Верю — не верю: 5 мифов о безопасности облачных сред

Несмотря на то, что облака достаточно давно появились и широко используются, к облачным сервисам сохраняется недоверие. Существует много заблуждений относительно надежности и безопасности облачных сервисов, провайдеров услуг и киберрисков. В статье разберем основные мифы, связанные с защитой облаков.

Что подразумевается под безопасностью облака

При работе с облачными сервисами пользователи получают доступ удаленно. С одной стороны такой формат работы имеет множество преимуществ, с другой — появляются новые риски. Традиционные способы защиты инфраструктуры, которые фокусируются на корпоративном периметре и физических серверах, для защиты облака не подходят.

Безопасность облака включает в себя целый комплекс мероприятий, технологий и правил, цель которых — защитить инфраструктуру, данные, приложения и сервисы. Это охватывает как физическую безопасность центров обработки данных (ЦОД), так и цифровую безопасность передаваемых и хранимых данных.

Виталий Фомин

Руководитель группы аналитиков по информационной безопасности Лиги Цифровой Экономики

Традиционные способы защиты ИТ-инфраструктуры сосредоточены на физической стороне сервисов, что недостаточно для обеспечения полноценной безопасности облаков. Облачные сервисы часто используют многоуровневую архитектуру, где массивы информации распределены по различным серверам и центрам обработки данных. Такая рассредоточенность и возможность удаленного доступа создает дополнительные уязвимости и усложняет управление безопасностью. Помимо этого, одной облачной средой может пользоваться большое количество людей, причем с разных устройств. Это затрудняет контроль доступа и мониторинг уязвимостей, поэтому необходимо тщательно обеспечивать защиту всех соединений и компонентов сети.

Провайдеры нередко разделяют физические серверы и хранилища данных между несколькими клиентами, что повышает риск утечек. Многие компании отдают предпочтение аутсорсингу облачных услуг, то есть становятся зависимы от провайдера и его сервиса. Если подрядчик не обеспечивает необходимый уровень конфиденциальности и безопасности облака, у компании могут возникнуть серьезные проблемы.

Для безопасности облака используют различные решения: от шифрования данных и многофакторной аутентификации до настройки строгих политик управления доступом и резервного копирования.

Заблуждения об облачной безопасности

Облачные решения предоставляют организациям множество преимуществ. Например, позволяют снизить капитальные затраты, уменьшить операционные расходы, масштабироваться, быстро развертывать и тестировать новые приложения и сервисы и многое другое. Однако из-за сомнений в безопасности и распространенных мифов, компании могут не решаться на переход в облака.

Миф 1: Данные в облаке доступны всем

Существует заблуждение, что доступ к данным, размещенным в облаке, может легко получить кто угодно. Это неверно. В облачных системах используются строгие политики управления доступом: только авторизованные пользователи с соответствующими правами могут получать доступ к данным. Кроме того, предотвратить несанкционированный доступ помогают многофакторная аутентификация, шифрование и регулярные проверки учетных записей.

Евгений Баклушин

Автор блога BESSEC, независимый эксперт

Основное заблуждение, что облака менее безопасны, чем локальные системы, а все данные общедоступны. Конечно же, это не так. Все зависит от качества проработки архитектуры обеспечения ИБ и практической реализации мер. Облако, для которого эти вопросы качественно проработаны, может дать огромную фору в плане безопасности локальным системам. Также есть и сторонники абсолютно противоположной точки зрения, что облако – по умолчанию максимальная безопасность. Это тоже неверно. Дело не в самой технологии, в реализации принципов обеспечения ИБ.

Миф 2: Провайдер полностью отвечает за безопасность в облаке

Используя облачные сервисы, компании должны четко понимать, что провайдер не несет 100% ответственность за безопасность. Существует модель распределенной ответственности облачных вычислений, которая разграничивает обязательства по безопасности между поставщиками облачных услуг и их клиентами.

Важно, чтобы в начале сотрудничества заказчик и поставщик облачных услуг разграничили ответственность, договорились и четко понимали, кто за что отвечает. Ответственность регулируется соглашением SLA и NDA. Со своей стороны облачные провайдеры обязаны соблюдать различные международные и местные нормативные акты, такие как GDPR, HIPAA, SOC 2 и другие, требующие соблюдения строгих стандартов защиты данных и конфиденциальности. Но и компании, использующей облачную платформу, необходимо понимать модель распределенной ответственности и выполнять свою роль в обеспечении безопасности. 

