«Мое облако — моя крепость»: Тренды облачной безопасности
/ Pixabay / PublicDomainPictures / CC0
Согласно результатам исследования Gartner, к 2010 году 80% всех утечек информации из облака будут обусловлены неправильной конфигурацией или внутренними проблемами компании, а не уязвимостью провайдера. Поэтому ИТ-организациям будет необходимо обратить внимание на внутренние бизнес-процессы и обучение персонала основам безопасности.
Сегодня 64% компаний считают облачную инфраструктуру более безопасной, но при этом 75% предпринимают дополнительные защитные меры. Например, 61% клиентов прибегают к шифрованию данных, 52% ведут политику управления идентификацией и доступом к информационным системам, а 48% — проводят регулярные проверки систем.
Однако злоумышленникам не так важно, где именно находятся данные: на виртуальных или реальных машинах, их цель — получить доступ любой ценой. Поэтому для защиты данных в облаке можно использовать те же средства, что и в дата-центре компании. Эксперты выделяют три основных направления безопасности: шифрование данных, ограничение доступа к данным и возможность их восстановления в случае аварийной ситуации.
Кроме того, специалисты советуют внимательнее отнестись к API. Открытые и незащищенные интерфейсы могут стать слабым звеном в защите данных и главной причиной уязвимости облачных платформ.
Аналитика и машинное обучение
В качестве решения проблемы можно обратить внимание на средства ИИ. Использование фреймворков искусственного интеллекта и машинного обучения для автоматизации защиты данных заключается в упрощении выполнения рутинных задач. Однако в скором времени они будут применяться для обеспечения безопасности в публичных и частных облачных инфраструктурах.
Примером такого подхода сегодня является проект с открытым кодом MineMeld, который позволяет использовать данные об угрозах, полученные из внешних источников, для формирования политик безопасности с автоматическим изменением конфигураций. Такое решение позволяет учитывать специфические потребности конкретной компании. Другой пример — продукт Gurucul Cloud Analytics Platform, использующий поведенческую аналитику и машинное обучение для выявления внешних и внутренних угроз.
Шифрование
Вице-президент Forrester Research Андрас Шер (Andras Cser) уверен, что шифровать абсолютно все данные не имеет смысла. Для обеспечения безопасности должна быть введена определенная политика, для составления которой можно привлекать специалистов. Необходимо выяснить, какие данные находятся в облаке, куда идет трафик, а уже потом решать, какую информацию стоит шифровать.
До усиления мер безопасности нелишним будет просчитать их целесообразность: например, сравнить стоимость введения таких мер и возможные потери от утечки информации. Кроме того, следует проанализировать, как шифрование или управление доступом и идентификацией пользователей повлияет на производительность системы.
Защита данных может осуществляться на нескольких уровнях. Например, все данные, которые пользователи отправляют в облако, могут шифроваться с помощью алгоритма AES, обеспечивающего анонимность и безопасность. Следующий уровень защиты — шифрование данных в облачном сервере хранения. Облачные провайдеры также часто используют несколько дата-центров для хранения данных, что положительно сказывается на целостности информации.
Несколько рекомендаций по шифрованию данных в облаке вы можете найти здесь и в этой теме на Stack Exchange.
Мониторинг инфраструктуры
Мы уже рассказывали о том, какое оборудование используется в наших центрах. При миграции в облако многие клиенты сталкиваются с необходимостью внедрения новой стратегии обеспечения безопасности, поскольку приходится изменять настройки брандмауэров и виртуальных сетей.
Согласно исследованию, проведенному аналитической компанией SANS, у клиентов вызывают опасения уязвимость систем предотвращения несанкционированного доступа (68%), уязвимость приложений (64%), заражение вредоносными программами (61%), социальная инженерия и несоблюдение правил безопасности (59%) и внутренние угрозы (53%).
При этом Чандра Секар (Chandra Sekar), старший директор по маркетингу в Illumio, считает, что злоумышленники почти всегда смогут найти способ взломать систему. Поэтому основная задача — сделать так, чтобы атака не распространилась на другие уязвимые звенья цепи. Это возможно, если система безопасности блокирует несанкционированное взаимодействие между рабочими нагрузками и предотвращает нелегитимные запросы на подключение.
На рынке есть множество продуктов для мониторинга инфраструктуры дата-центров, например, линейка Cisco предоставляет ИТ-менеджерам возможность получить полное представление о сетевой активности. Можно не только видеть, кто подключается к сети, но и устанавливать правила для пользователей: что конкретные люди могут делать, и какие права доступа у них есть.
Автоматизация
Еще один подход, способный повысить надежность дата-центра, — интеграция систем безопасности с практиками DevOps. Это позволяет ускорить темпы развертывания приложений и внедрения изменений. Адаптивная архитектура безопасности обеспечивает интеграцию с инструментами автоматизации и управления, делая изменения настроек безопасности частью процесса непрерывного развертывания.
В облачной инфраструктуре безопасность больше не рассматривается отдельно от разработки и развертывания и становится неотъемлемой частью непрерывной интеграции и непрерывного развертывания (CI/CD). Это могут обеспечивать такие инструменты, как плагин Jenkins, с которым проверка кода и безопасности становится стандартным шагом для гарантии качества.
Другие вендоры предлагают DevOps-инструменты для тестирования и мониторинга безопасности: например, решение SAST используются для анализа исходного кода приложения в статическом состоянии и выявления уязвимости в системе безопасности, а решение DAST — для обнаружения возможных уязвимостей в системе безопасности во время работы приложения. Несколько решений для DAST и SAST можно найти в этой теме на Stack Exchange.
Главное, не откладывать вопросы защищенности в долгий ящик. Раньше безопасностью продукта часто занималась отдельная команда. Но такой подход увеличивал время работы над продуктом и не мог гарантировать устранение всех уязвимостей. Сегодня интеграция безопасности происходит не только на практике, появились специальные термины — DevOpsSec, DevSecOps или SecDevOPs.
По мнению главного технического директора по облачным технологиям и SaaS в Intel Джейми Тисчарта (Jamie Tischart), между этими терминами есть существенная разница — расположение части «Sec» отображает значимость безопасности. И правильным, с точки зрения применения на практике, является вариант SecDevSecOpsSec. Думать о безопасности нужно на всех этапах создания любого продукта, в том числе и облачной инфраструктуры.
P.S. Еще один пост в нашем блоге за сегодня — VPS-дайджест.
P.P. S. Еще несколько материалов по теме безопасности и работы дата-центров:
- Как это работает: Пара слов о DNS
- ОК, Google! Зачем переходить на HTTPS в 2017 году?
- Как обезопасить Linux-систему: 10 советов
- «Быстрее, выше, сильнее»: Новые технологии дата-центов
- «Работа с микроскопом»: Революция в области хранения данных