Как IaaS-провайдер работает с ИБ: угрозы и защита

По статистике Apiumhub, у 70% компаний как минимум одно приложение работает в облаке. Миграция в облачную среду влечёт за собой ряд преимуществ, но многие предприятия обеспокоены вопросами безопасности данных. Однако мнение о том, что облачная инфраструктура слабо защищена — миф, поскольку провайдер специализируется на «обороне периметра».

В сегодняшнем материале мы отметим некоторые из наиболее крупных угроз безопасности и поговорим о том, как IaaS-провайдеры защищают данные клиентов.

5xhwue2mdctk5juitaimun_9vte.jpeg
/ Flickr / Blue Coat Photos / CC

Кражи данных и взломы


Кража данных влечёт за собой посягательства на интеллектуальную собственность, коммерческую тайну и конфиденциальную информацию клиентов, что приводит к убыткам и потере имиджа бренда.

Согласно совместному отчёту страховых компаний Lloyd’s of London и Cyence, глобальная атака на облако может обойтись в 53 миллиарда долларов. При этом страховка покроет только 17% этих убытков.

Одна из таких мощных атак произошла в этом году. Целью стало бюро кредитных историй Equifax. По информации Forbes, злоумышленники выкрали данные 143 миллионов клиентов компании. Эта кража нанесла существенный урон: топ-менеджеры продали свои акции через два дня после обнаружения взлома, а сами акции упали на 13%. И этот случай неединичный — о других крупных атаках и нанесенном ущербе можно узнать здесь.

Поэтому чтобы защитить клиентов от краж и взломов, провайдеры начинают с самых базовых методов обеспечения безопасности — шифруют трафик с помощью HTTPS и SSL. Это предотвращает кражу данных, если злоумышленники попытаются «подслушать» канал. Многие операторы внедряют дополнительные меры защиты: двухфакторную аутентификацию (2FA), сегментацию сети, разграничение доступа, мониторинг и системы аудита.

При этом даже такой небольшой шаг, как подключение 2FA, помогает компаниям предотвратить взлом. Например, именно отсутствие двухфакторной аутентификации привело к краже 80 миллионов записей персональных данных пациентов в компании Anthem.

Еще одним компонентом, защитой которого занимаются облачные и IaaS-провайдеры, является API. Провайдер делает всё возможное для защиты программных интерфейсов: использует шифрование данных, позволяет настраивать уровни доступа для управления аутентификацией. Поставщики также предоставляют Cloud Access Security Broker — инструмент для контроля передачи и хранения данных во всех облачных приложениях клиента.

Многие провайдеры ещё до заключения договора предоставляют информацию об интерфейсах API и требованиях к ним. Например, мы в компании 1cloud открыто рассказываем своим клиентам о возможных уязвимостях и о том, какие способы защиты используются.

Ещё один способ противодействия взлому — микросегментация сети. Это решение использует виртуализацию сети и позволяет назначать приложениям ЦОД политики безопасности, вплоть до уровня рабочей нагрузки. Применение политик сетевой безопасности обеспечивают брандмауэры, интегрированные в гипервизоры, уже установленные в дата-центре. Это гарантирует, что злоумышленники не смогут получить доступ к рабочим процессам.

По данным Gartner, к 2020 году количество инцидентов, связанных с рабочими нагрузками в облачной инфраструктуре, будет на 60% меньше, чем в обычных дата-центрах.

Потеря данных


Потерять данные можно разными способами: их могут повредить злоумышленники, а можно случайно их удалить. Эти проблемы решаются с помощью резервного копирования и Snapshot«ов. Большинство IaaS-провайдеров автоматически копируют базу данных клиентов каждый день. Поэтому если клиент провайдера обратится в техподдержку и сообщит об утере данных, их можно будет восстановить.

Компания Clutch опросила 300 предприятий малого и среднего бизнеса для оценки эффективности резервного копирования в облаке. Результаты опроса показали, что 87% респондентов уверены в безопасности бэкапов в облаке. А четверть опрошенных утверждают, что резервное копирование данных в облаке гораздо безопаснее локального.

Резервное копирование также защищает и от вирусов-вымогателей. По данным Лаборатории Касперского, 15 тысяч модификаций ransomware появилось во второй половине этого года. Общее количество совершенных атак — 270 тысяч.

Самые мощные трояны-вымогатели атаковали пользователей в 2017 году. Первая атака случилась в мае: вирус WannaCry заразил сотни тысяч компьютеров по всему миру. В июне уже второй вирус-шифровальщик (Petya) напомнил о пользе резервного копирования.

ovv7nozsoupnetxcknmnrxoftw8.png
/ кадр из видео о нашем дата-центре Xelent

Физический взлом


Провайдеры хранят данные в охраняемых ЦОДах с системами видеонаблюдения. Доступ в дата-центр запрещён для посторонних и для большей части персонала. Преступник не сможет прийти и забрать носители с данными — он просто не попадёт внутрь.

