Как обеспечить безопасность и защиту данных в облаке со стороны клиента

Безопасность в облаке: за что отвечает клиент
Время на прочтение: 7 минут

Облачный провайдер берёт на себя все вопросы, которые касаются виртуальной инфраструктуры клиента. Однако чаще всего речь идёт только об отказоустойчивости и скорости работы систем. Другое дело — безопасность в облаке.

В прошлой статье мы рассказали, как защищают данные в компаниях-провайдерах. В этот раз поговорим об ответственности клиента.

Клиент прав, но и обязан

Казалось бы, облачный провайдер выполняет требования законодательства и использует все необходимые средства защиты на своем уровне. А значит, именно он будет виноват, когда злоумышленники взломают инфраструктуру клиента. Но это далеко не так.

Технически провайдер обязан обеспечивать безопасность только в зонах, которые не контролируются клиентом. И наоборот: ответственность ложится на плечи клиента, если он может защитить данные в какой-либо области, а провайдер — нет.

Практическая безопасность

На практике разграничение зон ответственности часто зависит от модели использования облачных платформ (IaaS, PaaS, SaaS). Больше всего обязательств по кибербезу у клиента в IaaS. В этой модели он отвечает за всё, что касается защиты виртуальных машин и их взаимодействия с внешним миром, а также приложений и данных в них.

Защита данных

Чтобы обезопасить критичные данные, пользователи облаков используют инструменты для шифрования. Таким образом они защищают диски виртуальных машин от несанкционированного использования.

Ещё один способ обезопасить корпоративный контент в облаке — резервное копирование. Для пользователей NGcloud, например, таким решением является бэкап на резервную площадку с возможностью восстановления данных.

Защита веб-приложений

Чаще всего приложениям в облаке угрожают DDoS, SQL-инъекции, веб-скрейпинг, попытки захвата аккаунта и злоупотребления API. Для защиты от них обычно применяют комплекс мер, который начинается с регулярного сканирования приложения. Благодаря ему компании своевременно узнают об открытых IP-адресах и портах в интернете, а также получают списки уязвимостей своих веб-приложений с оценкой их критичности и рекомендациями по исправлению.

Как это устроено в NGcloud

Сканирование IP-адресов входит в набор сервисов кибербезопасности, которые уже встроены в облако. Инструмент работает в режиме black box («чёрный ящик»). Это означает, что сканер использует данные только о тех IP-адресах, которые предоставлены клиенту в облаке NGcloud и доступны в интернете. То есть инструмент не видит, что происходит внутри исследуемого сервиса.

Уведомления об открытых портах и уязвимостях приходят на почту клиента сразу, в момент обнаружения, а не по жёсткому расписанию, как в аналогичных сервисах. Риск пропустить важную информацию ниже, а скорость реагирования — выше.

NGcloud - облако нового поколения
Две недели бесплатного тест-драйва

Сканирование позволяет не только своевременно выявить уязвимости, но и более тонко настроить WAF (Web Application Firewall) — межсетевой экран для веб-приложений. Это основной инструмент для защиты веб-сервисов от целевых атак и эксплуатации уязвимостей. Его же можно использовать в качестве компенсирующей меры, когда нет обновлений или патчинга с устранением уязвимостей.

В WAF доступны детали ИБ-событий — от даты обнаружения до IP-адреса
В WAF доступны детали ИБ-событий — от даты обнаружения до IP-адреса

Отдельное и крайне важное сегодня направление — защита от DDoS-атак на уровне L7. Всё чаще для решения этой задачи компании приобретают специализированные сервисы.

Ещё один популярный инструмент — антиботы. Обычно к этому классу относят решения со встроенным многофакторным анализом поступающих запросов. Они определяют программных ботов по техническим метрикам и сигнатурам, а также могут блокировать доступ к приложениям при подозрениях на атаку.

Безопасность ОС

За операционные системы также отвечает клиент. Ему нужно выстраивать эффективные процессы управления уязвимостями, своевременно обновлять ОС и следить за безопасностью конфигураций.

Чтобы соблюсти эти требования, резиденты облаков приобретают сервисы администрирования ОС. Чаще всего такие решения помогают в мониторинге, сборе метрик безопасности, контроле обновлений и восстановлении после аварий.

Хранить логи и разграничивать доступ пользователей в случае с ОС тоже должен клиент. Хотя некоторые провайдеры могут с этим помочь.

Сетевая безопасность

Одной из самых актуальных угроз на сетевом уровне остаются DDoS-атаки L3 и L4.  Обычно для защиты от них применяют специализированные сервисы ServicePipe, Qrator, Stormwall. Их можно подключить самостоятельно, обратиться за помощью к провайдеру или же сразу использовать облако со встроенной защитой от DDoS.

