С каждым годом бизнес все больше задумывается о необходимости защиты своей ИТ-инфраструктуры: растет количество уязвимостей, вирусов, успешных хакерских атак, каждый месяц появляются новые сообщения об утечках данных. Однако многие компании не спешат переходить в облако, опасаясь за сохранность своей информации. Важно также отметить, что обеспечивать безопасность облачной инфраструктуры не так просто, стоимость ИБ-оборудования довольно высока.
Сегодня размещение инфраструктуры в публичном облаке – отличная возможность получить неограниченное количество ресурсов для нужд компании, оптимизировать расходы на закупку оборудования и лицензий, сопровождение и даже администрирование. О том, как обеспечить защиту облачной инфраструктуры и какую роль в этом играет облачный провайдер, мы поговорим в этой статье.
Потребность в безопасности
По данным исследования ГК Б1 (ранее Ernst & Young), рынок кибербезопасности в России в 2021 году составил около 117 млрд рублей, 58% из них пришлось на средства защиты информациии. При этом, по прогнозам компании, рынок услуг и решений в области информационной безопасности будет одним из самых динамично развивающихся в перспективе ближайших лет.
Обеспечение информационной безопасности – важная задача для любой компании. При ее реализации необходимо руководствоваться как требованиями законодательства, так и здравым смыслом. Отчет международного экономического форума выделяет киберугрозы в квадрант наивысшего риска в глобальном масштабе. Отмечается также, что достижения 4-й промышленной революции (4IR) основаны на цифровых технологиях, в том числе на облачных вычислениях.
Стоит отметить, что облачные вычисления обладают потенциалом для усиления межотраслевого развития, расширения технологического доступа к удаленным районам и дальнейшей увязки искусственного интеллекта с другими технологиями 4IR. В то же время, поскольку в облаке размещается все больше данных, компании активно накапливают информацию, что в конечном итоге может создать новые потенциальные риски для конфиденциальности и безопасности данных.
Что происходит и кто виноват?
Защита информации при размещении в облаке – это работа с двух флангов: верхнеуровневая защита данных со стороны облачного провайдера и точечная защита со стороны клиента.
Обычно в компании отдел ИБ уже имеет на руках необходимые нормативные регламенты и иные документы, определяющие уровень защиты, возможные угрозы и их источники. Если, конечно, такой отдел вообще существует в компании.
В случае отсутствия отдела ИБ или лица, ответственного за безопасность, организации следует обратиться за помощью к ИТ-компании, которая подготовит необходимые документы, спроектирует систему обеспечения безопасности информации, внедрит ее и будет в дальнейшем сопровождать.
Основные задачи сотрудников информационной безопасности — обеспечение конфиденциальности, целостности и доступности информации в компании. При размещении в облаке эта задача усложняется, поскольку часть инфраструктуры переходит в зону ответственности облачного провайдера. Под контролем заказчика остаются: виртуальные машины и сети, операционные системы, каналы доступа в Интернет, прикладное программное обеспечение и т. д.
Напомним, что в основе любого облака заложена технологическая платформа, которая представляет собой набор протестированных и оптимально интегрированных программно-аппаратных средств. С архитектурной точки зрения программно-аппаратная платформа, обеспечивающая функционирование публичного облака, состоит из ряда подсистем:
Подсистема размещения данных. Включает в себя одну или несколько систем хранения данных (СХД) одного или различных производителей, дисковые накопители, системы архивации и резервного копирования. СХД обладают разными параметрами производительности и плотностью хранения, обеспечивая как блочный, так и файловый доступ к данным. При этом блочный доступ реализуется при помощи протоколов FibreChannel (FC), FibreChannel over Ethernet (FCoE), iSCSI, а файловый – при помощи протоколов CIFS и NFS.
Подсистема сетевой инфраструктуры. Включает в себя набор коммутаторов и выполняет функцию по обеспечению взаимодействия подсистем между собой. Коммутаторы используются для организации связанности по протоколам Ethernet, а также для организации SAN-сети. Сеть должна обеспечивать эффективное взаимодействие и высокую пропускную способность между подсистемами.
Подсистема вычислений. Включает в себя набор серверных шасси с установленными модульными серверами (blade-серверы), а также отдельные серверы (rack-серверы).
