Облачная безопасность: могут ли «облака» оказаться тучами для бизнеса?

Объем данных растет огромными темпами. Еще в 2008 году Gartner отметили облачные технологии как новый тип отношения между поставщиками ИТ-услуг и потребителями, переход от необходимости физических активов к модели «…-as-a-service». Сегодня же облачные данные окружают нас практически везде: от облачных хранилищ информации и услуг, до облачного гейминга и стриминговых сервисов.

Вместе с интеграцией облачных технологий в бизнес и повседневную жизнь, возросла необходимость в эффективных технологиях защиты. Ведь, фактически, одно «облако» – это огромный массив информации сразу о сотнях компаний и тысячах людей. Это направление получило название cloud security или безопасность облачных сервисов.

Александр Осипов

Директор по облачным платформам и инфраструктурным решениям МегаФона

Популярность облачных технологий активно растет, ими пользуются как крупные коммерческие, так и государственные заказчики. Это предъявляет высокие требования к облачным провайдерам в вопросах обеспечения информационной безопасности предлагаемых продуктов. Лучшая практика обеспечения высокого уровня безопасности облака и облачных сервисов – это когда провайдер регулярно проводит тесты на проникновение и сканирование на уязвимости, тем самым непрерывно совершенствуя технологии обеспечения информационной безопасности. Также важным является наличие широкой полки решений кибербезопасности, которые провайдер может предоставить клиенту в дополнение к облачной инфраструктуре.

В этой статье разобраны основные риски при работе с облачными сервисами, отличия защиты облачных ресурсов от других элементов инфраструктуры компании, лучшие практики и инструменты, которые помогают эффективно защищать «облака» от разного рода негативных факторов.

Как работают облачные сервисы

Прежде чем говорить о безопасности, стоит разобраться в общем описании взаимодействия пользователей и поставщиков услуг облачных сервисов. Это важно для понимания того, чтобы понять вероятную модель угроз в данном взаимодействии.

Роман Ламинин

Ведущий специалист по ИБ платформы корпоративных коммуникаций и мобильности eXpress

По сути любой облачный сервис – это некий ЦОД, физически расположенный в неизвестной локации. Компаниям приходится верить на слово, что хостер действительно его сертифицировал. Причем сделал это корректно, чтобы действительно обезопасить данные клиента, а не для галочки в рамках законодательства. Соответственно, специфика следующая – неприкосновенность железа (и данных на нем) никем не гарантирована.

ЦОД или data-центр – это физическое хранилище, на котором расположены софт и данные пользователей. С помощью каналов доступа компания может использовать его в бизнес-процессах, не прибегая к созданию физических хранилищ на «на производстве». Это позволяет избежать огромного количества финансовых издержек, связанных как с закупкой железа, так и с содержанием штата специалистов для его обслуживания.

В зависимости от модели поставки услуг, «облако» может быть оснащено софтом поставщика услуг или выступать «чистым листом», который компания заполняет самостоятельно. Первый вариант наиболее распространен в бизнесе, поскольку не требует ничего, кроме понимания интерфейса.

Булат Сафин

Руководитель Центра управления кибербезопасностью в компании ICL Services

Существуют разные подходы работы с облачными средами:

1) Software-as-a-Service (SaaS) дают пользователям доступ к приложениям, которые хранятся и запускаются на серверах поставщика. Примеры: Dropbox, Skype, Yandex mail.

2) Platform-as-a-Service (платформа как услуга, PaaS) позволяют клиенту разрабатывать свои приложения, которые могут быть запущены в различных сервисах, предоставляемых облачным провайдером.В этом случае Вы управляете своими приложениями, данными. Примеры: SQL, ElasticSearch, Devops Tools.

3) Infrastructure-as-a-Service (IaaS) позволяет размещать в «облаке» все вычислительные ресурсы, вплоть до операционной системы. Поставщик управляет только основными облачными службами. Примеры: Yandex cloud, Microsoft Azure, Google Compute Engine (GCE), Amazon Web Services (AWS).

В зависимости от выбранного подхода к работе с облачным сервисом вы устанавливаете зону ответственности Провайдера облачных услуг, принимаете на себя связанные с этим риски, совместно определяете SLA – доступность облачных ресурсов, compliance инфраструктуры провайдера, на которых строится сервис, доступность ресурсов, эффективность встроенных механизмов защиты.

