Готова ли ваша организация обеспечить безопасность в облаке?
Облачные технологии предоставляют организациям всех размеров и типов многочисленные преимущества с точки зрения масштабируемости, потенциальной экономии ресурсов и инноваций. Поскольку все больше организаций среднего размера переносят рабочие нагрузки в облачные среды, можно задать вопрос, безопасная ли облачная среда?
Реальной опасностью облачных вычислений является предполагаемая потеря контроля, включая проблемы с видимостью в среде провайдера, возможной несовместимостью инструментов безопасности и элементов управления в облаке.
К проблемам безопасности облаков можно отнести:
- отсутствие видимости и контроля над процессами в облаках;
- теневое ИТ;
- вероятность случайно публикации данных;
- злоумышленная утечка данных;
- искажение или потеря критичных данных;
- несоответствие требованиям регуляторов;
- присутствие облачных вредоносных программ;
- вероятность распространения вредоносных программ на всю сеть организации.
К счастью, инструменты облачно безопасности также развиваются, и появляется множество передовых методов и услуг обеспечения безопасности для облачных сервисов,которые могут использовать организации.
Совместная ответственность
В эпоху облачных вычислений все больше компаний используют совместную ответственность за безопасность данных в ИТ. Это означает, что поставщик облачных услуг отвечает за некоторые элементы безопасности, а организация - за элементы управления. Поэтому перед подписанием договора важно договориться, кто за что отвечает.
Характер модели совместной ответственности будет различаться в зависимости от используемой модели, которая может быть как SaaS, PaaS или IaaS.
Например, в моделях SaaS потребитель отвечает только за данные, а поставщик отвечает за операционную систему, приложение и инфраструктуру. В моделях PaaS потребитель несет ответственность за данные, то есть за данные, и, вероятно, за некоторые компоненты приложения.
В отличие от этого, в модели IaaS потребитель несет ответственность за все уровни безопасности в облаке (также называемые развернутыми активами), а поставщик облачных услуг отвечает только за базовую инфраструктуру.
Таким образом, ни один облачный провайдер не возьмет на себя полную ответственность за все меры и требования к кибербезопасности. Некоторые проблемы безопасности будут нести сами организации, и они будут обязаны знать, что они могут и не могут контролировать в различных облачных средах.
Соответствие, контроль данных и ответственность
Все организации, использующие облачные технологии, сталкиваются с проблемами соответствия. Это означает, услуги облачного провайдера должны соответствовать национальным и международным требованиями.
Также важно знать, какие типы данных отправляются в облако, и уметь тщательно контролировать этот поток. Это может быть особенно трудным, когда пользователи могут подписаться на облачные сервисы без ведома руководства организации, и DLP-системы могут не заметить использование облачных услуг с отдельных ноутбуков или компьютеров за пределами организации. В этил случаях имеет смысл использовать услуги брокеров безопасного доступа в облако (Cloud Access Security Broker) -CASB.
CASB-системы сначала контролировали доступ к услугам SaaS, таким как CRM, ERP, приложения Microsoft Office 365 и службы технической поддержки (Service desk). На сегодняшний день область их применения включает также услуги PaaS и IaaS.
Системы CASB помогают организациям контролировать облачные приложения и сервисы, как официально разрешенные политиками ИБ компаний к использованию, так и не разрешенные.
Такие системы обеспечивают:
- Наглядность. CASB позволяют производить поиск и обнаружение всех используемых разрешенных и неразрешенных облачных услуг и наглядное их отображение: к каким облачным приложениям или сервисам сотрудники имеют доступ и кто ими пользуется, с каких устройств и из какого местоположения.
- Защита данных. CASB позволяет управлять правами доступа к облакам для предотвращения доступа к неразрешенным услугами и приложениям, контролировать доступ к ресурсам с различных устройств, а также политик разграничения прав доступа к данным.
- Защита от угроз. CASB позволяют обнаруживать и нейтрализовать вредоносные программы в облачных платформах. Согласно исследованиям Netskope и Ponemon Institute, 31% организаций испытали негативные воздействия на свои критичные данные, вызванные облачными вредоносными программами.
- Соответствие. CASB помогает соблюдать установленные внутренние политики информационной безопасности и демонстрировать соответствие нормативных требованиям внешних регуляторов.
Защита клиентов и конечных точек
Клиенты, работающие в облаке, нуждаются в защите на том же уровне, что и клиенты внутри сети организации. Такая защита включает в себя исправления программного обеспечения, управление конфигурацией и защиту от вредоносных программ. Для масштабирования в облачных средах эти процессы должны быть автоматизированы и, в идеале, должны соответствовать процессам внутри сети организации. Например, если организация использует антивирусное программное обеспечение одного производителя внутри сети организации, то в облачной системе антивирус должен быть того же производителя или того же типа. Также важно убедиться, что программы для защиты от вредоносных программ не замедляют производительность как внутри сети предприятия, так и в облаке.
