите гибридных, многооблачных сред и многом другом.
Конфиденциальные вычисления: будущее безопасности облачных вычислений
Откройте для себя новый план обеспечения безопасности облачных вычислений с помощью конфиденциальных вычислений.
Сделайте следующий шаг
похожие темы Кибербезопасность определена Что такое СИЭМ? Управление идентификацией и доступом Что такое нулевое доверие? Что такое управление угрозами? Что такое безопасность данных?
Что такое облачная безопасность? Поймите 6 столпов
Облачная безопасность — это общая ответственность
Облачная безопасность — это общая ответственность между поставщиком облачных услуг и заказчиком. В модели общей ответственности есть в основном три категории обязанностей: обязанности, которые всегда поставщика, обязанности всегда клиента, и обязанности, которые варьируются в зависимости от модели обслуживания : инфраструктура как услуга (IaaS). , Платформа как услуга (PaaS) или Программное обеспечение как услуга (SaaS), например облачная электронная почта.
Обязанности по обеспечению безопасности, которые всегда ложатся на поставщика, связаны с защитой самой инфраструктуры, а также с доступом, установкой исправлений и настройкой физических хостов и физической сети, в которой работают вычислительные экземпляры, а также хранилище и другие ресурсы находятся.
Обязанности по обеспечению безопасности, которые всегда возлагаются на клиента, включают управление пользователями и их привилегиями доступа (управление идентификацией и доступом), защиту облачных учетных записей от несанкционированного доступа, шифрование и защиту облачных данных, а также управление их безопасностью осанка (соответствие).
Семь основных проблем безопасности в облаке
Поскольку общедоступное облако не имеет четких периметров, оно представляет собой принципиально иную реальность безопасности. Это становится еще более сложной задачей при внедрении современных облачных подходов, таких как автоматизированные методы непрерывной интеграции и непрерывного развертывания (CI/CD), распределенные бессерверные архитектуры и эфемерные активы, такие как функции как услуга и контейнеры.
Некоторые из сложных проблем безопасности облачных технологий и многочисленные уровни риска, с которыми сталкиваются современные облачные организации, включают:
- Увеличенная поверхность атаки
Общедоступная облачная среда стала большой и очень привлекательной поверхностью для атак хакеров, которые используют плохо защищенные облачные входные порты для доступа и нарушения рабочих нагрузок и данных в облаке. Вредоносное ПО, нулевой день, захват учетных записей и многие другие вредоносные угрозы стали повседневной реальностью.
- Отсутствие видимости и отслеживания
В модели IaaS поставщики облачных услуг имеют полный контроль над уровнем инфраструктуры и не раскрывают его своим клиентам. Отсутствие видимости и контроля еще более усиливается в облачных моделях PaaS и SaaS. Заказчики облачных вычислений часто не могут эффективно идентифицировать и количественно оценить свои облачные активы или визуализировать свои облачные среды.
- Постоянно меняющиеся рабочие нагрузки
Облачные активы предоставляются и выводятся из эксплуатации динамически — в масштабе и со скоростью. Традиционные инструменты безопасности просто неспособны применять политики защиты в такой гибкой и динамичной среде с ее постоянно меняющимися и эфемерными рабочими нагрузками.
- DevOps, DevSecOps и автоматизация
Организации, внедрившие высокоавтоматизированную культуру DevOps CI/CD, должны убедиться, что соответствующие меры безопасности идентифицированы и встроены в код и шаблоны на ранних этапах цикла разработки. Реализованы изменения, связанные с безопасностью после рабочая нагрузка была развернута в рабочей среде, что может подорвать уровень безопасности организации, а также увеличить время выхода на рынок.
- Детальное управление привилегиями и ключами
Часто роли облачных пользователей настраиваются очень свободно, предоставляя расширенные привилегии сверх того, что предполагается или требуется. Одним из распространенных примеров является предоставление разрешений на удаление или запись базы данных необученным пользователям или пользователям, у которых нет деловой необходимости удалять или добавлять активы базы данных. На уровне приложений неправильно настроенные ключи и привилегии подвергают сеансы риску безопасности.
- Сложная среда
Для последовательного управления безопасностью в гибридных и мультиоблачных средах, предпочитаемых предприятиями в наши дни, требуются методы и инструменты, которые без проблем работают с поставщиками общедоступных и частных облаков, а также с локальными развертываниями, включая защиту границ филиалов для географически распределенных организаций.
- Соответствие облачным требованиям и управление
Все ведущие поставщики облачных услуг присоединились к большинству известных программ аккредитации, таких как PCI 3.2, NIST 800-53, HIPAA и GDPR. Однако клиенты несут ответственность за обеспечение соответствия своих рабочих нагрузок и процессов обработки данных. Учитывая плохую видимость, а также динамику облачной среды, процесс аудита соответствия становится почти невыполнимым, если не используются инструменты для обеспечения непрерывной проверки соответствия и выдачи предупреждений в режиме реального времени о неправильных конфигурациях.
Нулевое доверие и почему вы должны его принять
Термин «нулевое доверие» впервые был введен в 2010 году Джоном Киндервагом, который в то время был старшим аналитиком Forrester Research. Основной принцип нулевого доверия в облачной безопасности заключается в том, чтобы не доверять автоматически кому-либо или чему-либо внутри сети или за ее пределами, а проверять (т. е. разрешать, проверять и защищать) все.