Подсистема виртуализации. Представляет собой набор программного обеспечения, решающего задачи по организации виртуальной серверной инфраструктуры, виртуализации сетевой инфраструктуры и виртуализации ресурсов хранения данных. Обеспечивает также балансировку нагрузки между компонентами подсистемы вычислений, отказоустойчивость функционирования виртуальных машин, облегчение процедуры обработки в нештатных ситуациях.
Подсистема облачных ресурсов. Включает в себя набор программных средств для организации облачной инфраструктуры и сервисов поверх аппаратной платформы, управление пулами ресурсов, автоматизации и учета ресурсов. Компоненты подсистемы автоматизируют задачи управления ресурсами облака и предоставляют клиенту интерфейс взаимодействия для управления оказываемыми ИТ-услугами и доступными ресурсами публичного облака.
Подсистема информационной безопасности. Включает в себя набор программно-аппаратных компонентов, необходимых для защиты инфраструктуры провайдера и инфраструктуры клиента в соответствии с внутренними политиками, российскими и международными стандартами, а также требованиями нормативных документов: ФЗ № 152 о персональных данных, PCI-DSS, ISO и пр.
Как обеспечить защиту облачной инфраструктуры
Для создания безопасной среды в облаке важно следовать следующему плану:
Определить ответственных за информационную безопасность в компании. Зачастую одним из ключевых рисков при миграции в облако становятся именно организационные недочеты. В компании должны быть назначены ответственные лица, это может быть конкретный человек или подразделение. Чаще всего это руководитель ИТ- или ИБ-департамента с расширенными полномочиями. Именно он будет отвечать за взаимодействие с облачным провайдером и принимать решения со стороны компании заказчика.
Ответственно подойти к выбору облачного провайдера, изучив ряд критериев: качество используемого оборудования, наличие технической поддержки и финансовых гарантий, уровень SLA.
Определить и зафиксировать компетенции сторон, чтобы понять, какие процессы входят в зону ответственности облачного провайдера, а какие остаются на стороне клиента. Очень часто в компаниях считают, что при переходе в облако вся ответственность за обеспечение информационной безопасности инфраструктуры полностью отходит провайдеру. Но это не так.
Обеспечить многоуровневую защиту инфраструктуры организации от внешних атак. Это означает, что защита должна быть предусмотрена на каждом уровне – от виртуальных ресурсов до администраторов и пользователей ваших информационных систем.
Обеспечить внутреннюю защиту виртуальной инфраструктуры. Помимо многоуровневой защиты от внешних атак, необходимо предусмотреть защиту сервисов, информационных систем и приложений внутри виртуальной инфраструктуры.
Использовать дополнительные сервисы и инструменты. Многие облачные провайдеры предлагают дополнительные сервисы для обеспечения безопасности тех или иных данных в облаке.
Основные меры защиты от внешних и внутренних угроз
1. Многофакторная аутентификация
Так как основной элемент управления публичным облаком – это web-интерфейс, с помощью которого можно управлять виртуальными машинами и данными, ограничение доступа к нему важно сделать в первую очередь. Как минимум нужно использовать сложные пароли и настроить ролевую модель для инженеров, предоставляя им ограниченный доступ к управлению вашими виртуальными машинами. В качестве оптимального способа защиты необходимо также подключить двухфакторную аутентификацию для минимизации рисков несанкционированного доступа к ресурсам.
2. Шифрование данных
Пользователи и администраторы могут подключаться к вашим облачным ресурсам из любой точки мира, используя незащищенные каналы связи. Для минимизации рисков утечки рекомендуется использовать VPN-подключение к ресурсам, причем в зависимости от ситуации необходимо применять либо виртуальные решения, либо аппаратные. Кроме того, могут помочь выделенные каналы, если требуется связать инфраструктуру в облаке и в офисе, но не надо забывать о шифровании таких каналов.
Не стоит также забывать о шифровании данных при хранении. Использование шифрования на уровне платформы виртуализации или на уровне дисков виртуальных машин и операционной системы минимизирует риски несанкционированного доступа к вашей информации.
