Облачный ИБ-периметр
Как развивается сфера безопасности в облаках, с какими проблемами сталкиваются вендоры, cloud-провайдеры и их клиенты, вопросы малых ИБ-бюджетов, стандартизация и влияние человеческого фактора на рынок ИБ-решений – обо всем этом мы поговорили с непосредственными участниками рынка.
Основные изменения
Ведущий архитектор по ИБ ActiveCloud Антон ГРЕЦКИЙ поясняет, что при выросших нагрузках на облачные сервисы все так же бесперебойно необходимо обеспечивать целостность, доступность и конфиденциальность данных – как собственных, так и клиентских.
Директор центра киберзащиты DataLine Василий СТЕПАНЕНКО отмечает, что все больше игроков российского облачного рынка получают различные сертификаты и аттестаты по ИБ, однако это не повышает доверия со стороны заказчиков и не гарантирует повышения уровня защиты. Но популярность сегмента растет, в том числе за счет работы маркетологов ИБ-вендоров, которые вводят в обиход новые модные названия уже известным вещам. Например, модель Zero Trust («нулевое доверие»), подразумевающая, что каждый пользователь или устройство даже внутри периметра должны каждый раз проверять свои данные при запросах, разработана еще в 2010 году.
Руководитель направления «Системы резервного копирования и восстановления данных» Dell Technologies в России Владимир ПРОЖОГИН указывает, что на фоне перехода компаний на удаленную работу снизился уровень защищенности IT-инфраструктур. Кроме того, именно в этот период сформировалась целая индустрия Ransomware as a Service, направленная на вымогательство посредством шифрования данных. В качестве наиболее ярких примеров нынешнего года он приводит компанию Colonial Pipeline, работа которой остановилась более чем на неделю, а сумма выкупа составила $5 млн, и CAN Financial, заплатившую злоумышленникам рекордные $40 млн.
Говоря о переходе бизнеса на технологии VDI и DaaS (облачные инструменты, способные поддерживать безопасность распределенной сети), руководитель службы ИБ компании «Онланта» (группа ЛАНИТ) Мурад МУСТАФАЕВ отмечает, что при использовании VDI, несмотря на гибкость доступа сотрудников к корпоративным ресурсам, IT-специалисты могут централизованно настраивать политики, правила и обновления средств защиты, а также собирать статистику со всей сети. Новым подходом в сегменте становятся сервисы безопасного доступа на интеллектуальной границе сети — Secure Access Service Edge (SASE), которые объединяют «сеть как услугу» и «безопасность как услугу». Традиционная модель с защищенным контуром стала неэффективной, поясняет он, а распределенный подход сместил безопасность ближе к пользователям, локальным точкам присутствия, давая возможность гибко комбинировать необходимый стек решений. В свою очередь, SASE сделал защищенную облачную среду открытой, программируемой и масштабируемой, а сервисы с принципом «нулевого доверия» зачастую выполняют роль фаерволов, доступных из любой точки мира.
Архитектор решений Cloudera Кирилл ГОЛОЖИН отмечает, что злоумышленники быстро перестраиваются, в том числе в связи с пандемией COVID-19. Не стоит списывать со счетов и факт применения методов кибервойны со стороны некоторых государств. В мире open source все более критичными для пользователей облачных услуг становятся PaaS/SaaS-продукты с различными сертификатами безопасности и соответствия лучшим практикам разработки ПО, говорит он. Такие решения обычно включают в себя поддержку от вендора с исправлением CVE-инцидентов (Common Vulnerabilities and Exposures) и становятся более безопасным выбором по сравнению с нативными продуктами облачных вендоров или IaaS, поясняет он.
Ведущий эксперт ИБ-направления компании «КРОК» Александр ЧЕРНЫХОВ в контексте изменений, связанных с пандемией, называет усиление таких трендов, как ускорение миграции в облака, повышение спроса на облачные и веб-приложения, рост DDoS-атак.
