Администрирование

Безопасность и защита данных в облачных технологиях | Boodet.onine

Защита корпоративной информации и персональных данных в облачных сервисах. Требования к информационной безопасности в облачных технологиях. Стратегии для защиты информации.

IT GIRL 30
Поделиться
Запинить
Отправить

Защита данных

Облачные сервисы используют для работы, в науке, здравоохранении, в частной жизни. Практически в любом действии в интернете так или иначе есть присутствие сервисов из облака. Большие объемы данных, которые генерирует каждый человек и любая компания, нуждаются в хранении. Поэтому вопрос безопасности облачных сервисов — это приоритет как для поставщика услуг, так и для клиентов. Как защитить свои данные в облаке? Рассказывают специалисты Boodet.Online.

Защита данных в облаке — это сложный многоуровневый процесс. В этой статье мы постараемся рассказать о самых эффективных способах повысить безопасность. Мы не будет рассматривать детально защиту информации в общественном облаке — там больше всего действий происходит на стороне поставщика услуг, со стороны клиента необходимо только дать согласие на двухфакторную авторизацию или придумать надежный пароль. Общественные облачные сервисы редко используют для бизнеса из-за малой гибкости и низкой масштабируемости, поэтому лучше подойдут гибридные.

Как защитить данные в гибридном облаке? Методы, описанные в этой статье подойдут и для частных, и для отраслевых решений.

Угрозы безопасности

Зачем злоумышленникам чужие облака? Основной товар 21 века — это персональные данные. Когда человек заходит к вам на сайт, он оставляет информацию о себе даже когда ничего не покупает и не заполняет никаких анкет. IP, DNS, история запросов посетителя остается на вашем ресурсе. Если это интернет-магазин, остаются данные карт.

Злоумышленники могут похитить личную информацию и использовать ее в своих целях. Если меры защиты данных в облаке реализованы неправильно, владелец ресурса понесет наказание вплоть до лишения свободы. Также ваш ресурс могут использовать для DDoS-атак.

Требования по защите (ГОСТ)

Если есть официальная система наказаний за недостаточные меры защиты информации в облаке, есть и правила, их регламентирующие. Для России это ГОСТ Р:

  • ИСО/МЭК 27000 — 2012;

  • ИСО/МЭК 27001 — 2006;

  • 50922 — 2006;

  • 53114 — 2008.

Как это обычно бывает с нормативными документами, они разработаны без учета постоянно меняющихся списков угроз и современных способов защиты данных в облаке. На самом деле все эти ГОСТ — это большой перечень ответственности для потребителей и поставщиков услуг и условные рекомендации по методам обеспечения безопасности. Стоит ли использовать их как однозначное руководство к пользованию? Однозначно нет, ведь список угроз и методов защиты ежедневно растет, а ГОСТ — нет.

Что нужно сделать? Проверить, соответствуют ли ваши базовые методы защиты данных в облаке государственным рекомендациям для того, чтобы в случае проверки отчитаться перед Роспотребнадзором. Для потребителей услуг более актуальным документов будет SLA — именно в этом соглашении прописаны конкретные облачные услуги, которые предоставляет провайдер, и способы их защиты.

Проблемы защиты данных в облачных технологиях

От чего может исходить угроза? Есть всего несколько основных причин:

  • вторжение;

  • вирусное и шпионское ПО;

  • социальная инженерия (человеческий фактор внутри компании).

Мы не рассматриваем угрозы, которые зависят от внешних факторов, например, перегрева оборудования в Дата-центре. Надежные провайдеры размещают свое оборудование в ЦОД не ниже уровня TIER III, где риск поломок, перегрева, затопления настолько минимален, что не происходит практически никогда.

Чтобы защитить облако от вторжения, вирусных программ и утечки данных, необходимо настроить контроль доступа. Это не просто логин и пароль, это глобальное понятие, которое относится ко всем средствам безопасности. Другими словами, задача состоит в том, чтобы не просто настроить доступ для пользователей, а не допустить вторжение извне.

Что используется: сетевые виртуальные устройства (Firewall), программы для защиты веб-интерфейса, непрерывный мониторинг.

