Как обезопасить данные для разных типов облачных вычислений: SaaS, PaaS, IaaS

С каждым годом всё больше компаний переносят рабочие данные в облака: это удобно и позволяет оптимизировать процессы на предприятиях любого размера — от малого бизнеса до корпорации. По статистике Market Research Future, в 2024 году затраты на глобальном рынке облачной автоматизации достигли $10,26 млрд — это на 10% больше по сравнению с 2023-м. В зависимости от целей и задач выбор предприятий падает на разные типы облачных вычислений: SaaS (Software as a Service), PaaS (Platform as a Service) и IaaS (Infrastructure as a Service). Каждый тип предоставления сервиса требует разного подхода к безопасности, так как уровень контроля и ответственности за безопасность данных по-разному распределяется между поставщиком услуг и клиентом. Кирилл Рудик, главный архитектор по кибербезопасности Cloud X, рассказал, на что стоит обратить внимание для обеспечения безопасности облака.

Общие рекомендации

Независимо от типа облачных вычислений, компаниям, которые приняли решение перенести инфраструктуру в облачные сервисы, необходимо следовать нескольким общим правилам.

Перед началом работы важно удостовериться, что поставщик соответствует стандартам безопасности (например, требованиям по защите персональных данных). Найти данную информацию можно на официальном сайте облачного провайдера. Это один из базовых критериев, который будет актуален для всех типов облачных вычислений.

Также лучше заранее проверить, как поставщик выполняет резервное копирование данных и как быстро их можно восстановить — это поможет сориентироваться в ситуации с потерей данных. Тестирование восстановления помогает оценить, сколько времени потребуется на устранение последствий. Обычно такая информация представлена в пользовательском соглашении.

Мониторинг и аудит — неотъемлемая часть безопасности облака. Чем более детальный аудит действий пользователей предоставляет поставщик, тем больше шансов проанализировать инцидент безопасности. Журналирование всех действий пользователей и регулярная проверка журналов аудита на подозрительные действия — это важные профилактические меры по сокращению количества инцидентов.

Дополнительными маркерами зрелости поставщика облачных решений в направлении кибербезопасности являются скорость реакции поставщика в части устранения новых уязвимостей и обновления компонентов облачных сервисов, участие поставщика в программах поиска уязвимостей (багбаунти), открытость поставщика в вопросах доведения до клиентов информации по исправлению уязвимостей.

Однако проблемы с безопасностью данных могут быть не только на стороне поставщика облачных услуг. Согласно последним исследованиям, 48% случаев (2024 год) утечки данных происходили по вине сотрудников, 67% из которых, из-за ошибок и незнания базовых правил кибергигиены. Поэтому в компании необходимо выделять время для обучения сотрудников основам кибербезопасности — защите от фишинговых атак, использования сложных паролей и безопасных протоколов удалённого доступа, применение антивирусных решений и т.п.

Далее рассмотрим меры защиты со стороны клиента для различных типов облачных вычислений.

SaaS (Software as a Service)

В SaaS приложения полностью управляются поставщиком облачных услуг, а клиент использует их, например, через веб-интерфейс. Основная ответственность за безопасность данных лежит на поставщике, но клиент также должен принимать определённые меры предосторожности.

Аутентификация и управление доступом

Аутентификация и управление доступом — это фундаментальные меры защиты. Базовым методом аутентификации является пароль, который, в свою очередь, рекомендуется устанавливать через парольные политики (комплекс правил) и использовать сложные и тяжело подбираемые пароли — с цифрами, заглавными и строчными буквами.

Для обеспечения более качественной защиты можно установить многофакторную аутентификацию: MFA запрашивает не только имя пользователя и пароль, но и дополнительные данные для входа в аккаунт. Например, для получения доступа к программе нужно ввести SMS с указанного номера телефона или перейти по QR-коду с устройства, на котором вход уже выполнен.

Клиенту облачных услуг рекомендуется использовать механизмы разграничения входа, предлагаемые в SaaS, чтобы предоставить доступ к данным только тем сотрудникам, которым они нужны по работе.

Шифрование

В первую очередь стоит удостовериться, что поставщик декларирует шифрование данных при передаче (TLS) и при хранении. Для этого рекомендуется изучить документацию и соглашения и уделить особое внимание разделам, связанным с шифрованием. Дополнительной мерой защиты может являться сквозное шифрование данных на стороне клиента.