Модель IaaS, в которой потребитель получает только чистую инфраструктуру для работы, наиболее часто используется IT-компаниями для разработки новых продуктов. PaaS тоже ориентирован на программистов, но предоставляет готовые, платформенные решения, «крайним» выражением которых стали конструкторы приложений (zero-code или low-code).

С точки зрения экономики все еще проще: компания вносит разовый или абонентский платеж, и получает за это услуги «из облака». Однако, эта модель в 2022 году дала серьезный сбой из-за геополитического фактора. Часть поставщиков такого рода услуг отказались выполнять свои обязательства из-за санкций, сложностей с оплатой или другими причинами.

Дарья Зубрицкая

Директор по маркетингу и коммуникациям компании Ракета, цифровой платформы по организации командировок и управлению расходами

Основным риском является прерывание в доступности такой инфраструктуры. Обычно такая инфраструктура не резервируется в нескольких облачных провайдерах. С данной проблемой столкнулись некоторые организации в этом году, когда иностранные компании одномоментно заблокировали ресурсы компаний, которые располагались у них. Также ваша облачная инфраструктура может пострадать при блокировке ресурсов Роскомнадзором, так как заблокированный ресурс может располагаться в том же сегменте облако что и ваша инфраструктура.

Что безопаснее: своя инфраструктура или облако?

В основе всех рисков, связанных с облачными сервисами, лежит доверие – ведь конечный потребитель, фактически, не владеет ни софтом, ни инфраструктурой, ни серверами – он просто получает «все блага» в формате готовых услуг. Как правило, это довольно чувствительная информация, от клиентской базы до финансовых показателей, от данных о продуктах до аналитических отчетов. Соответственно, возникает вопрос: а насколько это вообще безопасно.

Георгий Джабиев

Коммерческий директор T1 Cloud

Раньше бытовал миф о том, о что размещать компоненты информационных систем в облаке небезопасно, но он уже достаточно давно развенчан.

Дело в том, что облачные элементы инфраструктуры, как правило, более защищены по сравнению с локальными. Для них актуальны одни и те же угрозы, но у ответственного облачного провайдера большая из них профессионально нейтрализована на уровне облачной платформы as designed. Это и физическая безопасность, и периметровая сетевая безопасность, и эшелонированная защита, и резервное копирование, и восстановление, и оперативное устранение актуальных уязвимостей. Разумеется, мы говорим про ответственных облачных провайдеров, серьезно относящихся к кибербезопасности и, как следствие, имеющих необходимые сертификаты и аттестаты по безопасности, в том числе информационной.

Если говорить о российских облачных сервисах, то у них просто нет возможности игнорировать фактор безопасности. В первую очередь потому их инфраструктура содержит данные огромного количества компаний, а значит – привлекательны как для обычных хакеров, так и для «новомодных» хактивистов.

Обеспечить сходный уровень защиты личных ресурсов одной компании труднее просто потому, что это слишком дорого для большинства организаций. Нужно не только создать саму инфраструктуру, которая будет обеспечивать бизнес-процессы, но и закупить для нее защитный софт, нанять специалиста для работы с ним, либо обратиться к поставщику облачных услуг безопасности.

Роман Денисенко

Старший инженер по тестированию компании ITentika

Специфика заключается в том, что в случае облаков мы делегируем часть вопросов безопасности на сторону облачного вендора. В этом случае безопасность решения будет зависеть от двух составляющих: от того, насколько мы корректно произведем настройку безопасности предоставленной инфраструктуры, и насколько обеспечивает безопасность той части настроек, которая нам недоступна, сам вендор.

Большинство облачных вендоров ставят вопросы безопасности во главу угла. На мой взгляд, наиболее узким местом в облачной инфраструктуре является пользовательские настройки предоставленных мощностей.

Важно понимать, что рынок облачных услуг в России динамично развивается по меньшей мере последние пять лет. Он достаточно зрел для того, чтобы пользоваться защитными инструментами просто из тех соображений, что без них он не сможет стабильно работать из-за тех же постоянных DDoS-атак.

