Безопасность облака
Вместе с увеличением темпов миграции в облако расширился и список рисков. Как их преодолеть?
Когда поднимается вопрос перехода от классических аппаратных систем к виртуальным платформам, обойти тему безопасности облачных сервисов нельзя. Вместе с увеличением темпов миграции в облако расширился и список рисков. Часть из них по-прежнему связана с аппаратным обеспечением и человеческим фактором. Но появились и совершенно новые вопросы безопасности, связанные с переходом в облако банков и государственного сектора.
Риски безопасности
Главная задача IaaS-провайдера — предоставление качественных облачных услуг с высоким уровнем защищенности и безопасности. Для выполнения данных требований риски безопасности можно разделить на несколько условных групп:
— Сетевые атаки. Любая информационная система, в том числе и частное облако, размещенная в Сети, может быть подвержена сетевой атаке различного характера и цели (взлом, DDoS, компрометирование и другие).
— Ошибки изоляции. Виртуальные машины разных клиентов, размещенные на одном физическом оборудовании, имеют риск утечки информации, если их изоляция настроена с ошибками.
— Утечка данных. Неправильно настроенные политики безопасности могут стать причиной взлома и хищения информации. Для предотвращения утечки данных клиента облачный провайдер должен четко прописывать политики и правила безопасности на всех уровнях организации услуг, использовать специальные инструменты, а также осуществлять шифрование хранимой и передаваемой информации.
— Вредоносное программное обеспечение. Заражение даже одной виртуальной машины (умышленно или случайно) может привести к распространению вируса на соседние экземпляры и вызвать падение информационных систем как клиента, так и поставщика услуг. Обеспечение безопасности операционных систем и изоляции виртуальных машин играет решающую роль в борьбе с вредоносным ПО.
— Прекращение доступности сервиса. Высокая доступность сервиса — одна из причин выбора облачной инфраструктуры, поэтому ее обеспечение за счет построения отказоустойчивой архитектуры также является важной задачей IaaS-провайдера. Отказ в обслуживании из-за вирусной или сетевой атаки может критично сказаться на репутации провайдера и привести к потере клиентов.
— Соответствие принятым стандартам безопасности. Для определенных отраслей бизнеса, например банковского сектора, облачному провайдеру необходимо соответствовать требованиям принятых стандартов. Только прошедший сертификацию PCI DSS хостинг-провайдер может оказывать услуги клиентам, работающим с банковскими картами.
— Физическая безопасность. Косвенная ответственность облачного провайдера заключается в размещении оборудования только в дата-центрах, соответствующих требованиям международных стандартов TIER. Это касается как аспектов отказоустойчивости (электропитание, соблюдение климата, пожарная безопасность), так и физической безопасности (охрана периметра и контроль доступа).
Проблемные вопросы безопасности
Несмотря на большой список рисков безопасности облачной инфраструктуры, доверие к провайдерам справедливо находится на высоком уровне. По оценкам экспертов персональную информацию клиентов в публичном облаке хранят 62% компаний. Это объясняется тем, что вопрос обеспечения безопасности в облаке делегирован провайдеру, который, следуя главным рекомендациям по тестированию облака, обеспечивает построение защищенной инфраструктуры.
— Обеспечение безопасности конфиденциальных данных выполняется на всех уровнях предоставления сервиса: физическом, сетевом, прикладном и нормативном. Также необходимо провести расчет экономической эффективности при проведении мер защиты, осуществлять процедуру регулярного резервного копирования данных и организовать стратегию аварийного восстановления.
— Организацию мер по обеспечению безопасности следует выполнять с применением лучших мировых практик. Наличие документации о проведенном аудите безопасности сторонней аккредитованной компанией является гарантией безопасности облачной инфраструктуры провайдера.
— Тестирование безопасности рекомендовано проводить централизованно для всех связанных компонентов инфраструктуры, это позволяет затратить меньше ресурсов и времени.
Зоны ответственности в вопросах безопасности
Определение зон ответственности при контроле безопасности имеет большое значение, так как позволяет каждой стороне, принимающей участие в обеспечении защиты данных, тратить силы и средства целенаправленно. Так, например, ответственность за инсайдерские угрозы лежит только на клиенте, а не на облачном провайдере.
За границей широко известны случаи особо крупных утечек данных, но большинство из них совершено при участии сотрудников самой компании. Например, в утечке персональных данных 24 млн клиентов корейской компании Homeplus обвиняется глава организации и несколько высоких постов. Информация была продана страховым компаниям, а объем выручки составил 21,14 млн долларов США.
Согласно требованиям американского национального института стандартизации NIST следует выделять три сегмента облачных сервисов по модели управления данными. В зависимости от получаемой услуги — IaaS, SaaS или PaaS — клиент должен контролировать определенный слой безопасности.
Распределение зон ответственности за информационную безопасность в разных моделях облачных услуг
— При аренде услуг по модели IaaS клиент может, а часто и должен использовать собственные средства обеспечения безопасности отдельных виртуальных машин, поскольку это обеспечивает контроль рисков безопасности как самой машины и ее данных, так и окружающей инфраструктуры. Поставщик в свою очередь контролирует безопасность вычислительных ресурсов и хранения данных, а также сетевую составляющую, в том числе и передачу данных с использованием средств шифрования (SSL, VPN и других).
— Модель PaaS дает клиенту только возможность управлять рисками прикладных приложений и их данных. Защита аппаратной платформы и операционной системы лежит на плечах облачного провайдера.
— В модели SaaS управление инфраструктурой, платформой и программным обеспечением целиком находится в зоне ответственности провайдера. Клиент получает полностью защищенный и безопасный сервис без каких-либо вложений со своей стороны.
Заключение
Обеспечение безопасности информационных систем, сервисов и данных — важная задача как для облачной инфраструктуры, так и для локальной. Она требует четкого понимания рисков, определения зоны ответственности и системного подхода к ее решению, а не точечного вмешательства и локализации исключительно проблемных мест. За безопасность облачной инфраструктуры отвечает штат квалифицированных сотрудников провайдера, контролирующих ее на всех уровнях предоставления услуги клиенту, что позволяет минимизировать риски и обойти все возможные проблемы безопасности в облаке.