В облаке – как за каменной стеной

Как обеспечить защиту облачной инфраструктуры и какую роль в этом играет облачный провайдер.

С каждым годом бизнес все больше задумывается о необходимости защиты своей ИТ-инфраструктуры: растет количество уязвимостей, вирусов, успешных хакерских атак, каждый месяц появляются новые сообщения об утечках данных. Однако многие компании не спешат переходить в облако, опасаясь за сохранность своей информации. Важно также отметить, что обеспечивать безопасность облачной инфраструктуры не так просто, стоимость ИБ-оборудования довольно высока.

Сегодня размещение инфраструктуры в публичном облаке – отличная возможность получить неограниченное количество ресурсов для нужд компании, оптимизировать расходы на закупку оборудования и лицензий, сопровождение и даже администрирование. О том, как обеспечить защиту облачной инфраструктуры и какую роль в этом играет облачный провайдер, мы поговорим в этой статье.

Потребность в безопасности

По данным исследования ГК Б1 (ранее Ernst & Young), рынок кибербезопасности в России в 2021 году составил около 117 млрд рублей, 58% из них пришлось на средства защиты информациии. При этом, по прогнозам компании, рынок услуг и решений в области информационной безопасности будет одним из самых динамично развивающихся в перспективе ближайших лет.

Обеспечение информационной безопасности – важная задача для любой компании. При ее реализации необходимо руководствоваться как требованиями законодательства, так и здравым смыслом. Отчет международного экономического форума выделяет киберугрозы в квадрант наивысшего риска в глобальном масштабе. Отмечается также, что достижения 4-й промышленной революции (4IR) основаны на цифровых технологиях, в том числе на облачных вычислениях.

Стоит отметить, что облачные вычисления обладают потенциалом для усиления межотраслевого развития, расширения технологического доступа к удаленным районам и дальнейшей увязки искусственного интеллекта с другими технологиями 4IR. В то же время, поскольку в облаке размещается все больше данных, компании активно накапливают информацию, что в конечном итоге может создать новые потенциальные риски для конфиденциальности и безопасности данных.

Что происходит и кто виноват?

Защита информации при размещении в облаке – это работа с двух флангов: верхнеуровневая защита данных со стороны облачного провайдера и точечная защита со стороны клиента.

Обычно в компании отдел ИБ уже имеет на руках необходимые нормативные регламенты и иные документы, определяющие уровень защиты, возможные угрозы и их источники. Если, конечно, такой отдел вообще существует в компании.

В случае отсутствия отдела ИБ или лица, ответственного за безопасность, организации следует обратиться за помощью к ИТ-компании, которая подготовит необходимые документы, спроектирует систему обеспечения безопасности информации, внедрит ее и будет в дальнейшем сопровождать.

Основные задачи сотрудников информационной безопасности — обеспечение конфиденциальности, целостности и доступности информации в компании. При размещении в облаке эта задача усложняется, поскольку часть инфраструктуры переходит в зону ответственности облачного провайдера. Под контролем заказчика остаются: виртуальные машины и сети, операционные системы, каналы доступа в Интернет, прикладное программное обеспечение и т. д.

Напомним, что в основе любого облака заложена технологическая платформа, которая представляет собой набор протестированных и оптимально интегрированных программно-аппаратных средств. С архитектурной точки зрения программно-аппаратная платформа, обеспечивающая функционирование публичного облака, состоит из ряда подсистем:

Подсистема размещения данных. Включает в себя одну или несколько систем хранения данных (СХД) одного или различных производителей, дисковые накопители, системы архивации и резервного копирования. СХД обладают разными параметрами производительности и плотностью хранения, обеспечивая как блочный, так и файловый доступ к данным. При этом блочный доступ реализуется при помощи протоколов FibreChannel (FC), FibreChannel over Ethernet (FCoE), iSCSI, а файловый – при помощи протоколов CIFS и NFS.
Подсистема сетевой инфраструктуры. Включает в себя набор коммутаторов и выполняет функцию по обеспечению взаимодействия подсистем между собой. Коммутаторы используются для организации связанности по протоколам Ethernet, а также для организации SAN-сети. Сеть должна обеспечивать эффективное взаимодействие и высокую пропускную способность между подсистемами.
Подсистема вычислений. Включает в себя набор серверных шасси с установленными модульными серверами (blade-серверы), а также отдельные серверы (rack-серверы).
Подсистема виртуализации. Представляет собой набор программного обеспечения, решающего задачи по организации виртуальной серверной инфраструктуры, виртуализации сетевой инфраструктуры и виртуализации ресурсов хранения данных. Обеспечивает также балансировку нагрузки между компонентами подсистемы вычислений, отказоустойчивость функционирования виртуальных машин, облегчение процедуры обработки в нештатных ситуациях.
Подсистема облачных ресурсов. Включает в себя набор программных средств для организации облачной инфраструктуры и сервисов поверх аппаратной платформы, управление пулами ресурсов, автоматизации и учета ресурсов. Компоненты подсистемы автоматизируют задачи управления ресурсами облака и предоставляют клиенту интерфейс взаимодействия для управления оказываемыми ИТ-услугами и доступными ресурсами публичного облака.
Подсистема информационной безопасности. Включает в себя набор программно-аппаратных компонентов, необходимых для защиты инфраструктуры провайдера и инфраструктуры клиента в соответствии с внутренними политиками, российскими и международными стандартами, а также требованиями нормативных документов: ФЗ № 152 о персональных данных, PCI-DSS, ISO и пр.

Как обеспечить защиту облачной инфраструктуры

Для создания безопасной среды в облаке важно следовать следующему плану:

Определить ответственных за информационную безопасность в компании. Зачастую одним из ключевых рисков при миграции в облако становятся именно организационные недочеты. В компании должны быть назначены ответственные лица, это может быть конкретный человек или подразделение. Чаще всего это руководитель ИТ- или ИБ-департамента с расширенными полномочиями. Именно он будет отвечать за взаимодействие с облачным провайдером и принимать решения со стороны компании заказчика.
Ответственно подойти к выбору облачного провайдера, изучив ряд критериев: качество используемого оборудования, наличие технической поддержки и финансовых гарантий, уровень SLA.
Определить и зафиксировать компетенции сторон, чтобы понять, какие процессы входят в зону ответственности облачного провайдера, а какие остаются на стороне клиента. Очень часто в компаниях считают, что при переходе в облако вся ответственность за обеспечение информационной безопасности инфраструктуры полностью отходит провайдеру. Но это не так.
Обеспечить многоуровневую защиту инфраструктуры организации от внешних атак. Это означает, что защита должна быть предусмотрена на каждом уровне – от виртуальных ресурсов до администраторов и пользователей ваших информационных систем.
Обеспечить внутреннюю защиту виртуальной инфраструктуры. Помимо многоуровневой защиты от внешних атак, необходимо предусмотреть защиту сервисов, информационных систем и приложений внутри виртуальной инфраструктуры.
Использовать дополнительные сервисы и инструменты. Многие облачные провайдеры предлагают дополнительные сервисы для обеспечения безопасности тех или иных данных в облаке.

Основные меры защиты от внешних и внутренних угроз

1. Многофакторная аутентификация

Так как основной элемент управления публичным облаком – это web-интерфейс, с помощью которого можно управлять виртуальными машинами и данными, ограничение доступа к нему важно сделать в первую очередь. Как минимум нужно использовать сложные пароли и настроить ролевую модель для инженеров, предоставляя им ограниченный доступ к управлению вашими виртуальными машинами. В качестве оптимального способа защиты необходимо также подключить двухфакторную аутентификацию для минимизации рисков несанкционированного доступа к ресурсам.

2. Шифрование данных

Пользователи и администраторы могут подключаться к вашим облачным ресурсам из любой точки мира, используя незащищенные каналы связи. Для минимизации рисков утечки рекомендуется использовать VPN-подключение к ресурсам, причем в зависимости от ситуации необходимо применять либо виртуальные решения, либо аппаратные. Кроме того, могут помочь выделенные каналы, если требуется связать инфраструктуру в облаке и в офисе, но не надо забывать о шифровании таких каналов.

