Сегодня у нас есть возможность хранить свои данные не только на пользовательском устройстве с ограниченной памятью, но и в облаке. Облако позволяет пользователям получать доступ к тем же файлам и приложениям с любого устройства, т.к. вычисления и хранение данных происходят на серверах в центре обработки данных, а не локально на пользовательском девайсе. Для размещения сервисов и приложений в облаке необходима облачная инфраструктура, безопасность которой является приоритетной задачей
В этой статье мы расскажем вам, что такое облачная защита и как ей управлять.
Что такое облачная инфраструктура?
Облачная инфраструктура – это аппаратные и программные средства, сетевые ресурсы и хранилище, создающие облако
Переход на облачные вычисления очень популярная тенденция среди предприятий, т.к.избавляет их от расходов на обновление и обслуживание собственных серверов. Все эти задачи закреплены за поставщиком облачных услуг, которыми пользуется предприятие. Это особенно актуально для малых предприятий, которые пока еще не могут позволить себе собственную внутреннюю инфраструктуру, но могут недорого передать свои потребности в ней через облако. Облако также упрощает работу компаний на международном уровне, т.к. для сотрудников и клиентов очень удобно получать доступ к одним и тем же файлам и приложениям из любого места. Развитие облачной структуры естественным образом ведет за собой рост адаптированных к новым тенденциям кибератак
И тут возникает вопрос. А как же изменился ландшафт угроз в связи с тенденцией предприятий перехода на облачные вычисления?
Изменение ландшафта угроз
Переход к облачным технологиям полностью изменил ландшафт угроз. Если раньше организации могли получить доступ к данным только локально, например, когда центры базы данных находились в стенах своего предприятия. То переход к «облаку» привел к тому, что доступ к данным и приложениям теперь осуществляется в разных местах. Это привело службы безопасности к серьезным испытанием. Даже самые стойкие компании подвергаются новым угрозам, т.к. площадь атаки организаций расширяется за счет облачных технологий. Заразив одну более уязвимую систему, подключенную к «облаку», преступники получают доступ и перемещаются по всему «облачному» пространству, причиняя ущерб всей организации.
К сожалению, помимо увеличения площади атаки, появляются и новые методы и виды кибератак. Для борьбы с модернизированными вредоносными ПО и устранения киберугроз существует ряд решений, о которых мы поговорим далее.
Управление доступом
Если говорить об управлении облаком в целом, то это контроль и координация администраторами всех продуктов и услуг в облаке: пользователей, контроль доступа, данных, приложений и услуг. Речь идет об управлении администраторами доступом к ресурсам, автоматизации процессов и внесения изменений по мере необходимости, а также мониторинга использования и затрат. Это также то, как администраторы поддерживают гибкость и масштабируемость, имея при этом возможность быстро адаптироваться, когда что-то меняется. А еще, управление облаком – это инструменты управления облаком, которые помогают администраторам контролировать облачную деятельность. Они обеспечивают административный контроль над инфраструктурой, платформами, приложениями, ресурсами поставщиков облачных услуг и поставщиков облачных услуг, а также данными, которые вместе создают облако. Важную роль в управлении облаком играет управление доступом к облаку.
Управление доступом к облаку (Cloud Access Management, CAM) – это организация доступа к ресурсам облака, система управления разрешениями и пользователями, предназначенная для безопасного и точного управления продуктами и доступом. Управление доступом позволяет вам контролировать ресурсы, которыми управляют пользователи в вашей учетной записи. Чтобы предоставить доступ, вы можете назначить роли, которые предоставляют пользователям уровни доступа для выполнения задач управления платформой и доступа к ресурсам учетной записи. Важную роль играет то, как будет организован доступ к облаку. Для того чтобы правильно реализовать доступ к учетной записи и усилить облачную безопасность, вы можете воспользоваться решениями, которые мы рассмотрим в следующих разделах.
Строгая аутентификация для пользователей и устройств
Решение строгой аутентификации, которое проверяет личность пользователей и вычислительных устройств, имеющих доступ к закрытым областям облака, является первым шагом в обеспечении безопасной и надежной системы защиты информации.
