В статье руководитель отдела информационной безопасности Linxdatacenter, Георгий Беляков, рассказывает, в чем заключается основной ИБ-риск перехода в облако для бизнеса, какие существуют методы профилактики и как облако для ИБ-задач работает на практике.
С ростом популярности облаков появляются новые «узкие места» в отношении ИБ. Важно понимать ряд моментов по инфобезу в рамках отношений вашей компании с провайдерами cloud-решения.
Чья ответственность?
Основной ИБ-риск перехода в облако для бизнеса заключается в административно-организационном просчете. Нередко при заключении договора с провайдером заказчик ошибочно полагает, что после миграции в облако или приобретения ресурсов в нем – все вопросы по инфобезу автоматически переходят в ведение специалистов провайдера.
Но это не так!
Например, любой облачный сервис по модели IaaS предполагает ответственность провайдера только до уровня физической безопасности серверов и ПО для виртуализации ресурсов «железа». То есть, не дальше уровня гипервизора.
Все, что выше этого уровня: операционная система (ОС), виртуальные машины (ВМ) и приложения, а также сеть и все настройки – в вашем ведении. Провайдер облаков как правило не имеет никакого доступа к ИТ-системам заказчиков, если это отдельно не оговорено соответствующими пунктами договора.
Это важнейший момент, поскольку львиная доля ИБ-инцидентов в облаках случается из-за отношения клиента: «мы думали, что теперь это не наша забота». Открытые «на весь интернет» IP-адреса ВМ и формальный пароль доступа к консоли управления не раз становились причиной заметных инцидентов.
Еще один момент, приводящий к инцидентам и утечкам – уверенность бизнеса в 100%-ных гарантиях защиты от ИБ-инцидентов по самому факту приобретения защищенного облачного продукта или сервиса. Увы, такой уровень безопасности сегодня гарантировать не может никто ни в одной ИТ-среде, включая облака.
Методы профилактики
Как смягчить риски и предотвратить возможные последствия их реализации на практике?
Главное – обеспечить адекватную коммуникацию между специалистами облачного провайдера и вашей командой. Все потенциальные недопонимания, которые могут привести к появлению «бесхозных» участков в ИТ-периметре, должны тщательно отслеживаться и устраняться.
Здесь огромную роль играют каналы связи между сторонами, по которым все вопросы оперативно получают исчерпывающие ответы. Их роль особенно важна на первом этапе сотрудничества.
Далее, провайдер должен как можно подробнее и понятнее разъяснить вам как клиенту всю специфику приобретаемых сервисов и продуктов в облаке именно с точки зрения ИБ.
Третий момент: ваша компания должна разработать и реализовывать весь спектр мер по обеспечению защиты ИТ-систем вне зависимости от вовлечения внешнего провайдера.
То есть, работу нужно выстроить таким образом, чтобы ответственность за ИБ-вопросы по умолчанию была на вашей компании. Если какие-то вещи готов «подхватить» провайдер облака – отлично, но базовая позиция должна основываться на установке «мы отвечаем за все сами».
Достижение оптимальных результатов здесь обеспечивается только четким разграничением зон ответственности. На вас лежит полный перечень вопросов обучения сотрудников работе с ИТ-системами и базовой ИБ-гигиене. Ситуация, когда ваш сотрудник откроет фишинговое письмо и выдаст данные для доступа к панели управления облачной средой злоумышленникам – вне области контроля провайдера.
Типичные вызовы ИБ-плана при развертывании ИТ-систем в облаках.
1. Защитите удаленный доступ
При любом переносе ИС из локальной среды в облако встает задача обеспечения защиты подключения. Требуется полный анализ всех видов доступа к cloud-инфраструктуре, от панели администрирования до виртуальных серверов.
Лучший подход – использование VPN с актуальными и криптостойкими алгоритмами шифрования с двухфакторной аутентификацией, а также с использованием «проброшенных» (специально зарезервированных для определенной задачи) портов.
2. VPN решает, но не все
Выбор VPN и сценария его применения зависит от ряда факторов. Традиционно клиент облачного провайдера может применять абсолютно любые VPN-продукты, поскольку меры безопасности он определяет самостоятельно. Однако есть несколько нюансов.
Например, если персональные данные передаются по открытым каналам связи и актуальны угрозы, связанные с перехватом, то нейтрализовать их получится, скорее всего, только средствами криптографии. VPN уже недостаточно.
Если в облачной инфраструктуре расположена государственная информсистема (ГИС) – потребуется задействовать сертифицированные средства криптографии и т.д.
3. Ноль доверия и ИБ-периметр
Один из стандартов в сфере ИБ – модель «нулевого доверия». Подход предполагает трактовку любого контакта защищаемых ИС с внешними ИТ-ресурсами и сетями как потенциальную опасность.
От традиционных моделей периметра безопасности отрасль постепенно отходит. Сегодня в равном объеме используются и локальный, и удаленный доступ к ИТ-системам, а это размывает традиционный ИТ-периметр компании.
Но полного отказа от периметровой парадигмы не происходит. Лучшие практики здесь – совмещение стандартных средств периметровой ИБ и элементов модели «нулевого доверия».
