Современные облачные сервисы — это не только хранилища файлов, подобные «Облаку Mail.ru», «Яндекс.Диску», iCloud или OneDrive. Облако — это способ получения ИТ-услуг, при котором несущественные для получения сервиса технические детали скрыты от заказчика. Все элементы инфраструктуры, обеспечивающие работу услуги, — серверы, системы хранения данных, сетевое оборудование, системы бесперебойного электропитания и охлаждения, а также обеспечения безопасности, расположены в удалённом дата-центре, а доступ к услуге предоставляется через интернет.
Какие облачные сервисы существуют?
В зависимости от уровня детализации доступа можно выделить три вида облачных сервисов: аренда ПО, аренда платформы и аренда инфраструктуры, SaaS, PaaS и IaaS — Soft-as-a-Service, Platform-as-a-Service и Infrastructure-as-a-Service.
SaaS — аренда ПО или софт-как-услуга
Такой вариант использования облачных сервисов предполагает доступ пользователей к приложениям. Они могут быть размещены в облаке, как «Документы Google», или предлагаться для загрузки, как Office 365 или Adobe Creative Cloud. Вопросы администрирования платформы и операционной системы берёт на себя провайдер услуги.
PaaS — аренда платформы или платформа-как-услуга
Используя хостинг для своего блога на WordPress или Blogger, размещая лендинг на «Тильде», вы арендуете ИТ-платформу для решения своих задач. Здесь уже можно управлять настройками, а не брать что дают, как в случае с SaaS. Но и ответственность здесь разделена иначе: если блог перестанет работать после установки некорректного шаблона, решение этой проблемы падёт на ваши плечи, а не на службу поддержки облачного провайдера.
IaaS — аренда инфраструктуры или инфраструктура-как-услуга
Вы получаете в своё распоряжение аппаратные мощности в ЦОД + защиту + хранилище. Такая модель позволяет создавать собственную виртуальную инфраструктуру, содержащую различные операционные системы и виртуальные машины, блочные и файловые хранилища, виртуальные локальные сети, файрволлы и балансировщики нагрузки, приложения и интернет-сервисы. Примеры IaaS — Amazon EC2, Windows Azure, Google Compute Engine.
Есть ли риски?
Ландшафт угроз облачных сервисов не слишком отличается от такового для традиционной инфраструктуры. Это вполне ожидаемо, поскольку в облаках работает тот же софт, что и на обычных серверах, и содержит он те же самые уязвимости. Но риски при этом делятся между облачным провайдером и пользователем сервиса, поэтому нужно осознавать это разделение и выбирать провайдера в соответствии со своими требованиями. Рассмотрим, некоторые риски, на которые стоит обратить внимание при использовании облачных сервисов.
Случайное или несанкционированное подключение новых услуг
Простота подключение новых сервисов в облаке делает более простым их несанкционированное использование. Причём совсем необязательно это будет следствием злого умысла сотрудника. Облачные провайдеры используют специфическую терминологию, поэтому допустить ошибку и подключить не то, что требовалось, значительно проще, чем случайно купить ещё один физический сервер.
Риски компрометации через API управления
Наличие программного интерфейса (API) управления с доступом через интернет несёт риски компрометации. В результате злоумышленники могут получить доступ к вашей виртуальной инфраструктуре, перехватив обращения к API из веб-приложений.
Пример
В результате атаки на сайт Bitrix, в котором было подключено хранилище Amazon S3 и указан API-ключ для доступа к облаку, руководитель ИТ-компании из Зеленограда за один день задолжал «Амазону» более 12 000 долларов США. Злоумышленники, перехватившие доступ, запустили от его имени 140 мощных виртуальных серверов во всех дата-центрах «Амазона».
Фишинговые атаки на пользователей
Используя целевые фишинговые атаки, злоумышленники получают доступ к учётным данным пользователей облачных сервисов и используют их для хищения конфиденциальной информации, создания вредоносных сайтов, майнинга криптовалют и организации DDoS-атак. При этом контроль за подобными инцидентами осуществить внутри сети существенно проще, чем в облаке, так как для внутренних корпоративных нужд разработано большое количество профильных защитных продуктов.
Злоупотребления или халатность сотрудников облачного провайдера
Администраторы облачного провайдера могут злоупотребить своими правами доступа или проявить халатность, в результате на виртуальные серверы может попасть вредоносное ПО или с них похищены данные.
