Безопасность облака – это раздел кибербезопасности, посвященный защите облачных вычислительных систем. Сюда входит защита конфиденциальности и данных во всех объектах сетевой инфраструктуры, онлайн-приложениях и платформах. Участвовать в этом должны как поставщики облачных услуг, так и пользователи, будь то частные лица, малые и средние предприятия или корпорации.
Облачные службы размещаются на серверах с постоянным подключением к интернету. Поставщики рассчитывают на доверие пользователей, поэтому в их интересах обеспечивать неприкосновенность хранящихся в облаке личных данных. Тем не менее облачная безопасность отчасти находится в руках самих пользователей. Для надежной защиты важно, чтобы обе стороны понимали свою ответственность.
Безопасность облака – это следующая совокупность категорий.
На первый взгляд может показаться, что для обеспечения безопасности в облаке подходят те же методы, что и в традиционных IT-средах, но это не так. Прежде чем углубляться в тему, давайте разберемся, что же такое облачная безопасность.
Безопасность облака – это целый набор технологий, протоколов и наработок для защиты облачных сред, приложений и данных. Для начала необходимо понять, что именно нужно защищать и какие аспекты систем требуют управления.
В целом борьба с уязвимостями происходит преимущественно на серверной стороне: это обязанность поставщика облачных услуг. Но и у клиентов есть свои обязанности, помимо выбора надежного поставщика. Клиенты должны правильно использовать настройки защиты, уметь безопасно пользоваться службами, а также заботиться о защите всех устройств и сетей конечных пользователей.
Независимо от уровня ответственности все меры безопасности облака направлены на защиту следующих компонентов.
В случае облачных технологий не всегда легко определить, кто несет ответственность за каждый из этих компонентов, в результате чего размываются соответствующие обязанности клиентов. Поскольку процесс защиты облака зависит от того, кто за какие компоненты отвечает, важно понимать принцип классификации этих компонентов.
Для простоты разделим компоненты облачных систем на две основные группы.
На данный момент используются следующие облачные среды.
Как мы видим, безопасность облака может различаться в зависимости от типа облачной среды, однако она одинаково важна как для отдельных пользователей, так и для организаций.
Каждая мера для облачной безопасности нацелена на выполнение одной или нескольких следующих задач.
Безопасность данных – это аспект облачной безопасности, связанный с технической стороной предотвращения угроз. Технологии позволяют поставщикам и клиентам делать конфиденциальные данные невидимыми и недоступными. Самая мощная из доступных технологий такого рода – шифрование. Шифрование делает ваши данные полностью нечитаемыми, и восстановить их сможет только тот, у кого есть ключ шифрования. Даже если ваши зашифрованные данные будут украдены, воспользоваться ими не получится. В облачных сетях также важны средства защиты передаваемых данных, такие как виртуальные частные сети (VPN).
Управление идентификацией и доступом (IAM) связано с правами доступа, предоставляемым пользователям. Сюда также относится управление аутентификацией и авторизацией учетных записей. Контроль доступа позволяет ограничить пользователям доступ к закрытым данным и системам и распространяется как на проверенных пользователей, так и на потенциальных злоумышленников. Управление паролями, многофакторная аутентификация – эти и другие методы защиты относятся к IAM.
Административный контроль сосредоточен на политике предотвращения, обнаружения и устранения угроз. Такие подходы, как анализ угроз, могут помочь предприятиям разных размеров в отслеживании и приоритизации угроз, чтобы защитить важнейшие системы. Индивидуальным клиентам тоже не помешает знать, как безопасно пользоваться облачными службами. Обычно это касается организаций, однако правила безопасного пользования системой и реагирования на угрозы пригодятся любому пользователю.
Планирование хранения данных и обеспечения непрерывности бизнеса включает меры восстановления утерянных данных в случае технического сбоя. При планировании опираются на методы дублирования информации, например на создание резервных копий. Кроме того, не помешают технические средства обеспечения бесперебойной работы. Хороший план обеспечения непрерывности бизнеса должен также включать проверку действительности резервных копий и подробные инструкции по восстановлению данных для сотрудников.
Соблюдение нормативно-правовых требований гарантирует защиту конфиденциальных данных пользователей в соответствии с законом. Государство заботится о том, чтобы личные данные людей не использовались в коммерческих целях, обязывая организации соблюдать установленные требования, например маскировать данные, то есть использовать шифрование для скрытия личности пользователя.
