«Моє хмара — моя фортеця»: Тренди хмарної безпеки

Раніше, в одному з постів, ми розповідали, як забезпечуємо збереження даних наших клієнтів в хмарі. Сьогодні ми пропонуємо розглянути світовий досвід у цій сфері. Адже кількість кіберзагроз у всьому світі не просто збільшується — одночасно підвищується їх якість.

/ Pixabay / PublicDomainPictures / CC0

Згідно з результатами дослідження Gartner, до 2010 року 80% всіх витоків інформації з хмари будуть зумовлені неправильною конфігурацією або внутрішніми проблемами компанії, а не вразливістю провайдера. Тому ІТ-організаціям необхідно звернути увагу на внутрішні бізнес-процеси і навчання персоналу основам безпеки.

Сьогодні 64% компаній вважають хмарну інфраструктуру більш безпечною, але при цьому 75% роблять додаткові захисні заходи. Наприклад, 61% клієнтів вдаються до шифруванню даних, 52% ведуть політику управління ідентифікацією та доступом до інформаційних систем, а 48% — проводять регулярні перевірки систем.

Проте зловмисникам не так важливо, де саме знаходяться дані: на віртуальних або реальних машинах, їх мета — отримати доступ будь-якою ціною. Тому для захисту даних в хмарі можна використовувати ті ж засоби, що і в дата-центрі компанії. Експерти виділяють три основні напрями: безпека шифрування даних, обмеження доступу до даних і можливість їх відновлення у разі аварійної ситуації.

Крім того, фахівці радять уважніше поставитися до API. Відкриті незахищені інтерфейси можуть стати слабкою ланкою в захисті даних і головною причиною уразливості хмарних платформ.

Аналітика і машинне навчання
В якості вирішення проблеми можна звернути увагу на засоби ІІ. Використання фреймворків штучного інтелекту і машинного навчання для автоматизації захисту даних полягає у спрощенні виконання рутинних завдань. Однак незабаром вони будуть застосовуватися для забезпечення безпеки в публічних і приватних хмарних інфраструктурах.

Прикладом такого підходу сьогодні є проект з відкритим кодом MineMeld, який дозволяє використовувати дані про загрози, отримані із зовнішніх джерел, для формування політик безпеки з автоматичним зміною конфігурацій. Таке рішення дозволяє враховувати специфічні потреби конкретної компанії. Інший приклад — продукт Gurucul Cloud Analytics Platform, що використовує поведінкову аналітику і машинне навчання для виявлення зовнішніх і внутрішніх загроз.

Шифрування
Віце-президент Forrester Research Андрас Шер (Andras Cser) уверен, що шифрувати абсолютно всі дані не має сенсу. Для забезпечення безпеки повинна бути введена певна політика, для складення якої можна залучати фахівців. Необхідно з'ясувати, які дані в хмарі, куди йде трафік, а вже потім вирішувати, яку інформацію варто шифрувати.

До посилення заходів безпеки незайвим буде прорахувати їх доцільність: наприклад, порівняти вартість введення таких заходів і можливі втрати від витоку інформації. Крім того, слід проаналізувати, як шифрування або управління доступом і ідентифікацією користувачів вплине на продуктивність системи.

Захист даних може здійснюватися на кількох рівнях. Наприклад, всі дані, які користувачі відправляють в хмару, можуть шифруватися за допомогою алгоритму AES, забезпечує анонімність та безпеку. Наступний рівень захисту — шифрування даних в хмарному сервері зберігання. Хмарні провайдери також часто використовують кілька дата-центрів для зберігання даних, що позитивно позначається на цілісності інформації.

Кілька рекомендацій по шифруванню даних в хмарі ви можете знайти на тут , цією теми на Stack Exchange.

Моніторинг інфраструктури
Ми вже розповідали про те, яке обладнання використовується в наших центрах. При міграції в хмару багато клієнти стикаються з необхідністю впровадження нової стратегії забезпечення безпеки, оскільки доводиться змінювати налаштування брандмауерів і віртуальних мереж.

Згідно з дослідженням, проведеним аналітичною компанією SANS, у клієнтів викликають побоювання уразливість систем запобігання несанкціонованого доступу (68%), вразливість додатків (64%), зараження шкідливими програмами (61%), соціальна інженерія і недотримання правил безпеки (59%) та внутрішні загрози (53%).

При цьому Чандра Секар (Chandra Sekar), старший директор з маркетингу в Illumio, считает, що зловмисники майже завжди зможуть знайти спосіб зламати систему. Тому основне завдання — зробити так, щоб атака не поширилася на інші вразливі ланки ланцюга. Це можливо, якщо система безпеки блокує несанкціоноване взаємодія між робочими навантаженнями і запобігає нелегітимні запити на з'єднання.

На ринку є безліч продуктів для моніторингу інфраструктури дата-центрів, наприклад, лінійка Cisco надає ІТ-менеджерам можливість отримати повне уявлення про мережевої активності. Можна не тільки бачити, хто підключається до мережі, але і встановлювати правила для користувачів: що конкретні люди можуть робити, і які права доступу у них є.

Автоматизація
Ще один підхід, здатний підвищити надійність дата-центру, — інтеграція систем безпеки з практиками DevOps. Це дозволяє прискорити темпи розгортання додатків і впровадження змін. Адаптивна архітектура безпеки забезпечує інтеграцію з інструментами автоматизації і управління, роблячи зміни налаштувань безпеки частиною процесу безперервного розгортання.

Хмарної інфраструктури безпеку більше не розглядається окремо від розробки і розгортання і стає невід'ємною частиною безперервної інтеграції і безперервного розгортання (CI/CD). Це можуть забезпечувати такі інструменти, як плагін Jenkins, з якими перевірка коду і безпеки стає стандартним кроком для гарантії якості.

Інші вендори пропонують DevOps-інструменти для тестування та моніторингу безпеки: наприклад, рішення SAST використовуються для аналізу вихідного коду програми у статичному стані і виявлення уразливості в системі безпеки, а рішення DAST — для виявлення можливих вразливостей в системі безпеки під час роботи програми. Кілька рішень для DAST і SAST можна знайти на цієї теми на Stack Exchange.

Головне, не відкладати питання захищеності в довгий ящик. Раніше безпекою продукту часто займалася окрема команда. Але такий підхід збільшував час роботи над продуктом і не міг гарантувати усунення всіх недоліків. Сьогодні інтеграція безпеки відбувається не тільки на практиці, з'явилися спеціальні терміни — DevOpsSec, DevSecOps або SecDevOPs.

На думку головного технічного директора з хмарним технологіям і SaaS в Intel Джеймі Тисчарта (Jamie Tischart) між цими термінами є суттєва різниця — розташування частини «Sec» відображає значимість безпеки. І правильним, з точки зору застосування на практиці, є варіант SecDevSecOpsSec. Думати про безпеку потрібно на всіх етапах створення будь-якого продукту, в тому числі і хмарної інфраструктури.

p.s. Ще один пост в нашому блозі за сьогодні — VPS-дайджест.

P. P. S. Ще кілька матеріалів на тему безпеки і роботи дата-центрів:

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.