Топ-6 ошибок безопасности при работе с облаком: уменьшаем риски
Мнение экспертов

Топ-6 ошибок безопасности при работе с облаком: уменьшаем риски

510
10 минут

Безопасность — главный компонент любой облачной среды. Популярность облачных ресурсов растет с каждым годом, а с ней повышаются и риски утечки персональных данных. Поставщики облачных услуг с каждым годом совершенствуют свои системы безопасности, но киберпреступники не дремлют и стремятся использовать быстро расширяющийся фронт атаки. Есть ли способы избежать кибернападений и защититься от облачных угроз?

Введение

Каждый второй пользователь корпоративных облачных сервисов задаёт вопрос: «Почему я должен быть уверен, что провайдер не передаст мои данные злоумышленникам?». Но, как показывает практика, такие ситуации — из области фантастики. Эксперты «Лаборатории Касперского» утверждают: 9 из 10 утечек из облака происходят из-за человеческого фактора и по вине самих пользователей. Чтобы развенчать старый миф о приоритете локальных сред над облачными в вопросах безопасности, разберём типичные ошибки клиентов облачных провайдеров, вызывающие львиную долю инцидентов. По опыту свыше 2000 облачных проектов можем сказать, что в основном различные инциденты происходят из-за человеческого фактора: как правило, это — невнимательность или незнание базовых принципов работы с данными. Ниже представлены 6 самых распространённых ситуаций, связанных с рисками для информационной безопасности, которые между тем легко предотвратить. Давайте разберёмся, смогут ли облачные хранилища стать заменой физическим носителям, как пользователям защитить свою информацию, находящуюся в «облаке», а также можно ли считать облачные сервисы безопасными.

Открытые порты в инфраструктуре

Сканирование таких портов киберпреступниками происходит непрерывно и автоматизированно с целью взлома и получения дополнительных мощностей или создания ботнетов для последующих DDoS-атак. Поэтому даже никому не нужная (казалось бы) изолированная «учётка» в облаке для администраторов-стажёров, в которой они учатся запускать виртуальные машины, может однажды пригодиться хакерам.

Совет: следите за тем, чтобы серверные и сетевые порты были закрыты, ограничивайте возможность подключения к ним.

Некриптостойкие пароли

Взлом простого пароля типа «девичья фамилия матери» у злоумышленников занимает в среднем не более недели — и это в том случае, если обнаружение такого пароля не входит в их планы. Если же организована целенаправленная охота, счёт идёт на часы и минуты. Часто плохая парольная защита становится причиной глобальной утечки и может нанести непоправимый вред репутации компании. Так, в 2019 году из-за открытого доступа к базе данных BioStar 2 скомпрометированными оказались биометрические данные, которыми пользуются 5700 организаций по всему миру.

Совет: используйте сложные пароли, а ещё лучше — двухфакторную аутентификацию (2FA) для укрепления защиты данных.

Отказ от шифрования данных в облаке

Зашифрованные данные — это груда мусора для киберпреступников, так как декодирование занимает годы. В облаках крупных провайдеров используются защищённые криптоканалы; это может обезопасить от перехвата информации, но не всегда даёт стопроцентную гарантию отсутствия утечек, так как самое узкое место находится вне облачного периметра — в локальной инфраструктуре клиента, куда заказчик может переносить данные.

Совет: шифруйте данные и используйте на локальных рабочих местах проверенные средства защиты: системы предотвращения утечек, антивирусы.

Отказ от маскировки данных

В большинстве случаев ситуации, когда в открытом доступе оказываются базы данных пользователей, обусловлены некорректной работой с тестовыми слепками этих баз. Их используют для разработки информационных сервисов. В этом нет ничего криминального, исключая те случаи, когда реальные данные граждан не маскируют, то есть не заменяют исходную информацию на набор ничего не значащих символов.

Совет: при разработке приложений и клиентских сервисов всегда подменяйте реальные данные фиктивными.

Отказ от использования бэкапов

Резервное копирование в облаке — это дополнительные затраты. Иногда они могут вдвое увеличить стоимость облачных услуг. По этой причине многие клиенты отказываются от резервирования данных и потом очень огорчаются, когда не получается восстановить их после случайного удаления. На самом деле существует множество различных схем — фактически на любой кошелёк. Это может быть и бэкап у другого провайдера, и резерв в локальной инфраструктуре с безопасным каналом к ЦОД, и площадка типа «active-active» с непрерывной репликацией на базе облачных дата-центров.

Совет: плохой бэкап лучше никакого бэкапа. Резервируйте свои данные.

