8 800 777 8170
Работаем по всей России

Защита информации в облачных сервисах

Вы здесь

Опубликовано: 3 сентября, 2020 - 13:18
 
Автор: 
Андрей Иванов
Время чтения: 10мин.

Обеспечение безопасности облачных сервисов — это комплекс совместных действий провайдера услуг и арендатора. Для того чтобы защитить данные в облаке, используют дефолтные методы и разнообразные стратегии. По данным Gartner, кибербезопасность — это вторая по значимости статья расходов для пользователей облачной инфраструктуры.

Какие есть угрозы безопасности в облаке?

Основные угрозы безопасности облачных сервисов и вычислений касаются данных, инфраструктуры и мощностей. Чаще всего злоумышленники взламывают облачные аккаунты для хищения персональной информации, которую можно затем использовать для мошенничества (например, крадут пароли банковских карт или электронной почты).

Еще одна серьезная угроза безопасности в облаке — использование инфраструктуры и мощностей для вредоносных действий: рассылки спама, майнинга. Злоумышленники могут использовать ваш ресурс для «обкатки» ботнетов или целенаправленно вредить вашему бизнесу с помощью DDoS-атак.

Как хакеры могут получить доступ к вашему облаку:

  • вредоносные программы;
  • кросс-облачные атаки;
  • атаки по боковому каналу;
  • отказ в обслуживании;
  • атака на вычислительные ресурсы;
  • небезопасные API;
  • методы социальной инженерии.

Вредоносные программы

С помощью вредоносных программ можно получить доступ к информации в облаке. Как это делается? Для того чтобы обойти настройки безопасности облачных сервисов, в решение SaaS, PaaS или IaaS добавляют модуль зараженного сервиса. Если настройки слабые, модуль перенаправляет запросы пользователя на экземпляр хакера, что, в свою очередь, запустит вредоносный код. Преступник получит полный доступ к данным и даже сможет установить прослушивающую программу (часто используется для промышленного и политического шпионажа).

Наиболее распространенными формами угроз безопасности с использованием вредоносных программ являются атаки с применением межсайтовых сценариев (добавление на сайт вредоносных скриптов Flash, JavaScript) и SQL-атак.

Кросс-облачные атаки

Основной целью кросс-облачных атак являются предварительные центры обработки данных. Для этого хакеры используют дыры в безопасности общедоступных облачных сервисов.

Как это работает? Злоумышленники используют уязвимости, возникающие при перемещении одной из рабочих нагрузок арендаторов в среду общедоступного облака (Amazon Web Services, Microsoft Azure) с помощью любого VPN-канала, например, Direct Connect. Вторгаясь в одну из сред, хакер может атаковать облако, оставаясь незаметным для мониторинга систем безопасности.

Первое время атаку распознать не удается — требуется время на сканирование среды, чтобы выявить эксплойты и традиционные уязвимости.

Атака по боковому каналу

Атака по боковому каналу направлена ​​на компрометацию IaaS. Как хакеры это делают? Основная цель — разместить свою виртуальную машину рядом с той, которую надо взломать.

Атака проводится в два этапа:

  • размещение вредоносной виртуальной машины рядом с целевой;
  • извлечение полезной информации.

Отказ в обслуживании (DoS, DDoS)

DoS/DDoS-атака делает веб-сайт недоступным для пользователей. Часто злоумышленник хочет не просто «положить» сайт, но и украсть личные данные.

Как это работает? Хакер использует уязвимость программного обеспечения, отправляет ложные запросы. Атака может идти через одно (DoS) или несколько (DDoS) подключенных к интернету устройств.

Как хакеры отправляют так много вредоносных запросов? Для этого используется ботнет-сеть из устройств, к которым они получили доступ. После того как устройство стало частью ботнета, оно будет выполнять инструкции от централизованных машин. Ботнет может состоять из сотен и тысяч зараженных устройств, а жертвами могут стать даже хорошо защищенные серверы: шлюзы для оплаты кредитными картами, банки, правительственные органы.

DDoS-атаки существуют давно, но с появлением сервисов в облаке появилась глобальная угроза безопасности. Облачная модель дает атаке еще большую вычислительную мощность, позволяет украсть данные миллиардов пользователей.

