Зарегистрируйтесь и о Вас узнают потенциальные клиенты!
28 марта
23:54

Как обеспечить безопасность в облаке

Hacker-g3cd83b02f_640

Как обеспечить безопасность в облаке

В статье руководитель отдела информационной безопасности Linxdatacenter, Георгий Беляков, рассказывает, в чем заключается основной ИБ-риск перехода в облако для бизнеса, какие существуют методы профилактики и как облако для ИБ-задач работает на практике.

С ростом популярности облаков появляются новые «узкие места» в отношении ИБ. Важно понимать ряд моментов по инфобезу в рамках отношений вашей компании с провайдерами cloud-решения.

Чья ответственность?

Основной ИБ-риск перехода в облако для бизнеса заключается в административно-организационном просчете. Нередко при заключении договора с провайдером заказчик ошибочно полагает, что после миграции в облако или приобретения ресурсов в нем – все вопросы по инфобезу автоматически переходят в ведение специалистов провайдера.

Но это не так!

Например, любой облачный сервис по модели IaaS предполагает ответственность провайдера только до уровня физической безопасности серверов и ПО для виртуализации ресурсов «железа». То есть, не дальше уровня гипервизора.

    Все, что выше этого уровня: операционная система (ОС), виртуальные машины (ВМ) и приложения, а также сеть и все настройки – в вашем ведении. Провайдер облаков как правило не имеет никакого доступа к ИТ-системам заказчиков, если это отдельно не оговорено соответствующими пунктами договора.

Это важнейший момент, поскольку львиная доля ИБ-инцидентов в облаках случается из-за отношения клиента: «мы думали, что теперь это не наша забота». Открытые «на весь интернет» IP-адреса ВМ и формальный пароль доступа к консоли управления не раз становились причиной заметных инцидентов.

Еще один момент, приводящий к инцидентам и утечкам – уверенность бизнеса в 100%-ных гарантиях защиты от ИБ-инцидентов по самому факту приобретения защищенного облачного продукта или сервиса. Увы, такой уровень безопасности сегодня гарантировать не может никто ни в одной ИТ-среде, включая облака.

Методы профилактики

Как смягчить риски и предотвратить возможные последствия их реализации на практике?

Главное – обеспечить адекватную коммуникацию между специалистами облачного провайдера и вашей командой. Все потенциальные недопонимания, которые могут привести к появлению «бесхозных» участков в ИТ-периметре, должны тщательно отслеживаться и устраняться.

Здесь огромную роль играют каналы связи между сторонами, по которым все вопросы оперативно получают исчерпывающие ответы. Их роль особенно важна на первом этапе сотрудничества.

Далее, провайдер должен как можно подробнее и понятнее разъяснить вам как клиенту всю специфику приобретаемых сервисов и продуктов в облаке именно с точки зрения ИБ.

Третий момент: ваша компания должна разработать и реализовывать весь спектр мер по обеспечению защиты ИТ-систем вне зависимости от вовлечения внешнего провайдера.

    То есть, работу нужно выстроить таким образом, чтобы ответственность за ИБ-вопросы по умолчанию была на вашей компании. Если какие-то вещи готов «подхватить» провайдер облака – отлично, но базовая позиция должна основываться на установке «мы отвечаем за все сами».

Достижение оптимальных результатов здесь обеспечивается только четким разграничением зон ответственности. На вас лежит полный перечень вопросов обучения сотрудников работе с ИТ-системами и базовой ИБ-гигиене. Ситуация, когда ваш сотрудник откроет фишинговое письмо и выдаст данные для доступа к панели управления облачной средой злоумышленникам – вне области контроля провайдера.

Типичные вызовы ИБ-плана при развертывании ИТ-систем в облаках.

1. Защитите удаленный доступ

При любом переносе ИС из локальной среды в облако встает задача обеспечения защиты подключения. Требуется полный анализ всех видов доступа к cloud-инфраструктуре, от панели администрирования до виртуальных серверов.

Лучший подход – использование VPN с актуальными и криптостойкими алгоритмами шифрования с двухфакторной аутентификацией, а также с использованием «проброшенных» (специально зарезервированных для определенной задачи) портов.

2. VPN решает, но не все

Выбор VPN и сценария его применения зависит от ряда факторов. Традиционно клиент облачного провайдера может применять абсолютно любые VPN-продукты, поскольку меры безопасности он определяет самостоятельно. Однако есть несколько нюансов.

Например, если персональные данные передаются по открытым каналам связи и актуальны угрозы, связанные с перехватом, то нейтрализовать их получится, скорее всего, только средствами криптографии. VPN уже недостаточно.

Если в облачной инфраструктуре расположена государственная информсистема (ГИС) – потребуется задействовать сертифицированные средства криптографии и т.д.

3. Ноль доверия и ИБ-периметр

Один из стандартов в сфере ИБ – модель «нулевого доверия». Подход предполагает трактовку любого контакта защищаемых ИС с внешними ИТ-ресурсами и сетями как потенциальную опасность.

