- сервисы
Информационная безопасность в облаке
Облачная информационная безопасность — нечто большее, чем защита от DDos-атак и взлома аккаунтов. За последние 5 лет список угроз облачной безопасности пополнили вредоносы для нападения на Unix-системы, средства виртуализации и оркестраторы, проникновения инсайдеров, криптоджекинг и потери данных из-за простоев и аварий.
К сожалению, абсолютно неуязвимой системы, которая бы защищала от всего и сразу — нет. Зато есть проверенные практики, которые на стороне клиента закрывают одновременно несколько вопросов защиты облаков. О них мы и расскажем.
Аудит информационной безопасности в облаке
Аудит — отправная точка для любой системы информационной безопасности (ИБ). Он помогает разобраться, что и от чего защищать. Дает оценку реального положения дел, обнаруживает уязвимые места, определяет перечень угроз и их приоритетность.
В ходе аудита облачной безопасности оценивается не столько компьютерное и сетевое оборудование, ПО, базы данных, операционные системы и хранилища, сколько информационные процессы:
- управление доступом,
- организация мониторинга,
- практика использования мобильных устройств для хранения информации,
- алгоритмы шифрования,
- регламент дублирования и восстановления данных и пр.
По результатам становится ясно, соответствует ли облачная система информационной безопасности требованиям к защите персональных данных, может ли работать в условиях атаки на отказ в обслуживании и какие участки нуждаются в усиленной защите. Возможно, придется усилить контроль за парольными политиками для сервисных и административных учетных записей. Или разделить полномочия и ответственность администраторов виртуальных машин и СХД.
Защита конечных точек
Классической защиты IT-периметра уже недостаточно. Когда сотрудники получают доступ к IT-инфраструктуре одновременно с десктопов и мобильных телефонов, сложно даже определить, где начинается и где оканчивается периметр IT-среды. В этих условиях оптимальной выглядит стратегия, согласно которой каждая конечная точка доступа к IT-инфраструктуре рассматривается как объект с собственным периметром информационной безопасности. Для его защиты могут использоваться EPP и EDR-решения.
EPP (Endpoint Protection Platform) как системы защиты конечных станций блокируют известное вредоносное ПО в точке входа. EPP последнего поколения задействуют расширенные технологии безопасности, включая персональные межсетевые экраны, системы контроля портов, предотвращения вторжений, шифрования дисков и пр. Одним из передовых решений с усиленным функционалом для борьбы с современными угрозами является виртуальный файрволл NGFW на базе FortiGate. Помимо основных функций межсетевых экранов, он поддерживает IPS и антивирус для защиты от атак, сегментирует сеть и фильтрует трафик, управляет доступом к приложениям, строит SSL VPN и IPSEC VPN-туннели, контролирует исходящий трафик за счет антиботнет-модуля. Мы используем его как гибкое и производительное решение для защиты от внутренних и внешних угроз.
В отличие от EPP-решений, EDR (Endpoint Detection & Response) работают одновременно на нескольких уровнях:
- обнаруживают инциденты безопасности, в том числе новые и неизвестные,
- изолируют и сдерживают потенциальную опасность, удаленно контролируя сетевой трафик без приостановки ключевых процессов,
- расследуют эпизоды нарушения безопасности,
- возвращают рабочую станцию в состояние до заражения/повреждения.
Решения класса EDR относятся к сегменту продвинутых систем информационной безопасности. Они обнаруживают ранее неизвестные угрозы и выводят облачную ИБ на новый уровень контроля IT-периметра. Основным преимуществом решений EDR является обнаружение трудноопределимых угроз, в частности бесфайлового вредоносного ПО и шифровальщиков, быстрое восстановление после взлома и усиленная телеметрия угроз.
EPP-решения закрывают основные векторы потенциальных атак и могут стать ядром для поэтапного развития стратегии информационной безопасности в облаке. EDR обеспечивают мощную, комплексную защиту рабочих мест, но требуют соответствующего уровня компетенций, опыта и глубокой аналитики больших объемов данных. Но главное — ни тот, ни другой не дадут ожидаемого результата, если воспринимать их как инструменты «подключил и забыл». Любые сервисы защиты приходится периодически подкручивать и настраивать, адаптируясь под меняющийся ландшафт угроз.
План аварийного восстановления
«Несмотря на ключевую роль резервного копирования в защите данных, для 14% всех данных бэкап вообще не выполняется, а в 58% случаев данные из резервных копий невозможно восстановить».
Исследование Veeam Data Protection Report 2021
На случай кратковременных сбоев и длительных аварийных отказов у каждой компании должен быть план аварийного восстановления (DR-план). Сотрудники служб информационной безопасности знают его как документ с детальным описанием типов аварий, факторов риска и пошаговых действий по реконструкции данных, включая очередность восстановления процессов.
План составляется с учетом модели аварийного восстановления:
1. Классический бэкап на резервную площадку с последующим восстановлением.
2. Асинхронная репликация данных на дублирующую площадку.
3. Синхронное зеркалирование с репликацией на уровне СХД.
В рамках этого материала мы не будем подробно рассматривать модели и план Disaster Recovery, так как варианты решений подробно описаны на странице Disaster Recovery, а интересный кейс по выбору модели и составлению плана Disaster Recovery опубликован в блоге.
Шифрование как инструмент контроля безопасности информации в облаке
На стороне облачного провайдера шифрование выполняется на уровне Storage, баз данных, дополнительно шифруются резервные копии в Managed Services for Databases, а при передаче используется протокол шифрования TLS.
На стороне клиента остается самостоятельная реализация шифрования для критичных данных. Так, пользователи облаков на базе VMware могут зашифровать виртуальную машину, чтобы защитить ее от несанкционированного использования, а в облаке Hyper-V для защиты данных и состояния виртуальной машины предусмотрен параметр Encrypt State and VM migration traffic и диск для хранилища ключей. Encrypt State and VM migration traffic поможет шифровать сохраненный трафик динамической миграции и данные состояния виртуальной машины, а с опцией диска для хранения ключей виртуальная машина получит небольшой диск для хранения ключа BitLocker.
Вообще, шифрование жестких дисков виртуальных машин относится к зоне смежной ответственности клиента и провайдера. С одной стороны, шифрование дает клиенту уверенность, что данные на диске закрыты шифром. С другой, для запуска виртуальной машины гипервизор, обслуживаемый провайдером, должен иметь загруженные ключи расшифровки.
Золотая середина
Бизнес очень по-разному видит информационную безопасность в облаке. В одних компаниях специалисты по ИБ не готовы принимать тот факт, что теряют доступ к большинству рычагов контроля безопасности. В других рассчитывают, что с переходом в облака задачи по поддержанию безопасной IT-инфраструктуры полностью лягут на облачного провайдера.
Истина где-то рядом. В рамках моделей IaaS, PaaS, SaaS и XaaS мы руководствуемся базовой логикой распределения зон ответственности, но гибко подходим к оценке смежных зон и технических решений для усиления ИБ. Всегда готовы идти навстречу и корректировать условия сотрудничества. Напишите или позвоните нам: подберем дополнительные услуги, поможем с выбором альтернативных схем и экономически целесообразных решений под конкретные задачи обеспечения информационной безопасности облака.