Директор по развитию компании «Информзащита» Иван МЕЛЕХИН согласен, что переход на удаленную работу подстегнул развитие продуктов и сервисов в сегменте облачной безопасности. Такие решения позволяют существенно экономить на операционных расходах, а кроме того, они легко интегрируются не только с облаками, но и с традиционной локальной инфраструктурой.
Генеральный директор Zecurion Алексей РАЕВСКИЙ напоминает, что удаленные пользователи и мобильные устройства, конечно, были и раньше, но массовым явлением это стало недавно. Сейчас же такие понятия, как «корпоративный сегмент» и «локальная офисная сеть», потеряли свой первоначальный смысл.
Технический директор RuSIEM Антон ФИШМАН называет причины, которые побуждают компании переводить свои сервисы в частные и публичные облака. Во-первых, у cloud-провайдеров есть своя служба поддержки, они гарантируют uptime, резервирование данных и многое другое, поэтому можно сократить расходы на офисных системных администраторов. Во-вторых, можно не думать про апгрейд инфраструктуры, организацию data-центров и закупку нового оборудования. В-третьих, если речь идет не о бизнес-критичных сервисах, можно не давать доступа к внутренней инфраструктуре, что дополнительно сокращает риски с точки зрения ИБ.
Эксперт по кибербезопасности облачных инфраструктур STEP LOGIC Михаил КРЕЧЕТОВ привел данные Gartner, свидетельствующие, что в 2020 году спрос на облачные решения в мире вырос на 15%. При этом доля гибридных облачных инфраструктур будет ожидаемо превалировать как над полностью размещаемыми в облаках, так и над чистыми on-premise ЦОДами. Это связано с тем, что некоторые сервисы стало дешевле разворачивать на GCP, Azure и AWS. По словам Михаила, даже отечественный Yandex Cloud в прошлом году показал более уверенный рост, чем в предыдущие годы.
Произошло переосмысление и в подходах к безопасности: микросегментация и связанная с ней модель нулевого доверия стали не экзотикой, а необходимостью, ведь инфраструктура облачных вычислений обуславливает врожденные проблемы безопасности доступа. Zero Trust Network Access (ZTNA) — это безопасный доступ к любым ресурсам на основе глобальной идентификации. То есть даже если злоумышленники смогут проникнуть в сеть через front-end-серверы, они все равно не получат доступа к внутренним серверам, приложениям, системам или активам – вся прочая инфраструктура скрыта от них без прохождения аутентификации. Именно поэтому для реализации модели «нулевого доверия» наличие средств микросегментации и IAM-платформы является обязательным условием, поясняет г-н Кречетов. «Средства микросегментации тоже трансформировались за этот период: теперь решения данного класса обеспечивают комплексный мониторинг трафика с учетом его контекста и построение схемы коммуникаций в локальных data-центрах, облаках и между этими средами в единую картину. Глубокий анализ трафика позволяет идентифицировать сегменты, группировать зоны и выявлять взаимозависимости на основе фактических данных, а не предположений», – поясняет он.
Руководитель группы разработки сервисов ИБ компании Selectel Антон ВЕДЕРНИКОВ одной из основных проблем называет тот факт, что многие специалисты впервые столкнулись с новыми для себя технологиями и подходами. Сегодня бизнес уделяет все больше внимания облачным решениям — это дает возможность создать развитую IT-инфраструктуру, повысить защищенность систем и сократить капитальные расходы. Помимо прочего, классические интеграторы, которые работали с понятной для себя инфраструктурой, также были вынуждены адаптироваться под новые условия: стали больше разбираться в облачных технологиях и средствах защиты для разной инфраструктуры. Это положительно скажется на дальнейшем переходе компаний в облака, так как у интеграторов появился новый опыт работы и доверие к облачным провайдерам. Мы наблюдаем рост спроса на ИБ-сервисы. «Пока это не сложные технические решения, а только базовые инструменты — например, межсетевые экраны, но даже это уже достаточно позитивная тенденция», – заключает г-н Ведерников.
