Сегодня мы предлагаем рассмотреть мировой опыт в сфере обеспечения сохранности данных клиентов в облаке. Ведь количество киберугроз во всем мире не просто увеличивается — одновременно повышается их качество.
Согласно результатам исследования Gartner, 80% всех утечек информации из облака обусловлены неправильной конфигурацией или внутренними проблемами компании, а не уязвимостью провайдера. Поэтому ИТ-организациям необходимо обратить внимание на внутренние бизнес-процессы и обучение персонала основам безопасности.
Сегодня 64% компаний считают облачную инфраструктуру более безопасной, но при этом 75% предпринимают дополнительные защитные меры. Например, 61% клиентов прибегают к шифрованию данных, 52% ведут политику управления идентификацией и доступом к информационным системам, а 48% — проводят регулярные проверки систем.
Однако злоумышленникам не так важно, где именно находятся данные: на виртуальных или реальных машинах, их цель — получить доступ любой ценой. Поэтому для защиты данных в облаке можно использовать те же средства, что и в дата-центре компании. Эксперты выделяют три основных направления безопасности: шифрование данных, ограничение доступа к данным и возможность их восстановления в случае аварийной ситуации.
Кроме того, специалисты советуют внимательнее отнестись к API. Открытые и незащищенные интерфейсы могут стать слабым звеном в защите данных и главной причиной уязвимости облачных платформ.
Аналитика и машинное обучение
В качестве решения проблемы можно обратить внимание на средства ИИ. Использование фреймворков искусственного интеллекта и машинного обучения для автоматизации защиты данных заключается в упрощении выполнения рутинных задач. Однако в скором времени они будут применяться для обеспечения безопасности в публичных и частных облачных инфраструктурах.
Примером такого подхода сегодня является проект с открытым кодом MineMeld, который позволяет использовать данные об угрозах, полученные из внешних источников, для формирования политик безопасности с автоматическим изменением конфигураций. Такое решение позволяет учитывать специфические потребности конкретной компании. Другой пример — продукт Gurucul Cloud Analytics Platform, использующий поведенческую аналитику и машинное обучение для выявления внешних и внутренних угроз.
Шифрование
Вице-президент Forrester Research Андрас Шер (Andras Cser) уверен, что шифровать абсолютно все данные не имеет смысла. Для обеспечения безопасности должна быть введена определенная политика, для составления которой можно привлекать специалистов. Необходимо выяснить, какие данные находятся в облаке, куда идет трафик, а уже потом решать, какую информацию стоит шифровать.
До усиления мер безопасности нелишним будет просчитать их целесообразность: например, сравнить стоимость введения таких мер и возможные потери от утечки информации. Кроме того, следует проанализировать, как шифрование или управление доступом и идентификацией пользователей повлияет на производительность системы.
Защита данных может осуществляться на нескольких уровнях. Например, все данные, которые пользователи отправляют в облако, могут шифроваться с помощью алгоритма AES, обеспечивающего анонимность и безопасность. Следующий уровень защиты — шифрование данных в облачном сервере хранения. Облачные провайдеры также часто используют несколько дата-центров для хранения данных, что положительно сказывается на целостности информации.
Несколько рекомендаций по шифрованию данных в облаке вы можете найти здесь и в этой теме на Stack Exchange.
Мониторинг инфраструктуры
Мы уже рассказывали о том, какое оборудование используется в наших центрах. При миграции в облако многие клиенты сталкиваются с необходимостью внедрения новой стратегии обеспечения безопасности, поскольку приходится изменять настройки брандмауэров и виртуальных сетей.
Согласно исследованию, проведенному аналитической компанией SANS, у клиентов вызывают опасения уязвимость систем предотвращения несанкционированного доступа (68%), уязвимость приложений (64%), заражение вредоносными программами (61%), социальная инженерия и несоблюдение правил безопасности (59%) и внутренние угрозы (53%).
При этом Чандра Секар (Chandra Sekar), старший директор по маркетингу в Illumio, считает, что злоумышленники почти всегда смогут найти способ взломать систему. Поэтому основная задача — сделать так, чтобы атака не распространилась на другие уязвимые звенья цепи. Это возможно, если система безопасности блокирует несанкционированное взаимодействие между рабочими нагрузками и предотвращает нелегитимные запросы на подключение.
На рынке есть множество продуктов для мониторинга инфраструктуры дата-центров, например, линейка Cisco предоставляет ИТ-менеджерам возможность получить полное представление о сетевой активности. Можно не только видеть, кто подключается к сети, но и устанавливать правила для пользователей: что конкретные люди могут делать, и какие права доступа у них есть.
Автоматизация
Еще один подход, способный повысить надежность дата-центра, — интеграция систем безопасности с практиками DevOps. Это позволяет ускорить темпы развертывания приложений и внедрения изменений. Адаптивная архитектура безопасности обеспечивает интеграцию с инструментами автоматизации и управления, делая изменения настроек безопасности частью процесса непрерывного развертывания.
В облачной инфраструктуре безопасность больше не рассматривается отдельно от разработки и развертывания и становится неотъемлемой частью непрерывной интеграции и непрерывного развертывания (CI/CD). Это могут обеспечивать такие инструменты, как плагин Jenkins, с которым проверка кода и безопасности становится стандартным шагом для гарантии качества.
Другие вендоры предлагают DevOps-инструменты для тестирования и мониторинга безопасности: например, решение SAST используются для анализа исходного кода приложения в статическом состоянии и выявления уязвимости в системе безопасности, а решение DAST — для обнаружения возможных уязвимостей в системе безопасности во время работы приложения. Несколько решений для DAST и SAST можно найти в этой теме на Stack Exchange.
Главное, не откладывать вопросы защищенности в долгий ящик. Раньше безопасностью продукта часто занималась отдельная команда. Но такой подход увеличивал время работы над продуктом и не мог гарантировать устранение всех уязвимостей. Сегодня интеграция безопасности происходит не только на практике, появились специальные термины — DevOpsSec, DevSecOps или SecDevOPs.
По мнению главного технического директора по облачным технологиям и SaaS в Intel Джейми Тисчарта (Jamie Tischart), между этими терминами есть существенная разница — расположение части «Sec» отображает значимость безопасности. И правильным, с точки зрения применения на практике, является вариант SecDevSecOpsSec. Думать о безопасности нужно на всех этапах создания любого продукта, в том числе и облачной инфраструктуры.
P.S. Наши другие материалы по теме безопасности и работы дата-центров:
- Технологии охлаждения дата-центров
- Мифы об облачных технологиях. Часть 3: Говорим о железе
- Зачем покупать SSL-сертификат