Обратите внимание: шифрование, двухфакторная аутентификация и базовое антивирусное ПО должны быть реализованы на стороне провайдера. Если ваш поставщик услуг не предлагает средств базовой защиты данных в облаке, стоит поискать другого, так как безопасность — это всегда двусторонний процесс.

Выбор, установка и настройка брандмауэров, программ для web-интерфейса и мониторинга — это сложный процесс, который потребует участие опытного IT-специалиста. Мы не рекомендуем настраивать средства защиты информации в облаке самостоятельно ввиду множества нюансов, но расскажем простыми словами, как это делают профессионалы.

Корпоративная безопасность данных

Облако для большой компании подразумевает многоуровневую архитектуру, большой набор услуг и такой же большой счет за их использование. К тому же чем больше организация, тем выше влияние человеческого фактора и возможность утечки данных. Для решения проблемы корпоративной безопасности и снижения расходов можно воспользоваться возможностями архитектуры защиты информации в облачных технологиях.

Архитектура защиты данных в облаке: что можно делегировать провайдеру

Для начала вернемся к базовому понятию облачных сервисов «как услуга». Что это значит? Если вы работаете на обычном компьютере, у вас установлена операционная система, дополнительные сервисы и программы. Вы включаете ПК, и все работает само по себе.

Что происходит, когда вы используете облако? У провайдера есть серверы, которые он хранит в ЦОД. С помощью ряда устройств, софта и кода он делит физические мощности своих серверов между арендаторами, которые получают набор определенных функций в формате «как услуга». Что можно получить в виде услуги:

  • инфраструктуру (ОС, мощности);

  • аппаратное обеспечение;

  • программное обеспечение;

  • платформу;

  • базу данных;

  • рабочий стол.

Как эффективно защитить данные в облаке и сэкономить? Есть простой способ — воспользоваться Платформой-как-услугой и Софтом-как-услугой.

Преимущество использования службы PaaS заключается в делегировании некоторых элементов безопасности поставщику облачных услуг. Это может быть выгодно для небольших организаций. В средах PaaS (платформа) или SaaS (ПО) компания пользуется мерами защиты, которые предлагает поставщик.

Если же вам нужен полноценный контроль над всеми мерами безопасности данных в облаке, вам подойдет модель IaaS (Инфраструктура-как-услуга), которая обеспечивает более детальные элементы управления и позволяет их выбирать.

Фильтрация данных и контроль использования ресурсов

Зачем нужно фильтровать данные и контролировать ресурсы? Основная цель таких мероприятий — предотвращение несанкционированного доступа к облачным услугам. Вредоносный доступ может быть не только извне. Сотрудники компании также могут негативно влиять на безопасность, посещая сомнительные сайты или пересылая конфиденциальную информацию. Основной способ корректно отфильтровать сведения и проконтролировать доступ к ресурсам — использовать правильный Firewall (брандмауэр).

Брандмауэры начали использовать для защиты данных в облаке не так давно. Современные Firewall (NGFW) отличаются интегрированными функциями безопасности для облачных сервисов:

  • функции NAT/PAT;

  • глубокая проверка пакетов — с поведенческой подписью или IDS/IPS;

  • специализированные веб-элементы управления — правила WAF.

Как правильно встроить брандмауэр в систему защиты данных в облаке?


Первое, что должен сделать специалист — собрать полную облачность. Что это значит? Инфраструктура облака состоит из сетей и конечных точек. Последние — это оборудование на стороне провайдера и клиента. Все, что находится между физическими устройствами — это сеть. Firewall должен контролировать доступ как с известных компьютеров, так и через сеть. Такой принцип называется бесшовной интеграцией.

Какие преимущества дает бесшовная интеграция? Основное — это возможность развертывания списков контроля доступа на любом уровне:

  • на конечных точках;

  • в сети.

То есть для эффективной защиты информации в облаке развертывается большое количество списков контроля доступа на всех возможных точках входа. Почему для этого нужно привлекать IT-специалистов? Разве нельзя настроить брандмауэр самостоятельно, по многочисленным инструкциям в сети? На самом деле настроить Firewall и внедрить списки — это достаточно просто, а вот управлять ими — намного сложнее. Основная проблема — отсутствие централизованного решения для управление правилами. Самый адекватный набор правил сделал Amazon, но для его настройки тоже потребуются специальные знания и навыки.