Однако, важно сказать, что уровень безопасности у всех сервисов может разниться по двум основным причинам. Первая – это личное желание сервиса заниматься безопасностью своей инфраструктуры, следить за репутацией и отношением клиентов. Вторая – это объективная специфика сервиса. Например, уровень безопасности любой SaaS-платформы любого направления, с большой вероятностью, будет отличаться от уровня безопасности SecааS-платформ.

Актуальные проблемы и риски безопасности облачных сервисов

Если говорить о систематических проблемах безопасности облачных сервисов, то важно упомянуть слабую (или устаревшую) законодательную базу, в которой нет однозначной трактовки вопросов, связанных с облачными технологиями.

Из этого, например, вытекает искаженное понимание зон ответственности. Провайдера редко интересует все, что выходит за пределы его ресурса – а значит безопасность соединения и конечных устройств, средств входа, лежит на плечах клиента. Но это не всегда очевидно тем организациям, где нет штатных специалистов по кибербезопасности или, хотя бы, сетевого администратора.

Александр Иванников

Директор mClouds

В 2022 году значительный рост атак на инфраструктуру облачных провайдеров пришелся на DDoS-атаки, как в количественном выражении, так и в качественном. Особенно он усилился после изменений в геополитике, а рост к 2021 году составлял уже десятки процентов. Большинство облачных провайдеров сейчас имеют защиту от DDoS-атак, однако не все провайдеры работают с автоматизированным режимом очистки и фильтрации трафика, который может значительно повысить устойчивость и скорость реагирования веб-ресурсов к атакам, сокращая время простоя от атак для клиентов провайдеров. Мы в mClouds считаем, что именно постоянно работающие системы очистки трафика от DDoS-атак, являются ключевой рекомендацией для защиты каналов провайдеров от паразитного трафика.

Важно также сказать о планомерном росте хакерской активности в сетях. С ростом популярности облачных сервисов они стали интересной, с точки зрения потенциальных приобретений, целью для злоумышленников, поскольку хакер при успешном взломе одной системы получает доступ к ресурсам сразу сотен компаний. В этом году проблема дополнительно обострилась резким всплеском хакерского активизма.

Артур Салахутдинов

Менеджер по развитию облачных сервисов UserGate

Текущая динамика указывает на все возрастающую ценность и популярность облачных сервисов, а это означает как необходимость складывания лучших практик – в отношении которых мы находимся еще в самом начале пути: как и доработки действующего российского законодательства – для четкого разграничения ответственности между владельцами и пользователями облаков так и создания такого доверенного инструмента, который можно было бы разделить между провайдером, пользователем и независимым аудитором или судебным экспертом.

Если же говорить не про уже недоступные мировые, а отечественные лучшие практики, то к ним можно было бы отнести, во-первых, создание и делегирование от владельца сервиса конечному пользователю инструмента установления полной прозрачности текущего состояния безопасности облака, а во-вторых – быстрый realtime-аудит, который позволял бы делать срез по различным метрикам. Оба этих направления предстоит развивать и здесь поможет только практика.

Второй аспект, в отличие от активности хакеров, стал для ряда компаний «черным лебедем», поскольку в тот факт, что часть иностранных компаний могут в одностороннем порядке уйти с российского рынка, мало кто прогнозировал.

Исходя из проблем, можно вывести и ряд наиболее актуальных рисков, проработке и «закрытию» которых клиентам облачных сервисов стоит уделить наибольшее внимание в данный момент.

Александр Буравцов

Директор по безопасности МойОфис

Среди наиболее актуальных рисков информационной безопасности для облачных элементов инфраструктуры в первую очередь необходимо выделить следующие:

— риски отказа в обслуживании. В случае проведения атак на отказ в обслуживании на элементы внешнего периметра организации, а также в случае активного использования облачных элементов инфраструктуры, кратно возрастают риски нарушения работоспособности инфраструктуры в целом;

— риски ошибок конфигурации. В случае некорректно настроенных конфигураций у поставщиков облачных сервисов увеличиваются риски для клиентов, в силу того, что данные клиентов находятся «близко друг к другу»;

— юридические риски. В силу необходимости выполнения требований законодательства по КИИ и/или ПДн для многих потребителей облачных услуг возникают дополнительные риски от групп с повышенными привилегиями, обслуживающих элементы облачной инфраструктуры.

