Ваши данные витают в облаках: в чем сложность обеспечения ИБ в облачных средах и как выбрать провайдера

Компании все чаще используют облачные инфраструктуры для своей работы. Облака обеспечивают вычислительную мощность, позволяют хранить данные и строить сложную инфраструктуру, экономя ресурсы и время. Но вместе с преимуществами облака можно получить серьезные риски информационной безопасности, если не знать, как ими управлять.

В этой статье мы рассмотрим особенности обеспечения информационной безопасности в облачных сервисах, сложности, связанные с этой спецификой, и дадим рекомендации, как выбрать провайдера облачных услуг.

Как обеспечивают облачную безопасность

Облачная безопасность — это комплекс мер, технологий и правил, направленных на защиту облачных вычислительных сред от киберугроз. Защита облачных систем обеспечивается с помощью средств контроля доступа, мониторинга событий, антивирусной защиты, шифрования данных, контроля и фильтрации трафика.

Евгений Тодышев

Руководитель направления «Безопасная разработка», УЦСБ

Все больше компаний задумается о переносе собственной инфраструктуры в публичные облака, надеясь получить:

• оптимизацию затрат на инфраструктуру;
• прозрачность расходов;
• быстрое внедрение новых технологий и проверку гипотез;
• простое управление.

Но на деле получают новые риски информационной безопасности, которыми необходимо как-то управлять. По исследованию международной компании Orca Security большое количество организаций уделяют недостаточное внимание безопасности своей облачной инфраструктуре. Так, по данным исследования больше 70% компаний имеют в инфраструктуре компоненты с известными уязвимостями, а часть из этих компонент являются устаревшими и «забытыми» администраторами и разработчиками, чем успешно пользуются злоумышленники.

Чтобы обеспечить высокий уровень защиты, провайдеры облачных услуг должны помнить не только о внешних угрозах, но и не забывать про внутренние. Необходимо контролировать действия собственных сотрудников, использовать средства управления доступом и проверять персонал.

Важно знать, что задача обеспечить облачную безопасность касается не только провайдера услуг, но и компании-заказчика. При пользовании услугами клауд-провайдеров необходимо договориться о зонах ответственности и проследить, чтобы все активы были защищены. 

Антон Грецкий

Директор по информационной безопасности компании ActiveCloud (ГК Softline)

Модель распределенной ответственности облачных вычислений также усложняет ситуацию, поскольку она разграничивает обязательства по безопасности между поставщиками облачных услуг и их клиентами, что часто приводит к путанице в отношении того, кто и какие аспекты облачной среды несет ответственность. Крайне важно, чтобы организации четко понимали модель распределенной ответственности для используемых ими облачных платформ и обеспечивали выполнение своей роли в обеспечении безопасности облачной среды.

Также важной составляющей стратегии защиты является обучение сотрудников как компании-клиента, так и поставщика облачных услуг. Сотрудники должны быть знакомы с правилами цифровой гигиены, выполнять внутренние правила кибербезопасности и знать, какие уловки используют злоумышленники.

В чем сложность защиты облачной инфраструктуры

Облачная инфраструктура имеет ряд особенностей: гибкость, масштабируемость, доступ к ресурсам компании в режиме реального времени из любой точки, независимо от устройства. Однако обратная сторона этих преимуществ — целый ряд сложностей, связанных с обеспечением безопасности.

Защищать облачный сервис может быть сложно из-за большого числа пользователей и устройств, удаленности, а также того факта, что одними ресурсами могут пользоваться множество разных организаций.

Алексей Осипов

Руководитель направления экспертного аудита, QSA-аудитор Compliance Control

Сложность защиты облачной инфраструктуры обусловлена тем, что облачные среды состоят из множества взаимосвязанных компонентов, включая виртуальные машины, хранилища данных, сетевые ресурсы и т. д. Это делает их более сложными для управления и защиты.

Также неправильная конфигурация облачных ресурсов может привести к уязвимостям, которые могут быть использованы злоумышленниками. А управление идентификацией пользователей в облачных средах с большим количеством пользователей и их доступом к ресурсам является сложной задачей.

Стоит помнить, что в облачных средах атаки на сетевом уровне и атаки на инфраструктуру поставщика услуг могут привести к серьезным последствиям, таким как утечка данных или отказ в обслуживании.

