Как обеспечить безопасность в облаке

В статье руководитель отдела информационной безопасности Linxdatacenter, Георгий Беляков, рассказывает, в чем заключается основной ИБ-риск перехода в облако для бизнеса, какие существуют методы профилактики и как облако для ИБ-задач работает на практике.

Как обеспечить безопасность в облаке

С ростом популярности облаков появляются новые «узкие места» в отношении ИБ. Важно понимать ряд моментов по инфобезу в рамках отношений вашей компании с провайдерами cloud-решения.

Чья ответственность?

Основной ИБ-риск перехода в облако для бизнеса заключается в административно-организационном просчете. Нередко при заключении договора с провайдером заказчик ошибочно полагает, что после миграции в облако или приобретения ресурсов в нем – все вопросы по инфобезу автоматически переходят в ведение специалистов провайдера.

Но это не так!

Например, любой облачный сервис по модели IaaS предполагает ответственность провайдера только до уровня физической безопасности серверов и ПО для виртуализации ресурсов «железа». То есть, не дальше уровня гипервизора.

Все, что выше этого уровня: операционная система (ОС), виртуальные машины (ВМ) и приложения, а также сеть и все настройки – в вашем ведении. Провайдер облаков как правило не имеет никакого доступа к ИТ-системам заказчиков, если это отдельно не оговорено соответствующими пунктами договора.

Это важнейший момент, поскольку львиная доля ИБ-инцидентов в облаках случается из-за отношения клиента: «мы думали, что теперь это не наша забота». Открытые «на весь интернет» IP-адреса ВМ и формальный пароль доступа к консоли управления не раз становились причиной заметных инцидентов.

Еще один момент, приводящий к инцидентам и утечкам – уверенность бизнеса в 100%-ных гарантиях защиты от ИБ-инцидентов по самому факту приобретения защищенного облачного продукта или сервиса. Увы, такой уровень безопасности сегодня гарантировать не может никто ни в одной ИТ-среде, включая облака.

Методы профилактики

Как смягчить риски и предотвратить возможные последствия их реализации на практике?

Главное – обеспечить адекватную коммуникацию между специалистами облачного провайдера и вашей командой. Все потенциальные недопонимания, которые могут привести к появлению «бесхозных» участков в ИТ-периметре, должны тщательно отслеживаться и устраняться.

Здесь огромную роль играют каналы связи между сторонами, по которым все вопросы оперативно получают исчерпывающие ответы. Их роль особенно важна на первом этапе сотрудничества.

Далее, провайдер должен как можно подробнее и понятнее разъяснить вам как клиенту всю специфику приобретаемых сервисов и продуктов в облаке именно с точки зрения ИБ.

Третий момент: ваша компания должна разработать и реализовывать весь спектр мер по обеспечению защиты ИТ-систем вне зависимости от вовлечения внешнего провайдера.

То есть, работу нужно выстроить таким образом, чтобы ответственность за ИБ-вопросы по умолчанию была на вашей компании. Если какие-то вещи готов «подхватить» провайдер облака – отлично, но базовая позиция должна основываться на установке «мы отвечаем за все сами».

Достижение оптимальных результатов здесь обеспечивается только четким разграничением зон ответственности. На вас лежит полный перечень вопросов обучения сотрудников работе с ИТ-системами и базовой ИБ-гигиене. Ситуация, когда ваш сотрудник откроет фишинговое письмо и выдаст данные для доступа к панели управления облачной средой злоумышленникам – вне области контроля провайдера.

Типичные вызовы ИБ-плана при развертывании ИТ-систем в облаках.

1. Защитите удаленный доступ

При любом переносе ИС из локальной среды в облако встает задача обеспечения защиты подключения. Требуется полный анализ всех видов доступа к cloud-инфраструктуре, от панели администрирования до виртуальных серверов.

Лучший подход – использование VPN с актуальными и криптостойкими алгоритмами шифрования с двухфакторной аутентификацией, а также с использованием «проброшенных» (специально зарезервированных для определенной задачи) портов.

2. VPN решает, но не все

Выбор VPN и сценария его применения зависит от ряда факторов. Традиционно клиент облачного провайдера может применять абсолютно любые VPN-продукты, поскольку меры безопасности он определяет самостоятельно. Однако есть несколько нюансов.

Например, если персональные данные передаются по открытым каналам связи и актуальны угрозы, связанные с перехватом, то нейтрализовать их получится, скорее всего, только средствами криптографии. VPN уже недостаточно.

Если в облачной инфраструктуре расположена государственная информсистема (ГИС) – потребуется задействовать сертифицированные средства криптографии и т.д.

