Платформы облачной безопасности

С линейным ростом количества атак на критическую информационную инфраструктуру, в том числе на информационные системы в облаках, из раза в раз возникает серьезный вопрос о том, чего же опять не хватает для правильно, гармонично выстроенной и надежной системы защиты. Сегодня в нашей статье остановимся поподробнее на фреймворках облачной безопасности.

Выбрать раздел:

1. Что такое облачные вычисления?

2. Проблемы внедрения платформ облачной безопасности

3. Популярные платформы

Облачные вычисления (Cloud Computing) – это технология, которая позволяет любому человеку (организации) получить удаленный доступ к высокопроизводительному вычислительному оборудованию и услугам без необходимости приобретения физической инфраструктуры. Основное преимущество облачных вычислений заключается в том, что они оплачиваются только по мере использования предоставляемых услуг. Облако обеспечивает гибкость, масштабируемость и экономичное средство управления ИТ-ресурсами. Согласно прогнозам, в ближайшие 2-3 года мировой рынок облачных вычислений превысит 800 млрд долларов США.

Однако, использование облачных вычислений вызывает опасения в вопросах обеспечения безопасности. Компании сталкиваются с серьезными проблемами при поддержании конфиденциальности, целостности и доступности своих данных и приложений в облачных средах. Недостаточная облачная безопасность обычно приводит к уязвимостям, несанкционированному доступу, утечкам данных, значительному ущербу для организации и утрате доверия потребителей к бренду.

Для защиты облачной инфраструктуры разрабатываются платформы (фреймворки) облачной безопасности (Cloud Security Framework, CSF), которые представляют собой набор правил, стандартов и рекомендаций, необходимых организациям для защиты своих облачных сред от угроз безопасности. В их основе лежат политики, инструменты, параметры и процедуры необходимые для управления и обеспечения безопасности облачной инфраструктуры. Они помогают организациям выявлять, получать доступ и снижать риски, предоставляя системный механизм управления угрозами безопасности облачных вычислений.

При этом внедрение CSF сопряжено с рядом проблем реализации, связанных с меняющимися ландшафтами угроз и комплексным характером облачных экосистем, а именно:

– Сложностью объединения – организации часто испытывают затруднения с бесшовной интеграцией облачных платформ безопасности в существующую ИТ-инфраструктуру, что приводит к проблемам совместимости и появлению избыточных элементов управления.

– Распределением активов – ограниченные человеческие и финансовые ресурсы могут препятствовать эффективному внедрению предполагают, что организации должны тщательно распределять свои средства для решения критически важных задач управления безопасностью.

– Моделью взаимной ответственности – поставщики облачных услуг (Cloud Service Providers, CSP) и пользователи разделяют обязанности по обеспечению безопасности. Распределение ролей и полномочий может привести к неопределенности и пробелам в реализации предоставляемых сервисов.

– Соответствием нормам и правилам – обеспечение соблюдения отраслевых требований и законов о защите данных усложняет процесс внедрения, подчеркивая необходимость адаптации рамочных программ к конкретным стандартам.

– Быстро меняющимися условиями – облачные среды динамичны и масштабируемы, что затрудняет непрерывный мониторинг и адаптацию к системам управления. Автоматизация и обнаружение угроз в режиме реального времени жизненно важны для обеспечения безопасности.

В настоящее время широко распространены следующие фреймворки облачной безопасности:

– COBIT 5 (Control Objectives for Information and Related Technology);

– NIST SP800-144;

– ISO/IEC 27017:2015;

– Федеральная программа управления рисками и авторизацией США (Federal Risk and Authorization Management Program, FedRAMP);

– AWS Well-Architected Framework;

– Программа Альянса облачной безопасности «Безопасность, Доверие, Гарантии и Риски» (Cloud Security Alliance Security Trust Assurance and Risk (CSA STAR);

– Руководство по безопасности Альянса облачной безопасности;

– Матрица управления облаком (Cloud Controls Matrix, CCM) от Альянса облачной безопасности;

– Руководство ENISA по облачной безопасности;

– Рекомендации Центра управления интернет-безопасностью (Center for Internet Security, CIS) по обеспечению безопасности облачных сред.

Между тем наиболее активно из них используются пять платформ:

1. COBIT 5 (Control Objectives for Information and Related Technology) является методологией управления ИТ в организациях. Разработана международной Ассоциацией аудита и контроля информационных систем (Information System Audit and Control Association, ISACA).