Незаконное использование вычислительных ресурсов

Эта угроза безопасности затрагивает не облачную инфраструктуру, а непосредственно ресурсы, которые предоставляет провайдер. Яркий пример — незаконный майнинг криптовалют.

Взломав аккаунт, хакеры могут использовать вычислительные ресурсы арендатора для обработки транзакций, устанавливая скрипт крипто-майнинга на серверах без ведома пользователя. Это приводит к увеличению нагрузки на процессор и, как следствие, может значительно замедлить работу системы.

Социальная инженерия

Методы социальной инженерии чаще всего направлены на взлом аккаунта в облаке. Доступ к логину и паролю злоумышленники получают от самих пользователей с помощью ссылок на фишинговые сайты или психологического давления.

Небезопасные API

Пользовательский интерфейс приложения (API) — это основной инструмент, который используют для работы системы в облачной инфраструктуре.

Наличие API — это значительный риск для безопасности. Пользовательский интерфейс приложения участвует в сборе данных с периферийных вычислительных устройств.

Значит ли это, что от API надо отказаться? Нет, потому что пользовательский интерфейс — это важный компонент стабильной работы приложений. Что именно делает его уязвимым:

  • анонимный доступ — без аутентификации;
  • отсутствие контроля доступа;
  • многоразовые токены и пароли;
  • аутентификация открытым текстом — когда вы видите ввод на экране.

Стратегии защиты данных в облаке

Безопасность данных в облаке — это приоритетная цель для арендаторов и провайдеров. Что можно сделать, чтобы свести риски к минимуму:

  • шифровать данные;
  • использовать надежные пароли и многофакторную аутентификацию;
  • внимательно читать SSL;
  • настроить мониторинг сети;
  • обезопасить API;
  • выполнить все рекомендации по защите от DDoS атак.

Шифрование

Для обеспечения безопасности данных первой линией защиты любой облачной инфраструктуры является шифрование. Методы подразумевают использование сложных алгоритмов для сокрытия информации.

Для расшифровки зашифрованных файлов хакерам потребуется ключ. Теоретически любую информацию можно расшифровать. Практически же злоумышленникам потребуется большое количество вычислительных ресурсов, сложное программное обеспечение и время.

Для максимальной безопасности данные в облачной среде должны быть зашифрованы на всех этапах их передачи и хранения:

  • у источника — на стороне пользователя;
  • в пути — при передаче от пользователя к серверу;
  • в состоянии покоя — при хранении в базе данных.

Надежные пароли и многофакторная аутентификация

Вместо простой проверки подлинности имени пользователя и пароля, безопаснее реализовать многофакторную. Существуют различные инструменты, которые требуют как статических паролей, так и динамических. Последние подтверждают учетные данные пользователя, предоставляя одноразовый пароль. Можно также использовать биометрические схемы или аппаратные токены.

SSL-соглашение

Действенная стратегия обеспечения безопасности облачных сервисов — внимательное изучение SSL-соглашения. Именно в нем прописано, какие обязательство несет провайдер, как он защищает ваши данные. Такие соглашения не должны быть шаблонными, нужно проработать все, что касается защиты со стороны поставщика услуг.

Непрерывный мониторинг

Услуга непрерывного мониторинга сети может предоставляться провайдером, но чаще пользователям необходимо самостоятельно настраивать параметры системы обнаружения вторжений. Рекомендуем обратиться к профессионалам, которые оценят риски и правильно настроят систему непрерывного мониторинга.

API и его безопасность

Как сделать API надежным? Используйте комплексные меры:

  • тестирование проникновения — имитирует внешнюю атаку, нацеленную на определенные конечные точки API;
  • Secure Socket Layer/Transport Layer — защитное шифрование для передачи данных;
  • многофакторная аутентификация.

Стратегия защиты от DoS- и DDoS-атак

Отказ и распределенный отказ в обслуживании — это глобальная проблема безопасности облачных сервисов. Любая стратегия защиты должна включать:

  1. Современную систему обнаружения вторжений. Она должна уметь выявлять аномальный трафик и обеспечивать раннее предупреждение на основе учетных данных и поведенческих факторов. Это своеобразная сигнализация в облаке.
  2. Проверку типа трафика. Реализована во многих межсетевых экранах. Позволяет проверять источник и назначение входящего трафика, оценить его возможный характер с помощью IDS.
  3. Ограничение исходной скорости.
  4. Блокировку скомпрометированных IP-адресов.