4. Шифруемся грамотно
Сегодня актуальны различные инструменты для шифрования информации, передаваемой по каналам связи, и статичных данных, которые хранятся на сервере. Подбор подобных инструментов и паттерны их использования должны определяться политикой или стандартами по применению средств шифрования.
Это позволит лучше понять потребности и подобрать оптимальные инструменты, не переплачивая за избыточную функциональность, или наоборот, не закрывая серьезную задачу решением начального уровня. Даже самые продвинутые и дорогие криптоинструменты не решают задачу ИБ сами по себе: они лишь один из элементов системы, а не панацея.
5. Управляемые сервисы ИБ
Сегодня в качестве в ИБ актуальны решения типа Unified Threat Management (UTM) и Next Generation Firewall (NGFW). Их основная характеристика – сочетание функций межсетевого экранирования, защиты от вредоносного ПО и контентной фильтрации.
Такая многофункциональность позволяет решать задачи безопасности комплексно, согласно парадигме управляемых ИБ-сервисов по модели MSSP (Management Security Service Provider), когда определенный объем ИБ-мер из вашей зоны ответственности передается облачному провайдеру. Как правило, эта услуга оформляется и тарифицируется отдельно от IaaS.
MSSP используется в случае дефицита ресурсов информационной безопасности в компании и позволяет передать весь жизненный цикл ИБ-сервиса провайдеру: от установки и настройки инструмента защиты, до его администрирования и мониторинга работы.
На примере данных
Как облако для ИБ-задач работает на практике – рассмотрим на примере персональных данных (ПДн). Все факторы обеспечения безопасной работы с ПДн делятся на три базовых группы:
- прямые финансовые затраты на приобретение ИТ-оборудования и софта, а также средства ИБ и сетевые компоненты;
- кадровые издержки – штат компетентных сотрудников, ответственных за выполнение всех задач, связанных с ПДн;
- временные ресурсы для достижения нужного результата. Этот компонент выражается в показателе Full Time Equivalent (FTE) – эквивалент, определяющий уровень вовлеченности работников в трудовой процесс, где 1 – полная занятость.
С точки зрения технического обеспечения защита ПДн в облаке выигрывает за явным преимуществом. Прямых затрат бизнес не несет – все необходимые средства защиты уже включены в cloud-сервис. В облаке для бизнеса нет затрат на инженерные системы жизнеобеспечения серверных компонентов: источники бесперебойного питания, системы кондиционирования воздуха.
Если спуститься еще глубже на уровень ИБ, то при миграции ПДн в облако отпадает необходимость тратиться на антивирусные средства и межсетевые экраны, хранение данных и средства анализа защищенности. Все это, как правило, реализовано в облачной услуге обработки ПД согласно закону «О персональных данных».
Для ИТ-специалистов при модели самостоятельной защиты ПДн характерен показатель FTE на уровне 0,5, но после переезда в облако он падает в среднем до 0,17. То есть, профильные специалисты тратят в три раза меньше времени на ПДн-задачи, по сравнению со схемой самостоятельного обеспечения их защиты на локальных ИТ-ресурсах компании.
О дата-центрах, облачной индустрии и ИТ-рынке - просто и с любовью. Подписывайтесь на блог Linxdatacenter!
Читайте также:
Комментарий недоступен
трудно, наверное, жить в мире крипто с таким уровнем способностей к обработке несложной информации)
Комментарий недоступен
А какой тут "перевод", стандартные отраслевые сокращения, ИС - информсистема, ПДн персональные данные, аббревиатуры такие есть, наверное сталкивались ранее? Применительно к вашей отрасли, например - CBDC, ICO и проч., не сталкивались?
затем, что траты на персонал это очень общо, как и траты на оборудование - на какой персонал, на какое оборудование?
Я часто слышу об этой проблеме: а почему провайдер на старте, вот прям при продаже не объясняет — это мол моя зона ответственности, а это (дорогой клиент) твоя?
Как правило объясняят ссылкой на документацию. Но ещё ж надо её прочитать и осознать.
у нас мало кто читает документы от начала до конца
Это да)
В тренингах aws этому уделено достаточное внимание.
Да, AWS в этом смысле лучшие.
Надо только на эти тренинги ходить)
Думаю, не во всех компаниях хорошо выстроена внутренняя коммуникация на этот счёт))
Спасибо за статью. Про перспективы автоматизации области в целом хотелось бы уточнить. Насколько сегодня автоматизация позволяет оптимизировать штат по ИБ специалистам и куда это все в будущем движется в РФ? Есть ли у нас доступ к решениям теперь, которые позволяют эффективно модернизировать ИБ в целом и в облаках в частности?
Автоматизация деятельности призвана в первую очередь оптимизировать затраты на штат, вне зависимости от того ИБ, кадровая служба, бухгалтерия или инженерия.
По поводу второй части вопроса. До сих пор нам доступны opensource решения, некоторые из которых развиваются уже очень давно и являются довольно зрелыми. Так же отечественный рынок ИБ-решений традиционно остается на довольно высоком уровне, в некоторых сегментах.