Фреймворк предоставляет рекомендации по определению ролей, обязанностей и элементов управления, необходимых для обеспечения безопасного внедрения облака. Изначально платформа не была создана специально для облачной безопасности, между тем она представляет собой полный набор принципов и практик, которые могут быть использованы для успешного регулирования и защиты систем облачных вычислений, предоставляя организациям возможности по руководству, контролю и управлению рисками облачных служб и обеспечению их безопасности.

- Обеспечивает комплексный подход к контролю и обеспечению безопасности в облаке, охватывающий руководство, управление рисками и оценку производительности, а также предоставляет полную платформу для методичного и интегрированного управления безопасностью облака.

- Подчеркивает риск-ориентированный подход к управлению облаком и обеспечению безопасности. Помогает компаниям выявлять и оценивать риски, связанные с облачными сервисами, безопасностью данных и соответствием нормативным требованиям, правильно распределять ресурсы и расставлять приоритеты в мероприятиях по снижению угроз.

- Соответствует отраслевым стандартам, структурам и законам, что позволяет организациям удовлетворять потребности согласно требованиям. В нем содержатся рекомендации по применению лучших практик из таких стандартов, как ISO 27001, NIST Cybersecurity Framework и GDPR. Такое согласование облегчает реализацию единой и эффективной программы контроля и обеспечения качества.

- Предоставляет набор заданных целей управления, ориентированных на облачные настройки. Управление доступом, защита данных, реагирование на инциденты и управление поставщиками являются одними из важных задач контроля и служат руководством для внедрения политик облачной безопасности.

- Непрерывно совершенствует культуру развития в области управления облаком. Помогает предприятиям оценивать свою систему контроля, измерять производительность и выявлять возможности для улучшения. Эта итеративная стратегия помогает организациям адаптироваться к меняющимся условиям облачной безопасности и постоянно совершенствовать свою среду управления.

- Для реализации контроля и обеспечения облачной безопасности требуется полное понимание фреймворка и его компонентов. Это может представлять определенные сложности для организаций с ограниченными ресурсами или техническими знаниями. Для правильного использования преимуществ платформы может потребоваться соответствующее обучение и помощь.

- COBIT 5 предоставляет широкую структуру, которая должна быть настроена в соответствии с индивидуальными потребностями организации и облачной средой. Конфигурация платформы в соответствии с конкретными потребностями и поставщиками облачных услуг требует больше усилий и навыков.

- Фреймворк дает рекомендации по операциям контроля и обеспечения, но не пропагандирует конкретные инструменты или технологии. Организации должны полагаться на внешние источники или опыт для выбора и развертывания соответствующих облачных систем администрирования и обеспечения качества.

- Облачные среды динамичны и постоянно меняются. Платформа может нуждаться в регулярном обновлении и корректировке с учетом новых технологий, возникающих рисков и меняющихся нормативных требований. Организации должны идти в ногу со временем, чтобы поддерживать актуальность своих методов контроля и обеспечения достоверности.

2. Платформа NIST SP 800-144 создана Национальным институтом стандартов и технологий США (National Institute of Standards and Technology, NIST). Это специализированная публикация (документ), посвященная облачной безопасности и предоставляющая глубокое понимание угроз, уязвимостей и рисков, связанных с облаком. В ней представлен всесторонний обзор проблем безопасности, связанных с облачными сервисами, а также полный набор концепций, правил, решений и практических рекомендации по снижению рисков безопасности облачной среды. Эта концепция пользуется большим уважением и применяется в сфере кибербезопасности. При этом важно отметить сильные и слабые стороны платформы.

- Концепция NIST хорошо известна и принята в области кибербезопасности. Она обеспечивает полный и организованный подход к облачной безопасности, включая оценку рисков, средства управления безопасностью, реагирование на инциденты и непрерывный мониторинг. Основываясь на отзывах специалистов отрасли и меняющихся проблемах безопасности, фреймворк постоянно обновляется и оптимизируется.

- Платформа способна адаптироваться к облачным настройкам и потребностям различных организаций. Это позволяет предприятиям настраивать средства управления безопасностью в соответствии со своими индивидуальными и нормативными требованиями, а также разрабатывать меры безопасности, приспособленные к собственной облачной архитектуре и бизнес-деятельности.

- NIST SP 800-144 не зависит от поставщика, концентрируясь на основных принципах безопасности и конфиденциальности, которые организации должны учитывать при внедрении общедоступных облачных сервисов. Это дает возможность использовать рекомендации независимо от выбранного поставщика облачных услуг, что повышает гибкость и применимость.

- Платформа содержит практические советы и рекомендации по защите общедоступных облачных систем, настройке элементов управления безопасностью, анализу возможностей безопасности поставщика облачных услуг и соблюдению нормативных требований. Это помогает организациям преобразовывать рекомендации в практические шаги по повышению безопасности облака.

