- безопасность
Облачный провайдер берёт на себя все вопросы, которые касаются виртуальной инфраструктуры клиента. Однако чаще всего речь идёт только об отказоустойчивости и скорости работы систем. Другое дело — безопасность в облаке.
В прошлой статье мы рассказали, как защищают данные в компаниях-провайдерах. В этот раз поговорим об ответственности клиента.
Клиент прав, но и обязан
Казалось бы, облачный провайдер выполняет требования законодательства и использует все необходимые средства защиты на своем уровне. А значит, именно он будет виноват, когда злоумышленники взломают инфраструктуру клиента. Но это далеко не так.
Технически провайдер обязан обеспечивать безопасность только в зонах, которые не контролируются клиентом. И наоборот: ответственность ложится на плечи клиента, если он может защитить данные в какой-либо области, а провайдер — нет.
Практическая безопасность
На практике разграничение зон ответственности часто зависит от модели использования облачных платформ (IaaS, PaaS, SaaS). Больше всего обязательств по кибербезу у клиента в IaaS. В этой модели он отвечает за всё, что касается защиты виртуальных машин и их взаимодействия с внешним миром, а также приложений и данных в них.
Защита данных
Чтобы обезопасить критичные данные, пользователи облаков используют инструменты для шифрования. Таким образом они защищают диски виртуальных машин от несанкционированного использования.
Ещё один способ обезопасить корпоративный контент в облаке — резервное копирование. Для пользователей NGcloud, например, таким решением является бэкап на резервную площадку с возможностью восстановления данных.
Защита веб-приложений
Чаще всего приложениям в облаке угрожают DDoS, SQL-инъекции, веб-скрейпинг, попытки захвата аккаунта и злоупотребления API. Для защиты от них обычно применяют комплекс мер, который начинается с регулярного сканирования приложения. Благодаря ему компании своевременно узнают об открытых IP-адресах и портах в интернете, а также получают списки уязвимостей своих веб-приложений с оценкой их критичности и рекомендациями по исправлению.
Как это устроено в NGcloud
Сканирование IP-адресов входит в набор сервисов кибербезопасности, которые уже встроены в облако. Инструмент работает в режиме black box («чёрный ящик»). Это означает, что сканер использует данные только о тех IP-адресах, которые предоставлены клиенту в облаке NGcloud и доступны в интернете. То есть инструмент не видит, что происходит внутри исследуемого сервиса.
Уведомления об открытых портах и уязвимостях приходят на почту клиента сразу, в момент обнаружения, а не по жёсткому расписанию, как в аналогичных сервисах. Риск пропустить важную информацию ниже, а скорость реагирования — выше.
Сканирование позволяет не только своевременно выявить уязвимости, но и более тонко настроить WAF (Web Application Firewall) — межсетевой экран для веб-приложений. Это основной инструмент для защиты веб-сервисов от целевых атак и эксплуатации уязвимостей. Его же можно использовать в качестве компенсирующей меры, когда нет обновлений или патчинга с устранением уязвимостей.
Отдельное и крайне важное сегодня направление — защита от DDoS-атак на уровне L7. Всё чаще для решения этой задачи компании приобретают специализированные сервисы.
Ещё один популярный инструмент — антиботы. Обычно к этому классу относят решения со встроенным многофакторным анализом поступающих запросов. Они определяют программных ботов по техническим метрикам и сигнатурам, а также могут блокировать доступ к приложениям при подозрениях на атаку.
Безопасность ОС
За операционные системы также отвечает клиент. Ему нужно выстраивать эффективные процессы управления уязвимостями, своевременно обновлять ОС и следить за безопасностью конфигураций.
Чтобы соблюсти эти требования, резиденты облаков приобретают сервисы администрирования ОС. Чаще всего такие решения помогают в мониторинге, сборе метрик безопасности, контроле обновлений и восстановлении после аварий.
Хранить логи и разграничивать доступ пользователей в случае с ОС тоже должен клиент. Хотя некоторые провайдеры могут с этим помочь.
Сетевая безопасность
Одной из самых актуальных угроз на сетевом уровне остаются DDoS-атаки L3 и L4. Обычно для защиты от них применяют специализированные сервисы ServicePipe, Qrator, Stormwall. Их можно подключить самостоятельно, обратиться за помощью к провайдеру или же сразу использовать облако со встроенной защитой от DDoS.