PaaS (Platform as a Service)

В PaaS клиент разрабатывает и развертывает приложения на базе платформы, предоставляемой поставщиком. В этой модели вся инфраструктура, включая сети, виртуальные машины, системы хранения, целиком управляется поставщиком. Поставщик отвечает за безопасность платформы, а клиент — за безопасность приложений, использующих PaaS-сервис, и данных.

Защита приложений

Необходимо следить за отсутствием уязвимостей, в разрабатываемых клиентом приложениях, реализовать в приложении надёжную подсистему разграничения и управления доступом. Обеспечить контролируемый сетевой доступ к приложениям и используемым ими PaaS сервисам. Для защиты приложений, имеющих WEB интерфейс, желательно дополнительно использовать специализированные решения —WAF, которые фильтруют и мониторят HTTP-трафик между веб-приложением и интернетом.

Аутентификация и управление доступом

Клиент, как правило, имеет возможность создавать учётные записи для PaaS-сервисов. Поэтому, если для аутентификации в PaaS-сервисе используются пароли, то нужно использовать только сложно подбираемые комбинации цифр и букв — как и в SaaS-сервисах. Это правило актуально всегда, независимо от типа сервиса. Обязательно используйте механизмы разграничения доступа, реализованные в сервисе, и старайтесь пользоваться принципом минимальных привилегий.

Шифрование

Если есть возможность, то лучше использовать сквозное шифрование данных на своей стороне. Важно обратить внимание на защищенные протоколы взаимодействия с PaaS-сервисом: TLS, HTTPS, SSH, SFTP и другие. Для защиты данных при хранении рекомендуется включать шифрование дисков виртуальных машин, используемых в инфраструктуре PaaS-сервиса.

IaaS (Infrastructure as a Service)

В IaaS клиент арендует виртуальные серверы, сети и хранилища, а поставщик отвечает за безопасность физической инфраструктуры и изоляцию виртуальной инфраструктуры от других клиентов. Клиент несет ответственность за безопасность операционных систем, приложений и данных.

Безопасность виртуальных машин

В отличие от SaaS и PaaS, в IaaS важно уделить внимание защите виртуальных машин. Для этого рекомендуется регулярно устанавливать обновления безопасности для используемых операционных систем и программного обеспечения. С целью контроля наличия уязвимостей и выявления ошибок конфигурирования, желательно использовать различные сканеры безопасности. Также рекомендуется использовать антивирусные средства на уровне операционной системы виртуальной машины. По возможности следует ограничивать сетевой доступ к виртуальным машинам только необходимыми сетевыми взаимодействиями за счёт использования групп безопасности (Security Groups). Это существенно ограничит возможности нарушителя при реализации атак.

Шифрование

Для защиты данных при хранении рекомендуется включать шифрование дисков виртуальных машин. Такой способ защиты позволяет хранить весь образ диска в зашифрованном виде и позволит митигировать риски, связанные с кражей оборудования облачного провайдера. Для защиты данных при организации взаимодействий с внешними системами, рекомендуется использовать средства криптографической защиты, позволяющее создавать VPN-каналы. Также можно применять другие защищенные протоколы передачи данных (SSH, TLS).

Аутентификация

Использование системы аутентификации по паролю для удалённого доступа к операционной системе виртуальной машины нежелательно, так для протокола SSH лучше использовать аутентификацию по ключу. В случае необходимости использования парольной аутентификации стоит применять только тяжело подбираемые комбинации, а сложность паролей устанавливать посредством конфигурирования парольной политики операционной системы. По возможности стоит использовать MFA для всех пользователей. Управление правами доступа пользователей должно происходить, опираясь на принцип минимальных привилегий. Также следует ограничить доступ к критическим ресурсам операционной системы.

Сетевая безопасность

На уровне сети следует использовать NGFW — то есть межсетевые экраны, которые, помимо обычных функций фильтрации трафика, включают в себя дополнительные возможности для повышения безопасности сети. Блокировка трафика выбранных приложений, контроль за действиями пользователей и предотвращение вторжений — это основные преимущества NGFW. Также желательно сегментировать сеть для изоляции критически важных систем.

Итог

Безопасность данных в облаке зависит от множества факторов, при этом в зависимости от выбранного типа облачных вычислений, клиент получает различные варианты распределения ответственности между ним и поставщиком услуг. При этом объём трудозатрат, на обеспечение безопасности продукта возрастает от минимальных, при использовании SaaS-сервиса, до максимальных, в случае с IaaS.

Использование разных типов облачных вычислений и перенос части ответственности на облачного провайдера позволяет снять часть забот об информационной безопасности, что позволяет специалистам клиента сконцентрироваться на вопросах развития функционала и качества своих продуктов.