Firewall старого поколения


А если использовать традиционные устройства брандмауэра? Простые в настройке и отлично зарекомендовавшие себя для физических устройств? Действительно, с настройкой обычного Firewall на компьютере справится любой штатный специалист, но защитит ли это данные в облаке? На самом деле да, но есть несколько нюансов:

  • если сетевое устройство не интегрировано в облачную структуру, процесс развертывания будет сложным;

  • программные дополнения нельзя настроить гибко или использовать элементы другого поставщика ПО.

Такие брандмауэры подойдут для того, чтобы защитить информацию в облаке для малого и среднего бизнеса, где не требуются усиленные настройки безопасности. Например, если вы ведете корпоративный блог или делаете лендинг для компании, такого Firewall будет достаточно. Большинством правил можно управлять централизованно — это означает возможность синхронной конфигурации, простое повторное развертывание и снижение прямого взаимодействия рядовых сотрудников компании с системой безопасности.

Такая простая и понятная система, к сожалению, не подойдет для больших корпораций и в случае операций с персональными данными. Если у вас интернет-магазин, вы принимаете платежи через интернет или работаете с базами данных в облачной 1С, стандартного Firewall для защиты информации в облаке будет недостаточно.

Что делать, если денег на IT-специалиста нет, а брандмауэр нужен?


Такая ситуация достаточно типичная для бизнеса. Ввиду отсутствия полноценной поддержки малого и среднего предпринимательства компании тратят большую часть бюджета на обычные вещи: аренду склада и офиса, закупку товаров, логистику, CRM и 1С. Денег на качественную защиту данных в облаке со стороны клиента практически не остается. Что делать? Полностью положиться на средства обеспечения безопасности на стороне провайдера? Есть выход лучше.

В IT-сфере (той ее части, которая касается облаков) есть два безусловных лидера: Amazon (AWS) и Microsoft (Azure). Azure обойдется дешевле, настраивать его проще, количество официальных инструкций больше.

Что дает Microsoft Azure для защиты данных в облаке:

  • контроль доступа через группы безопасности сети (NSG);

  • балансировщики нагрузки, хоть и не такие эффективные, как в AWS;

  • WAF, но без большого набора управляемых правил и централизованного управления ими;

  • единый межсетевой экран между сетью и интернетом — актуально для малого и среднего бизнеса;

  • несколько брандмауэров на разных уровнях — актуально для крупных компаний;

  • изоляция сетей.

Некоторые специалисты целенаправленно выбирают Azure даже для защиты облака финансовых организаций. Но исходя из опыта, мы рекомендуем продукт Microsoft как более простую альтернативу AWS, а не полноценную замену.

Управление безопасностью в облачных сервисах

Что нужно, чтобы облачные сервисы были безопасными? В первую очередь, необходимо позаботиться о защите веб-интерфейса. Почему это важно? Веб-интерфейс приложений и сервисов является входной дверью для данных.

Базовые принципы защиты:

  • интерфейс не должен быть сложным;

  • API должен быть аутентифицированным;

  • трафик нужно фильтровать.

Как управляют безопасностью? Управление — это целая серия мероприятий, каждое из которых состоит из множества элементов. Для понимания упростим систему, выделив главное. Элементы управления фокусируются на поведенческом паттерне (типе запроса), чтобы различать законные и вредоносные запросы. Кроме того, они ориентированы на веб-протоколы и их правильное поведение.

Эффективными методами управления считаются:

  • контроль DDoS, внешний или встроенный в CSP Azure DDoS или AWS DDoS и AWS Shield;

  • CDN (сеть распространения контента) или аналогичные системы распределения трафика, например, Azure CDN или AWS CloudFront;

  • защита DNS, к примеру, диспетчер трафика Azure или маршрут AWS 53;

  • брандмауэры веб-приложений, например, Azure WAF или AWS WAF;

  • контроль доступа, роли и разрешения Azure NSG или AWS Security Groups.

Инструменты отслеживания инцидентов

Как понять, что вы платите за те ресурсы, которые потребляете для бизнеса, а не за те, которые используют злоумышленники? Для этого система защиты облака должна быть расширена методами контроля потребления ресурсов, расходов и выставления счетов.

Идеальная система контроля состоит из нескольких элементов:

  • средства мониторинга;

  • средства визуализации.