Строгая аутентификация – это способ подтверждения личности пользователя, когда паролей недостаточно. Многие компании требуют доказательств (многофакторной аутентификации), прежде чем разрешить доступ к цифровым активам.
Примером строгой аутентификации может быть как введение пароля с последующим ответом на небольшой тест, так и закрытый ключ физической аутентификации, USB-устройство, которое пользователь подключает к своему компьютеру при входе в систему. Закрытый ключ физической аутентификации – один из самых надежных способов реализации многофакторной аутентификации. Давайте рассмотрим, какими рекомендациями следует руководствоваться при выборе подходящей вам организации строгой аутентификации.
Рекомендации по строгой аутентификации:
- Подбирать решение для аутентификации под свой бизнес.
Для того чтобы подобрать надежное решение для аутентификации, организациям следует учитывать свой бизнес, пользователей и риски и выбирать решение, которое обеспечит им гибкость для адаптации по мере необходимости. Чтобы надежнее защитить аккаунт, хорошо использовать двухэтапную или многофакторную аутентификацию.
Технологии многофакторной аутентификации:
- Одноразовые пароли (One-Time Passwords, OTP). Одноразовый пароль – это комбинация символов, действующая для одного сеанса аутентификации. Этот метод обеспечивает аутентификацию путем создания одноразового пароля на основе секрета токена. Эта технология заключается в синхронизации устройства аутентификации и сервера аутентификации общим секретом или исходным кодом.
- Аутентификация на основе сертификатов (Certificate-based Authentication, CBA). Аутентификация на основе сертификатов полная противоположность процедуре предварительной регистрации и хранения учетных данных пользователей. Эта аутентификация является отличным масштабируемым решением при большом количестве пользователей, где регистрация пользователей становится неудобным решением, а использование сертификатов или ключей шифрования спасает ситуацию
- Аутентификация на основе контекста. Использование контекста может также служить идентификатором подлинности личности пользователя и дополнять другие технологии строгой аутентификации
- Подбирать решения, соответствующие стандартам безопасности и сертификации.
Верным решением для аутентификации будет использование продуктов основанных на стандартных протоколах аутентификации, успешно прошедших общественную проверку со стороны экспертов по безопасности, что снижает вероятность возникновения каких-либо уязвимостей или недостатков.
- Учитывать все точки доступа.
Как и в случае удаленного доступа к корпоративной сети, учитывая все точки доступа, вы обеспечиваете безопасную аутентификацию доступа ко всей конфиденциальной информации и гарантируете пользователям доступ к сетевым ресурсам со своих мобильных потребительских устройств (планшетов, смартфонов)
- Обеспечить удобство и прозрачность.
Еще одним залогом успеха в выборе решения строгой аутентификации является обеспечение удобства и прозрачности как для конечных пользователей, так и для администраторов
Для того чтобы обеспечить пользователям оптимальную работу, администраторы должны иметь возможность управлять всеми пользователями на всех устройствах и ресурсах, должны быть оснащены детальными элементами управления и комплексными возможностями отчетности.
Удобство для конечных пользователей заключается в том, чтобы предлагать им несколько методов аутентификации, определяя тип аутентификации, наиболее соответствующий их роли и профилю безопасности (контекст, телефонные токены, SMS и др.).
Управление привилегированным доступом
Еще одно решение для управления доступом – управление привилегированным доступом. Что такое управление привилегированным доступом?
Управление привилегированным доступом (Privileged Access Management, PAM) – это набор методов и технологий кибербезопасности, которые используются для контроля над повышенным доступом и разрешениями для пользователей, учетных записей, процессов и систем в IT-среде. PAM помогает организациям сузить поверхность атаки и предотвратить или смягчить ущерб, причиненный внешними атаками, а также внутренними должностными преступлениями или халатностью.
«Привилегированность» в PAM – это ограничение доступа и разрешений пользователей, учетных записей, приложений, систем, устройств (Интернета вещей) и вычислительных процессов до минимума, необходимого для выполнения обычной, разрешенной работы.