Руководитель отдела ИБ компании «ЛАНИТ-Интеграция» (ГК «ЛАНИТ») Николай ФОКИН говорит, что массовая миграция в облака поставила перед провайдерами новые задачи, например предоставление необходимых мощностей и сервисов ИБ своим клиентам. Кроме того, усилилось внимание к теме безопасности удаленного доступа: обеспечения двухфакторной аутентификации, контроля действий администраторов, защиты от утечек информации, возрос спрос на решения класса CASB (Cloud Access Security Broker).
В свою очередь, специалисты компании HPE отмечают, что изменилось отношение к безопасности в целом.
Для того чтобы понять о каких переменах идет речь, попробуем сфокусироваться на событиях после 2022 года и их масштабах с точки зрения кибербезопасности.
Итоги «удаленного» эксперимента
Мы стали свидетелями невероятного по масштабам эксперимента по массовому переходу компаний на удаленную работу. Кто-то перешел частично, кто-то полностью, но значительная часть тех, кто сделал это в 2020-2021 гг., принимала вынужденное решение. Это событие напрямую затронуло сферы облачных технологий и ИБ. Вот что думают наши спикеры о предварительных результатах данного эксперимента.
Василий СТЕПАНЕНКО (DataLine) напоминает, что в начале пандемии многие вендоры предоставили медицинским учреждениям, волонтерским организациям и пострадавшим отраслям бизнеса возможность бесплатно воспользоваться решениями по организации удаленной работы. Однако далеко не все обладают экспертизой и ресурсами для грамотной настройки таких инструментов, а значит, без дополнительной помощи, к примеру настройки VPN, не обойтись, но эта услуга уже платная.
Мурад МУСТАФАЕВ («Онланта») говорит, что в ответ на вызовы новой реальности обновляются подходы к безопасности мультиоблачных (MultiSecCloud), конвейерных сред для разработчиков (DevSecOps) и распределенных вычислений (SASE). Развиваются сложные комплексные ИБ-продукты – единые сервисные платформы облачной безопасности.
Антон ГРЕЦКИЙ (ActiveCloud) сетует, что даже базовые принципы обеспечения ИБ, такие как защита удаленного доступа к сети двухфакторной аутентификацией, логирование удаленного доступа в соответствующих журналах, управление доступом к ресурсам по принципу минимизации, во многих организациях оказались невостребованными.
Александр ЧЕРНЫХОВ (КРОК) уточняет, что многие сотрудники работают на своих личных устройствах, что создает еще одну брешь в периметре, вызывая спрос на решения по обнаружению сложных угроз и реагированию на них (решения класса XDR), а также системы поиска аномалий в поведении пользователей и узлов (решения класса UEBA).
Николай ФОКИН («ЛАНИТ-Интеграция») отмечает растущий спрос на решения для усиления защиты удаленного доступа и средства контроля сотрудников на удалёнке, переход к парадигме zero-trust.
Михаил КРЕЧЕТОВ (STEP LOGIC) напоминает, что в процессе этих изменений встал вопрос о разработке требований к безопасности удаленных рабочих мест. Здесь хорошо зарекомендовал себя пошаговый подход, включающий в себя учет активов, переоценку ролевых моделей, сегментацию сервисов, классификацию данных, ограничение доступа к неиспользуемым ресурсам и повышение осведомленности среди сотрудников. Необходимо отслеживать изменения по пользователям, устройствам, сетям и приложениям, прежде чем предоставлять или изменять доступ к корпоративным ресурсам. По мнению г-на Кречетова, если в компании уже была развита IAM-система, то подобный переход не стал ночным кошмаром для ИБ.
Стоит также отметить, что глобальный переход на удалёнку выступил мощнейшим драйвером ускорения разработки и внедрения решений Secure Access Service Edge (SASE). Этот термин можно истолковать как сервис безопасного доступа на основе множества технологий безопасности в виде централизованного облачного ресурса. «На мой взгляд, при переходе инфраструктуры в облако внедрение SASE становится стандартом», – заключает г-н Кречетов.