Как это устроено в NGcloud
Защита от DDoS L3-L4 включена в стоимость ресурсов. Весь трафик проходит через фильтрующие узлы встроенного сервиса и анализируется в режиме 24х7. Обнаруженную DDoS-атаку блокирует вышестоящий провайдер NGcloud. В облако приходит уже очищенный трафик. При этом сервисы клиента остаются доступными, так как провайдер не отправляет IP-адреса в blackhole.
Блокировать зловредный трафик также помогают решения класса NGFW — файрволы следующего поколения. Они помогают закрыть максимум задач: от фильтрации трафика и управления доступами до обнаружения и предотвращения целенаправленных атак.
Дела «бумажные»
Резидентам облаков приходится соблюдать множество требований регуляторов и законодательства. Для российских компаний в первую очередь актуальны:
- 152-ФЗ — описывает всё, что касается защиты персональных данных, от мер и средств защиты до огромного объёма документации, в которой описываются процессы сбора, хранения и обработки ПД;
- ГОСТ Р 57580 — национальный стандарт безопасности банковских и финансовых операций;
- PSI DSS — международный стандарт безопасности платёжных карт;
- Приказ ФСТЭК № 17 — требования к государственным информационным системам (ГИС).
Если у облака есть все необходимые аттестаты и сертификаты, то клиенту не нужно заботиться о соответствии государственным требованиям на уровне облачной инфраструктуры. За всё, что выше виртуальных машин, отвечает клиент. На своём уровне ему нужно выполнять требования как по мерам и средствам защиты, так и по наличию обязательной документации.
Например, чтобы соблюсти требования 152-ФЗ, компания может воспользоваться аттестованным облаком. В этом случае она подписывает с провайдером специальный документ — поручение на обработку персональных данных. Документ регулирует ответственность провайдера перед клиентом. Таким образом компания может закрыть задачу по соответствию облачной инфраструктуры требованиям закона.
При этом на уровне ИТ-системы клиент должен предпринять технические и организационные меры, а также разработать пакет необходимой документации. Размещаясь в аттестованном облаке, компания может сократить объём работ, но не избавится от них полностью. Кроме того, использование аттестованного публичного облака не перекладывает ответственность за соблюдение закона на провайдера IaaS и не снимает ответственность клиента перед регулятором.
Чем может помочь провайдер
Безопасность ИТ-систем и приложений, которые размещаются в облаке, — зона ответственности клиента. Однако это не значит, что он остаётся с этими задачами наедине.
Некоторые провайдеры предлагают компаниям услуги по «бумажной» безопасности. Они проводят консультации по необходимым документам и рассказывают клиентам, как выполнять обязательные технические требования.
Иногда провайдеры предоставляют больше: управляемые сервисы и их администрирование. В таком случае можно получить услугу «под ключ»: виртуальную инфраструктуру, средства защиты и управление ими.
Какие ИБ-сервисы предлагает NUBES
- WAF — файрвол для защиты веб-приложений, который регулярно сканирует защищаемые веб-приложения и фильтрует трафик клиента. Решение представляет собой комплексную защиту инфраструктуры компании от уязвимостей, угроз OWASP-10, DDoS- и целевых атак.
- NGFW — файрволы следующего поколения Check Point, UserGate, Sangfor. Вложения в лицензии и оборудование не требуются. При этом специалисты NUBES берут на себя весь комплекс работ — от настройки NGFW до его интеграции и поддержки.
- АнтиDDoS-сервис — масштабируемый инструмент, который комплексно защищает корпоративную инфраструктуру и приложения от инцидентов на уровнях L3/L4 и L7. Клиенты получают круглосуточный анализ трафика, превентивную блокировку атак и возможность встать под защиту во время ее проведения.
- Многофакторная аутентификация — сервис для безопасного удалённого доступа к VDI, VPN, почте и иным корпоративным сервисам. С решением можно создать единую точку входа для всех веб-приложений компании, а также заменить статические пароли на динамические.
Резюмируем
За безопасность в облаке отвечают не только провайдеры, но и клиенты. Чтобы защита данных и веб-приложений была эффективной, нужны усилия обеих сторон.
Главное для компании — закрывать свои зоны ответственности и помнить о том, что надёжный провайдер предоставляет не только защищённое облако. Он готов помочь клиентам с решением их задач по кибербезопасности. И провайдер сможет делать это эффективно и слаженно, так как он уже хорошо знаком с инфраструктурой клиента.
Для клиента такое сотрудничество выгодно ещё и потому, что он получает несколько услуг «из одного окна»: количество ИТ-поставщиков сокращается, а документооборот и оплата услуг отнимают меньше времени.