Следите за новостями

Цифра дня

138 тыс. цифровых доверенностей оформлено через «Цифровой нотариат» с момента запуска

    Безопасность облака

    Вместе с увеличением темпов миграции в облако расширился и список рисков. Как их преодолеть?

    22 сентября 2017 11:00, Владимир Хазов, Profit.kz

    Когда поднимается вопрос перехода от классических аппаратных систем к виртуальным платформам, обойти тему безопасности облачных сервисов нельзя. Вместе с увеличением темпов миграции в облако расширился и список рисков. Часть из них по-прежнему связана с аппаратным обеспечением и человеческим фактором. Но появились и совершенно новые вопросы безопасности, связанные с переходом в облако банков и государственного сектора.

    Риски безопасности

    Главная задача IaaS-провайдера — предоставление качественных облачных услуг с высоким уровнем защищенности и безопасности. Для выполнения данных требований риски безопасности можно разделить на несколько условных групп:

    — Сетевые атаки. Любая информационная система, в том числе и частное облако, размещенная в Сети, может быть подвержена сетевой атаке различного характера и цели (взлом, DDoS, компрометирование и другие).

    — Ошибки изоляции. Виртуальные машины разных клиентов, размещенные на одном физическом оборудовании, имеют риск утечки информации, если их изоляция настроена с ошибками.

    — Утечка данных. Неправильно настроенные политики безопасности могут стать причиной взлома и хищения информации. Для предотвращения утечки данных клиента облачный провайдер должен четко прописывать политики и правила безопасности на всех уровнях организации услуг, использовать специальные инструменты, а также осуществлять шифрование хранимой и передаваемой информации.

    — Вредоносное программное обеспечение. Заражение даже одной виртуальной машины (умышленно или случайно) может привести к распространению вируса на соседние экземпляры и вызвать падение информационных систем как клиента, так и поставщика услуг. Обеспечение безопасности операционных систем и изоляции виртуальных машин играет решающую роль в борьбе с вредоносным ПО.

    — Прекращение доступности сервиса. Высокая доступность сервиса — одна из причин выбора облачной инфраструктуры, поэтому ее обеспечение за счет построения отказоустойчивой архитектуры также является важной задачей IaaS-провайдера. Отказ в обслуживании из-за вирусной или сетевой атаки может критично сказаться на репутации провайдера и привести к потере клиентов.

    — Соответствие принятым стандартам безопасности. Для определенных отраслей бизнеса, например банковского сектора, облачному провайдеру необходимо соответствовать требованиям принятых стандартов. Только прошедший сертификацию PCI DSS хостинг-провайдер может оказывать услуги клиентам, работающим с банковскими картами.

    — Физическая безопасность. Косвенная ответственность облачного провайдера заключается в размещении оборудования только в дата-центрах, соответствующих требованиям международных стандартов TIER. Это касается как аспектов отказоустойчивости (электропитание, соблюдение климата, пожарная безопасность), так и физической безопасности (охрана периметра и контроль доступа).

    Проблемные вопросы безопасности

    Несмотря на большой список рисков безопасности облачной инфраструктуры, доверие к провайдерам справедливо находится на высоком уровне. По оценкам экспертов персональную информацию клиентов в публичном облаке хранят 62% компаний. Это объясняется тем, что вопрос обеспечения безопасности в облаке делегирован провайдеру, который, следуя главным рекомендациям по тестированию облака, обеспечивает построение защищенной инфраструктуры.

    — Обеспечение безопасности конфиденциальных данных выполняется на всех уровнях предоставления сервиса: физическом, сетевом, прикладном и нормативном. Также необходимо провести расчет экономической эффективности при проведении мер защиты, осуществлять процедуру регулярного резервного копирования данных и организовать стратегию аварийного восстановления.

    — Организацию мер по обеспечению безопасности следует выполнять с применением лучших мировых практик. Наличие документации о проведенном аудите безопасности сторонней аккредитованной компанией является гарантией безопасности облачной инфраструктуры провайдера.

    — Тестирование безопасности рекомендовано проводить централизованно для всех связанных компонентов инфраструктуры, это позволяет затратить меньше ресурсов и времени.

    Зоны ответственности в вопросах безопасности

    Определение зон ответственности при контроле безопасности имеет большое значение, так как позволяет каждой стороне, принимающей участие в обеспечении защиты данных, тратить силы и средства целенаправленно. Так, например, ответственность за инсайдерские угрозы лежит только на клиенте, а не на облачном провайдере.

    За границей широко известны случаи особо крупных утечек данных, но большинство из них совершено при участии сотрудников самой компании. Например, в утечке персональных данных 24 млн клиентов корейской компании Homeplus обвиняется глава организации и несколько высоких постов. Информация была продана страховым компаниям, а объем выручки составил 21,14 млн долларов США.

    Согласно требованиям американского национального института стандартизации NIST следует выделять три сегмента облачных сервисов по модели управления данными. В зависимости от получаемой услуги — IaaS, SaaS или PaaS — клиент должен контролировать определенный слой безопасности.

    Распределение зон ответственности за информационную безопасность в разных моделях облачных услу

    Распределение зон ответственности за информационную безопасность в разных моделях облачных услуг

    — При аренде услуг по модели IaaS клиент может, а часто и должен использовать собственные средства обеспечения безопасности отдельных виртуальных машин, поскольку это обеспечивает контроль рисков безопасности как самой машины и ее данных, так и окружающей инфраструктуры. Поставщик в свою очередь контролирует безопасность вычислительных ресурсов и хранения данных, а также сетевую составляющую, в том числе и передачу данных с использованием средств шифрования (SSL, VPN и других).

    — Модель PaaS дает клиенту только возможность управлять рисками прикладных приложений и их данных. Защита аппаратной платформы и операционной системы лежит на плечах облачного провайдера.

    — В модели SaaS управление инфраструктурой, платформой и программным обеспечением целиком находится в зоне ответственности провайдера. Клиент получает полностью защищенный и безопасный сервис без каких-либо вложений со своей стороны.

    Заключение

    Обеспечение безопасности информационных систем, сервисов и данных — важная задача как для облачной инфраструктуры, так и для локальной. Она требует четкого понимания рисков, определения зоны ответственности и системного подхода к ее решению, а не точечного вмешательства и локализации исключительно проблемных мест. За безопасность облачной инфраструктуры отвечает штат квалифицированных сотрудников провайдера, контролирующих ее на всех уровнях предоставления услуги клиенту, что позволяет минимизировать риски и обойти все возможные проблемы безопасности в облаке.

    Подписывайтесь на каналы Profit.kz в Facebook и Telegram.