Управление привилегированным доступом является частью управления идентификацией и доступом (Identity and Access Management, IAM) и безопасности идентификации. Простыми словами, PAM лежит в основе IAM и безопасности идентификационных данных и обеспечивает более детальный контроль привилегированных удостоверений и действий сеанса.
Политики доступа «точно в срок» и с наименьшими привилегиями
Доступ «точно в срок» (Just-in-Time, JIT) – это практика обеспечения безопасности, которая позволяет предоставить привилегии доступа к приложениям или системам на определенный период времени. Например, если сотруднику нужен доступ к GitHub на месяц, JIT предоставит ему доступ, срок действия которого истечет к концу месяца. Такой ограниченный во времени доступ помогает минимизировать риск постоянных привилегий, которыми легко могут воспользоваться злоумышленники.
Сетевая безопасность
Облачная безопасность напрямую зависит от порой очень уязвимой сети, к которой подключены ваши устройства. Потому приоритетной задачей является сетевая безопасность. О том как защитить вашу Wi-Fi сеть, а соответственно и обеспечить безопасность ваших облачных данных, вы можете подробнее узнать в нашей статье «Как защитить сеть Wi-Fi: Теория и Советы»
Конфигурации брандмауэра для разрешения/запрета трафика
Важную роль в сетевой безопасности играет также правильная настройка устройств для фильтрации трафика, брандмауэров. Эти сетевые экраны на основе ранее установленных политик безопасности организации помогают определить и пропустить безопасный и блокировать вредоносный трафик. Подробнее о технологии брандмауэров вы можете прочитать в нашей статье «Сетевая крепость: что такое брандмауэр».
Контроль доступа и шифрование VPN
VPN-подключение и протоколы шифрования, используемые в технологии VPN, отлично справляются с защитой передаваемых данных. VPN – это виртуальная частная сеть, своего рода туннель между устройствами, защищающий передаваемые данные посредством шифрования с помощью протоколов. Протоколы шифруют различные данные, меняя IP-адреса и локацию таким образом, что никто чужой не может получить ваши данные. Подробнее о видах VPN и протоколов шифрования вы можете прочитать в нашей статье.
Стратегии смягчения последствий DDoS
Любая облачная инфраструктура может подвергнуться DDoS-атакам. DDoS-атака – это не только вирусный софт, но и более сложные схемы. О том, как защитить свои данные от DDoS-атак вы можете прочитать в нашей статье «Что такое DDoS-атака и как от нее защититься».
А вот несколько рекомендаций и стратегий смягчения последствий DDoS-инцидентов:
- Очистка трафика
Очистить трафик, блокировать вредоносные атаки и защитить облачную систему вам могут помочь компании, которые занимаются защитой от DDoS-атак, выступая в качестве посредников. Весь трафик вашей системы сначала проходит через их сеть, где атаки блокируются и не проникают в ваше облако.
- Блокировка источника или локации
Блокировка источника или локации осуществляется методом добавления IP-адреса, диапазона CIDR или геолокации в «список запретов» на вашем сетевом устройстве или в сети распространения контента (CDN). Эта форма смягчения не так продуктивна, хакер выполнит атаку из другого диапазона IP-адресов или местоположения. Поэтому эту стратегию следует сочетать с другими мерами по смягчению последствий на случай, если злоумышленник попытается снова.
- Блокировка шаблонов и поведения
Еще одной известной стратегией смягчения последствий является блокировка трафика, соответствующего конкретному шаблону или поведению. Сетевое устройство может как блокировать любой трафик, находящийся за пределами этого шаблона, так и блокировать шаблоны атак определенного формата.
- Отключение динамических функций
Если ваш сайт загружает много динамического контента, возможно, стоит отключить его от этого контента, что поможет вашей системе сконцентрироваться на обработке нужных запросов во время атаки.