3. Защита каналов связи
Основной и единственный способ связи с облаком – публичные сети. Если у вас в облаке расположены приложения, которые требуют публикации ресурсов в сеть Интернет, необходимо их защитить. Оптимальным решением для защиты будут NGFW- или UTM-устройства, которые включают в себя VPN, IPS, IDS, а также защиту от целенаправленных атак. Использование таких средств, а также сегментация ваших сетей позволят повысить периметральную и внутреннюю безопасность на сетевом уровне.
4.Защита данных
Данные всегда являются основной ценностью, и важно обеспечивать их защиту. Самый простой способ – использовать многоуровневое резервное копирование, размещая копии не только у вашего текущего провайдера, но и локально, у вас в офисе и у вашего резервного провайдера, используя DRaaS-сервисы для минимизации простоя. Не стоит забывать и об антивирусной защите или о защите от сложных угроз. Решения класса EDR, XDR уже несколько лет являются одним из основных компонентов комплексных систем защиты информации, минимизируя риски кражи и утраты информации.
5. Мониторинг
Отслеживание состояния информационных систем в облаке – важная задача, которой не стоит пренебрегать, ведь нарушение работы одной службы или компонента вашей информационной системы может привести в дальнейшем к эффекту домино, когда одна пропущенная ошибка и ее последствия могут привести к выходу из строя всей системы в целом. Помимо этого, мониторинг событий информационной безопасности позволит обнаруживать и предотвращать угрозы в реальном времени.
6. WAF и защита от DDoS
Последние в нашем списке мер, но первые для защиты интернет-ресурсов. Атаки, которые могут привести к отказу в обслуживании, каждый год становятся более распространенными и приносят огромные убытки интернет-магазинам, медиасервисам и иным онлайн-площадкам. Использование WAF- и анти DDoS-систем позволяет снизить время простоя, что может привести к снижению убытков и повышению эффективности бизнеса, а также повысить удовлетворенность ваших клиентов.
Конечно, это не весь список мер, которые необходимо реализовывать, но используя даже часть из них, администраторы смогут минимизировать риск нарушения безопасности данных и сохранить конфиденциальность информации.
На что обратить внимание при выборе облачного провайдера
Чтобы пребывание в облаке было безопасным и удобным, компании важно ответственно подойти к выбору поставщика облачных сервисов. Для этого необходимо учесть:
Наличие нескольких ЦОДов и возможность резервного копирования данных или репликации на другую площадку. Хотя любой облачный провайдер и будет убеждать, что ваши данные в полной безопасности, в случае, например, аварии они могут быть утеряны и их вряд ли удастся восстановить.
Наличие сертификатов/аттестатов. Тут в первую очередь стоит рассматривать ЦОД и облачного провайдера, который соответствует вашим требованиям, так как ваши информационные системы должны соответствовать требованиям нормативных документов. В первую очередь именно внутренние ИБ-специалисты могут отказать в размещении в несоответствующем ЦОДе, даже если стоимость будет для вас самой привлекательной.
Наличие сервисов информационной безопасности. Как мы упомянули ранее, стоимость ИБ-оборудования становится все выше. При этом у провайдера должны быть базовые ИБ-сервисы, такие как шифрование, межсетевое экранирование, защита от DdoS-атак и WAF, – это минимальный набор. Далее идут сервисы NGFW или UTM, которые могут включать в себя такие классы средств, как IPS, IDS, WebGW, потоковые антивирусы, и многие другие. Желательно наличие антивирусных продуктов, антиспам-фильтров, а также любых других сервисов, которые помогут защитить облачную инфраструктуру и On-Premise. Отдельным преимуществом для Enterprise-компании будет наличие собственного SOC, размещенного в облаке, к которому можно подключить свои источники событий, без передачи за пределы облака провайдера.
Вывод
Использование публичного облака может предоставить множество преимуществ, но способно повлечь за собой и ряд рисков. Для обеспечения информационной безопасности инфраструктуры в облаке необходимо использовать комплексные меры, которые включают в себя: назначение ответственных лиц, градацию зон ответственности, взвешенный подход к выбору облачного провайдера, защиту физической инфраструктуры и сервисов. Это поможет сохранить конфиденциальность данных, уменьшить потери и повысить надежность и эффективность ваших информационных систем.