В HPE убеждены, что переход на удаленный режим работы, помимо очевидного роста виртуализации рабочих мест (VDI), подвигнул работодателей переосмыслить критичность некоторых функций. Многие вспомнили о такой важной для любой компании области, как обеспечение непрерывности и восстановления деятельности (или BCDR). Компании с рабочей практикой управления доступностью бизнеса (Business Continuity Management, BCM) гораздо быстрее и легче вернулись к работе. Другие быстро осознали необходимость оценки критичности своих бизнес-процессов и выбора правильных приоритетов для восстановления.
Комментарий Михаила КРЕЧЕТОВА, эксперта по кибербезопасности облачных инфраструктур STEP LOGIC:
Не доверяй и проверяй: реализация концепции Zero trust Architecture для облачных сред
Понятие as-a-service стало широко употребляться еще в начале нулевых годов. Пандемия и всемирная тенденция к самоизоляции дали мощный скачок в развитии облачных технологий. Весной 2020-го вычислительные мощности корпораций с высоким уровнем развития ИТ за несколько недель выросли на 10-15%. Многие компании перешли на дистанционный режим работы, а облако стало одним из главных помощников в этом вынужденном «переезде», что отрицательно сказалось на информационной безопасности.
На сегодняшний день к основным угрозам безопасности облачных сред относятся:
· Отказ в обслуживании.
· Неконтролируемый доступ к облачным сервисам.
· Отсутствие классификации данных (утечка конфиденциальной информации).
· Эксплуатация уязвимостей API.
· Избыточность входящих сетевых взаимодействий.
· Отсутствие регламентов процедур эксплуатации (Shadow IT).
· Перехват контроля над ресурсами в облаке.
· Отсутствие комплаенса (или неправильно выбранный framework).
· Ошибки конфигурации в DevOps и СI/CD-процессах.
· Потеря контроля над действиями пользователей.
· Отсутствие непрерывного процесса контроля безопасности.
· Внутренние нарушители (в том числе сторонние подрядчики и облачные провайдеры).
В своей статье я расскажу о концепции Zero Trust Architecture (ZTA), реализация которой является краеугольным камнем всей облачной безопасности и помогает в устранении большинства перечисленных угроз безопасности. В августе прошлого года концепция была стандартизована в документе NIST SP 800-207 “Zero Trust Architecture”.
Для начала определимся с терминологией. Zero trust (ZT), или «нулевое доверие», предоставляет собой набор концепций и идей, направленных на принятие точных решений о доступе субъекта к объекту с минимальными привилегиями для каждого запроса доступа. Говоря проще, никакой субъект не считается доверенным (или должен восприниматься как злоумышленник – кому как нравится) без предварительного разрешения, причем неважно, получал ли он его ранее или нет. Таким образом, сам факт подключения к корпоративной сети в классическом понимании не дает субъекту никаких прав по умолчанию.
Zero trust Architecture (ZTA) – это архитектура безопасности, построенная на наборе концепций Zero Trust. Она охватывает взаимосвязи компонентов, процессы (workflow) и политики доступа, может быть реализована в приложении или конкретном сервисе.
Существуют три метода создания ZTA (идеальным вариантом реализации считается их комбинация):
· с использованием строгой идентификации (через IAM платформу);
· с использованием микросегментации;
· c использованием сетевой инфраструктуры.
Zero trust network access (ZTNA) – это комплексный подход применения ZTA.
Как же реализовать концепцию ZTA? В настоящий момент существует два варианта:
· «Чистая ZTA с нуля» для новых инфраструктур. Случай настолько редкий, что, пожалуй, не буду на нем останавливаться.
· Гибридная ZTA, или совместное существование сегментов с реализованной ZTA и классического периметра со старой схемой сегментации. В этом случае миграция чаще всего проводится по одной информационной системе.