- Отображение капчи
Для DoS-атак на уровне приложений вы можете воспользоваться такой мерой безопасности, как CAPTCHA. Смысл этой стратегии в том, что любой запрос предполагает ответ CAPTCHA, прежде чем он будет отправлен в вашу облачную инфраструктуру.
Проблемы использования CAPTCHA могут создать некоторые ограничения в доступности для ваших пользователей.
Применяя ту или иную меру по смягчению последствий DDoS-атак, важно понимать возможности каждого уровня вашей инфраструктуры и быть уверенным, что это подходящие в данном случае стратегии и что они применяются в правильном направлении. Когда случается DoS-событие, у вас будет мало времени.
Дополнительные действия по реагированию на атаки:
Помимо рассмотрения стратегий по смягчению последствий, есть еще два ключевых момента, которые не следует забывать при устранении DoS-инцидентов.
- Мониторинг других событий
Любая DoS-атака может быть отвлечением вас от других важных событий. Поэтому важно следить за другими событиями в сети.
- Внесетевая связь
Необходимо иметь запасной внесетевой вариант связи для вашей группы реагирования на инциденты, в случае атаки на ваши основные системы связи, такие как телефоны или электронная почта, например облачный инструмент командной связи или безопасный мобильный групповой чат.
Защита облачной инфраструктуры
Для защиты облачной инфраструктуры необходимо реализовать не только сетевую безопасность, но и ряд других комплексных мер. Важно обеспечить разноуровневую защиту инфраструктуры.
- Сетевая защита
В предыдущем разделе мы подробно описали как обеспечить сетевую защиту облака, какие защитные устройства и сервисы необходимы для создания архитектуры его безопасности
- Физическая защита
Безопасность при размещении и эксплуатации оборудования, контрольно-пропускная система, охрана дата-центров, система видеонаблюдения и др
- Моделирование угроз
Моделирование угроз помогает спрогнозировать вероятности их возникновения и возможных последствий, а также выбрать нужные средства защиты вашей облачной инфраструктуры
- Разработка безопасных приложений
При разработке приложений важным фактором является построение процесса безопасной разработки кода и его тестирования. Особенно, если приложение влияет, к примеру на выручку и устойчивость компании.
Разрабатывая безопасное приложение, важно проектировать безопасную архитектуру приложения для безопасного хранения передачи данных, использовать статические и динамические анализаторы кода, которые позволяют выявлять уязвимости в программах и быстро решать проблемы и учитывать устойчивые приложения под большой нагрузкой
- Сертификация
Компания, выбранная для предоставления услуг, должна соответствовать международным стандартам безопасности, таким как ISO/IEC 27001, QSA или местным требованиям в отношении обработки персональных данных (152-ФЗ или GDPR). Сертификация дает возможность независимому источнику подтвердить оценку требуемого уровня безопасности облака. Это жизненно важно для обеспечения непрерывности бизнес-процессов и защиты от внутренних и внешних угроз.
Заключение
Компании, предлагающие облачные услуги безопасности, позволяют организациям сосредоточиться на своем основном бизнесе, доверяя управление и обеспечение безопасности своей облачной инфраструктуры внешним экспертам. Они предлагают комплексный подход к защите облачной среды от развивающихся угроз безопасности. Лучшие облачные провайдеры оснащены всеобъемлющим набором функций безопасности, которые включают шифрование данных, защиту DDoS, а также идентификацию и управление доступом (Identity and Access Management, IAM).
Облачные вычисления отличаются от обычной Интернет-модели. Облачные серверы не просто хранят всю информацию и отвечают на запросы клиентов, а запускают приложения и хранят данные от имени клиента. Но и та и другая модель нуждаются в правильном управлении инфраструктуры и надежной защите этих данных. В этой статье мы постарались погрузить вас в тему облачной инфраструктуры и познакомить с лучшими рекомендациями по ее защите
VPS
Выбирайте конфигурацию и пользуйтесь всеми преимуществами виртуального приватного сервера.
От $5.00/месяцПерсональный VPN
Сохраняйте анонимность онлайн с выделенным IP и не подвергайте опасности свои личные данные.
$5.00/месяц