Не стоит также забывать о шифровании данных при хранении. Использование шифрования на уровне платформы виртуализации или на уровне дисков виртуальных машин и операционной системы минимизирует риски несанкционированного доступа к вашей информации.

3. Защита каналов связи

Основной и единственный способ связи с облаком – публичные сети. Если у вас в облаке расположены приложения, которые требуют публикации ресурсов в сеть Интернет, необходимо их защитить. Оптимальным решением для защиты будут NGFW- или UTM-устройства, которые включают в себя VPN, IPS, IDS, а также защиту от целенаправленных атак. Использование таких средств, а также сегментация ваших сетей позволят повысить периметральную и внутреннюю безопасность на сетевом уровне.

4.Защита данных

Данные всегда являются основной ценностью, и важно обеспечивать их защиту. Самый простой способ – использовать многоуровневое резервное копирование, размещая копии не только у вашего текущего провайдера, но и локально, у вас в офисе и у вашего резервного провайдера, используя DRaaS-сервисы для минимизации простоя. Не стоит забывать и об антивирусной защите или о защите от сложных угроз. Решения класса EDR, XDR уже несколько лет являются одним из основных компонентов комплексных систем защиты информации, минимизируя риски кражи и утраты информации.

На что обратить внимание при выборе облачного провайдера

Чтобы пребывание в облаке было безопасным и удобным, компании важно ответственно подойти к выбору поставщика облачных сервисов. Для этого необходимо учесть:

Наличие нескольких ЦОДов и возможность резервного копирования данных или репликации на другую площадку. Хотя любой облачный провайдер и будет убеждать, что ваши данные в полной безопасности, в случае, например, аварии они могут быть утеряны и их вряд ли удастся восстановить.
Наличие сертификатов/аттестатов. Тут в первую очередь стоит рассматривать ЦОД и облачного провайдера, который соответствует вашим требованиям, так как ваши информационные системы должны соответствовать требованиям нормативных документов. В первую очередь именно внутренние ИБ-специалисты могут отказать в размещении в несоответствующем ЦОДе, даже если стоимость будет для вас самой привлекательной.
Наличие сервисов информационной безопасности. Как мы упомянули ранее, стоимость ИБ-оборудования становится все выше. При этом у провайдера должны быть базовые ИБ-сервисы, такие как шифрование, межсетевое экранирование, защита от DdoS-атак и WAF, – это минимальный набор. Далее идут сервисы NGFW или UTM, которые могут включать в себя такие классы средств, как IPS, IDS, WebGW, потоковые антивирусы, и многие другие. Желательно наличие антивирусных продуктов, антиспам-фильтров, а также любых других сервисов, которые помогут защитить облачную инфраструктуру и On-Premise. Отдельным преимуществом для Enterprise-компании будет наличие собственного SOC, размещенного в облаке, к которому можно подключить свои источники событий, без передачи за пределы облака провайдера.

Вывод

Использование публичного облака может предоставить множество преимуществ, но способно повлечь за собой и ряд рисков. Для обеспечения информационной безопасности инфраструктуры в облаке необходимо использовать комплексные меры, которые включают в себя: назначение ответственных лиц, градацию зон ответственности, взвешенный подход к выбору облачного провайдера, защиту физической инфраструктуры и сервисов. Это поможет сохранить конфиденциальность данных, уменьшить потери и повысить надежность и эффективность ваших информационных систем.

Журнал IT Expert

Опубликовано 16.03.2023

Об авторах

Виктор Федотов

Архитектор по развитию облачных сервисов ГК Softline

Информационная безопасность Облачный сервис

Предыдущая
«Лаборатория Касперского» и защита репутации бренда

Следующая
Российский бизнес и популярные мессенджеры. Как обеспечить безопасность корпоративных коммуникаций

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30