{"id":13762,"url":"\/distributions\/13762\/click?bit=1&hash=1c47e3cce4734ba61fcd4d5f8daae0506426a8a30d961ef3bbaa402351f8e545","title":"\u041a\u043b\u0438\u0435\u043d\u0442\u044b \u0434\u043e\u0431\u0438\u0440\u0430\u044e\u0442\u0441\u044f \u0434\u043e \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u044b \u0442\u043e\u0432\u0430\u0440\u0430, \u0430 \u0437\u0430\u0442\u0435\u043c \u0443\u0445\u043e\u0434\u044f\u0442 \u0441 \u0441\u0430\u0439\u0442\u0430","buttonText":"\u0412 \u0447\u0451\u043c \u0434\u0435\u043b\u043e?","imageUuid":"6d35fba7-a4a0-5cec-96fd-38de837d01f5","isPaidAndBannersEnabled":false}

Как обеспечить безопасность в облаке

В статье руководитель отдела информационной безопасности Linxdatacenter, Георгий Беляков, рассказывает, в чем заключается основной ИБ-риск перехода в облако для бизнеса, какие существуют методы профилактики и как облако для ИБ-задач работает на практике.

С ростом популярности облаков появляются новые «узкие места» в отношении ИБ. Важно понимать ряд моментов по инфобезу в рамках отношений вашей компании с провайдерами cloud-решения.

Чья ответственность?

Основной ИБ-риск перехода в облако для бизнеса заключается в административно-организационном просчете. Нередко при заключении договора с провайдером заказчик ошибочно полагает, что после миграции в облако или приобретения ресурсов в нем – все вопросы по инфобезу автоматически переходят в ведение специалистов провайдера.

Но это не так!

Например, любой облачный сервис по модели IaaS предполагает ответственность провайдера только до уровня физической безопасности серверов и ПО для виртуализации ресурсов «железа». То есть, не дальше уровня гипервизора.

Все, что выше этого уровня: операционная система (ОС), виртуальные машины (ВМ) и приложения, а также сеть и все настройки – в вашем ведении. Провайдер облаков как правило не имеет никакого доступа к ИТ-системам заказчиков, если это отдельно не оговорено соответствующими пунктами договора.

Это важнейший момент, поскольку львиная доля ИБ-инцидентов в облаках случается из-за отношения клиента: «мы думали, что теперь это не наша забота». Открытые «на весь интернет» IP-адреса ВМ и формальный пароль доступа к консоли управления не раз становились причиной заметных инцидентов.

Еще один момент, приводящий к инцидентам и утечкам – уверенность бизнеса в 100%-ных гарантиях защиты от ИБ-инцидентов по самому факту приобретения защищенного облачного продукта или сервиса. Увы, такой уровень безопасности сегодня гарантировать не может никто ни в одной ИТ-среде, включая облака.

Методы профилактики

Как смягчить риски и предотвратить возможные последствия их реализации на практике?

Главное – обеспечить адекватную коммуникацию между специалистами облачного провайдера и вашей командой. Все потенциальные недопонимания, которые могут привести к появлению «бесхозных» участков в ИТ-периметре, должны тщательно отслеживаться и устраняться.

Здесь огромную роль играют каналы связи между сторонами, по которым все вопросы оперативно получают исчерпывающие ответы. Их роль особенно важна на первом этапе сотрудничества.

Далее, провайдер должен как можно подробнее и понятнее разъяснить вам как клиенту всю специфику приобретаемых сервисов и продуктов в облаке именно с точки зрения ИБ.

Третий момент: ваша компания должна разработать и реализовывать весь спектр мер по обеспечению защиты ИТ-систем вне зависимости от вовлечения внешнего провайдера.

То есть, работу нужно выстроить таким образом, чтобы ответственность за ИБ-вопросы по умолчанию была на вашей компании. Если какие-то вещи готов «подхватить» провайдер облака – отлично, но базовая позиция должна основываться на установке «мы отвечаем за все сами».

Достижение оптимальных результатов здесь обеспечивается только четким разграничением зон ответственности. На вас лежит полный перечень вопросов обучения сотрудников работе с ИТ-системами и базовой ИБ-гигиене. Ситуация, когда ваш сотрудник откроет фишинговое письмо и выдаст данные для доступа к панели управления облачной средой злоумышленникам – вне области контроля провайдера.

Типичные вызовы ИБ-плана при развертывании ИТ-систем в облаках.

1. Защитите удаленный доступ

При любом переносе ИС из локальной среды в облако встает задача обеспечения защиты подключения. Требуется полный анализ всех видов доступа к cloud-инфраструктуре, от панели администрирования до виртуальных серверов.