От традиционных моделей периметра безопасности отрасль постепенно отходит. Сегодня в равном объеме используются и локальный, и удаленный доступ к ИТ-системам, а это размывает традиционный ИТ-периметр компании.

Но полного отказа от периметровой парадигмы не происходит. Лучшие практики здесь – совмещение стандартных средств периметровой ИБ и элементов модели «нулевого доверия».

4. Шифруемся грамотно

Сегодня актуальны различные инструменты для шифрования информации, передаваемой по каналам связи, и статичных данных, которые хранятся на сервере. Подбор подобных инструментов и паттерны их использования должны определяться политикой или стандартами по применению средств шифрования.

Это позволит лучше понять потребности и подобрать оптимальные инструменты, не переплачивая за избыточную функциональность, или наоборот, не закрывая серьезную задачу решением начального уровня. Даже самые продвинутые и дорогие криптоинструменты не решают задачу ИБ сами по себе: они лишь один из элементов системы, а не панацея.

5. Управляемые сервисы ИБ

Сегодня в качестве в ИБ актуальны решения типа Unified Threat Management (UTM) и Next Generation Firewall (NGFW). Их основная характеристика – сочетание функций межсетевого экранирования, защиты от вредоносного ПО и контентной фильтрации.

Такая многофункциональность позволяет решать задачи безопасности комплексно, согласно парадигме управляемых ИБ-сервисов по модели MSSP (Management Security Service Provider), когда определенный объем ИБ-мер из вашей зоны ответственности передается облачному провайдеру. Как правило, эта услуга оформляется и тарифицируется отдельно от IaaS.

MSSP используется в случае дефицита ресурсов информационной безопасности в компании и позволяет передать весь жизненный цикл ИБ-сервиса провайдеру: от установки и настройки инструмента защиты, до его администрирования и мониторинга работы.

На примере данных

Как облако для ИБ-задач работает на практике – рассмотрим на примере персональных данных (ПДн). Все факторы обеспечения безопасной работы с ПДн делятся на три базовых группы:

- прямые финансовые затраты на приобретение ИТ-оборудования и софта, а также средства ИБ и сетевые компоненты;

- кадровые издержки – штат компетентных сотрудников, ответственных за выполнение всех задач, связанных с ПДн;

- временные ресурсы для достижения нужного результата. Этот компонент выражается в показателе Full Time Equivalent (FTE) – эквивалент, определяющий уровень вовлеченности работников в трудовой процесс, где 1 – полная занятость.

С точки зрения технического обеспечения защита ПДн в облаке выигрывает за явным преимуществом. Прямых затрат бизнес не несет – все необходимые средства защиты уже включены в cloud-сервис. В облаке для бизнеса нет затрат на инженерные системы жизнеобеспечения серверных компонентов: источники бесперебойного питания, системы кондиционирования воздуха.

Если спуститься еще глубже на уровень ИБ, то при миграции ПДн в облако отпадает необходимость тратиться на антивирусные средства и межсетевые экраны, хранение данных и средства анализа защищенности. Все это, как правило, реализовано в облачной услуге обработки ПД согласно закону «О персональных данных».

Для ИТ-специалистов при модели самостоятельной защиты ПДн характерен показатель FTE на уровне 0,5, но после переезда в облако он падает в среднем до 0,17. То есть, профильные специалисты тратят в три раза меньше времени на ПДн-задачи, по сравнению со схемой самостоятельного обеспечения их защиты на локальных ИТ-ресурсах компании.

Источник: vc.ru

Разделы: Для пользы дела, безопасность, облако, Бизнес, риски и киберугрозы

Дата: 28 сентября 2022, среда 14:32

Ваша компания

Зарегистрируйтесь и о Вас узнают потенциальные клиенты!
Cообщить о неточности
Карта сайта →
Финансы
Разделили бизнес, а налоговая попыталась сложить его обратно
Банки
Лизинг
Инвестиции
Страхование
Господдержка
Помощь бизнесу
1. Открыть бизнес
2. Выбор помещения
3. Эффективная реклама
4. Подбор аутсорсинга
5. Господдержка
6. Уплата налогов
7. Поиск кадров
8. Юридическая помощь
Организации
Добавить свою
Новости компаний
Товары и услуги
Добавить товар
Добавить услугу
Тендеры
Выставки
Обучение
Центры проф. обучения
Новости
Hi-Tech
Антикризис
Конфликты
Макроэкономика
Медиа
Металлургия
Недвижимость
Персоналии
Потребрынок
Промышленность
Телеком
Транспорт
ТЭК
Деньги
Персоны
Ахунов Рустем Ринатович
Андреев Александр Вадимович
О портале
Политика конфиденциальности
Положение о защите персональных данных
Возможности сайта
Реклама на сайте
Контактная информация
Курсы мировых валют
Биржевые индексы
Вклады
Карта Уфы
ГОСТы
Ваш кабинет
Зарегистрируйтесь и о Вас узнают потенциальные клиенты!
© 2009—2024  Единый республиканский бизнес-портал
О портале | Контактная информация | Реклама на портале | Правила пользования |
Сделано в «Техинформ» Уфа
Все права принадлежат КП «Респект»