- Ландшафт угроз облачной безопасности постоянно меняется. Несмотря на регулярное обновление, структура NIST не всегда может соответствовать современным развивающимися рискам. Чтобы успешно справляться с этими проблемами, предприятия должны дополнить инфраструктуру NIST непрерывным мониторингом, информацией об угрозах и отраслевой безопасностью.

- NIST SP 800-144 имеет ограниченный охват иностранных стандартов и правил, поскольку он в первую очередь предназначен для правительственных организаций США и не может полностью соответствовать международным стандартам и правилам. Организациям, работающим в различных странах мира, может потребоваться рассмотреть дополнительные нормативно-правовые базы и нормы, характерные для региона, в котором они осуществляют свою деятельность.

3. Стандарт ISO/IEC 27017:2015 был создан Международной организацией по стандартизации (International Organization for Standardization, ISO) как часть серии стандартов ISO 27000 для решения конкретных проблем безопасности, связанных с облачными вычислениями. Он основан на более крупном стандарте ISO 27001, который определяет критерии внедрения системы управления информационной безопасности. Стандарт ISO/IEC 27017:2015 специально адаптирует эти критерии для поставщиков облачных услуг и клиентов, предоставляя дополнительные рекомендации и средства контроля для повышения безопасности облака. Кроме того, в нем содержатся рекомендации по средствам управления информационной безопасностью, относящимся к использованию облачных сервисов, предоставляя дальнейшие инструкции по внедрению 37 элементов управления, перечисленных в ISO/IEC 27002, а также семи дополнительных элементов управления, связанных с облаком.

- Стандарт ISO/IEC 27017:2015 помогает предприятиям защитить свои информационные активы в среде облачных вычислений.

- Обеспечивает соблюдение законов, нормативных актов, местных правил и единых рекомендаций для разных стран, что облегчает ведение бизнеса на глобальном уровне и позволяет получить доступ в качестве приоритетного поставщика.

- ISO/IEC 27017:2015 обеспечивает снижение вероятности возникновения проблем с безопасностью данных.

- Позволяет уменьшить потребность в избыточных элементах управления.

- Устанавливает требования к дополнительным средствам контроля безопасности для облака, а также к специальным средствам управления для облачных сервисов.

- Содержит руководство по внедрению специальных средств управления и дополнительную информацию по снижению рисков, связанных как с техническими, так и с эксплуатационными характеристиками облачных сервисов.

4. CSA STAR – реестр безопасности, доверия, гарантий и рисков (Security, Trust, and Assurance Registry) предоставляет комплексную основу для оценки состояния безопасности поставщиков облачных услуг. Создан Альянсом облачной безопасности (Cloud Security Alliance, CSA) в кооперации с Британским институтом стандартов (British Standards Institution).

Платформа ориентирована на защиту облачных систем и данных от несанкционированного доступа, утечки информации и других угроз безопасности. Цель фреймворка – повысить открытость, подотчетность и доверие в облачной среде. Он предлагает подробную анкету, которая оценивает средства управления безопасностью, соответствие требованиям и общее управление рисками. Кроме того, поощряются сторонние аудиты и сертификация, необходимые для улучшения обеспечения защищенности облака. Организации могут использовать CSA STAR для оценки и сравнения различных поставщиков облачных услуг, прежде чем принимать обоснованные решения.

- CSA STAR предоставляет стандартизированный набор целей и критериев контроля, которые организации могут использовать для оценки и сравнения различных поставщиков облачных услуг.

- Поощряет поставщиков услуг связи предоставлять подробную информацию о своей безопасности, методах обработки данных и соответствии нормативным требованиям. Таким образом, клиенты могут принимать обоснованные решения при покупке и использовании облачных сервисов.

- Платформа CSA STAR предоставляет операторам связи механизм сертификации для подтверждения соответствия принципам безопасности CSA. Эта аккредитация дает клиентам уверенность в безопасности выбранных ими облачных сервисов.

- Концепция CSA STAR разрабатывается в сотрудничестве между отраслевыми экспертами, гарантируя, что она содержит разнообразные точки зрения и опыт. Это способствует разработке комплексной и надежной платформы для устранения многочисленных рисков безопасности в облачных вычислениях.

- Методология CSA STAR основана на самооценке поставщиков облачных услуг. Несмотря на то, что операторам связи настоятельно рекомендуется предоставлять точную и полную информацию, система не дает никаких гарантий в отношении качества или полноты предоставляемой информации. Клиенты должны проявлять осторожность и проверять обещания, предоставляемые провайдерами облачных сервисов.