Лучший подход – использование VPN с актуальными и криптостойкими алгоритмами шифрования с двухфакторной аутентификацией, а также с использованием «проброшенных» (специально зарезервированных для определенной задачи) портов.

2. VPN решает, но не все

Выбор VPN и сценария его применения зависит от ряда факторов. Традиционно клиент облачного провайдера может применять абсолютно любые VPN-продукты, поскольку меры безопасности он определяет самостоятельно. Однако есть несколько нюансов.

Например, если персональные данные передаются по открытым каналам связи и актуальны угрозы, связанные с перехватом, то нейтрализовать их получится, скорее всего, только средствами криптографии. VPN уже недостаточно.

Если в облачной инфраструктуре расположена государственная информсистема (ГИС) – потребуется задействовать сертифицированные средства криптографии и т.д.

3. Ноль доверия и ИБ-периметр

Один из стандартов в сфере ИБ – модель «нулевого доверия». Подход предполагает трактовку любого контакта защищаемых ИС с внешними ИТ-ресурсами и сетями как потенциальную опасность.

От традиционных моделей периметра безопасности отрасль постепенно отходит. Сегодня в равном объеме используются и локальный, и удаленный доступ к ИТ-системам, а это размывает традиционный ИТ-периметр компании.

Но полного отказа от периметровой парадигмы не происходит. Лучшие практики здесь – совмещение стандартных средств периметровой ИБ и элементов модели «нулевого доверия».

4. Шифруемся грамотно

Сегодня актуальны различные инструменты для шифрования информации, передаваемой по каналам связи, и статичных данных, которые хранятся на сервере. Подбор подобных инструментов и паттерны их использования должны определяться политикой или стандартами по применению средств шифрования.

Это позволит лучше понять потребности и подобрать оптимальные инструменты, не переплачивая за избыточную функциональность, или наоборот, не закрывая серьезную задачу решением начального уровня. Даже самые продвинутые и дорогие криптоинструменты не решают задачу ИБ сами по себе: они лишь один из элементов системы, а не панацея.

5. Управляемые сервисы ИБ

Сегодня в качестве в ИБ актуальны решения типа Unified Threat Management (UTM) и Next Generation Firewall (NGFW). Их основная характеристика – сочетание функций межсетевого экранирования, защиты от вредоносного ПО и контентной фильтрации.

Такая многофункциональность позволяет решать задачи безопасности комплексно, согласно парадигме управляемых ИБ-сервисов по модели MSSP (Management Security Service Provider), когда определенный объем ИБ-мер из вашей зоны ответственности передается облачному провайдеру. Как правило, эта услуга оформляется и тарифицируется отдельно от IaaS.

MSSP используется в случае дефицита ресурсов информационной безопасности в компании и позволяет передать весь жизненный цикл ИБ-сервиса провайдеру: от установки и настройки инструмента защиты, до его администрирования и мониторинга работы.

На примере данных

Как облако для ИБ-задач работает на практике – рассмотрим на примере персональных данных (ПДн). Все факторы обеспечения безопасной работы с ПДн делятся на три базовых группы:

- прямые финансовые затраты на приобретение ИТ-оборудования и софта, а также средства ИБ и сетевые компоненты;

- кадровые издержки – штат компетентных сотрудников, ответственных за выполнение всех задач, связанных с ПДн;

- временные ресурсы для достижения нужного результата. Этот компонент выражается в показателе Full Time Equivalent (FTE) – эквивалент, определяющий уровень вовлеченности работников в трудовой процесс, где 1 – полная занятость.

С точки зрения технического обеспечения защита ПДн в облаке выигрывает за явным преимуществом. Прямых затрат бизнес не несет – все необходимые средства защиты уже включены в cloud-сервис. В облаке для бизнеса нет затрат на инженерные системы жизнеобеспечения серверных компонентов: источники бесперебойного питания, системы кондиционирования воздуха.

Если спуститься еще глубже на уровень ИБ, то при миграции ПДн в облако отпадает необходимость тратиться на антивирусные средства и межсетевые экраны, хранение данных и средства анализа защищенности. Все это, как правило, реализовано в облачной услуге обработки ПД согласно закону «О персональных данных».

Для ИТ-специалистов при модели самостоятельной защиты ПДн характерен показатель FTE на уровне 0,5, но после переезда в облако он падает в среднем до 0,17. То есть, профильные специалисты тратят в три раза меньше времени на ПДн-задачи, по сравнению со схемой самостоятельного обеспечения их защиты на локальных ИТ-ресурсах компании.

О дата-центрах, облачной индустрии и ИТ-рынке - просто и с любовью. Подписывайтесь на блог Linxdatacenter!