Традиционных подходов и мер защиты может оказаться недостаточно для обеспечения безопасности облачных инфраструктур. ИБ-специалистов, умеющих работать с облачными средами на высоком уровне, пока мало, а внедрение надежных мер безопасности в облаке является жизненно важным для обеспечения защиты и целостности данных. Поэтому компаниям стоит обратить внимание на дополнительное обучение своих сотрудников и повышение их квалификации.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

Основная сложность в защите облачных инфраструктур – это то, что специалисты по ИБ пытаются перенести свой опыт защиты традиционных инфраструктур для решения новых задач в лоб. И в лучше случае это выливается в ненужные траты, а в худшем – просто в дыры в безопасности. Поэтому и довольно серьезно стоит вопрос обучения таких специалистов новым подходам к защите информации в облачных средах.

Общие физические ресурсы — еще одна особенность облачных сред, которая осложняет их защиту. Ответственность за укрепление базовой инфраструктуры, на которой размещаются облачные сервисы, лежит на провайдерах. Именно они должны позаботиться о физической безопасности и предпринять все необходимые меры, в том числе контроль доступа к центрам обработки данных.

Михаил Хлебунов

Директор по продуктам Servicepipe

Защита облачной инфраструктуры становится особенно сложной, когда речь идет о виртуализации и контейнеризации, которые широко используются для гибкости и масштабируемости облачных сервисов. Эти технологии создают среду, где каждый клиент имеет своё виртуальное пространство, но при этом использует общие физические ресурсы. Это приводит к уязвимостям перед атаками, такими как DDoS, поскольку чрезмерное потребление ресурсов одним клиентом может негативно сказаться на других. Атака на одного клиента может потенциально затронуть общий гипервизор, что требует мер защиты на уровне виртуализации и изоляции процессов.

Рекомендации по выбору провайдера облачных услуг

Выбор провайдера необходимо начать с выявления потребностей и возможностей компании. Для начала определите, как вы планируете использовать облако, для каких целей, какой бюджет есть в вашем распоряжении. Учитывайте планы компании, чтобы выбрать облако, которое позволит масштабировать инфраструктуру. Затем — выберите модель, по которой компании будет удобно работать: инфраструктура как сервис (IaaS), платформа как сервис (PaaS) и программное обеспечение как сервис (SaaS).

Владимир Арышев

Эксперт по комплексным ИБ-проектам STEP LOGIC

Для выбора подходящего облачного провайдера необходимо тщательно проанализировать ряд ключевых факторов, включая продолжительность его работы на рынке, масштаб деятельности и территориальное расположение инфраструктуры.

Для обеспечения безопасности провайдером важно:

• Понять, как провайдер защищает доверенные ему данные. Чем больше потенциальных рисков безопасности он способен устранить, тем он более предпочтителен для размещения сервисов.
• Выяснить, какие технологии применяются для обеспечения изоляции данных одного клиента от другого. Изоляция может осуществляться на разных уровнях: физическом (инфраструктура и сети), логическом (уровень гипервизора, виртуальных сетей), а также на уровне управляемых сервисов, учетных записей и прав доступа. Критично, чтобы данные одного клиента не могли быть доступны другим пользователям или влиять на работу провайдера.
• Изучить, какие инциденты кибербезопасности имели место за время работы провайдера, и насколько успешно они были устранены.

Проверьте соблюдение стандартов безопасности провайдером. Убедитесь, что поставщик услуг следует стандарту ISO 27001 и имеет сертификаты на соответствие 152-ФЗ. Узнайте, как происходит шифрование данных в облаке, при помощи какого алгоритма, как организовано резервное копирование, какие меры ИБ внедрены провайдером.

Когда вы убедились, что провайдер облачных услуг подходит для задач вашей компании и гарантирует безопасность данных, можно обратить внимание, насколько устойчива работа сервиса. Проверьте историю сбоев провайдера и узнайте, как быстро он их устранял. 

Понимание и внедрение мер защиты информационной безопасности, а также правильный выбор провайдера облачных услуг позволит организациям обезопасить данные, минимизируя риски и обеспечивая устойчивость и развитие бизнеса.