С переходом на облачные вычисления традиционный подход к IT-безопасности претерпел огромные изменения. Облачные среды удобнее, однако постоянное подключение к интернету требует новых мер безопасности. Безопасность облака как более современное решение в сфере кибербезопасности отличается от традиционных подходов рядом аспектов.
Хранение данных. Главное отличие в том, что более ранние модели IT полагались на локальное хранение данных. Тем не менее, несмотря на возможность полноценного контроля безопасности, локальные IT-платформы дороги и не отличаются гибкостью. Облачные платформы помогают сэкономить на разработке и эксплуатации систем, но при этом частично лишают пользователей контроля.
Скорость масштабирования. Аналогичным образом безопасность облака требует особого внимания при масштабировании корпоративных IT-систем. В облаке используется модульная инфраструктура и приложения с возможностью быстрой мобилизации. Это облегчает адаптацию системы к организационным переменам, однако, вследствие потребности организации в постоянных обновлениях и повышении удобства работы, постоянно приходится задумываться об уровне безопасности.
Взаимодействие с системой конечного пользователя. Облачные системы взаимодействуют со многими другими системами и службами, которые также необходимо защищать, причем это справедливо как для организаций, так и для индивидуальных пользователей. Необходимо управление правами доступа на всех уровнях: на устройствах конечных пользователей, для ПО и даже в сети. Кроме того, поставщикам и пользователям нужно отслеживать уязвимости, возникающие из-за небезопасных установки приложений и доступа к системам.
Близость к другим данным и системам в сети. Постоянная связь между облаком и пользователями создает угрозу даже для поставщика облачных услуг. В сетевой среде один единственный уязвимый компонент может стать брешью для компрометации всей системы. Предоставляя клиентам услуги, включая хранение данных, поставщики облачных услуг постоянно подвергаются опасности. Сохраняя данные на собственные системы вместо систем конечных пользователей, поставщики вынуждены принимать дополнительные меры безопасности.
Для решения большинства проблем облачной безопасности – как в персональной, так и в деловой среде – требуется проактивное участие и клиентов, и поставщиков. Это означает, что и те и другие равным образом должны уделять внимание:
Наконец, и от тех, и от других требуется прозрачность и ответственность как гарантия безопасности обеих сторон.
Какие риски свойственны облачной среде? От знания этих рисков зависит, какие меры безопасности будут приниматься. Ведь незащищенная облачная среда подвергает пользователей и поставщиков всем видам киберугроз. Вот самые распространенные из них.
Для облака главным риском является отсутствие периметра. Традиционная киберзащита в первую очередь направлена на обеспечение безопасности периметра, но облачные среды очень тесно взаимосвязаны, а значит, небезопасные API (интерфейсы программирования приложений) и кража учетных записей представляют серьезную опасность. Учитывая специфику рисков, специалисты по кибербезопасности теперь должны делать упор именно на контроль данных.
Взаимосвязанность также представляет проблему для сетей. Часто преступники проникают в сеть через взломанную или незащищенную учетную запись. Если злоумышленник получит доступ к облаку, он сможет воспользоваться его плохо защищенными интерфейсами, чтобы заполучить нужные данные из различных баз данных или узлов. Более того, он даже может использовать свои собственные облачные серверы для экспортирования и хранения похищенных данных. Система безопасности должна защищать все облако, а не только хранящиеся в нем личные данные.
Сторонние услуги хранения данных и онлайн-доступ также представляют угрозу. Если в работе какой-либо службы произойдет сбой, вы не сможете получить доступ к своим файлам. Например, в случае перегрузки мобильной сети вы можете в самый неподходящий момент оказаться без доступа к облаку. Или отключение электроэнергии может затронуть центр обработки данных, в котором хранятся ваши данные, и даже привести к их безвозвратной потере.
Подобные сбои могут иметь и долговременные последствия. Недавнее отключение электроэнергии в облачном хранилище данных Amazon привело к потере данных многих клиентов вследствие повреждения аппаратной части серверов. Этот пример наглядно показывает, почему вам в любом случае необходимы локальные резервные копии хотя бы части ваших данных и приложений.
В 1990-х годах деловые и личные данные размещались локально, а значит, и меры безопасности были локальными. Данные хранились на внутреннем носителе домашнего компьютера или, в случае компании, на ее серверах.