Огромным препятствием для внедрения ZTA является “Shadow IT”. Без детальных знаний обо всех активах внедрение может закончиться ступором процесса или всей инфраструктуры целиком.
Стандарт предлагает нам пошаговый алгоритм внедрения ZTA (без привязки к каким-то конкретным производителям и проприетарным технологиям):
1. Определяем все субъекты доступа с обязательным пересмотром полномочий всех административных и сервисных учетных записей.
2. Определяем все объекты доступа и прочие активы: оборудование, цифровые артефакты (учетные записи, сертификаты, сервисы).
3. Параллельно идентифицируем все процессы (workflow) и оцениваем риски.
На этом этапе необходимо провести микросегментацию, желательно (это сэкономит время и нервы) с использованием специализированного ПО, например Cisco Secure Workload (Tetration), предназначенного для целостной защиты рабочих нагрузок для многооблачных центров обработки данных. С помощью сенсоров решение собирает данные, которые потом используются при аналитической обработке сетевых потоков трафика и активных процессов, запущенных в системе контролируемого узла. Благодаря этому платформа позволяет заблаговременно выявлять признаки компрометации и устранять их причины, чтобы свести к минимуму негативные последствия для бизнеса.
Иногда непривычная схема агентской микросегментации вызывает некоторое отторжение у ИТ-департаментов, сражающихся за производительность сервисов. Однако необходимо принять во внимание, что неработоспособный сервис, пораженный вредоносным ПО, которое распространяется через открытые внутри Well-know-порты, для бизнес-процесса намного опаснее по сравнению с невозможностью расширить производительность без уведомления службы ИБ и корректировки политики микросегментации.
4. Приступаем к разработке политики ZTA. Субъекты, объекты, процессы и артефакты делим на:
· входящие потоки данных: например, запросы, взаимодействие с БД, управление;
· исходящие потоки: журналирование, взаимодействие с основными сервисами (LDAP, DNS и т. д.) и активный мониторинг;
· артефакты: сервисные учетные записи, сертификаты и пр.
5. Проверяем, не разрушит ли реализация ZTA сервис или бизнес-процесс. Если имеются обоснованные опасения, необходима корректировка реализации или, в крайнем случае, архитектуры самого сервиса.
6. Применяем политику на средствах микросегментации, защите периметра и системе управления идентификационной информацией.
7. Посистемно (или попроцессно) расширяем ZTA на всю инфраструктуру.
8. Обязательно следим за обратной связью! Не проводя периодических ревизий политики, мы рискуем привести облако в первозданный вид (защищенный не более, чем до внедрения ZTA).
Комментарий Александра ИВАННИКОВА, директора по развитию бизнеса mClouds.ru
С началом пандемии, а затем и последовавших ограничений, а также требований о переводе значительной части сотрудников на удаленный режим работы - спрос на облачные технологии стал стремительно расти. И если в предыдущие годы миграция в облачные инфраструктуры типа IaaS или использование VDI для сотрудников было аккуратным трендом в бизнесе, то с вводом ограничений, которые до сих пор присутствуют, это уже перестало быть трендом и стало новой нормальностью наравне с локальными инфраструктурами компаний. И если ранее компании подобные проекты планировали месяцами, или считали, что подобные ограничения временные, то теперь бизнес должен находиться в режиме постоянной готовности к переводу сотрудников на удаленную работу, либо внедрять у себя практики работы в гибридной среде, когда сотрудник работает полноценно и в офисе и дома.
Следствием стала необходимость бизнеса учитывать изменение контура инфраструктуры, которая вышла за пределы предприятий. Так сотрудники могут подключаться к ресурсам компании, либо локальным, либо облачным с домашних ПК или ноутбуков, создавая дополнительные угрозы ИБ компании. Зачастую домашние устройства не оснащены банальными антивирусами, в том числе с защитой от спама и фишинга. На этом фоне заметен резкий рост спроса на решения VDI в облаке, что позволяет быстро, во-первых, предоставить сотрудникам полноценные рабочие платформы для доступа к корпоративным ресурсам и совместной работе, во-вторых ИТ специалисты предприятий могут централизованно и в короткий срок настраивать средства защиты рабочих мест и управление ими, исключив работу сотрудников на домашних устройствах и повысив сроки реагирования за инцидентами.
