29 мая 11.00
Вебинар "Безопасное хранение цифрового контента с помощью отечественной DAM-платформы"
 

Защита данных в облаке

Защита данных в облаке
Время на прочтение: 4 минуты

Когда компания мигрирует в облако, первое, о чем ей приходится задуматься — защита данных в облаке. В этой статье мы расскажем об «узких местах» облачной информационной безопасности и основных способах защиты данных в виртуальных средах.

Чтобы говорить о безопасности облачных систем и приложений, для начала нужно унифицировать требования к ИБ. Клиент под безопасностью может понимать безусловную невзламываемость облачного решения, а провайдер — набор из базовых инструментов межсетевого экранирования периметра, анализа логов и защиты от DDoS. Прийти к единому знаменателю помогает разграничение зон ответственности: за какой уровень безопасности отвечает провайдер, а за какой — компания.

Под контролем провайдера обычно находится облачная инфраструктура до уровня гипервизора:

  • физическая безопасность серверов и программных средств виртуализации, включая служебные системы для поддержки облака,
  • управление логами, которые создают компоненты облака,
  • доступы и рабочие места персонала провайдера.

Операционные системы, поднятые в облаке виртуальные машины, развернутые бизнес-приложения, сети и настройки контролирует клиент. В классической реализации модели IaaS у провайдера нет доступа к IT-системам заказчика, так что настройки IP-адресов, доступ к панели управления облаком, обновление операционной системы находятся исключительно в зоне ответственности заказчика.

Чтобы свести к минимуму риски безопасности облака, провайдер и клиент закрывают вопросы безопасности:

  1. каждый в своей зоне ответственности,
  2. целиком и полностью,
  3. решениями, которые соответствуют уровню сложности задачи.

Для этого достаточно наладить адекватную коммуникацию. Как минимум, обговорить ответственность за ИБ-вопросы и согласовать методы защиты информационных систем в «узких местах».

NGcloud - облако нового поколения
Две недели бесплатного тест-драйва

Проблемные зоны информационной безопасности в облаках и методы их защиты

Доступ к облачной инфраструктуре

Сегмент подключения площадки клиента к облаку — потенциально опасная зона. В каждой точке контакта, от панели управления до виртуальных серверов, есть риск несанкционированного доступа. Хорошей практикой на этом участке является использование VPN с криптостойкими алгоритмами шифрования. Если добавить к VPN двухфакторную аутентификацию и «проброшенные» для внешнего доступа порты, можно с уверенностью говорить о безопасном удаленном доступе к ИТ-инфраструктуре компании.

Шифрование данных

Шифровать можно и информацию, передаваемую по каналам связи, и данные на серверах. При этом выбор инструмента зависит не только от типа кодирования — сценарии шифрования определяются внутренней политикой ИБ компании, а также государственными стандартами и нормативами. Так, у регуляторов есть определенные требования к передаче персональных данных согласно 152-ФЗ и работе критической информационной инфраструктуры 187-ФЗ. Под такие задачи настраивается специальное ГОСТ-шифрование.

Концепция нулевого доверия

Модель нулевого доверия или Zero Trust базируется на принципе потенциальной опасности любых точек контакта информационных систем с внешними сетями и ресурсами. Концепция требует:

  • устанавливать минимальные привилегии пользователя,
  • аутентифицировать и авторизовать его при каждом доступе к системе,
  • сегментировать IT-инфраструктуру на микроучастки с разным уровнем доступа,
  • мониторить все без исключения объекты IT-инфраструктуры, чтобы обнаруживать уязвимости или атаки на раннем этапе.

Для оптимизации облачной инфраструктуры по модели нулевого доверия, компания разрабатывает политики безопасности, и уже в соответствии с ними подбирает и настраивает технологии защиты под компоненты Zero Trust.

Резервирование данных

Несмотря на обязательность резервирования данных, то и дело появляются истории, когда виртуальные машины «нечаянно стерли», а файлы в хранилище «по ошибке удалили». Защитить приложения в облаке от программных сбоев, технических неисправностей и человеческого фактора помогают управляемые сервисы резервного копирования — аварийное восстановление, репликация и резервирование в удаленное облако. Они обеспечивают непрерывность работы бизнес-критичных приложений и помогают без потерь восстановить инфраструктуру после аварии или сбоя.

В практике информационной безопасности облачных систем актуальны два подхода к реализации мер защиты. В первом облако поставляется с единым набором встроенных сервисов, таких как NG Cloud, с предустановленной защитой от DDoS L3/L4, сканером уязвимостей IP-адресов, сбором событий ИБ и форензикой. Во втором заказчик передает поставщику облачных услуг определенный участок жизненного цикла приложений, а провайдер подбирает для него комплекс управляемых ИБ-сервисов. Мы в Nubes работаем с обоими сценариями — предлагаем функционально безопасное облако «под ключ» для сложных, высоконагруженных проектов или подбираем платформенные сервисы для точечного решения ИБ-задач.

Новые статьи и анонсы вебинаров в нашем Телеграм-канале