Для мониторинга используют продукты от AWS или Azure — у Microsoft и Amazon есть решения для любой ситуации. Можно отслеживать трафик и его сбои, слабые места защиты, атаки на всех уровнях облачной архитектуры. Если вы подозреваете, что ваши сервисы используют для DDoS-атак (а это можно заметить по резко возросшему счету за трафик), воспользуйтесь Azure DDoS или AWS Shield. Это специализированные решения для обнаружения, предупреждения и защиты от таких атак в облаке.

Для визуализации рекомендуем Grafana — удобные отчеты, наглядное представление и гибкие возможности персонализации.

Журнальные записи в облаке

Журнальные файлы тоже нужно защищать, ведь в них записаны все операции, которые происходили с данными. Специфических мер защиты облачного журнала нет, соответственные возможности встроены в брандмауэры.

Сам журнал можно вести с помощью облачных сборщиков, например, AWS Cloudwatch, AWS Cloudtrail, AWS Insight.

Записи можно отнести к одному из инструментов отслеживания инцидентов, но с их помощью можно не только узнать, что в системе защиты облака плохо, но и что хорошо. Устранение слабых мест и работа над сильными — это самая действенная стратегия защиты информации.

Стратегии защиты данных

На уровне облачной архитектуры защищают:

  • данные;

  • приложения;

  • службы;

  • сеть;

  • политики;

  • периметр.

Стратегия защиты информации в облаке — это совокупность методов предотвращения вторжения и утечки данных. Она состоит из многоуровневого подхода к защите. Это подразумевает, что нужно уделять внимание:

  • конфиденциальности;

  • доступности;

  • целостности.

Часть этапов можно делегировать провайдеру, остальным придется заниматься самостоятельно. Стратегия защиты данных будет зависеть и от того, кто использует облако — компания или рядовой пользователь.

Безопасность при персональном использовании облачных сервисов

Рядовые пользователи постоянно используют облачные сервисы. Когда мы отправляем почту или фотографии друзьям, мы делаем это из облака. При этом пользователь всегда использует один из элементов его архитектуры — веб-интерфейс.

Мы рекомендуем усилить веб-интерфейс, поскольку это первый компонент приложения, который может быть атакован. Страница аутентификации должна быть простой и может содержать внешнюю идентификационную запись, а также токены авторизации.

Так как пользователи могут просто не знать о необходимости двухфакторной авторизации, мы рекомендуем провайдерам использовать по умолчанию специализированный клиентский интерфейс, например, CSP Identity.

Защита информации при облачных вычислениях

Для защиты облачных вычислений применяют традиционные методы: фильтруют трафик, шифруют данные, разграничивают уровни доступа, настраивают Firewall. Есть еще один способ, который относится к узкотехническим — мы говорим о защите бэкэнда приложений.

Почему это важно? Бэкэнд приложения имеет тенденцию взаимодействовать с бэкэндом базы данных, поэтому меры безопасности на этом уровне должны быть строгими.

Методы общей защиты информации при облачных вычислениях, помимо уже описанных в данной статье, включают в себя:

  • использование модели развертывания IaaS;

  • контроль доступа;

  • IPS сети или хоста;

  • мониторинг поведенческих шаблонов;

  • защиту ОС;

  • укрепление образа узла ОС — применение элементов управления CIS к образу;

  • кластерные средства управления безопасностью — например, NeuVector или Aqua Security;

  • Защиту контейнеров AWS с использованием сетевых ACL, ролей и политик групп безопасности.

Каждый из этих методов имеет свои особенности развертывания, варианты применения, уровни настройки.

Заключение

Защита данных в облаке происходит на всех уровнях архитектуры: в инфраструктуре, приложениях, софте, вычислениях. Несмотря на то, что в России есть регламентирующие документы по обеспечению безопасности облачных сервисов, пользоваться только методами из ГОСТ нельзя — они не учитывают последние изменения в сфере таких технологий, развертывания и угроз.

Если у вас есть вопросы по построению эффективной защиты информации в облаке, обратитесь к специалистам Boodet.Online — мы поможем разработать стратегию, которая будет закрывать все потребности вашего проекта.


Поделиться
Запинить
Отправить

Возможно вам так же будет интересно: