Всего эксперты Cloud Security Alliance обозначили 7 категорий рисков ИБ: неправомерное использование облачных сервисов, незащищенные API, деятельность сотрудников компании — поставщика услуг, уязвимости разделяемой среды, потеря или утечка данных, кража учетных данных, неизвестные и не выявленные риски.
Неправомерное использование облачных сервисов связано с несовершенством механизмов регистрации и аутентификации пользователей, что дает возможность как использования соответствующих ресурсов без оплаты услуг, так и возможность использования их для противоправной деятельности (размещение управляющих центров зомби-сетей, рассылка спама, атаки, размещение вредоносного кода, обхода механизмов защиты и т. д.). По мнению экспертов, наиболее уязвимы сервисы IaaS и PaaS. В качестве мер противодействия рекомендуется вводить строгие правила начальной регистрации, использовать средства мониторинга и анализа сетевого трафика клиентов, отслеживать информацию фрод-мониторинга платежных систем и публичных черных списков IP-адресов.
Уязвимости в API обычно связаны с их доработкой поставщиками услуг. Это делается для того, чтобы предоставлять дополнительные сервисы, но побочным эффектом является повышение сложности API и различным рискам. Этот риск касается всех типов сервисов, включая SaaS, IaaS и PaaS. В качестве мер противодействия рекомендуется применять такие средства как анализ подходов обеспечения безопасности программных интерфейсов, обеспечение строгой аутентификации и контроля доступа, применение средств шифрования трафика, а также анализ цепочек зависимостей, связанных с API.
Деятельность сотрудников компании-поставщика услуг также может представлять угрозу. Это связано с сосредоточением в одном месте множества ИТ-сервисов, работающих под единым управлением в интересах различных заказчиков, причем процессы и процедуры поставщика часто непрозрачны для его заказчиков. При этом персонал имеет полный доступ к данным и прочим ресурсам поставщика, что создает риск несанкционированного доступа, причем обнаружить его может оказаться сложно или даже вовсе невозможно. Данный риск также касается всех типов сервисов, включая SaaS, IaaS и PaaS. В качестве контрольных мер рекомендуется провести детальную оценку уровня обеспечения безопасности в компании-поставщике в контексте вопросов, связанных с персоналом, внести требования к персоналу в договор обслуживания, требовать от поставщика предоставления всей актуальной информации о подходах и практиках корпоративного управления и соответствия требованиям.
Риски, связанные с условиями разделяемой среды связаны с тем, что не всегда возможно обеспечить надежную изоляцию сред, принадлежащих разным клиентам. Данная уязвимость касается IaaS сервисов. В качестве контрольных мер рекомендуется осуществлять инсталляцию и конфигурирование в соответствие с лучшими практиками, внедрить средства мониторинга, позволяющие выявлять несанкционированную активность, использовать средства строгой аутентификации и контроля доступа, внести в договоры положения, регламентирующие своевременную установку обновлений и исправлений ПО, регулярно проводить сканирование на наличие уязвимостей и анализ конфигураций.
Потеря данных может быть связана с ошибками персонала (как заказчика, так и поставщика), использованием ненадежных накопителей и носителей, вследствие утраты ключа шифрования, а также вследствие ненадежности оборудования ЦОД или отсутствия процедур аварийного восстановления. Наиболее вероятной причиной утечки данных являются несанкционированный доступ, в результате нарушения порядка вывода из эксплуатации носителей информации, а также вследствие политических рисков. Данные уязвимости характерны для всех классов сервисов. В качестве контрольных мер рекомендуется контролировать доступ к API, шифровать данные и контролировать их целостность при передаче, анализировать средства защиты данных как на этапе проектирования, так и в ходе эксплуатации, требовать от поставщика неукоснительного соблюдения регламентов уничтожения информации при выводе оборудования из эксплуатации, а также определить порядок резервного копирования данных.
Кража учетных данных может произойти вследствие мошенничества, с использованием фишинга, вредоносного ПО, а также при реализации уязвимостей в оборудовании и ПО. В качестве контрольных мер рекомендуется не допускать использования общих учетных записей, использовать средства многофакторной аутентификации, вести мониторинг несанкционированной активности, анализировать политики безопасности поставщика.
Неизвестные риски связаны с тем, что клиент не обладает полной информацией об облачной среде, и, следовательно, не обладает всей полнотой информации о рисках информационной безопасности. В качестве контрольных мер рекомендуется требовать от поставщика информации об инфраструктуре, включая версии ПО, наличие средств защиты, данных журналов, внедрение средств мониторинга событий и управления инцидентами.