Максим Кошелев

Старший бизнес-аналитик практики кибербезопасности ТеДо Безопасность облачных сервисов

Другой распространенный миф — это убеждение, что вся ответственность за безопасность в облаке лежит на провайдере. Некоторые компании считают, что, передавая свои данные в облако, они автоматически освобождаются от всех вопросов безопасности. Однако в модели разделения ответственности часть обязательств всегда лежит на потребителе, включая управление доступом, шифрование данных и тому подобное.

Миф 3: Данные компани в облаке больше ей не принадлежат

Компании всегда остаются владельцами своих данных, даже когда они хранятся в облаке. Это подтверждается различными соглашениями об уровне обслуживания (SLA) и договорами с облачными провайдерами. Кроме того, компании имеют полный контроль над своими данными, включая возможность их удаления, изменения и экспорта. Они могут принимать решения о том, как и где эти данные будут использоваться.

Владимир Миняйцев

Руководитель команды инфраструктурной безопасности МТС Web Services

Есть заблуждение, что компании теряют контроль над своими данными, когда размещают их в облаке. Это не всегда так: современные облачные платформы предлагают обширные инструменты мониторинга, управления доступом и контроля над конфигурацией, что позволяет пользователям оставаться в курсе и контролировать безопасность.

С помощью инструментов безопасности, предоставляемых облачными провайдерами, а также собственных средств, компания может поддерживать высокий уровень контроля над данными. Более того, облачные провайдеры часто предлагают автоматизированные средства для мониторинга и быстрого обнаружения аномалий, что способствует улучшению управления безопасностью.

Миф 4: Облачный провайдер не сможет сохранить данные

Облачные провайдеры заключают соглашения с клиентами, в которых прописаны обязательства по защите данных и меры безопасности. Эти соглашения включают обязательства по конфиденциальности и защите данных, что ограничивает доступ к ним только уполномоченными лицами.

Никита Машутин

Team Lead DevOps SkyDNS

Самый распространенный миф среди безопасников — большая вероятность потери данных облачным провайдером. На самом деле облака сейчас достаточно отказоустойчивы в плане инфраструктуры, и зачастую имеют дополнительные источники питания в случае сбоев. Ну а мир уже давно научился делать резервные копии данных, что помогает их реанимировать.

Миф 5: Похитить данные из облака проще, чем из изнутри организации

Заблуждение о том, что похитить данные из облака проще, чем изнутри компании, основывается на том, что при передаче данных через интернет, возникает риск их перехвата. Но современные облачные сервисы используют шифрование как для данных в состоянии покоя, так и при их передаче. Это обеспечивает защиту информации от перехвата и несанкционированного доступа. Без ключа шифрования злоумышленники не смогут получить доступ к данным даже при их перехвате.

Эксперты по безопасности считают, что решение сконцентрировать данные в облаке и организовать их защиту может быть более выгодным, особенно для небольших компаний с незрелой ИБ. В таком случае облако – более безопасная и контролируемая среду по сравнению с офисной.

Дмитрий Хомутов

Директор компании Ideco

Также считается, что похитить данные из облака проще, чем изнутри компании. Но большая часть утечек происходит не на стороне провайдера, а из-за сотрудников компании, которые уже имеют прямой доступ к информации, хранящейся в виртуальном пространстве. 54% ИБ-специалистов считают, что сотрудники организаций намеренно «сливали» данные, при этом 28% инцидентов происходили не специально. В основном происходят утечки персональных данных — 59%, и 31% приходится на коммерческие тайны.

Никакие системы безопасности, новейшие технологии и решения не сделают облачную инфраструктуру действительно безопасной, если сотрудники компании нарушают допустимые правила кибербезопасности.

Заключение

Заблуждения о безопасности облачных сред могут значительно влиять на восприятие и использование этих технологий. Например, распространенные заблуждения, такие как доступность данных всем, отсутствие контроля над данными и ненадежность облачных систем. На самом деле, данные в облаке защищены шифрованием, строгими политиками доступа и непрерывным мониторингом, что делает их доступными только уполномоченным пользователям.

Важно понимать, что современные облачные инфраструктуры обеспечивают высокий уровень защиты данных, соответствующий строгим нормативным требованиям и стандартам. Облачные провайдеры соблюдают многочисленные нормативные акты, что гарантирует защиту конфиденциальной информации и соответствие высоким стандартам безопасности. Таким образом, осознавая реальность, компании могут уверенно переходить на облачные технологии, пользуясь всеми их преимуществами без опасений за безопасность своих данных.