Zero Trust, например, продвигает стратегию управления с наименьшими привилегиями, согласно которой пользователям предоставляется доступ только к тем ресурсам, которые им необходимы для выполнения своих обязанностей. Точно так же он призывает разработчиков обеспечить надлежащую защиту веб-приложений. Например, если разработчик не заблокировал порты последовательно или не реализовал разрешения «по мере необходимости», хакер, взявший на себя управление приложением, будет иметь привилегии для извлечения и изменения данных из базы данных.
Кроме того, сети с нулевым доверием используют микросегментацию, чтобы сделать безопасность облачной сети гораздо более детализированной. Микросегментация создает безопасные зоны в центрах обработки данных и облачных развертываниях, тем самым отделяя рабочие нагрузки друг от друга, защищая все внутри зоны и применяя политики для защиты трафика между зонами.
Шесть столпов надежной облачной безопасности
В то время как поставщики облачных услуг, такие как Amazon Web Services (AWS), Microsoft Azure (Azure) и Google Cloud Platform (GCP), предлагают множество собственных функций и услуг облачной безопасности, дополнительные сторонние решения необходимы для обеспечения защиты облачных рабочих нагрузок корпоративного уровня от взломов, утечек данных и целевых атак в облачной среде. Только интегрированный облачный или сторонний стек безопасности обеспечивает централизованную видимость и детальный контроль на основе политик, необходимые для реализации следующих лучших отраслевых практик:
- Детализированный контроль IAM и проверки подлинности на основе политик в сложных инфраструктурах
Работайте с группами и ролями, а не на уровне отдельных IAM, чтобы упростить обновление определений IAM по мере изменения бизнес-требований. Предоставляйте только минимальные привилегии доступа к ресурсам и API, которые необходимы группе или роли для выполнения своих задач. Чем больше привилегий, тем выше уровни аутентификации. И не пренебрегайте хорошей гигиеной IAM, применяя надежные политики паролей, тайм-ауты разрешений и т. д.
- Нулевое доверие Безопасность облачных сетей Контроль логически изолированных сетей и микросегментов
Развертывайте критически важные для бизнеса ресурсы и приложения в логически изолированных разделах облачной сети поставщика, таких как виртуальные частные облака (AWS и Google) или vNET (Azure). Используйте подсети для микросегментации рабочих нагрузок друг от друга с детализированными политиками безопасности на шлюзах подсети. Используйте выделенные каналы глобальной сети в гибридных архитектурах и используйте статические определяемые пользователем конфигурации маршрутизации для настройки доступа к виртуальным устройствам, виртуальным сетям и их шлюзам, а также общедоступным IP-адресам.
- Применение политик и процессов защиты виртуальных серверов, таких как управление изменениями и обновления программного обеспечения : Поставщики
Cloud Security обеспечивают надежное управление состоянием облачной безопасности, последовательно применяя правила и шаблоны управления и соответствия при подготовке виртуальных серверов, аудите отклонений в конфигурации и автоматическом исправлении, где это возможно.
- Защита всех приложений (и особенно облачных распределенных приложений) с помощью брандмауэра веб-приложений нового поколения
Это позволит детально проверять и контролировать трафик к серверам веб-приложений и от них, автоматически обновлять правила WAF в ответ на изменения поведения трафика и развертывать ближе к микросервисам, на которых выполняются рабочие нагрузки.
- Расширенная защита данных
Улучшенная защита данных с шифрованием на всех транспортных уровнях, безопасные общие файловые ресурсы и обмен данными, непрерывное управление рисками соответствия и поддержание надлежащей гигиены ресурсов хранения данных, например обнаружение неправильно настроенных сегментов и прекращение бесхозных ресурсов.
- Аналитика угроз которая обнаруживает и устраняет известные и неизвестные угрозы в режиме реального времени
Сторонние поставщики облачной безопасности добавляют контекст к большим и разнообразным потокам облачных журналов, интеллектуально сопоставляя агрегированные данные журналов с внутренними данными, такими как системы управления активами и конфигурациями, сканеры уязвимостей и т. д., и внешними данными, такими как общедоступные потоки информации об угрозах, базы данных геолокации и т. д. Они также предоставляют инструменты, которые помогают визуализировать и анализировать ландшафт угроз и способствуют более быстрому реагированию на инциденты. Алгоритмы обнаружения аномалий на основе ИИ применяются для обнаружения неизвестных угроз, которые затем подвергаются криминалистическому анализу для определения их профиля риска. Оповещения в режиме реального времени о вторжениях и нарушениях политик сокращают время исправления, иногда даже запуская рабочие процессы автоматического исправления.
Узнайте больше о решениях Check Point CloudGuard
Единая платформа облачной безопасности Check Point CloudGuard легко интегрируется с собственными облачными службами безопасности поставщиков, чтобы гарантировать, что пользователи облачных вычислений поддерживают свою часть модели общей ответственности и поддерживают политики нулевого доверия во всех столпы облачной безопасности: контроль доступа, сетевая безопасность, соответствие требованиям виртуальных серверов, защита рабочей нагрузки и данных, а также аналитика угроз.