3. Ноль доверия и ИБ-периметр

Один из стандартов в сфере ИБ – модель «нулевого доверия». Подход предполагает трактовку любого контакта защищаемых ИС с внешними ИТ-ресурсами и сетями как потенциальную опасность.

От традиционных моделей периметра безопасности отрасль постепенно отходит. Сегодня в равном объеме используются и локальный, и удаленный доступ к ИТ-системам, а это размывает традиционный ИТ-периметр компании.

Но полного отказа от периметровой парадигмы не происходит. Лучшие практики здесь – совмещение стандартных средств периметровой ИБ и элементов модели «нулевого доверия».

4. Шифруемся грамотно

Сегодня актуальны различные инструменты для шифрования информации, передаваемой по каналам связи, и статичных данных, которые хранятся на сервере. Подбор подобных инструментов и паттерны их использования должны определяться политикой или стандартами по применению средств шифрования.

Это позволит лучше понять потребности и подобрать оптимальные инструменты, не переплачивая за избыточную функциональность, или наоборот, не закрывая серьезную задачу решением начального уровня. Даже самые продвинутые и дорогие криптоинструменты не решают задачу ИБ сами по себе: они лишь один из элементов системы, а не панацея.

5. Управляемые сервисы ИБ

Сегодня в качестве в ИБ актуальны решения типа Unified Threat Management (UTM) и Next Generation Firewall (NGFW). Их основная характеристика – сочетание функций межсетевого экранирования, защиты от вредоносного ПО и контентной фильтрации.

Такая многофункциональность позволяет решать задачи безопасности комплексно, согласно парадигме управляемых ИБ-сервисов по модели MSSP (Management Security Service Provider), когда определенный объем ИБ-мер из вашей зоны ответственности передается облачному провайдеру. Как правило, эта услуга оформляется и тарифицируется отдельно от IaaS.

MSSP используется в случае дефицита ресурсов информационной безопасности в компании и позволяет передать весь жизненный цикл ИБ-сервиса провайдеру: от установки и настройки инструмента защиты, до его администрирования и мониторинга работы.

На примере данных

Как облако для ИБ-задач работает на практике – рассмотрим на примере персональных данных (ПДн). Все факторы обеспечения безопасной работы с ПДн делятся на три базовых группы:

- прямые финансовые затраты на приобретение ИТ-оборудования и софта, а также средства ИБ и сетевые компоненты;

- кадровые издержки – штат компетентных сотрудников, ответственных за выполнение всех задач, связанных с ПДн;

- временные ресурсы для достижения нужного результата. Этот компонент выражается в показателе Full Time Equivalent (FTE) – эквивалент, определяющий уровень вовлеченности работников в трудовой процесс, где 1 – полная занятость.

С точки зрения технического обеспечения защита ПДн в облаке выигрывает за явным преимуществом. Прямых затрат бизнес не несет – все необходимые средства защиты уже включены в cloud-сервис. В облаке для бизнеса нет затрат на инженерные системы жизнеобеспечения серверных компонентов: источники бесперебойного питания, системы кондиционирования воздуха.

Если спуститься еще глубже на уровень ИБ, то при миграции ПДн в облако отпадает необходимость тратиться на антивирусные средства и межсетевые экраны, хранение данных и средства анализа защищенности. Все это, как правило, реализовано в облачной услуге обработки ПД согласно закону «О персональных данных».

Для ИТ-специалистов при модели самостоятельной защиты ПДн характерен показатель FTE на уровне 0,5, но после переезда в облако он падает в среднем до 0,17. То есть, профильные специалисты тратят в три раза меньше времени на ПДн-задачи, по сравнению со схемой самостоятельного обеспечения их защиты на локальных ИТ-ресурсах компании.

О дата-центрах, облачной индустрии и ИТ-рынке - просто и с любовью. Подписывайтесь на блог Linxdatacenter!

Читайте также:

1818
40 комментариев

Комментарий недоступен

2
Ответить

трудно, наверное, жить в мире крипто с таким уровнем способностей к обработке несложной информации)

6
Ответить

Я часто слышу об этой проблеме: а почему провайдер на старте, вот прям при продаже не объясняет — это мол моя зона ответственности, а это (дорогой клиент) твоя?

2
Ответить

Как правило объясняят ссылкой на документацию. Но ещё ж надо её прочитать и осознать.

Ответить

В тренингах aws этому уделено достаточное внимание.

1
Ответить

Спасибо за статью. Про перспективы автоматизации области в целом хотелось бы уточнить. Насколько сегодня автоматизация позволяет оптимизировать штат по ИБ специалистам и куда это все в будущем движется в РФ? Есть ли у нас доступ к решениям теперь, которые позволяют эффективно модернизировать ИБ в целом и в облаках в частности?

1
Ответить