- Фреймворк CSA STAR может недостаточно эффективно решать проблемы безопасности, связанные с разработкой «нишевых» (специфических) облачных сервисов. По мере развития технологий могут возникать новые проблемы безопасности, которые явно не рассматриваются в этой структуре.

- Соблюдение поставщиками облачных услуг (Cloud Service Providers, CSP) требований платформы CSA STAR является полностью добровольным. Несмотря на то, что фреймворк способствует открытости и наилучшему развитию, в нем отсутствуют нормативно-правовые меры принуждения. Организации должны оценить надежность обещаний CSP и принять дополнительные меры безопасности в зависимости от своих индивидуальных потребностей.

5. Платформа AWS Well-Architected Framework предлагает структурированный подход к проектированию безопасной и оптимизированной инфраструктуры Amazon Web Services и помогает облачным архитекторам создавать отказоустойчивую, безопасную, высокопроизводительную и эффективную инфраструктуру для приложений. В ней излагаются фундаментальные идеи и лучшие практики для разработки безопасных, высокопроизводительных, надежных и эффективных систем на AWS (Amazon Web Services – коммерческое публичное облако, поддерживаемое и развиваемое компанией Amazon). Следуя этой платформе, организации могут гарантировать, что их облачные архитектуры соответствуют рекомендациям по безопасности и производительности.

Фреймворк основан на пяти принципах (требованиях):

- Обслуживание и сопровождение (Operational Excellence). Ориентирован на эксплуатацию и мониторинг систем с целью постоянного совершенствования процессов и процедур.

- Надежность (Reliability). Направлен на предотвращение сбоев и быстрое восстановление в случае их возникновения.

- Безопасность (Security). Обеспечивает способность защиты данных, систем и активов.

- Высокая производительность (Performance Efficiency). Направлен на эффективное использование вычислительных и IT-ресурсов.

- Оптимизация затрат (Cost Optimization). Направлен на минимизацию расходов.

- Платформа включает в себя набор проверенных рекомендаций по созданию, развертыванию и запуску приложений на AWS. Следование этим предписаниям поможет улучшить общую архитектуру, безопасность, надежность, производительность и экономическую эффективность системы.

- Фреймворк помогает компаниям выявлять возможные риски и уязвимости в облачной архитектуре. Устраняя эти угрозы на раннем этапе, организация может повысить безопасность, установить соответствие требованиям и улучшить отказоустойчивость систем, сводя к минимуму вероятность нарушений безопасности, простоев или проблем с производительностью.

- Пункт «Эффективность производительности» посвящен оптимизации работоспособности приложений. Можно повысить оперативность реагирования, масштабируемость и производительность систем, используя лучшие практики, такие как автоматическое масштабирование, кэширование и эффективное хранение данных.

- Фреймворк делает акцент на операционной эффективности, позволяя организациям оптимизировать свои процедуры и рабочие процессы. Можно повысить надежность системы и сократить ручную работу, объединив средства автоматизации, мониторинга и реагирования на инциденты.

- Следуя рекомендациям платформы, можно создавать приложения с высокой масштабируемостью и гибкостью, позволяя им справляться с переменными рабочими нагрузками и адаптироваться к меняющимся бизнес-требованиям.

- AWS Service Alignment: Well-Architected Framework совместима с различными сервисами, функциями и технологиями AWS. С помощью фреймворка можно создавать мощные, масштабируемые и экономически эффективные решения, используя широкий спектр сервисов AWS.

- Внедрение Well-Architected Framework может быть связано с необходимостью обучения сотрудников, не знакомых с AWS или облачной архитектурой. Чтобы понять и использовать все преимущества, необходимо пройти обучение и повысить квалификацию.

- Фреймворк настоятельно рекомендует использовать сервисы AWS, что может привести к привязке к поставщику. Организации рискуют оказаться чрезмерно зависимы от услуг AWS, что затруднит переход к другим облачным провайдерам, если это будет необходимо.

- Проведение анализа и оценки с учетом особенностей архитектуры Well-Architected может занять много времени и ресурсов. Это требует сбора и анализа данных, оценки конфигурации и внедрения преобразований, что зачастую является сложной задачей для организаций.

Таким образом, данные платформы используются для повышения безопасности поставщиков облачных услуг и их клиентов. Они широко известны и применяются в самых разных секторах. Организации задействуют их для анализа состояния защищенности провайдеров облачных сервисов, пересмотра собственных процедур безопасности и создания доверительных отношений с клиентами и заинтересованными сторонами. Соответствие известным фреймворкам способствует выработке общего языка и знания стандартов облачной безопасности.

#ит #облачныетехнологии #информационнаябезопасность