Унифицированные облачные решения Check Point для обеспечения безопасности
- Облачные собственные облачные решения для обеспечения безопасности
- Управление состоянием облачной безопасности
- Защита облачных рабочих нагрузок
- Облачная аналитика и поиск угроз
- Безопасность облачной сети
- Бессерверная безопасность
- Безопасность контейнера
- Безопасность АВС
- Безопасность Azure
- Безопасность GCP
- Облачная безопасность филиала
Что такое облачная безопасность?
w3.org/1999/xhtml»>Определение безопасности облачных вычислений
Безопасность облачных вычислений — это дисциплина кибербезопасности, предназначенная для защиты систем облачных вычислений. Это включает в себя обеспечение конфиденциальности и безопасности данных в онлайн-инфраструктуре, приложениях и платформах. Защита этих систем требует усилий облачных провайдеров и клиентов, которые их используют, независимо от того, использует ли их физическое лицо, малый и средний бизнес или предприятие.
Поставщики облачных услуг размещают службы на своих серверах через постоянное подключение к Интернету. Поскольку их бизнес зависит от доверия клиентов, методы облачной безопасности используются для обеспечения конфиденциальности и безопасного хранения данных клиентов. Однако облачная безопасность также частично находится в руках клиента. Понимание обоих аспектов имеет решающее значение для надежного решения по обеспечению безопасности в облаке.
По своей сути облачная безопасность состоит из следующих категорий:
- Безопасность данных
- Управление идентификацией и доступом (IAM)
- Управление (политика предотвращения, обнаружения и смягчения угроз)
- Планирование хранения данных (DR) и обеспечения непрерывности бизнеса (BC)
- Соблюдение законодательства
Облачная безопасность может показаться похожей на унаследованную ИТ-безопасность, но на самом деле эта структура требует другого подхода. Прежде чем углубляться, давайте сначала посмотрим, что такое облачная безопасность.
Что такое облачная безопасность?
Облачная безопасность — это совокупность технологий, протоколов и лучших практик, которые защищают среды облачных вычислений, приложения, работающие в облаке, и данные, хранящиеся в облаке. Защита облачных сервисов начинается с понимания того, что именно защищается, а также системных аспектов, которыми необходимо управлять.
В целом, разработка серверной части для защиты от уязвимостей в значительной степени находится в руках поставщиков облачных услуг. Помимо выбора поставщика, заботящегося о безопасности, клиенты должны сосредоточиться в основном на правильной конфигурации услуг и безопасных привычках использования. Кроме того, клиенты должны быть уверены, что любое оборудование и сети конечного пользователя должным образом защищены.
Полный спектр облачной безопасности предназначен для защиты следующего, независимо от ваших обязанностей:
- Физические сети — маршрутизаторы, электропитание, кабели, климат-контроль и т. д.
- Хранение данных — жесткие диски и т. д.
- Серверы данных — вычислительное оборудование и программное обеспечение базовой сети
- Среды компьютерной виртуализации — программное обеспечение виртуальных машин, хост-машины и гостевые машины
- Операционные системы (ОС) — программное обеспечение, содержащее
- Промежуточное ПО — управление интерфейсом прикладного программирования (API),
- Среды выполнения — выполнение и поддержка работающей программы
- Данные — вся информация хранится, изменяется и доступна
- Приложения — традиционные программные услуги (электронная почта, налоговое ПО, программные пакеты и т. д.)
- Оборудование конечного пользователя — компьютеры, мобильные устройства, устройства Интернета вещей (IoT) и т. д.
При использовании облачных вычислений права собственности на эти компоненты могут сильно различаться. Это может привести к неясности сферы ответственности клиента за безопасность. Поскольку защита облака может выглядеть по-разному в зависимости от того, кто имеет полномочия над каждым компонентом, важно понимать, как они обычно группируются.
Для упрощения компоненты облачных вычислений защищены с двух основных точек зрения:
1. Типы облачных услуг предлагаются сторонними поставщиками в качестве модулей, используемых для создания облачной среды. В зависимости от типа службы вы можете управлять различными компонентами службы:
- Ядром любой сторонней облачной службы является поставщик, управляющий физической сетью, хранилищем данных, серверами данных и компьютером. фреймворки виртуализации. Услуга хранится на серверах провайдера и виртуализируется через их внутреннюю управляемую сеть для доставки клиентам для удаленного доступа. Это разгружает оборудование и другие затраты на инфраструктуру, чтобы предоставить клиентам доступ к своим вычислительным потребностям из любого места через подключение к Интернету.
- Программное обеспечение как услуга (SaaS) облачные службы предоставляют клиентам доступ к приложениям, которые полностью размещены и работают на серверах поставщика. Поставщики управляют приложениями, данными, средой выполнения, промежуточным ПО и операционной системой. Клиентам поручено только получать свои приложения. Примеры SaaS включают Google Drive, Slack, Salesforce, Microsoft 365, Cisco WebEx, Evernote.