С точки зрения конкретных технологий защиты облачных серверов российский рынок, с одной стороны, нельзя назвать насыщенным, поскольку аналогов некоторых инструментов просто нет в данный момент. С другой стороны, существует множество смежных решений, которые помогают решать те или иные проблемы безопасности и, как минимум, создать все необходимые условия «со стороны клиента».

Практики защиты облачных ресурсов

На данном этапе нельзя сказать, что безопасность облачных сервисов – это главная метрика для компании при принятии решения о подключении к той или иной платформе. Бизнес, в большей степени, интересуют такие критерии, как эффективность, экономическая целесообразность и удобство. Однако, все это справедливо ровно до того момента, пока данные компании не были похищены из этого самого облака. А риски такого события, того самого превращения « облака» в тучу проблем и судебных тяжб с клиентами, в этом году возросли.

Внедрение инструментов кибербезопасности – это один из наиболее надежных способов:

• получить доверие со стороны пользователей;
• защитить инфраструктуру от киберинцидентов, от банального DDoS до развития APT-атаки.

Василий Сарычев

Ведущий менеджер по продуктовому маркетингу, «Лаборатория Касперского»

Согласно Flexera State of the Cloud Report, 2021 г., сегодня 46% организаций хранят как минимум часть своих данных в публичном облаке, их число продолжает расти, а самые крупные из них тратят миллионы рублей и долларов на облачные сервисы.

Если не защищать все слои стека в разы возрастает вероятность утечки конфиденциальных данных, атак через протоколы SSH/RDP, эксплуатации уязвимостей API или сторонней инфраструктуры, а также использования злоумышленниками ваших систем в преступных целях.

На мой взгляд, лучше отдавать предпочтение продуктам, которые разработаны специально для многоуровневой защиты гибридных и облачных сред и проактивно противодействуют большинству кибератак, в том числе вредоносному ПО, фишингу, шифровальщикам и другим угрозам. Решение должно обеспечивать безопасность цифровой трансформации и миграции в облако без лишних расходов и дополнительных настроек. Но при этом иметь возможность адаптироваться к меняющимся потребностям бизнеса.

Инфраструктура должна быть прозрачной, наряду с этим необходимо оптимизировать процессы администрирования за счет их централизации, чтобы управлять всей инфраструктурой из единой консоли и не тратить рабочее время на переключение между различными окнами. И наконец, удобная инвентаризация облачной инфраструктуры и автоматизированное развертывание средств безопасности в удаленном режиме.

 Если говорить о лучших практиках защиты облачных сервисов с точки зрения поставщиков услуг, то важно понимать, что речь не только о конкретных системах и ИБ-инструментах, речь о подходах и организации. Это те самые регламенты выявления и реагирования на инциденты, практики безопасной разработки, политика обновлений и бэкапов.

Очевидно, что если разработка выстроена на принципах SSDLC, то и сама инфраструктура будет априорно более устойчива, даже без инструментов кибербезопасности.

Владимир Арышев

Эксперт по комплексным ИБ-проектам STEP LOGIC

Необходимо выстроить комплексную систему защиты, отталкиваясь от нюансов реализации конкретных облачных сервисов, механизмов взаимодействия и обрабатываемой в облаке информации. В общем случае необходимо отсечь массовые атаки путем внедрения средств защиты от DDoS и безопасности сети Secure Access Service Edge (SASE). Защититься от более «интеллектуальных» атак позволят средства защиты веб-приложений Web Application Firewall (WAF), баз данных Database Firewall (DBF) и системы класса Container Security, обеспечивающие полноценную защиту контейнерных сред. Разграничить доступ поможет система управления доступом Identity & Access Management (IAM) и система сетевого доступа с «нулевым доверием» Zero Trust Network Access (ZTNA).

Если же говорить о конкретных решениях для защиты облачных сред, то, даже в условиях ухода иностранных вендоров, на рынке достаточно решений для разных классов, которые могут обеспечить высокий уровень защиты. И есть все основания полагать, что освободившуюся нишу ушедших специфических решений вскоре освоят российские вендоры.