Отказ от использования специализированных облачных средств защиты

Помимо традиционных решений предлагаются сервисы для защиты от специфичных облачных угроз. Например, это может быть сервис мониторинга облачной инфраструктуры в формате ПО, которое не нужно устанавливать на «железо». Существуют также технические средства для сохранения целостности конфигураций. Они применяются, например, для защиты персональных данных 1-й и 2-й категорий в частном облаке. Система блокирует несанкционированные операции, и доступ к данным восстанавливается только после обращения к администратору дата-центра. После того как администратор получит обоснование от руководства компании, он перезагрузит оборудование.

Совет: помимо стандартных средств защиты всегда используйте специализированные облачные решения.

Выводы

Облако облаку рознь. Поэтому нельзя исключать, что некий провайдер примет не все меры по защите информации, так что утечки, DDoS-атаки, уничтожение данных произойдут именно по его вине. Однако у большинства крупных поставщиков услуг действует сложная, многоступенчатая система обнаружения и предотвращения инцидентов — начиная с уровня физического доступа в ЦОД и заканчивая регламентной документацией, в которой фиксируются все технические и организационные аспекты работы в облаке. Проверить это вполне легко. Нужно лишь запросить сертификаты, подтверждающие соответствие инфраструктуры самым строгим российским и международным требованиям по безопасности. Такими документами могут быть стандарты ISO 27001 и PCI DSS. Второй из указанных сертификатов хотя и обязателен только для компаний, осуществляющих платёжные транзакции, но может охарактеризовать облачную платформу как максимально надёжную. В этом документе прописываются требования к защите на каждом из уровней инфраструктуры и процедуры проверки платформы на изолированность виртуальных сред — пентесты. В идеале такие проверки на уязвимость с участием независимых «белых хакеров» должны проводиться не реже двух раз в год. В свою очередь, для компаний, работающих с персональными данными клиентов и сотрудников, актуальны заключения о соответствии облака требованиям федерального закона № 152-ФЗ. Для получения таких заключений провайдеру также необходимо провести специальный аудит и доказать, что приняты все организационные и технические меры для обеспечения корректного и безопасного процесса хранения и обработки персональных данных. Наконец, провайдер, заключая контракт с клиентом, подписывает SLA и соглашение о конфиденциальности. В них он обязуется в том числе обеспечить защиту данных, а при невыполнении этих требований отвечает головой — и финансово, и репутационно. Оператор облачных услуг, готовый предоставить клиенту все указанные документы, фактически гарантирует, что в его облаке риски для информационной безопасности сведены к нулю.

__________
статья подготовлена для https://www.anti-malware.ru/
22 июля 2022
Новый сервис кеширования и другие обновления Облака КРОК
В Облаке КРОК появился новый PaaS-сервис – сервис кеширования данных. Кроме того, мы расширили возможности управления и настройки сервиса Базы данных. А для упрощения анализа затрат в отчеты биллинга теперь включается информация о назначенных ресурсам тегах.
2 минуты
88
21 апреля 2022
Ускоряем вычисления в Облаке КРОК с помощью графических процессоров NVIDIA
Портфолио КРОК Облачные сервисы пополнилось графическими процессорами NVIDIA. Их применение позволяет многократно ускорить решение задач, требующих большого объема вычислений. Услуга GPU as a Service предоставляется на базе экземпляров виртуальных машин с графическими процессорами NVIDIA и предусматривает помесячную оплату за используемые вычислительные мощности. Пользователи получают всю необходимую техническую поддержку в режиме 24/7.
2 минуты
276
28 марта 2022
Облака как возможность: аналитика КРОК Облачные сервисы
За первые две недели марта 2022 года количество запросов на услуги КРОК Облачные сервисы увеличилось на 960%, по сравнению с тем же периодом прошлого года. Компании на фоне приостановленных поставок ИТ-оборудования ищут доступные инструменты для поддержки бизнес-процессов и модернизации инфраструктуры.
2 минуты
309
17 февраля 2022
КРОК Облачные сервисы и SAS запускают сервис для анализа и оптимизации бизнес-процессов
КРОК Облачные сервисы заключил партнерство с SAS — всемирно признанным лидером в сфере аналитики данных и искусственного интеллекта. Компании подписали соглашение о предоставлении доступа из Облака КРОК к портфолио бизнес-решений на базе SAS Optimization. Услуга позволяет клиентам облачного провайдера быстрее начать работать с инструментами аналитики корпоративного класса, повысить качество анализа и одновременно с этим снизить потребность в собственных вычислительных ресурсах.
3 минуты
448
2 февраля 2022
Правила выбора IaaS высокой степени защищенности
Популярность инфраструктуры как сервис растет стабильно - если в прежние годы рост составлял 20%, по разным оценкам, то в пандемийный период он превысил 40%. При этом по-прежнему остается дискуссионным вопрос защищенности облачных сред. Однако эксперты утверждают, что поводов для беспокойства нет.
1 минута
248
scrollup