- Платформа как услуга Облачные службы предоставляют клиентам хост для разработки собственных приложений, которые запускаются в собственном «изолированном» пространстве клиента на серверах провайдера. Провайдеры управляют средой выполнения, промежуточным ПО, операционной системой. Клиентам поручено управлять своими приложениями, данными, доступом пользователей, устройствами конечных пользователей и сетями конечных пользователей. Примеры PaaS включают Google App Engine, Windows Azure.
- Инфраструктура как услуга (IaaS) облачных сервисов предлагают клиентам оборудование и платформы удаленного подключения для размещения основной части их вычислений, вплоть до операционной системы. Провайдеры управляют только основными облачными сервисами. Перед клиентами стоит задача защитить все, что находится поверх операционной системы, включая приложения, данные, среды выполнения, промежуточное ПО и саму ОС. Кроме того, клиентам необходимо управлять доступом пользователей, устройствами конечных пользователей и сетями конечных пользователей. 9Примеры 0446 IaaS включают Microsoft Azure, Google Compute Engine (GCE), Amazon Web Services (AWS).
В настоящее время используются следующие облачные среды:
- Общедоступные облачные среды состоят из многопользовательских облачных служб, в которых клиент совместно использует серверы провайдера с другими клиентами, например офисное здание или коворкинг. Это сторонние службы, управляемые провайдером для предоставления клиентам доступа через Интернет.
- Частные сторонние облачные среды основаны на использовании облачной службы, которая предоставляет клиенту эксклюзивное использование собственного облака. Эти среды с одним арендатором обычно принадлежат, управляются и управляются внешним поставщиком.
- Частные внутренние облачные среды , также состоящие из серверов облачных служб с одним арендатором, но работающие из собственного частного центра обработки данных. В этом случае эта облачная среда управляется самим бизнесом, чтобы обеспечить полную настройку и настройку каждого элемента.
- Многооблачные среды включают использование двух или более облачных служб от разных поставщиков. Это может быть любое сочетание общедоступных и/или частных облачных сервисов.
- Гибридные облачные среды состоят из использования сочетания частного стороннего облака и/или локального частного облачного центра обработки данных с одним или несколькими общедоступными облаками.
Рассматривая это с этой точки зрения, мы можем понять, что облачная безопасность может немного различаться в зависимости от типа облачного пространства, в котором работают пользователи. Но последствия ощущаются как индивидуальными, так и корпоративными клиентами.
Как работает облачная безопасность?
Каждая мера безопасности в облаке работает для выполнения одного или нескольких из следующих действий:
- Включение восстановления данных в случае потери данных
- Защита хранилища и сетей от злонамеренной кражи данных
- Предотвратить человеческую ошибку или халатность, которые вызывают утечку данных
- Уменьшить влияние компрометации данных или системы
Безопасность данных — это аспект облачной безопасности, который включает техническую часть предотвращения угроз. Инструменты и технологии позволяют поставщикам и клиентам устанавливать барьеры между доступом и видимостью конфиденциальных данных. Среди них 9Шифрование 0446 — один из самых мощных доступных инструментов. Шифрование шифрует ваши данные, чтобы их мог прочитать только тот, у кого есть ключ шифрования. Если ваши данные потеряны или украдены, они будут практически нечитаемы и бессмысленны. Защита передачи данных , такая как виртуальные частные сети (VPN), также подчеркивается в облачных сетях.
Управление идентификацией и доступом (IAM) относится к привилегиям доступа, предлагаемым учетным записям пользователей. Здесь также применяется управление аутентификацией и авторизацией учетных записей пользователей. Элементы управления доступом имеют решающее значение для ограничения пользователей — как законных, так и злонамеренных — от ввода и компрометации конфиденциальных данных и систем. Управление паролями, многофакторная аутентификация и другие методы входят в сферу действия IAM.
Управление фокусируется на политиках предотвращения, обнаружения и смягчения угроз. Для малого и среднего бизнеса и предприятий такие аспекты, как угроз Intel , могут помочь в отслеживании и приоритизации угроз для обеспечения тщательной защиты основных систем. Однако даже отдельные облачные клиенты могут извлечь выгоду из безопасного политики поведения пользователей и обучение . Они применяются в основном в организационной среде, но правила безопасного использования и реагирования на угрозы могут быть полезны любому пользователю.
Планирование хранения данных (DR) и обеспечения непрерывности бизнеса (BC) включает технические меры аварийного восстановления в случае потери данных. Центральное место в любом плане DR и BC занимают методы избыточности данных, такие как резервное копирование. Кроме того, наличие технических систем для обеспечения бесперебойной работы может помочь. Рамки на проверка достоверности резервных копий и подробные инструкции по восстановлению для сотрудников так же важны для тщательного плана BC.
Соблюдение законодательства вращается вокруг защиты конфиденциальности пользователей в соответствии с законодательными органами. Правительства взяли на себя важность защиты частной информации пользователей от использования в целях получения прибыли. Таким образом, организации должны следовать правилам, чтобы соблюдать эти политики. Одним из подходов является использование маскирования данных, которое скрывает личность в данных с помощью методов шифрования 9.0446 .
Что отличает облачную безопасность?
Традиционная ИТ-безопасность претерпела огромные изменения в связи с переходом на облачные вычисления. В то время как облачные модели обеспечивают большее удобство, постоянное подключение требует новых соображений для обеспечения их безопасности. Облачная безопасность как модернизированное решение для кибербезопасности отличается от устаревших ИТ-моделей несколькими способами.