А какая-то специфика подготовки кадров именно по ИБ в облаке есть? Или это тот же ИБ только добавляется акцент на сеть в плане связи с внешними системами – типа получения доступа клиента к своим ресурсам дистанционно? Сколько по времени занимает подготовка нормального специалиста по ИБ облачного ?
Не думаю.
Как правило, высшее образование в области информационной безопасности даёт базовый подход применяемый к любым типам информационных систем, включая облачные. В этом смысле важным будет опыт применения полученных знаний в отношении облачной инфраструктуры, а не дополнительные курсы повышения квалификации.
Также полезным фактором является участие в тематических вебинарах, конференциях, обсуждениях по вопросам проблем ИБ в облаке в зависимости от типа облачного сервиса.
А если у компании повышенные требования к безопасности данных? Только частное облако? Или это все-таки миф, что публичные облака меньше защищены?
Надо разбираться, до какой степени они (требования) повышены)
Вообще скорее миф.
Во всяком случае внятного обоснования от ИБ, почему ИС должна быть именно в частной инсталляции, я пока не встречал.
Не пользоваться облаком! Я перестал пользоваться "облаком"! на процентов 90% в личных целях! И понял что "ОНИ" зарабатывают на лени пользователей! К примеру за пару дней у меня накопилась медиа-информация в смартофне, я её скинул на ПК за пару минут через USB кабель и всё. Да и для работы тоже самое! Тем более сейчас санкции проблемы с интернетом и т.д. Все разговоры о безопасности и т.д. ну согласитесь это всё больше миф чем настоящая реальность и необходимость!
Для хранения фоток соглашусь. Тоже так делаю (правда в дополнение к облачным сервисам, а не вместо).
Но бизнес зачастую оперирует немного большим количеством и типом данных, чем наши смартфоны. Да и сценариев использование несколько больше, чем просто записать/просмотреть одному пользователю.
P.S.
А на ПК у вас диски в RAID'е, а от затопления или скачка энергии он защищён? )
Я на DVD/CD диски делаю копии.
интересная статья, спасибо
Очень полезная статья! Мне стало интересно, какой самый распространенный источник проблем по невнимательности для клиента после переезда – пароль консоли слабый, выставление IP от ВМ на всеобщее обозрение – где короче, тонко и чаще всего рвется?
Удалённый доступ чаще всего делается на скорую руку и про его защиту потом забывают.
Кто должен контролировать подобные работы, если нет отдельного сектора по ИБ, интегратор?
Да, либо отдельный интегратор, либо эти задачи может взять на себя облачный провайдер, но не любой.
Качества решения ИБ-вопросов от масштаба провайдера зависят? Ну типа у небольшого может быть какая-то нишевая экспертиза и прокачанная команда, а у больших больше возможностей тратиться на эффективные инструменты и масштабировать на большое количество клиентов? Или как-то по-другому это все работает?
Да, все так или иначе пытаются специализироваться. Небольшие всей компанией, крупные своими бизнес-юнитами.
Спасибо, интересно! Впрочем, как всегда.
А насколько в целом клиенты сегодня осознают все эти тонкие моменты распределения ответственности? Предположим, кто-то про облака раньше только слышал, настал момент, когда пришлось переезжать, люди не изучили вопрос детально и про все эти нюансы не знают – это задача провайдера, отдельно оговорить и предупредить об этом обо всем?
Есть клиенты, которые либо давно пользуются облаками и успели набить шишки, а также те, у кого серьёзное (не для галочки) отношение к ИБ. Такие всё хорошо осознают и работают по лучшим практикам. Их пока меньшинство.
Другие торопятся, а их ИБ служба либо отсутствует, либо закрывает глаза на то, что происходит их периметром.
Чем дальше, тем, конечно, вопросы безопасности будут стоять все острее.. спасибо за статью!
По поводу ПДн хотелось бы уточнить... Наверное, целесообразно было бы в облако со всеми этими вопросами переезжать под готовый ПДн-ориентированный сервис от провайдера. Тем более сейчас таковые есть. Насколько их высокая стоимость оправдывает объем тех рисков, которые таким образом снимаются с компании?)
Всё очень индивидуально и надо смотреть список рисков и стоимость их срабатывания для каждой компании. Далее сравнивать со стоимостью использования облачных сервисов (которые также разнятся для разных компаний), а также выгодами от размещения в облаке.
Было бы интересно оценить примерную стоимость (до порядка) всего набора необходимых мер. И возможно сравнить с цифрой, в которую можно оценить последствия кибератаки.
Присылайте описание своей ситуации, оценим)
Так как для разных компаний стоимость может отличаться на порядок.
Спасибо!
Спасибо за статью, прям пошаговая инструкция)
Для многих компаний, к сожалению, облака и безопасность кажутся совершенными антонимами - до сих пор
Полезная, информативная статья.
Комментарий удален модератором
Написано слишком абстрактно, для широких масс не зайдет.
Написано слишком абстрактно, для широких масс не зайдет.
Комментарий недоступен