Если компания планирует или уже начала использовать в своей инфраструктуре публичное облако по модели IaaS, нужно обязательно использовать встроенные средства обеспечения безопасности и разграничения доступа к облачной инфраструктуре, такие как файрволл, защищенное подключение к облаку, распределение и ограничение ролей администраторов к управлению облаком. Так более 25% инцидентов безопасности с публичным облаком за 2020 год связано именно с неправильными настройками контура облака его администраторами, создавая дополнительные угрозы ИБ для бизнеса.
При взвешенном подходе к работе с облачной средой, включения ресурсов облака в контур инфраструктуры предприятий и учета в политике ИБ компаний, риски не только не растут, но и сокращаются, при этом мы видим резкое увеличение уровня готовности предприятий к постоянно меняющимся условиям в продолжающуюся пандемию.
Опубликовано 09.08.2021
Работа в облаке для любой компании — это поиск баланса между желанием воспользоваться преимуществами облачных технологий и сохранением контроля над собственными данными. С переходом на удаленную работу и ростом спроса на облачные инструменты появились новые риски, которые необходимо учитывать и правильно обрабатывать.
Сегодня безопасность облачной инфраструктуры и сервисов начинает обеспечиваться еще на уровне проектирования и разработки. Использование в разработке Security development lifecycle (SDLC) позволяет выстраивать основу безопасности облачных сервисов с самых ранних этапов проекта.
На плечах облачных провайдеров лежит даже бОльшая ответственность в сравнении с каждым из пользователей облачных сервисов, так как реализованный риск по отношению к их платформе ставит под угрозу компрометации данные множества клиентов, использующих платформу, что в свою очередь ставит под угрозу уже бизнес провайдера. Вот почему гиперскейлеры заинтересованы в зрелости своих процессов и инструментов ИБ и инвестируют в них значительное количество ресурсов.
Главным ответом на возникшие угрозы является хорошо спланированная, постоянно совершенствующая многоуровневая система безопасности. Такой подход называют еще Defense in Depth, то есть организация безопасности таким образом, чтобы одной угрозе противостоял набор средств защиты на разных уровнях. Это значительно удорожает любую потенциальную атаку и позволяет оперативно выявлять и предотвращать несанкционированную деятельность злоумышленников.
Важно учитывать, что безопасность данных и систем в облаке - дорога с двусторонним движением, то есть клиенты облачных сервисов не должны забывать выстраивать защиту размещенных в облаке систем и данных в своей зоны ответственности. С учетом того, что контроль за доступом к данным в облаке остается за клиентом, в его зону ответственности входит и правильная конфигурация этого доступа. К сожалению, практика показывает, что об этом нередко забывается, доступ настраивается некорректно, и этим незамедлительно пользуются злоумышленники.
Но также виден и другой тренд: с ростом опыта использования облачных сервисов, понимания, как можно противостоять новым рискам, специфичным для пользователей облачных технологий, зрелость обеспечения ИБ на стороне клиента также растет. Если делать все правильно и встроить безопасность облачной среды компании-клиента в свои классические процессы ИБ, то при условии их зрелости, все риски можно успешно адресовать и получить не менее защищенную систему, чем своя собственная инфраструктура. Более того, практика нередко показывает, что осмысление правильных подходов к выстраиванию ИБ для сценариев использования облака помогает организациям подтянуть существующие меры по обеспечению защиты своей собственной инфраструктуры.
Ну а если вернуться к безопасности на стороне провайдера, то ее качество безусловно важно для всех пользователей, и определенным индикатором этого качества является подтверждение соответствия международным и локальным стандартам в области ИБ.