Хранение данных: Самым большим отличием является то, что старые модели ИТ в значительной степени зависели от локального хранения данных. Организации уже давно обнаружили, что создание всех собственных ИТ-инфраструктур для подробных настраиваемых элементов управления безопасностью является дорогостоящим и жестким. Облачные фреймворки помогли снизить затраты на разработку и обслуживание системы, но также лишили пользователей некоторого контроля.
Скорость масштабирования: Аналогичным образом, облачная безопасность требует особого внимания при масштабировании ИТ-систем организации. Облачная инфраструктура и приложения очень модульны и быстро мобилизуются. Несмотря на то, что эта возможность обеспечивает однородную адаптацию систем к организационным изменениям, она вызывает опасения, когда потребности организации в обновлениях и удобстве превышают их способность идти в ногу с безопасностью.
Взаимодействие с системой конечного пользователя: Как для организаций, так и для отдельных пользователей облачные системы также взаимодействуют со многими другими системами и службами, которые должны быть защищены. Разрешения на доступ должны поддерживаться от уровня устройства конечного пользователя до уровня программного обеспечения и даже уровня сети. Помимо этого, поставщики и пользователи должны быть внимательны к уязвимостям, которые они могут вызвать из-за небезопасной настройки и поведения при доступе к системе.
Близость к другим сетевым данным и системам: Поскольку облачные системы представляют собой постоянное соединение между облачными провайдерами и всеми их пользователями, эта крупная сеть может поставить под угрозу даже самого провайдера. В сетевых ландшафтах одно слабое устройство или компонент может быть использовано для заражения остальных. Поставщики облачных услуг подвергают себя угрозам со стороны многих конечных пользователей, с которыми они взаимодействуют, независимо от того, предоставляют ли они хранилище данных или другие услуги. Дополнительные обязанности по сетевой безопасности ложатся на провайдеров, которые в противном случае поставляли продукты исключительно в системах конечных пользователей, а не в своих собственных.
Решение большинства проблем безопасности облачных вычислений означает, что пользователи и поставщики облачных служб — как в личной, так и в деловой среде — должны проявлять инициативу в отношении своей роли в кибербезопасности. Этот двусторонний подход означает, что пользователи и поставщики должны обращаться по взаимному адресу:
Конфигурация и обслуживание безопасной системы.
Обучение пользователей технике безопасности — как поведенческой, так и технической.
В конечном счете, облачные провайдеры и пользователи должны иметь прозрачность и подотчетность, чтобы обе стороны оставались в безопасности.
w3.org/1999/xhtml»> Риски безопасности облачных вычисленийКаковы проблемы безопасности облачных вычислений? Потому что, если вы их не знаете, то как вы должны принять надлежащие меры? В конце концов, слабая облачная безопасность может подвергать пользователей и провайдеров всем типам угроз кибербезопасности. Некоторые распространенные угрозы облачной безопасности включают:
- Риски облачной инфраструктуры , включая несовместимые устаревшие ИТ-инфраструктуры и сбои в работе сторонних служб хранения данных.
- Внутренние угрозы из-за человеческой ошибки , например неправильной настройки контроля доступа пользователей.
- Внешние угрозы , вызванные почти исключительно злоумышленниками, такие как вредоносное ПО, фишинг и DDoS-атаки.
Самый большой риск в облаке заключается в отсутствии периметра. Традиционная кибербезопасность сосредоточена на защите периметра, но облачные среды тесно взаимосвязаны, что означает, что небезопасные API (интерфейсы прикладного программирования) и взлом учетных записей могут создавать реальные проблемы. Столкнувшись с рисками безопасности облачных вычислений, специалисты по кибербезопасности должны перейти к подходу, ориентированному на данные.
Взаимосвязанность также создает проблемы для сетей. Злоумышленники часто взламывают сети, используя скомпрометированные или слабые учетные данные. Как только хакеру удается совершить посадку, он может легко расширяться и использовать плохо защищенные интерфейсы в облаке для поиска данных в разных базах данных или узлах. Они даже могут использовать свои собственные облачные серверы в качестве места назначения, куда они могут экспортировать и хранить любые украденные данные. Безопасность должна быть в облаке, а не только для защиты доступа к вашим облачным данным.
w3.org/1999/xhtml»> Хранение ваших данных третьими лицами и доступ через Интернет также представляют свои угрозы. Если по какой-либо причине эти услуги будут прерваны, ваш доступ к данным может быть потерян. Например, отключение телефонной сети может означать, что вы не сможете получить доступ к облаку в нужное время. Кроме того, отключение электроэнергии может повлиять на центр обработки данных, в котором хранятся ваши данные, что может привести к необратимой потере данных.Такие перерывы могут иметь долгосрочные последствия. Недавнее отключение электроэнергии в облачной службе данных Amazon привело к потере данных для некоторых клиентов, когда серверы получили повреждения оборудования. Это хороший пример того, почему у вас должны быть локальные резервные копии хотя бы некоторых ваших данных и приложений.
Почему важна безопасность в облаке
В 1990-х деловые и личные данные хранились локально — и безопасность тоже была локальной. Данные будут располагаться во внутренней памяти ПК дома и на корпоративных серверах, если вы работаете в компании.
