Топ-6 ошибок безопасности при работе с облаком: уменьшаем риски

Каждый второй пользователь корпоративных облачных сервисов задаёт вопрос: «Почему я должен быть уверен, что провайдер не передаст мои данные злоумышленникам?». Но, как показывает практика, такие ситуации — из области фантастики. Эксперты «Лаборатории Касперского» утверждают: 9 из 10 утечек из облака происходят из-за человеческого фактора и по вине самих пользователей. Чтобы развенчать старый миф о приоритете локальных сред над облачными в вопросах безопасности, разберём типичные ошибки клиентов облачных провайдеров, вызывающие львиную долю инцидентов. По опыту свыше 2000 облачных проектов можем сказать, что в основном различные инциденты происходят из-за человеческого фактора: как правило, это — невнимательность или незнание базовых принципов работы с данными. Ниже представлены 6 самых распространённых ситуаций, связанных с рисками безопасности, которые между тем легко предотвратить. Давайте разберёмся, смогут ли облачные хранилища стать заменой физическим носителям, как пользователям защитить свою информацию, находящуюся в «облаке», а также можно ли считать облачные сервисы безопасными.

Сканирование таких портов киберпреступниками происходит непрерывно и автоматизированно с целью взлома и получения дополнительных мощностей или создания ботнетов для последующих DDoS-атак. Поэтому даже никому не нужная (казалось бы) изолированная «учётка» в облаке для администраторов-стажёров, в которой они учатся запускать виртуальные машины, может однажды пригодиться хакерам.

Совет: следите за тем, чтобы серверные и сетевые порты были закрыты, ограничивайте возможность подключения к ним.

Взлом простого пароля типа «девичья фамилия матери» у злоумышленников занимает в среднем не более недели — и это в том случае, если обнаружение такого пароля не входит в их планы. Если же организована целенаправленная охота, счёт идёт на часы и минуты. Часто плохая парольная защита становится причиной глобальной утечки и может нанести непоправимый вред репутации компании. Так, в 2019 году из-за открытого доступа к базе данных BioStar 2 скомпрометированными оказались биометрические данные, которыми пользуются 5700 организаций по всему миру.

Совет: используйте сложные пароли, а ещё лучше — двухфакторную аутентификацию (2FA) для укрепления защиты данных.

Зашифрованные данные — это груда мусора для киберпреступников, так как декодирование занимает годы. В облаках крупных провайдеров используются защищённые криптоканалы; это может обезопасить от перехвата информации, но не всегда даёт стопроцентную гарантию отсутствия утечек, так как самое узкое место находится вне облачного периметра — в локальной инфраструктуре клиента, куда заказчик может переносить данные.

Совет: шифруйте данные и используйте на локальных рабочих местах проверенные средства защиты: системы предотвращения утечек, антивирусы.

В большинстве случаев ситуации, когда в открытом доступе оказываются базы данных пользователей, обусловлены некорректной работой с тестовыми слепками этих баз. Их используют для разработки информационных сервисов. В этом нет ничего криминального, исключая те случаи, когда реальные данные граждан не маскируют, то есть не заменяют исходную информацию на набор ничего не значащих символов.

Совет: при разработке приложений и клиентских сервисов всегда подменяйте реальные данные фиктивными.

Резервное копирование в облаке — это дополнительные затраты. Иногда они могут вдвое увеличить стоимость облачных услуг. По этой причине многие клиенты отказываются от резервирования данных и потом очень огорчаются, когда не получается восстановить их после случайного удаления. На самом деле существует множество различных схем — фактически на любой кошелёк. Это может быть и бэкап у другого провайдера, и резерв в локальной инфраструктуре с безопасным каналом к ЦОД, и площадка типа «active-active» с непрерывной репликацией на базе облачных дата-центров.

Совет: плохой бэкап лучше никакого бэкапа. Резервируйте свои данные.

Помимо традиционных решений предлагаются сервисы для защиты от специфичных облачных угроз. Например, это может быть сервис мониторинга облачной инфраструктуры в формате ПО, которое не нужно устанавливать на «железо». Существуют также технические средства для сохранения целостности конфигураций. Они применяются, например, для защиты персональных данных 1-й и 2-й категорий в частном облаке. Система блокирует несанкционированные операции, и доступ к данным восстанавливается только после обращения к администратору дата-центра. После того как администратор получит обоснование от руководства компании, он перезагрузит оборудование.

Совет: помимо стандартных средств защиты всегда используйте специализированные облачные решения.

Облако облаку рознь. Поэтому нельзя исключать, что некий провайдер примет не все меры по защите информации, так что утечки, DDoS-атаки, уничтожение данных произойдут именно по его вине. Однако у большинства крупных поставщиков услуг действует сложная, многоступенчатая система обнаружения и предотвращения инцидентов — начиная с уровня физического доступа в ЦОД и заканчивая регламентной документацией, в которой фиксируются все технические и организационные аспекты работы в облаке. Проверить это вполне легко. Нужно лишь запросить сертификаты, подтверждающие соответствие инфраструктуры самым строгим российским и международным требованиям по безопасности. Такими документами могут быть стандарты ISO 27001 и PCI DSS. Второй из указанных сертификатов хотя и обязателен только для компаний, осуществляющих платёжные транзакции, но может охарактеризовать облачную платформу как максимально надёжную. В этом документе прописываются требования к защите на каждом из уровней инфраструктуры и процедуры проверки платформы на изолированность виртуальных сред — пентесты. В идеале такие проверки на уязвимость с участием независимых «белых хакеров» должны проводиться не реже двух раз в год. В свою очередь, для компаний, работающих с персональными данными клиентов и сотрудников, актуальны заключения о соответствии облака требованиям федерального закона № 152-ФЗ. Для получения таких заключений провайдеру также необходимо провести специальный аудит и доказать, что приняты все организационные и технические меры для обеспечения корректного и безопасного процесса хранения и обработки персональных данных. Наконец, провайдер, заключая контракт с клиентом, подписывает SLA и соглашение о конфиденциальности. В них он обязуется в том числе обеспечить защиту данных, а при невыполнении этих требований отвечает головой — и финансово, и репутационно. Оператор облачных услуг, готовый предоставить клиенту все указанные документы, фактически гарантирует, что в его облаке риски безопасности сведены к нулю.

__________
статья подготовлена для https://www.anti-malware.ru/