Появление облачных технологий заставило переосмыслить кибербезопасность. Ваши данные и приложения могут перемещаться между локальными и удаленными системами и всегда быть доступными через интернет. Вы редактируете документы в Google Docs на смартфоне или используете ПО Salesforce для работы с клиентами — а сами документы и файлы приложений могут находиться в совершенно произвольном месте. Поэтому обеспечение надежной защиты становится все более сложной задачей по сравнению с прошлыми временами, когда достаточно было всего лишь ограничить доступ к вашей сети. Безопасность облака требует некоторой адаптации прежних методов использования IT, при этом значение безопасности возросло по двум основным причинам.
Увы, преступники понимают ценность облачных целей и постоянно ищут новые лазейки. Поставщики услуг берут на себя все большую ответственность за безопасность, но они не всесильны. Поэтому даже самым неискушенным пользователям рекомендуется просвещаться на тему безопасности облака.
И не только им. Понимая свои обязанности по защите информации, мы делаем всю систему значительно безопаснее.
Были приняты законы, защищающие пользователей от передачи и продажи их личных данных. Общеевропейские нормативы защиты данных (GDPR) и Закон США о преемственности страхования и отчетности в области здравоохранения (HIPAA), например, предусматривают ограничения по хранению данных и доступу к ним.
На основе GDPR используются методы управления идентификацией, такие как маскировка данных, для отделения идентифицирующих признаков от данных пользователей. HIPAA обязывает медицинские учреждения следить за тем, как их поставщик ограничивает доступ к данным.
Акт Конгресса США, разъясняющий законное использование данных за рубежом (CLOUD), накладывает на поставщиков облачных услуг дополнительные ограничения, потенциально в ущерб конфиденциальности пользователей. Теперь закон разрешает федеральным органам США требовать от поставщиков предоставлять определенные данные, хранящиеся на их серверах. Это сделано для содействия в расследованиях, однако может нарушить права граждан на тайну личной жизни и даже привести к злоупотреблению властью.
К счастью, вы сами можете многое сделать для того, чтобы защитить свои данные, хранящиеся в облаке. Рассмотрим некоторые из наиболее распространенных методов.
Шифрование – один из лучших способов защитить облачные системы. Перечислим разные варианты шифрования, которые могут предложить как поставщик облачных услуг, так и сторонний поставщик защитных решений для облачных сред.
Наибольшему риску перехвата данные подвергаются во время перемещения – из одного хранилища в другое или из облака в ваше локальное приложение. Таким образом, сквозное шифрование лучше всего гарантирует безопасность критичных данных в облаке: не имея ключа, посторонние никогда не смогут прочесть ваши сообщения.
Самостоятельное шифрование данных перед их отправкой в облако или использование облачной службы, которая предоставляет такую услугу Если вы используете облако только для хранения не конфиденциальных данных, например рекламных роликов компании, использование сквозного шифрования будет явным перебором. Однако, если речь идет о конфиденциальной финансовой или бизнес-информации, сквозное шифрование просто необходимо.
Если вы используете шифрование, не забывайте о важности безопасного хранения ваших ключей. Храните резервную копию ключа (желательно не в облаке). Также имеет смысл регулярно менять ключи шифрования. Тогда, даже если в какой-то момент они попадут не в те руки, то после смены ключей окажутся бесполезны.
Конфигурация – еще одно мощное средство в арсенале защиты облака. Часто взлом облака происходит из-за такой элементарной уязвимости, как ошибка конфигурации. Исключите такие ошибки, и риск утечки данных из облака станет гораздо меньше. Если вы не разбираетесь в тонкостях настроек, воспользуйтесь услугами специалистов в этой области.
Вот несколько полезных советов.
Элементарные принципы кибербезопасности также должны быть частью любой облачной практики. Даже если вы используете облако, не следует игнорировать общепринятые правила кибербезопасности. Если вы хотите обеспечить себе максимальную защиту в Сети, примите во внимание следующие соображения.
Риски для безопасности облачной среды затрагивают всех – как предприятия, так и отдельных пользователей. Например, публичное облако может использоваться для сохранения и резервного копирования файлов (например, в Dropbox), для доступа к электронной почте и офисным приложениям, для подготовки налоговых деклараций и других документов.
Вам следует продумать, как вы будете делиться облачными данными с другими, что особенно актуально, если вы, например, консультант или фрилансер. Предоставление общего доступа к файлам в Google Диске или аналогичной облачной службе – удобный способ отправлять клиентам выполненную работу, но при этом вам необходимо правильно определить разрешения. В конце концов вы же не хотите, чтобы разные клиенты видели имена или папки друг друга или вносили изменения в чужие файлы.