Внедрение облачных технологий заставило всех переоценить кибербезопасность. Ваши данные и приложения могут перемещаться между локальными и удаленными системами и всегда доступны через Интернет. Если вы получаете доступ к Google Docs на своем смартфоне или используете программное обеспечение Salesforce для работы с клиентами, эти данные могут храниться где угодно. Поэтому защитить его становится сложнее, чем когда речь шла только о том, чтобы не дать нежелательным пользователям получить доступ к вашей сети. Облачная безопасность требует корректировки некоторых предыдущих ИТ-методов, но она стала более важной по двум основным причинам:
- Удобство важнее безопасности. Облачные вычисления экспоненциально развиваются как основной метод как для рабочего места, так и для индивидуального использования. Инновации позволили внедрять новые технологии быстрее, чем могут соответствовать отраслевые стандарты безопасности, что возлагает на пользователей и поставщиков больше ответственности за рассмотрение рисков, связанных с доступностью.
- Централизация и многопользовательское хранилище. Каждый компонент — от базовой инфраструктуры до небольших данных, таких как электронная почта и документы — теперь можно найти и получить к нему удаленный доступ через круглосуточные веб-соединения. Весь этот сбор данных на серверах нескольких крупных поставщиков услуг может быть очень опасным. Злоумышленники теперь могут нацеливаться на большие мультиорганизационные центры обработки данных и вызывать огромные утечки данных.
К сожалению, злоумышленники осознают ценность облачных целей и все чаще проверяют их на наличие эксплойтов. Несмотря на то, что облачные провайдеры забирают у клиентов многие роли безопасности, они не контролируют все. Это оставляет даже нетехнических пользователей обязанностью заниматься самообразованием в области облачной безопасности.
Тем не менее, пользователи не одиноки в ответственности за безопасность облака. Знание объема ваших обязанностей по обеспечению безопасности поможет всей системе оставаться в большей безопасности.
Вопросы безопасности в облаке — конфиденциальность
Законодательство призвано помочь защитить конечных пользователей от продажи и передачи их конфиденциальных данных. Общее положение о защите данных (GDPR) и Закон о переносимости и подотчетности медицинского страхования (HIPAA) выполняют свои обязанности по защите конфиденциальности, ограничивая способы хранения и доступа к данным.
Методы управления идентификацией, такие как маскирование данных, использовались для отделения идентифицируемых функций от пользовательских данных в соответствии с GDPR. Для соответствия HIPAA такие организации, как медицинские учреждения, должны убедиться, что их поставщик также вносит свой вклад в ограничение доступа к данным.
Закон об ОБЛАКАХ налагает на облачных провайдеров собственные юридические ограничения, которые они должны соблюдать, возможно, за счет конфиденциальности пользователей. Федеральный закон США теперь разрешает правоохранительным органам федерального уровня запрашивать запрашиваемые данные с серверов облачных провайдеров. Хотя это может способствовать эффективному проведению расследований, это может привести к нарушению некоторых прав на неприкосновенность частной жизни и потенциальному злоупотреблению властью.
Как защитить облако
К счастью, вы можете многое сделать для защиты своих данных в облаке. Рассмотрим некоторые из популярных методов.
Шифрование — один из лучших способов защитить ваши системы облачных вычислений. Существует несколько различных способов использования шифрования, и они могут предлагаться поставщиком облачных услуг или отдельным поставщиком решений для обеспечения безопасности в облаке:
- Шифрование связи с облаком в целом.
- Шифрование особо конфиденциальных данных , таких как учетные данные.
- Сквозное шифрование всех данных, загружаемых в облако.
В облаке данные больше подвержены риску перехвата, когда они находятся в пути. Когда он перемещается из одного места хранения в другое или передается в ваше локальное приложение, он уязвим. Таким образом, сквозное шифрование — лучшее решение для облачной безопасности критически важных данных. Благодаря сквозному шифрованию ваше общение никогда не станет доступным для посторонних без вашего ключа шифрования.
Вы можете самостоятельно зашифровать свои данные перед их сохранением в облаке или воспользоваться услугами облачного провайдера, который зашифрует ваши данные в рамках услуги. Однако если вы используете облако только для хранения неконфиденциальных данных, таких как корпоративная графика или видео, сквозное шифрование может оказаться излишним. С другой стороны, для финансовой, конфиденциальной или коммерческой информации это жизненно важно.
Если вы используете шифрование, помните, что безопасное и надежное управление вашими ключами шифрования имеет решающее значение. Сохраняйте резервную копию ключа и, в идеале, не храните ее в облаке. Вы также можете регулярно менять свои ключи шифрования, чтобы, если кто-то получит к ним доступ, они были заблокированы из системы, когда вы сделаете переход.
Конфигурация — еще одна мощная практика в облачной безопасности. Многие утечки облачных данных происходят из-за основных уязвимостей, таких как ошибки неправильной конфигурации. Предотвращая их, вы значительно снижаете риск безопасности в облаке. Если вы не чувствуете себя уверенно, делая это в одиночку, вы можете рассмотреть возможность использования отдельного поставщика решений для облачной безопасности.
