IT / Статьи
информбезопасность экспертная колонка
1.3.2022

Разделяй и контролируй

Как минимизировать риски при использовании публичных облаков

При эксплуатации общедоступных cloud-сервисов возникают сложности в обеспечении безопасности данных, так как информация находится в трудноконтролируемой многоуровневой среде. О том, как правильно разделить ответственность между поставщиком облачных услуг и клиентом, RSpectr рассказал ведущий эксперт по решениям информационной безопасности Softline Николай Спирихин.

 

ПОПУЛЯРИЗАЦИЯ CLOUD-СЕРВИСОВ

Под влиянием пандемии и с переходом на удаленную работу наиболее популярным решением для компаний стало публичное облако – общедоступный облачный сервис, предоставляемый для большого числа клиентов на виртуально разделяемой и однотипной инфраструктуре. Основные преимущества заключаются в снижении затрат на обслуживание и высокой скорости подключения пользователей.

Специалисты знают, насколько сложно организовать полноценный контроль корпоративных данных, с которыми взаимодействует большое количество персонала. Раньше сотрудники работали внутри локального периметра сетевой инфраструктуры при наличии собственных средств обеспечения информбезопасности (ИБ). Сегодня мобильные пользователи подключаются к облачным ресурсам и тем самым обходят стандартные средства защиты, осуществляют документооборот и неконтролируемо работают с данными.

Неизвестно, какие удаленные сотрудники подключаются к облачным ресурсам организации, поэтому необходимо обеспечивать контроль доступа и мониторинг соединений. Так, вместо персонала компании может подключиться злоумышленник и загрузить на cloud-сервис вредоносное ПО. Тогда остальные пользователи, работающие с теми же ресурсами, скачают опасный файл. Произойдет быстрое распространение вируса по рабочим станциям, серверам и сетевой инфраструктуре клиента.

Еще одна проблематика для компаний заключается в сложности выявления зон ответственности при использовании cloud-сервисов. Для публичных, частных и гибридных облаков важно распределение обязанностей.

Сложно обозначить границы и зоны, на которые можно влиять при выстраивании системы безопасности для обеспечения защиты корпоративных данных, конфиденциальной информации

Это особенно актуально для облачных сервисов. В зависимости от модели многие ресурсы и приложения граничат между собой на одних вычислительных мощностях, предоставляемых сервис-провайдером.

Поэтому обеспечение ИБ при работе с облаками требует детального и гранулированного подхода для определения границ обрабатываемой информации и использования тех средств защиты, которые могут организовать ИБ в зависимости от модели сервисов, применяемой в организации.

 

ОБЛАЧНАЯ БЕЗОПАСНОСТЬ

Поставщик cloud-услуг и клиент разделяют между собой ответственность по обеспечению ИБ, которая состоит из трех категорий:

  • лежащая на поставщике;
  • лежащая на клиенте;
  • зависящая от модели предоставления сервиса.

В зависимости от потребностей клиент может выбрать одну из трех различных сервисных моделей:

  • IaaS (Infrastructure-as-a-Service, инфраструктура как услуга);
  • PaaS (Platform-as-a-Service, платформа как сервис);
  • SaaS (Software-as-a-Service; программное обеспечение как сервис).

Как правило, в зоне ответственности поставщика находятся обязанности, связанные с защитой самой инфраструктуры и доступа к ней. А также патч-менеджмент, контроль уязвимостей, настройка физических хостов, сети, систем хранения данных и других ресурсов.

Клиенты несут ответственность за оценку средств управления безопасностью, назначенных им в профилях управления облачной инфраструктурой. Как представлено на рисунке ниже, область распределения обязанностей включает в себя компоненты в зоне ответственности заказчика и CSP (Cloud Service Provider), используемые для предоставления и применения облачным сервисом. Понимание общей эффективности мер безопасности имеет ключевое значение для определения и управления рисками, с которыми может столкнуться организация клиента.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

РИСКИ ПРИ РАБОТЕ С ЧУВСТВИТЕЛЬНОЙ ИНФОРМАЦИЕЙ

Организации, использующие публичные облака, сталкиваются с рядом трудностей.

Увеличенная поверхность атаки

Cloud-среда привлекательна для злоумышленника. Хакеру интересны общедоступные порты, нарушение рабочих нагрузок и критичность обрабатываемых данных. Вредоносное ПО, загруженное в облако, быстро распространяется. При этом те средства защиты, которые предоставляет сервис-провайдер, не всегда будут в его зоне ответственности. Тем самым необходимо рассматривать решения по обеспечению безопасности, которые применимы к конкретным облачным сервисам.

Отсутствие инструментов мониторинга

В сервисной модели IaaS у провайдера есть полный контроль над уровнем инфраструктуры, который не раскрывается клиентам. Отсутствие видимости и надзора еще больше усиливается в PaaS и SaaS. Организации, пользующиеся облачными сервисами, не могут в достаточной мере идентифицировать активы, количество подключаемых пользователей и оценить обрабатываемую информацию. Рекомендуется для обеспечения минимальных мер применять средства двухфакторной аутентификации и брокеры безопасного cloud-доступа, позволяющие осуществлять нативный мониторинг активности подключаемых пользователей.