Управление идентификацией и доступом
Основная задача управления идентификацией – это контроль доступа к компьютерным ресурсам, приложениям, данным и услугам. Такую задачу решают системы IdM или IAM ((Identity and Access Management).
Для идентификации пользователей облачные системы могут использовать проверку подлинности с помощью форм. Организация может самостоятельно обеспечить аутентификацию пользователей в облачном сервисе или использовать услуги провайдеров услуги управления идентификацией. Методики для этого называются по-разному, например, "идентификационная идентификация", "федерация идентификации" и включают в себя ряд протоколов (например, SAML, SAML-P, WS-Federation, OAuth). Эти методики зависят от систем, которые организация хочет использовать для аутентификации пользователей:
- AML/WS-Fed обычно используются для предприятий (например, с использованием Microsoft Active Directory).
- OAuth в основном используется системами, ориентированными на потребителя (например, Facebook, Google и т.д.).
В идеале идентификация должна поддерживать многофакторную аутентификацию для тех продуктов, с которыми знакомы пользователи компании, и перед внедрением системы IAM/IdM необходимо убедиться, что система поддерживает все типы пользовательских устройств.
Контроль уровня приложения
Облачные приложения подвергаются множеству угроз. Cloud Security Alliance (CSA) разделяет безопасность приложений на различные области, включая защиту жизненного цикла разработки программного обеспечения в облаке; аутентификацию, авторизацию, управление идентификацией, управление авторизацией приложений, мониторинг приложений, тестирование на проникновение приложений; и управление рисками.
Если организация разрабатывает облачное приложение, то важно, чтобы эти аспекты учитывались при внедрении. Внедрение должно включать ревизию кода, тестирование, а эксплуатация такого приложения должна сопровождаться регулярной проверкой учетных записей, разграничением доступа к данным, а трафик приложения должен шифроваться.
Контроль сети
Если организация использует гибридное облако, то у внутреннего ЦОДа, который взаимодействует с облачной системой мало возможностей для управления сетевой безопасностью. Можно использовать межсетевые экраны, IDS/IDP системы и прочие системы безопасности. Кроме того, если используются программно-определяемые сети, нужно убедиться в том, не происходило чрезмерное распределение прав.
Для активов в публичных облаках необходимо установить безопасное выделенное соединение с использованием IPSec или отдельного канала облачного провайдера, такого как ExpressRoute, и внедрить любые средства контроля доступа к сети или IDS/IPS систему с помощью совместимых продуктов. В идеале организации могут использовать те же продукты и технологии, которые используются внутри сети организации, но для разработки и реализации мониторинга облачных услуг и управления сетевым доступом к ним могут потребоваться дополнительные ресурсы.
К сожалению, существует множество сценариев, когда поставщики SaaS и другие облачные сервисы будут поддерживать небезопасные сетевые соединения. В таких сценариях обычно не используются такие технологии, как «песочницы» для обнаружения вредоносных программ и DLP-системы, обнаруживающие утечки данных при взаимодействии с облаком.
В таких случаях на помощь приходят брокеры облачных услуг (cloud services broker, CSB). Такие брокеры позволяют с помощью одного интерфейса управлять инфраструктурой и сервисами, размещенными у различных провайдеров облачных услуги. Частично функции CSB совмещены с функциями CASB, но CSB больше направлены на управление внешними услугами, мониторинге, аналитике и оптимизации затрат.
Обычно такие решения реализованы при помощи всего двух подходов: прокси и API. В первом случае трафика проходит через программно-аппаратный комплекс, предоставляемый брокером. Одна часть которого устанавливается на стороне заказчика, а другая – в облаке брокера. На конечные устройства также может устанавливаться дополнительное программное обеспечение.
Программно-аппаратный комплекс интегрируется с системами безопасности у клиента и позволяет управлять всем потоком данных. Можно получать отчеты, настраивать политики и права доступа к облачным ресурсам, получать извещения о нарушениях политик.
Во втором случае, то есть работе через API, все функции управления доступом находятся в облаке брокера. Обычно используется оба варианта, и для разных конечных устройств используются тот или иной подход или их комбинация.
Чтобы получить положительный ответ на вопрос «готова ли ваша организация обеспечить безопасность в облаке», нужно:
- обеспечить безопасную передачу данных;
- обеспечить контроль и мониторинг активности пользователей;
- совместимость с надежными продуктами для обеспечения безопасности или поставщиками управляемых услуг по обеспечению безопасности.
Эти требования в равной степени применимы к организациям и малого, и среднего бизнеса, которые хотят начать облачный проект или осуществить полный переход в облако.