Вот несколько принципов, которым вы можете следовать:
- Никогда не оставляйте настройки по умолчанию без изменений . Использование настроек по умолчанию дает хакеру доступ через парадный вход. Не делайте этого, чтобы усложнить путь хакера в вашу систему.
- Никогда не оставляйте корзину облачного хранилища открытой. Открытая корзина может позволить хакерам увидеть содержимое, просто открыв URL-адрес корзины хранилища.
- Если поставщик облачных услуг предоставляет вам элементы управления безопасностью, которые вы можете включить, используйте их. Неправильный выбор параметров безопасности может подвергнуть вас риску.
Базовый Советы по кибербезопасности также должны быть встроены в любую облачную реализацию. Даже если вы используете облако, не следует игнорировать стандартные методы кибербезопасности. Итак, если вы хотите быть максимально безопасным в Интернете, стоит учитывать следующее:
- Используйте надежные пароли. Использование комбинации букв, цифр и специальных символов затруднит взлом пароля. Старайтесь избегать очевидных вариантов, таких как замена буквы S на символ $. Чем более случайными будут ваши строки, тем лучше.
- Используйте диспетчер паролей. Вы сможете давать каждому приложению, базе данных и службе отдельные пароли, не запоминая их все. Однако вы должны убедиться, что ваш менеджер паролей защищен надежным основным паролем.
- Защитите все устройства , которые вы используете для доступа к своим облачным данным, включая смартфоны и планшеты. Если ваши данные синхронизируются на нескольких устройствах, любое из них может оказаться слабым звеном, подвергая риску весь ваш цифровой след.
- Регулярно создавайте резервные копии своих данных , чтобы в случае сбоя в работе облака или потери данных у вашего облачного провайдера вы могли полностью восстановить свои данные. Эта резервная копия может быть на вашем домашнем ПК, на внешнем жестком диске или даже из облака в облако, если вы уверены, что два облачных провайдера не используют общую инфраструктуру.
- Изменить разрешения , чтобы запретить любому лицу или устройству доступ ко всем вашим данным, если в этом нет необходимости. Например, предприятия будут делать это с помощью настроек разрешений базы данных. Если у вас есть домашняя сеть, используйте гостевые сети для своих детей, для устройств IoT и для телевизора. Сохраните свой пропуск «доступ ко всем областям» для собственного использования.
- Защитите себя с помощью антивирусного и антивредоносного программного обеспечения . Хакеры могут легко получить доступ к вашей учетной записи, если вредоносное ПО проникнет в вашу систему.
- Избегайте доступа к своим данным через общедоступную сеть Wi-Fi , особенно если она не использует строгую аутентификацию. Однако используйте виртуальную частную сеть (VPN) для защиты своего шлюза в облако.
Облачное хранилище и общий доступ к файлам
Риски безопасности облачных вычислений могут затронуть всех, от компаний до отдельных потребителей. Например, потребители могут использовать общедоступное облако для хранения и резервного копирования файлов (с помощью сервисов SaaS, таких как Dropbox), для таких сервисов, как электронная почта и офисные приложения, или для заполнения налоговых форм и счетов.
Если вы пользуетесь облачными службами, вам может потребоваться подумать о том, как вы делитесь облачными данными с другими, особенно если вы работаете консультантом или фрилансером. Хотя общий доступ к файлам на Google Диске или другом сервисе может быть простым способом поделиться своей работой с клиентами, вам может потребоваться проверить, правильно ли вы управляете разрешениями. В конце концов, вы захотите убедиться, что разные клиенты не могут видеть имена или каталоги друг друга или изменять файлы друг друга.
Помните, что многие из этих общедоступных облачных хранилищ не шифруют данные. Если вы хотите защитить свои данные с помощью шифрования, вам нужно будет использовать программное обеспечение для шифрования, чтобы сделать это самостоятельно, прежде чем загружать данные. Затем вам нужно будет дать своим клиентам ключ, иначе они не смогут читать файлы.
Проверьте безопасность вашего облачного провайдера
w3.org/1999/xhtml»> Безопасность должна быть одним из основных моментов, которые следует учитывать при выборе облачного провайдера. Это связано с тем, что ваша кибербезопасность больше не является исключительно вашей ответственностью: компании, занимающиеся облачной безопасностью, должны внести свой вклад в создание безопасной облачной среды и разделить ответственность за безопасность данных.К сожалению, облачные компании не собираются предоставлять вам чертежи своей сетевой безопасности. Это было бы эквивалентно тому, что банк предоставил бы вам информацию о своем хранилище вместе с номерами комбинаций сейфа.
Однако получение правильных ответов на некоторые основные вопросы дает вам большую уверенность в том, что ваши облачные ресурсы будут в безопасности. Кроме того, вы будете лучше осведомлены о том, правильно ли ваш провайдер устранил очевидные риски облачной безопасности. Мы рекомендуем задать вашему облачному провайдеру следующие вопросы:
Вам также необходимо убедиться, что вы прочитали условия обслуживания вашего поставщика услуг (TOS). Чтение TOS необходимо для понимания того, получаете ли вы именно то, что хотите и в чем нуждаетесь.