Постоянно меняющиеся рабочие нагрузки

Эволюция вычислительных возможностей не стоит на месте. Традиционные средства обеспечения безопасности неспособны применять политики защиты в такой гибкой и динамичной среде с постоянно меняющимися рабочими нагрузками. Рост обрабатываемой информации и вычислений увеличивает поверхность атаки и накладывает определенные риски с уровня на уровень. Необходимо более детально оценить архитектуру используемых микросервисов и сформировать модель базового поведенческого состояния на уровне приложений для возможности идентификации отклонений и аномалий в процессе автоматизированного функционирования.

DevOps, DevSecOps и автоматизация

Организации, внедрившие DevOps-практики* CI/CD (непрерывные интеграция и поставка), должны убедиться, что соответствующие меры безопасности идентифицированы и встроены в код и шаблоны на ранних этапах цикла разработки. Необходимо обратить внимание на динамику и рабочие нагрузки облаков. Изменения, связанные с защитой данных, реализованные после того, как нагрузка была развернута в трудовой среде, могут не только подорвать состояние безопасности организации, но и увеличить время выхода на рынок.

Контроль привилегированных пользователей

Часто роли предоставляются свободно, что расширяет варианты атак для злоумышленников. Необходимо обеспечить мониторинг и контроль привилегированных пользователей на внесение изменений и доступ к определенным административным функциям приложений.

Публичное облако – сложная среда

Управление безопасностью в открытом облаке требует комплекса мер для обеспечения полноценной системы ИБ

Так как необходимо интегрировать поставщиков и локальные среды, включая защиту сетевого периметра для географически распределенных организаций и их дочерних филиальных подразделений.

Соответствие требованиям облачных сред

Ведущие cloud-провайдеры выполняют условия известных программ аккредитации. Однако клиенты также несут ответственность за соответствие рабочих нагрузок и процессов обработки данных. Учитывая недостаток в видимости, а также динамику облачной среды, процесс аудита может стать невыполнимым. Например, если не используются инструменты для непрерывной проверки уведомления об ИБ-инцидентах и некорректных конфигурациях в режиме реального времени.

Варианты обеспечения контролируемого доступа

Крупные облачные провайдеры (Amazon Web Services, AWS, Microsoft Azure и Google Cloud Platform, GCP) предлагают множество собственных сервисов и служб безопасности. Дополнительные сторонние решения также необходимы для защиты клиента от взлома, утечки данных, сложных и целенаправленных угроз в cloud-среде. Только интегрированный облачный или сторонний стек безопасности обеспечивает централизованную видимость и детальный контроль на основе политик, необходимых для реализации следующих лучших практик:

1. Обеспечение контроля, аутентификации и управления доступом (Authentication, Identity and Access Management, IAM).
2. Управление безопасностью облачных сред по модели «нулевого доверия» (Zero-trust cloud network security).
3. Управление изменениями и обновлениями ПО (Change management and software updates).
4. Использование межсетевого экрана веб-приложений (Web-application firewall, WAF).
5. Применение средств защиты данных (Data protection).
6. Обогащение данными об угрозах (Threat Intelligence).

Публичные облака обладают рядом преимуществ для пользователей. Они обеспечивают доступ к корпоративной информации за пределами периметра организации, характеризируются фиксированной стоимостью в зависимости от требуемых вычислительных ресурсов.

При этом особую роль играет защита данных. Важно придерживаться правил безопасности, чтобы безбоязненно подключаться и полноценно использовать предоставляемые ресурсы. Но даже несмотря на все риски, публичные облака будут широко востребованы на IТ-рынке в ближайшие пять лет.

*Методология DevOps (разработчики – Dev и группа эксплуатации – Ops) направлена на улучшение взаимодействия между специалистами для более оперативной разработки приложений.

Изображения: RSpectr, Adobe Stock

ЕЩЕ ПО ТЕМЕ:

Облачная броня
На что обратить внимание при защите систем и данных


Еще по теме

Как налоговый мониторинг влияет на эффективность бизнеса

Российский рынок интернета вещей ожидает двукратный рост в ближайшие три года

Как эффективно провести автоматизацию учетных функций

Крупные платформы предлагают делиться компетенциями под присмотром регулятора

ИБ-компании констатируют повышенный спрос на свои разработки со стороны финансовых организаций

Каковы перспективы российских платформ Bug Bounty

Индустриальный сектор повышает эффективность за счет решений интернета вещей

Правительство поможет компаниям в закупке оборудования для хранения и обработки данных

Как меняется спрос и предложение на рынке digital-специалистов

Что будет с информбезопасностью после президентского указа о создании антихакерских подразделений на предприятиях

Три причины роста цен на IT-услуги

Есть ли перспективы у тестировщиков ПО в России

Где и как виртуальные помощники могут обучать сотрудников компаний

Готовы ли компании перейти на внедрение программных продуктов отечественного производства

Что думают производители инженерного софта о будущей платформе