Помните, что многие общедоступные облачные хранилища не шифруют данные. Если вы хотите обеспечить безопасность ваших данных, вам нужно будет самостоятельно зашифровать их, прежде чем выгружать в облако. Затем вам нужно будет предоставить клиенту ключ, иначе он не сможет прочесть свои файлы.
Безопасность должна быть одним из ключевых критериев при выборе поставщика облачных услуг. Ваша кибербезопасность отныне не является только вашей заботой – поставщик должен сделать свой вклад, создав безопасную облачную среду и разделив ответственность за безопасность данных.
К сожалению, поставщики облачных услуг не дадут вам полную схему безопасности своей сети. Это все равно, что просить банк предоставить вам план своего хранилища вместе с кодами сейфов.
Тем не менее, получив ответы на парочку простых вопросов, вы будете увереннее в безопасности ваших данных в облаке. Кроме того, вам будет понятно, насколько ответственно поставщик подошел к вопросу защиты облака от явных угроз. Вы можете задать своему поставщику следующие вопросы.
Обязательно прочтите условия предоставления услуг вашего поставщика. Только так вы будете точно понимать, что получаете.
Также внимательно изучите все службы, используемые вашим поставщиком. Если ваши файлы хранятся в Dropbox или в iCloud (облачное хранилище Apple), это вполне может означать, что физически они хранятся на серверах Amazon. Соответственно, помимо службы, которой вы пользуетесь, вам желательно ознакомиться также и с работой Amazon Web Services.
Службы безопасности гибридных облачных сред могут стать разумным выбором для бизнес-клиентов. Они больше подходят для бизнеса, потому что они, как правило, слишком сложны для персонального пользования. Сочетание масштабируемости и доступности облака с локальным контролем определенных данных – это то, что нужно малым и средним предприятиям и корпорациям.
Вот несколько преимуществ гибридных облачных сред с точки зрения безопасности.
Сегментация служб позволяет организации контролировать хранение данных и доступ к ним. Например, можно создать несколько уровней безопасности, загрузив основные данные, приложения и процессы в облако и оставив наиболее конфиденциальную информацию под локальным контролем. Кроме того, разделение данных поможет организации соблюсти правовые положения о защите информации.
Избыточность – еще одно преимущество гибридных облачных сред. Можно перенести повседневную деятельность в публичное облако и создавать резервные копии систем на локальных серверах. Так работа будет продолжена даже в случае потери соединения с одним из центров обработки данных или его заражения программой-вымогателем.
В то время как корпорации могут позволить себе такую роскошь, как частное облако (интернет-аналог собственного офисного здания), частные лица и небольшие предприятия вынуждены пользоваться публичными облачными службами. Это все равно что арендовать офис в крупном бизнес-центре или проживать в многоквартирном доме вместе с сотнями соседей. Вот почему безопасность должна быть вашим основным приоритетом.
В случае приложений для малого и среднего бизнеса основная ответственность за безопасность публичного облака лежит на поставщике.
Однако вы можете принимать собственные меры безопасности.
Сейчас более 90% крупных корпораций используют облачные вычисления — соответственно, безопасность облака стала важным элементом корпоративной безопасности в целом. Частные облачные службы и прочая дорогостоящая инфраструктура могут оправдать себя в случае крупных организаций. При этом IT-отдел компании все равно должен поддерживать работоспособность ее сетей.
В случае крупных корпораций вложения в корпоративную инфраструктуру обеспечат более гибкую безопасность облака.
Итак, запомните ряд ключевых принципов.
Поэтому, будь вы индивидуальным пользователем облака, сотрудником малого, среднего предприятия или даже корпорации, вы обязаны как можно лучше защищать собственные устройства и сети. Это начинается с четкого понимания отдельным пользователем основ кибербезопасности, а также с использования надежных защитных решений для облачной среды на всех ваших устройствах и сетях.
Другие продукты
Статьи по теме
Источники
https://phoenixnap.com/blog/what-is-cloud-security
https://www.csoonline.com/article/3405439/how-a-decentralized-cloud-model-may-increase-security-privacy.html
https://www.zscaler.com/solutions/cloud-security
https://www.paloaltonetworks.com/cyberpedia/what-is-a-cloud-security
https://www.youtube.com/watch?v=jI8IKpjiCSM
https://www.helpnetsecurity.com/2020/07/09/public-cloud-security-incident/
https://www.beyondtrust.com/resources/glossary/cloud-security-cloud-computing-security