Убедитесь, что вы также знаете все услуги, которыми пользуется ваш провайдер. Если ваши файлы находятся в Dropbox или зарезервированы в iCloud (облачное хранилище Apple), это вполне может означать, что они фактически хранятся на серверах Amazon. Итак, вам нужно будет проверить AWS, а также сервис, который вы используете напрямую.
Решения для безопасности гибридных облаков
Службы безопасности гибридных облаков могут быть очень разумным выбором для клиентов из малого и среднего бизнеса и корпоративных пространств. Они наиболее жизнеспособны для SMB и корпоративных приложений, поскольку обычно слишком сложны для личного использования. Но именно эти организации могут использовать сочетание масштаба и доступности облака с контролем конкретных данных на месте.
Вот несколько преимуществ безопасности гибридных облачных систем безопасности:
Сегментация служб может помочь организации контролировать доступ к своим данным и их хранение. Например, размещение более конфиденциальных данных на месте при выгрузке других данных, приложений и процессов в облако может помочь вам соответствующим образом повысить уровень безопасности. Кроме того, разделение данных может улучшить способность вашей организации соблюдать юридические нормы в отношении данных.
Избыточность также можно реализовать с помощью гибридных облачных сред. Используя повседневные операции с общедоступных облачных серверов и резервное копирование систем на локальные серверы данных, организации могут продолжать свои операции в случае, если один центр обработки данных отключен или заражен программой-вымогателем.
Облачные решения для безопасности малого и среднего бизнеса
В то время как предприятия могут настаивать на использовании частного облака — интернет-эквивалента владения собственным офисным зданием или кампусом, — частные лица и малые предприятия должны использовать общедоступные облачные сервисы. Это все равно, что делить обслуживаемый офис или жить в многоквартирном доме с сотнями других арендаторов. Поэтому ваша безопасность должна быть в приоритете.
В приложениях для малого и среднего бизнеса вы обнаружите, что облачная безопасность в основном зависит от общедоступных поставщиков, которых вы используете.
Однако есть меры, которые вы можете предпринять, чтобы обезопасить себя:
- Сегментация данных с несколькими арендаторами: Компании должны быть уверены, что к их данным не смогут получить доступ никакие другие клиенты их облачных поставщиков. Независимо от того, размещены ли они на сегментированных серверах или тщательно зашифрованы, убедитесь, что приняты меры сегментации.
- Контроль доступа пользователей: Контроль разрешений может означать ограничение доступа пользователей до неудобного уровня. Тем не менее, использование ограничений и работа в обратном направлении для поиска баланса может быть намного безопаснее, чем позволить свободным разрешениям проникнуть в вашу сеть.
- Соответствие юридическим требованиям: Поддержание ваших данных в соответствии с международными нормами, такими как GDPR, имеет решающее значение, чтобы избежать крупных штрафов и ущерба для репутации. Убедитесь, что такие меры, как маскирование данных и классификация конфиденциальных данных, являются приоритетом для вашей организации.
- Тщательное масштабирование облачных систем: Благодаря быстрому внедрению облачных систем обязательно уделите время проверке систем вашей организации на безопасность, а не на удобство. Облачные сервисы могут быстро разрастись до уровня отсутствия регулирования.
Решения для корпоративной облачной безопасности
Поскольку облачные вычисления в настоящее время используются более чем 90% крупных предприятий, облачная безопасность является жизненно важной частью корпоративной кибербезопасности. Частные облачные сервисы и другая более дорогостоящая инфраструктура могут оказаться полезными для организаций корпоративного уровня. Тем не менее, вам все равно придется убедиться, что ваша внутренняя ИТ-инфраструктура обслуживает всю поверхность ваших сетей.
Для крупномасштабного корпоративного использования облачная безопасность может быть гораздо более гибкой, если вы сделаете некоторые инвестиции в свою инфраструктуру.
Следует помнить несколько ключевых моментов:
- Активно управляйте своими учетными записями и службами : Если вы больше не используете службу или программное обеспечение, закройте их должным образом. Хакеры могут получить легкий доступ ко всей облачной сети через старые, бездействующие учетные записи через незакрытые уязвимости.
- Многофакторная аутентификация (MFA): Это могут быть биометрические данные, такие как отпечатки пальцев, или пароль и отдельный код, отправленные на ваше мобильное устройство. Это отнимает много времени, но полезно для ваших наиболее конфиденциальных данных.
- Оцените рентабельность гибридного облака: Сегментация ваших данных гораздо важнее для корпоративного использования, так как вы будете обрабатывать гораздо большие объемы данных. Вы должны убедиться, что ваши данные отделены от данных других клиентов, независимо от того, зашифрованы ли они отдельно или логически сегментированы для отдельного хранения. Гибридные облачные сервисы могут помочь в этом.
- Остерегайтесь теневых ИТ: Очень важно научить своих сотрудников избегать использования несанкционированных облачных сервисов в ваших сетях или для работы в компании. Если конфиденциальные данные передаются по незащищенным каналам, ваша организация может быть подвержена злоумышленникам или юридическим проблемам.
Итак, независимо от того, являетесь ли вы индивидуальным пользователем, пользователем SMB или даже облачным пользователем корпоративного уровня, важно убедиться, что ваша сеть и устройства максимально защищены.