По данным организации по защите облачных технологий Alert Logic, угрозы безопасности публичных облачных сервисов постоянно растут, а количество взломов по всему миру с каждым годом увеличивается на 45%. Как подсчитала Forrester Research, в ближайшие пять лет компании потратят 2 млрд долл. США на укрепление защиты облачной среды.
Новые потребители облачных технологий подвержены наибольшему риску просто из-за незнания этой среды, а также потому, что помимо всего прочего им приходится осваивать новые способы управления пользователями, данными и безопасностью.
Перечислим пять обязательных требований по обеспечению безопасности, которые необходимо выполнить, прежде чем приступать к работе.
1. Знание составляющих облачной среды
Существуют три основных сегмента развертывания облачной среды — поставщик облачных технологий, поставщик сетевых услуг и предприятие. Поскольку облако следует рассматривать как расширение центра обработки данных предприятия, возникает вопрос: можно ли ко всем трем сегментам применить общий набор политик и услуг безопасности? Каковы в системе безопасности слабые места?
При выборе поставщика облачных технологий спросите, какие сервисы по обеспечению безопасности он предоставляет и с какими поставщиками таких услуг работает. Облако — это изменяющаяся среда, и чтобы сохранять защищенность от новых угроз, ей необходимы постоянные обновления в архитектуре системы безопасности. Как поставщик облачных технологий обеспечивает защиту от новых эксплойтов и уязвимостей нулевого дня?
Также выясните расположение границ общих моделей безопасности, которые поставляются вместе с облачными службами. Узнайте, какова степень ответственности поставщика облачных технологий и какую ответственность в этом отношении несёте вы. В некоторых моделях предоставления облачных сервисов, таких как IaaS, обеспечение безопасности приложений и данных в облаке ложится в основном на поставщика. Возможности заказчика при этом сильно ограничены. Поэтому важно знать, какие средства обеспечения безопасности и продукты каких производителей предлагает выбранный поставщик облачных технологий и какие из них можно развертывать в облаке.
2. Новые приложения — новые меры обеспечения безопасности
Вы готовы переместить приложение в облако? Прежде чем сделать это, подумайте о том, чтобы добавить новые способы защиты к тем мерам обеспечения безопасности, которые уже существуют и используются в процессах входа и проверки подлинности в приложении.
Чтобы защитить доступ к облачному приложению, необходима подробная схема доступа к данным. Это можно сделать, привязав права доступа к ролям, должностям в компании и проектам. Такой шаг создаст дополнительный уровень защиты от кражи учетных данных сотрудников.
Защита от кражи учетных данных может показаться элементарным вопросом, но, скажем, альянс Cloud Security выяснил, что эта традиционная уязвимость остается самой распространенной угрозой для пользователей облачной среды. Для защиты процесса входа в систему следует рассмотреть реализацию двухэтапной проверки подлинности: проверка состояния и использование одноразовых паролей. Эффективным методом является требование смены идентификационных данных пользователя при первом входе в систему.
3. Шифрование
Шифрование данных является одним из главных способов защиты в облачной среде. Когда речь идет о передаче файлов и сообщений электронной почты, этот вопрос не подлежит обсуждению. Хотя такая мера не спасает от попыток взлома или кражи данных, она вполне может защитить ваш бизнес и избавить организацию от крупных штрафов, если вдруг возникнет эта неприятная ситуация.
Спросите поставщика облачных технологий об алгоритмах шифрования. Узнайте, как выполняется шифрование данных при их хранении, использовании и передаче. Чтобы понять, какие данные должны быть зашифрованы, необходимо разобраться, где они будут храниться: на серверах поставщика облачных технологий, на серверах сторонних компаний, на ПК или ноутбуках сотрудников, на USB-накопителях…
4. Борьба с угрозами в виртуальной среде
Переход на облачные технологии позволяет компаниям воспользоваться преимуществами виртуализации, но в виртуализированной среде могут возникать сложности с защитой данных. Основная проблема связана с управлением безопасностью и трафиком в мультитенантной среде и на виртуальных машинах.
Физические инструменты обеспечения безопасности обычно не предназначены для обработки данных в облаке. Здесь используются виртуальные средства, призванные обеспечить безопасность трафика между виртуальными машинами. Такие средства предназначены для работы в сложных условиях, когда запущено несколько экземпляров приложений, или в мультитенантной среде.
Поэтому они предоставляют компаниям инструменты для точного управления безопасностью данных в облаке. Спросите поставщика облачных технологий, как осуществляется защита виртуальной среды, и выясните, какие виртуальные средства обеспечения безопасности используются. В случае создания собственного частного или гибридного облака подумайте о том, чтобы приобрести продукты для обеспечения безопасности в виртуальной среде, ориентированные на детальное управление.
5. Не забывайте о теневых ИТ
Множество отчетов указывает на то, что в компаниях растет использование несакнционированных приложений и облачных служб, — теневых ИТ. Неуправляемый характер этого явления создает проблемы в области безопасности и риск потери управления.
Это представляет угрозу для нового облачного приложения. Рассмотрим простой сценарий, когда ваши сотрудники открывают файлы на своих смартфонах. Вполне вероятно, что телефон сохраняет копию этого файла. Когда на телефоне запустится запланированное автоматическое резервное копирование, копия может быть отправлена в неодобренное (и недоверенное) интернет-хранилище. В результате ваши защищенные данные попадут в незащищенное место.
Ограничение доступа к теневым ИТ вряд ли остановит их распространение в организации. Более эффективным будет обучение пользователей и применение технологий для управления этим вопросом. Шифрование, мониторинг сети и инструменты управления безопасностью помогут защитить ваше первое облачное приложение от угроз, связанных с теневыми ИТ.
Поставщики услуг в России также прекрасно понимают проблему защиты пользователей в облачной среде. Например, уже сейчас компания «Ростелеком» активно предлагает своим абонентам управляемые услуги по обеспечению безопасности на базе ведущего производителя соответствующих решений Fortinet и планирует расширить спектр этих сервисов облачным вариантом, в котором программные межсетевые экраны интегрированы с гипервизорами и позволяют защищать приложения в облаке. При этом решение по желанию клиента может масштабироваться за счёт мгновенного разворачивания новых виртуальных брандмауэров.