Читайте также:

0
42 комментария
Написать комментарий...
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Grigory Vasyukov

трудно, наверное, жить в мире крипто с таким уровнем способностей к обработке несложной информации)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Grigory Vasyukov

А какой тут "перевод", стандартные отраслевые сокращения, ИС - информсистема, ПДн персональные данные, аббревиатуры такие есть, наверное сталкивались ранее? Применительно к вашей отрасли, например - CBDC, ICO и проч., не сталкивались?

Ответить
Развернуть ветку
Grigory Vasyukov

затем, что траты на персонал это очень общо, как и траты на оборудование - на какой персонал, на какое оборудование?

Ответить
Развернуть ветку
Denis Boytsov

Я часто слышу об этой проблеме: а почему провайдер на старте, вот прям при продаже не объясняет — это мол моя зона ответственности, а это (дорогой клиент) твоя?

Ответить
Развернуть ветку
Linxdatacenter
Автор

Как правило объясняят ссылкой на документацию. Но ещё ж надо её прочитать и осознать.

Ответить
Развернуть ветку
Виктор Сивашев

у нас мало кто читает документы от начала до конца

Ответить
Развернуть ветку
Передний каякер

Это да)

Ответить
Развернуть ветку
Юрий Б.

В тренингах aws этому уделено достаточное внимание.

Ответить
Развернуть ветку
Linxdatacenter
Автор

Да, AWS в этом смысле лучшие.
Надо только на эти тренинги ходить)

Ответить
Развернуть ветку
Ася

Думаю, не во всех компаниях хорошо выстроена внутренняя коммуникация на этот счёт))

Ответить
Развернуть ветку
Дмитрий Ветров

Спасибо за статью. Про перспективы автоматизации области в целом хотелось бы уточнить. Насколько сегодня автоматизация позволяет оптимизировать штат по ИБ специалистам и куда это все в будущем движется в РФ? Есть ли у нас доступ к решениям теперь, которые позволяют эффективно модернизировать ИБ в целом и в облаках в частности?

Ответить
Развернуть ветку
Linxdatacenter
Автор

Автоматизация деятельности призвана в первую очередь оптимизировать затраты на штат, вне зависимости от того ИБ, кадровая служба, бухгалтерия или инженерия.

По поводу второй части вопроса. До сих пор нам доступны opensource решения, некоторые из которых развиваются уже очень давно и являются довольно зрелыми. Так же отечественный рынок ИБ-решений традиционно остается на довольно высоком уровне, в некоторых сегментах.

Ответить
Развернуть ветку
Светлана Корепанова

А какая-то специфика подготовки кадров именно по ИБ в облаке есть? Или это тот же ИБ только добавляется акцент на сеть в плане связи с внешними системами – типа получения доступа клиента к своим ресурсам дистанционно? Сколько по времени занимает подготовка нормального специалиста по ИБ облачного ?

Ответить
Развернуть ветку
Linxdatacenter
Автор

Не думаю.
Как правило, высшее образование в области информационной безопасности даёт базовый подход применяемый к любым типам информационных систем, включая облачные. В этом смысле важным будет опыт применения полученных знаний в отношении облачной инфраструктуры, а не дополнительные курсы повышения квалификации.

Также полезным фактором является участие в тематических вебинарах, конференциях, обсуждениях по вопросам проблем ИБ в облаке в зависимости от типа облачного сервиса.

Ответить
Развернуть ветку
Вика Фоменко

А если у компании повышенные требования к безопасности данных? Только частное облако? Или это все-таки миф, что публичные облака меньше защищены?

Ответить
Развернуть ветку
Linxdatacenter
Автор

Надо разбираться, до какой степени они (требования) повышены)
Вообще скорее миф.
Во всяком случае внятного обоснования от ИБ, почему ИС должна быть именно в частной инсталляции, я пока не встречал.

Ответить
Развернуть ветку
Ege

Не пользоваться облаком! Я перестал пользоваться "облаком"! на процентов 90% в личных целях! И понял что "ОНИ" зарабатывают на лени пользователей! К примеру за пару дней у меня накопилась медиа-информация в смартофне, я её скинул на ПК за пару минут через USB кабель и всё. Да и для работы тоже самое! Тем более сейчас санкции проблемы с интернетом и т.д. Все разговоры о безопасности и т.д. ну согласитесь это всё больше миф чем настоящая реальность и необходимость!

Ответить
Развернуть ветку
Linxdatacenter
Автор

Для хранения фоток соглашусь. Тоже так делаю (правда в дополнение к облачным сервисам, а не вместо).

Но бизнес зачастую оперирует немного большим количеством и типом данных, чем наши смартфоны. Да и сценариев использование несколько больше, чем просто записать/просмотреть одному пользователю.

