Як захистити хмарну інфраструктуру



/ фото Joe Grand CC

Згідно статистиці, третина підприємств США використовує хмара. При цьому очікується, що до 2020 року кількість хмарних споживачів збільшиться в два рази. Схожа ситуація спостерігається і в Росії. Незважаючи на кризу, кількість компаній, які використовують хмарні рішення, з кожним роком зростає. Російський хмарний ринок зріс на 25% і досяг планки в 16,5 мільярдів рублів в 2015 році, і очікується, що до 2018 року ця цифра збільшиться до 32 мільярдів рублів.

Хмари поступово стають головною частиною ІТ, тому компаніям доводиться приділяти увагу питанням безпеки. І визначення загроз – це перший крок до мінімізації ризиків. На конференції RSA, що пройшла в березні цього року, організація CSA (Cloud Security Alliance) представила 12 список загроз хмарної безпеки, з якими стикаються компанії.

Першим пунктом була позначена витік даних. Хмара піддається тим же загрозам, що і традиційні інфраструктури. З-за великої кількості даних, які сьогодні переносяться в хмари, майданчики хмарних хостинг-провайдерів стають привабливою метою для зловмисників.

Безпека і доступність хмарних сервісів залежить і від того, наскільки добре опрацьовані механізми контролю доступу та шифрування в API. Слабкі з точки зору безпеки інтерфейси стають вузьким місцем у питаннях доступності, конфіденційності та цілісності.
З цих причин CSA рекомендує контролювати доступ, використовувати інструменти захисту та інструменти раннього виявлення загроз, а також багатофакторну аутентифікацію і шифрування. Не варто забувати про логування, моніторинг та аудит подій окремо взятими облікових записів.

Ще однією причиною, що спонукає використовувати цим механізми безпеки, є проблема корпоративної мобільності – це BYOD (Bring Your Own Device).



/ фото Henri Bergius CC

Справа в тому, що 40% співробітників компаній США для вирішення робочих завдань використовують персональні пристрої і часто зберігають робочі дані на власних накопичувачах. При цьому 83% опитаних зізнаються, що віддають перевагу хмарних додатків, а не традиційним рішенням. Що стосується Росії, то цифри співставні.

«Особисті смартфони в Росії використовують в роботі не рідше, ніж персональні комп'ютери, – отмечает Михайло Альперович, директор лабораторії захищеної мобільності компанії Digital Design. – За моїми оцінками, рівень проникнення BYOD в категорії смартфонів в Росії становить близько 30%».

Справа в тому, що легітимний користувач, який має доступ до незахищеним хмарним ресурсів, може отримати копії корпоративних файлів і зберегти їх на своєму пристрої. Небезпека тут полягає в тому, що дані можуть потрапити в руки третім особам. Це можливо, наприклад, у випадку крадіжки або втрати смартфона, а за статистикою щорічно втрачається 70 мільйонів мобільних пристроїв. Це серйозна загроза безпеці.
Незважаючи на всі проблеми, забезпечити надійний захист даних в хмарі все ж можливо.

CASB – брокер безпечного доступу в хмару

CASB (Cloud Security Access Broker) являє собою уніфікований інструмент безпеки, який дозволяє адміністраторам виявляти потенційні ризики та забезпечити високий рівень захисту. Сьогодні тільки 5% бізнесів використовує CASB, але інструмент набуває популярності, і, за прогнозами експертів, ця цифра збільшиться до 85% до 2020 року.

Рішення надає єдину точку контролю за всіма хмарними додатками, використовуваними компанією. Цей контроль проявляється у різних формах: контроль доступу, запобігання витоків даних, шифрування і т. д. Брокер управляє з'єднаннями між хмарними додатками і зовнішнім світом за допомогою проксі і API.



Рішення працює у зв'язці з хмарної інфраструктурою хостинг-провайдера, надаючи можливість моніторингу спільно використовуваних файлів. Таким чином, адміністратори знають, де зберігається і кому передається контент.

Шифрування даних

За даними ZDnet, шифрування є одним із найнадійніших способів захисту даних, що передаються між мережами. «Це один з найпоширеніших способів захисту даних від несанкціонованого доступу, – пише системний адміністратор Кен Хесс (Ken Hess), – і відповідь на сумніви компаній, що починають роботу з BYOD».

Шифрування здатне захистити інформацію на мобільних пристроях, але лише при правильному використанні. Для цього керівники повинні впровадити шифрування на всіх етапах життєвого циклу даних і при передачі, і при зберіганні). Це важливо, тому що програми на смартфонах, ноутбуках і планшетах отримують доступ до мережі компанії і кешируют корпоративні дані. У випадку втрати пристрою може статися витік.

Створення ключів шифрування і управління ними – основна частина криптографічного процесу. Використання симетричних алгоритмів вимагає створення ключа і вектора ініціалізації, які повинні зберігатися в секреті від усіх осіб, які не мають прав на розшифровку даних. Для використання асиметричних алгоритмів потрібно створення відкритого та закритого ключів. Відкритий ключ може бути наданий кому завгодно, коли закритий ключ відомий тільки особі, якій призначені зашифровані дані, що пересилаються.



Метод асиметричного шифрування, заснований на використанні пари різних ключів: відкритого (public key) та закритого (private key). Якщо шифрування проводилося відкритим ключем, закритий ключ слід зберігати у безпечному місці, окремо від зашифрованих даних. У цьому випадку, навіть якщо важлива зашифрована інформація потрапляє в руки зловмисника, він не зможе прочитати вміст. Підхід, при якому зашифровані дані та ключі шифрування відокремлюються один від одного, є гарною гарантією безпеки.

Що стосується компанії «ІТ-ГРАД», то для забезпечення шифрування даних в хмарі ми пропонуємо використання продукту SecureCloud компанії Trend Micro. Архітектурно рішення складається з системи управління, що надається як сервіс з доступом через консоль управління, і агентів, встановлених на захищених віртуальних машинах.

Модель використання рішення передбачає, що диски віртуальних машин зашифровуються з використанням ключів шифрування, що зберігаються в системі SecureCloud. Через неї ініціюються процеси початкового шифрування або розшифрування захищених дисків. При спробі доступу до даних відбувається звернення до системи SecureCloud, після якого ключ шифрування для розшифровки даних видається або автоматично, або тільки після схвалення адміністратора.

P. S. Вчорашній пост: 25 книг по темі хмарних обчислень.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.