Например, дата-центр Xelent, в котором располагаются мощности компании 1cloud, имеет многоуровневую систему защиты. Периметр ЦОД огорожен забором с вибродатчиками и камерами. Проход на территорию осуществляется через КПП и строго по пропускам. Если сотрудник забыл его дома — на рабочее место он не пройдет.

Что касается доступа к дискам виртуальных машин, то получить его также непросто. В теории он есть у работников ЦОДа. Но на практике они не могут им воспользоваться, потому что сотрудники дата-центра, как правило, не имеют логического доступа в облако (по сети). Дополнительно провайдеры отслеживают трафик, шифруют данные и предлагают клиентам инструменты для отслеживания состояния облачной среды.

Отметим, что некоторые компании применяют дополнительные и даже экзотические решения для повышения защиты. Например, ЦОД Bank of America находится в неприметном бетонном здании без вывесок. На вид дата-центр — закрытый и неприступный склад, который мало кому захочется «грабить».

DDoS и DoS


Для запуска DoS-атаки прикладного уровня киберпреступники анализируют уязвимости веб-серверов, базы данных и других облачных ресурсов. По данным Corero, 40% компаний подвергаются DDoS-атакам ежемесячно/еженедельно и ежедневно.

В первом квартале 2017 года таким атакам подверглись ресурсы в 72 странах. Китай, Южная Корея и США остаются лидерами по количеству DDoS-атак. Самая продолжительная атака длилась 120 часов. Во втором квартале 2017 года 86 стран подверглись нападению. Рекордная DDoS-атака длилась 277 часов — на 131% дольше, чем самая продолжительная атака того же периода прошлого года.

Провайдеры защищают сервисы от DoS и DDoS-атак. Этому способствуют сети доставки и дистрибуции Content Delivery Network (CDN) и защитные экраны уровня приложений Web Application Firewall (WAF).

Среди других комплексных технологий защиты — искусственный интеллект, автоматизация и машинное обучение. Ник Коулмен (Nick Coleman), специалист компании IBM, заявляет, что автоматизация и искусственный интеллект будут повсеместно использоваться для защиты данных через 3–4 года.

Эти технологии позволяют упростить и ускорить выполнение рутинных задач политики безопасности и прогнозировать угрозы. Open source проекты и фреймворки, например, TensorFlow, помогают разработчикам создавать и автоматически настраивать политики на основе анализа угроз внешних ресурсов.

Машины хорошо показывают себя в поиске уязвимостей: в начале этого года облачный искусственный интеллект помог найти 10 дыр в безопасности LinkedIn. Компании Google, Oracle и другие возлагают большие надежды на технологии машинного обучения.

Как защитить данные в облаке


Еще раз обобщим самые распространенные виды атак на облачную инфраструктуру и способы защиты. Которые предоставляют провайдеры:

  • Кража данных влечёт за собой убытки компании и потерю имиджа (пример — Equifax). Чтобы противостоять злоумышленникам, провайдеры шифруют трафик в облаке с помощью HTTPS и SSL. Также используются дополнительные меры: 2FA, сегментация сети, управление политиками доступа, инструменты для защиты API, искусственный интеллект, машинное обучение и автоматизация.
  • Потеря данных из-за вирусов-шифровальщиков (Petya), троянов-вымогателей (WannaCry), случайности или забывчивости может стать необратимой. Для того чтобы защитить данные клиентов от утери облачный провайдер использует функции Backup и Snapshot. Помимо этого, поставщик ежедневно копирует базы данных и использует надёжные носители. Если данные оказались утеряны, техподдержка провайдера поможет их восстановить.
  • Чтобы обезопасить инфраструктуру провайдеры хранят данные в надёжных дата-центрах, используют шифрование, инструменты для отслеживания среды.
  • Половина компаний подвергается DDoS и DoS-атакам на постоянной основе. Чтобы защитить данные и предотвратить атаки этого типа, IaaS-провайдеры запускают регулярные проверки, задействуют CDN и WAF.


Согласно исследованию компании Crowd Research Partners, 74% респондентов уверены, что шифрование данных — самый надёжный способ защиты в облаке. Половина опрошенных специалистов отметила контроль доступа как наиболее действенный метод облачной защиты. За внедрение интерфейсов для отслеживания и уведомления об угрозах проголосовали 40% респондентов.

P.S. Другие наши материалы о безопасности:

  • Немного о безопасности в «облаке»: методики и технологии
  • 4 тренда облачной безопасности: мировой опыт
  • Как обезопасить Linux-систему: 10 советов
  • Что нужно знать об IaaS-провайдере до начала работы

© Habrahabr.ru