P.S.
А на ПК у вас диски в RAID'е, а от затопления или скачка энергии он защищён? )

Ответить
Развернуть ветку
Ege

Я на DVD/CD диски делаю копии.

Ответить
Развернуть ветку
Lisa Franceva

интересная статья, спасибо

Ответить
Развернуть ветку
Маргарита Крысина

Очень полезная статья! Мне стало интересно, какой самый распространенный источник проблем по невнимательности для клиента после переезда – пароль консоли слабый, выставление IP от ВМ на всеобщее обозрение – где короче, тонко и чаще всего рвется?

Ответить
Развернуть ветку
Linxdatacenter
Автор

Удалённый доступ чаще всего делается на скорую руку и про его защиту потом забывают.

Ответить
Развернуть ветку
Kseniya Morozova

Кто должен контролировать подобные работы, если нет отдельного сектора по ИБ, интегратор?

Ответить
Развернуть ветку
Linxdatacenter
Автор

Да, либо отдельный интегратор, либо эти задачи может взять на себя облачный провайдер, но не любой.

Ответить
Развернуть ветку
Grigory Vasyukov

Качества решения ИБ-вопросов от масштаба провайдера зависят? Ну типа у небольшого может быть какая-то нишевая экспертиза и прокачанная команда, а у больших больше возможностей тратиться на эффективные инструменты и масштабировать на большое количество клиентов? Или как-то по-другому это все работает?

Ответить
Развернуть ветку
Linxdatacenter
Автор

Да, все так или иначе пытаются специализироваться. Небольшие всей компанией, крупные своими бизнес-юнитами.

Ответить
Развернуть ветку
Ольга Мельниченко

Спасибо, интересно! Впрочем, как всегда.

А насколько в целом клиенты сегодня осознают все эти тонкие моменты распределения ответственности? Предположим, кто-то про облака раньше только слышал, настал момент, когда пришлось переезжать, люди не изучили вопрос детально и про все эти нюансы не знают – это задача провайдера, отдельно оговорить и предупредить об этом обо всем?

Ответить
Развернуть ветку
Linxdatacenter
Автор

Есть клиенты, которые либо давно пользуются облаками и успели набить шишки, а также те, у кого серьёзное (не для галочки) отношение к ИБ. Такие всё хорошо осознают и работают по лучшим практикам. Их пока меньшинство.
Другие торопятся, а их ИБ служба либо отсутствует, либо закрывает глаза на то, что происходит их периметром.

Ответить
Развернуть ветку
Ася Власова

Чем дальше, тем, конечно, вопросы безопасности будут стоять все острее.. спасибо за статью!

Ответить
Развернуть ветку
Оксана Гришина

По поводу ПДн хотелось бы уточнить... Наверное, целесообразно было бы в облако со всеми этими вопросами переезжать под готовый ПДн-ориентированный сервис от провайдера. Тем более сейчас таковые есть. Насколько их высокая стоимость оправдывает объем тех рисков, которые таким образом снимаются с компании?)

Ответить
Развернуть ветку
Linxdatacenter
Автор

Всё очень индивидуально и надо смотреть список рисков и стоимость их срабатывания для каждой компании. Далее сравнивать со стоимостью использования облачных сервисов (которые также разнятся для разных компаний), а также выгодами от размещения в облаке.

Ответить
Развернуть ветку
Олег Горбатов

Было бы интересно оценить примерную стоимость (до порядка) всего набора необходимых мер. И возможно сравнить с цифрой, в которую можно оценить последствия кибератаки.

Ответить
Развернуть ветку
Linxdatacenter
Автор

Присылайте описание своей ситуации, оценим)
Так как для разных компаний стоимость может отличаться на порядок.

Ответить
Развернуть ветку
Максим Лапин

Спасибо!

Ответить
Развернуть ветку
Ася

Спасибо за статью, прям пошаговая инструкция)

Ответить
Развернуть ветку
Aygul Shiryaeva

Для многих компаний, к сожалению, облака и безопасность кажутся совершенными антонимами - до сих пор

Ответить
Развернуть ветку
Андриан Безглавый

Полезная, информативная статья.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Denis Lysenko

Написано слишком абстрактно, для широких масс не зайдет.

Ответить
Развернуть ветку
Denis Lysenko

Написано слишком абстрактно, для широких масс не зайдет.

Ответить
Развернуть ветку
Dennis Prochko

Расскажите подробнее о "нулевом доверии". Как у вас реализовано? Как внедрять? А то такое ощущение что это buzzword а не конкретные технологии

Ответить
Развернуть ветку
Читать все 42 комментария
null