Пример
Пользователь облачного сервиса 1cloud обратил внимание, что в каждую установку его виртуальной машины автоматически добавляется пользователь с именем user, а через некоторое время через эту учётную запись внедряется и запускается майнер криптовалюты. При этом сотрудник техподдержки отказывался предоставить пароль от этой учётной записи и даже отрицал наличие такого пользователя.
Недостаточный анализ рисков перед переносом данных в облако
Примеры
В июле 2018 года в поисковой выдаче «Яндекса» обнаружились файлы «Документов Google», содержащие пароли, персональные данные и другую конфиденциальную информацию. После разбирательства выяснилось, что проиндексированные документы имели некорректные настройки видимости, открывавшие их для любых пользователей, в том числе анонимных.
В июне 2017 года на одном из серверов Amazon было обнаружено незащищённое хранилище информации объёмом 1,1 Тб, в котором содержались персональные данные 198 миллионов избирателей США.
В начале сентября 2018 года на открытом для публичного доступа облачном сервере Amazon Web Services (AWS) была обнаружена база данных MongoDB объёмом более 200 Гб, содержащая около 445 миллионов записей с личной информацией клиентов швейцарской компании Veeam.
Как обезопасить облачные сервисы?
Безопасность любых ИТ-сервисов — это сочетание организационных и технических мер. И если в случае с облаками техническая составляющая безопасности, как правило, находится на высоком уровне, организационная часть так же традиционно отстаёт. Приведём некоторые советы, которые помогут безопасно использовать облачные сервисы.
Внедряйте двухфакторную аутентификацию
Несмотря на то, что известны случаи компрометации и этого способа защиты с помощью несанкционированной замены сим-карт, он всё равно эффективнее, чем обычные логин и пароль.
Документируйте виртуальную инфраструктуру
Некоторые организации умудряются забыть о существовании даже физических серверов, как администрация Университета Гринвича, на 12 лет забывшая о сервере, созданном для студенческой конференции. Вспомнить о нём заставил штраф в 120 000 фунтов за утечку персональных данных почти 20 000 студентов и преподавателей.
Документирование позволяет исключить такие ситуации и платить лишь за действительно востребованные сервисы.
Мониторьте состояние служб
Анализ журналов облачных сервисов позволяет своевременно обнаружить неполадки в работе, атаки и вредоносную активность. Провайдеры облачных услуг обеспечивают безопасность в пределах своей зоны ответственности, поэтому проверка состояния виртуальной инфраструктуры достаётся потребителю услуги.
Не выдавайте лишних прав пользователям
На период развертывания виртуальной инфраструктуры бывает соблазн выдать всем административные права, чтобы всё заработало, а потом уже урезать их в соответствии с реальными задачами. Очень часто сделать это забывают или не могут, потому что без административных прав что-то не работает как требуется.
Ограничивайте доступ к данным
Размещение конфиденциальной информации в облаке требует тщательного планирования профилей доступа к ней, причём планировать это нужно до переезда. Ограничьте права минимально необходимыми, а доступ по умолчанию сделайте закрытым.
Обучайте сотрудников
Наиболее распространённый способ проникновения в корпоративные сети — фишинг. Хакеры рассылают письма, написанные с использованием социальной инженерии, чтобы заставить пользователей перейти по ссылке, загрузить вредоносное ПО или ввести данные своей учётной записи. Если хотя бы один сотрудник поддастся обману, злоумышленники получат доступ к облачной инфраструктуре и смогут воспользоваться ей по своему усмотрению.
Заключение
Осознание того, что использование ИТ может быть несложным и не требует капитальных затрат на приобретение «железа» привело к тому, что компании по всему миру отказываются от использования аппаратной инфраструктуры в пользу облачных сервисов.
В опубликованном в начале 2018 года ежегодном отчёте Cisco Global Cloud Index 2016-2021 имеется «Глобальный индекс развития облачных технологий», согласно которому
• к 2021 г. 94% задач и виртуальных вычислений будут выполняться в облачных ЦОД, в традиционных ЦОД — только 6%,
• мировой объем хранимых в ЦОД данных к 2021 г. вырастет в 4,6 раза и достигнет 1,3 ЗБ (ежегодный прирост 36%), в 2016 г. этот показатель составил 286 эксабайт (ЭБ).
С учётом мировой тенденции уже сейчас стоит рассматривать аренду облачных сервисов в качестве достойной альтернативы покупке «железа», поскольку преимущества перевода физической инфраструктуры в облако сильно перевешивают связанные с этим риски.