Как это устроено в NGcloud

Защита от DDoS L3-L4 включена в стоимость ресурсов. Весь трафик проходит через фильтрующие узлы встроенного сервиса и анализируется в режиме 24х7. Обнаруженную DDoS-атаку блокирует вышестоящий провайдер NGcloud. В облако приходит уже очищенный трафик. При этом сервисы клиента остаются доступными, так как провайдер не отправляет IP-адреса в blackhole.

Блокировать зловредный трафик также помогают решения класса NGFW — файрволы следующего поколения. Они помогают закрыть максимум задач: от фильтрации трафика и управления доступами до обнаружения и предотвращения целенаправленных атак.

Дела «бумажные»

Резидентам облаков приходится соблюдать множество требований регуляторов и законодательства. Для российских компаний в первую очередь актуальны:

  • 152-ФЗ — описывает всё, что касается защиты персональных данных, от мер и средств защиты до огромного объёма документации, в которой описываются процессы сбора, хранения и обработки ПД;
  • ГОСТ Р 57580 — национальный стандарт безопасности банковских и финансовых операций;
  • PSI DSS — международный стандарт безопасности платёжных карт;
  • Приказ ФСТЭК № 17 — требования к государственным информационным системам (ГИС).

Если у облака есть все необходимые аттестаты и сертификаты, то клиенту не нужно заботиться о соответствии государственным требованиям на уровне облачной инфраструктуры. За всё, что выше виртуальных машин, отвечает клиент. На своём уровне ему нужно выполнять требования как по мерам и средствам защиты, так и по наличию обязательной документации.

Например, чтобы соблюсти требования 152-ФЗ, компания может воспользоваться аттестованным облаком. В этом случае она подписывает с провайдером специальный документ — поручение на обработку персональных данных. Документ регулирует ответственность провайдера перед клиентом. Таким образом компания может закрыть задачу по соответствию облачной инфраструктуры требованиям закона.

При этом на уровне ИТ-системы клиент должен предпринять технические и организационные меры, а также разработать пакет необходимой документации. Размещаясь в аттестованном облаке, компания может сократить объём работ, но не избавится от них полностью. Кроме того, использование аттестованного публичного облака не перекладывает ответственность за соблюдение закона на провайдера IaaS и не снимает ответственность клиента перед регулятором.

Облако по 152-ФЗ с встроенной ИБ-защитой
Две недели бесплатного тест-драйва

Чем может помочь провайдер

Безопасность ИТ-систем и приложений, которые размещаются в облаке, — зона ответственности клиента. Однако это не значит, что он остаётся с этими задачами наедине.

Некоторые провайдеры предлагают компаниям услуги по «бумажной» безопасности. Они проводят консультации по необходимым документам и рассказывают клиентам, как выполнять обязательные технические требования.

Иногда провайдеры предоставляют больше: управляемые сервисы и их администрирование. В таком случае можно получить услугу «под ключ»: виртуальную инфраструктуру, средства защиты и управление ими.

Какие ИБ-сервисы предлагает NUBES

  • WAF — файрвол для защиты веб-приложений, который регулярно сканирует защищаемые веб-приложения и фильтрует трафик клиента. Решение представляет собой комплексную защиту инфраструктуры компании от уязвимостей, угроз OWASP-10, DDoS- и целевых атак.
  • NGFW — файрволы следующего поколения Check Point, UserGate, Sangfor. Вложения в лицензии и оборудование не требуются. При этом специалисты NUBES берут на себя весь комплекс работ — от настройки NGFW до его интеграции и поддержки.
  • АнтиDDoS-сервис — масштабируемый инструмент, который комплексно защищает корпоративную инфраструктуру и приложения от инцидентов на уровнях L3/L4 и L7. Клиенты получают круглосуточный анализ трафика, превентивную блокировку атак и возможность встать под защиту во время ее проведения.
  • Многофакторная аутентификация — сервис для безопасного удалённого доступа к VDI, VPN, почте и иным корпоративным сервисам. С решением можно создать единую точку входа для всех веб-приложений компании, а также заменить статические пароли на динамические.

Резюмируем

За безопасность в облаке отвечают не только провайдеры, но и клиенты. Чтобы защита данных и веб-приложений была эффективной, нужны усилия обеих сторон.

Главное для компании — закрывать свои зоны ответственности и помнить о том, что надёжный провайдер предоставляет не только защищённое облако. Он готов помочь клиентам с решением их задач по кибербезопасности. И провайдер сможет делать это эффективно и слаженно, так как он уже хорошо знаком с инфраструктурой клиента.

Для клиента такое сотрудничество выгодно ещё и потому, что он получает несколько услуг «из одного окна»: количество ИТ-поставщиков сокращается, а документооборот и оплата услуг отнимают меньше времени.

Новые статьи и анонсы вебинаров в нашем Телеграм-канале