Дефолтные возможности защиты информации

Нарушение данных и их утечка — основные проблемы безопасности в облаке. Главная причина — пренебрежения дефолтными возможностями защиты информации.

Что можно сделать:

  • настроить резервное копирование;
  • выбрать надежных поставщиков услуг — с ЦОД не ниже уровня TIER III;
  • системно оценивать уровень безопасности;
  • установить надежные политики управления доступом;
  • создать план аварийного восстановления;
  • объяснить сотрудникам, что можно делать в облаке, а что нельзя.

Резервное копирование

Частое резервное копирование данных является наиболее эффективным способом повысить безопасность облачных сервисов. Для того чтобы правильно его настроить, нужно четко понимать, какие данные являются критически важными. Можно создавать бэкапы отдельных файлов, баз данных или всей системы.

Надежный провайдер

Потерять данные можно вследствие пренебрежения мерами безопасности поставщиками облачных услуг. Ответственные провайдеры предоставляют серверы с уже настроенным шифрованием, антивирусом и Firewall. Сами машины хранят в надежных Центрах обработки данных уровня TIER III. Это значит, что риск пожара, затопления, поломки сведен к минимуму.

Системная оценка уровня безопасности

Облачные сервисы регулярно модернизируют. Обновления помогают повысить производительность, устраняют недочеты. Но они же несут в себе и новые дыры в безопасности. Нужно регулярно проверять трафик и сетевую активность, особенно после установки или обновления ПО. Лучше всего зарекомендовало себя автоматическое обнаружение угроз с использованием искусственного интеллекта.

Надежные политики управления доступом

Разрешайте доступ только тем сотрудникам, которые в нем нуждаются. Убедитесь, что вы сможете в любой момент этот доступ закрыть. Для дополнительного уровня безопасности данных в облаке используйте методы многофакторной или биометрической аутентификации.

План аварийного восстановления

Потеря доступа к облачным сервисам — это серьезная угроза безопасности. Более того, любые простои приведут к серьезным финансовым потерям. Чтобы избежать потери данных и минимизировать время простоя после сбоя, создайте план аварийного восстановления и убедитесь, что IT-отдел этот план знает.

Инструктаж сотрудников

Все сотрудники, имеющие доступ к облачным сервисам, должны иметь базовые понятия о кибербезопасности. Многие до сих пор могут открывать подозрительные имейлы или переходить по фишинговым ссылкам. В некоторых случаях понадобится настроить ограничение трафика, чтобы исключить переход на сторонние сайты.

Как хакеры используют человеческий фактор для взлома и кражи данных в облаке:

  • изучают структуру компании на наличие слабых мест (эксплойтов);
  • после идентификации жертвы находят способ приблизиться к человеку — это включает в себя выявление учетных записей в социальных сетях, интересов и возможных недостатков;
  • после этого жертву заставляют предоставить доступ к облачной учетной записи — есть два способа сделать это: через вредоносные программы, с помощью социальной инженерии (завоевав доверие).

Несмотря на то, что интернет существует давно, многие относятся к кибератакам беспечно. Согласно исследованиям Oracle и KPM, сотрудники 82% организаций нарушали политики безопасности облачных сервисов.

Настройки безопасности

Неправильные настройки безопасности облачной инфраструктуры сделают бесполезной даже самую продуманную стратегию защиты. Что делать нельзя:

  1. Устанавливать стандартные настройки безопасности. Абсолютно все они должны быть персонализированы под нужды арендатора.
  2. Игнорировать настройку прав доступа. Посторонний человек может непреднамеренно получить доступ к конфиденциальным данным.
  3. Не разграничивать данные по важности. Если конфиденциальная информация остается открытой, к ней могут получить доступ злоумышленники.

Как правильно настроить систему безопасности в облаке? Это можно сделать самостоятельно, с помощью специализированных инструментов, например, CloudSploit и Dome9 или обратиться к профессионалам.

В компании «Смарт Офис» вы сможете подобрать облачные сервисы с уже настроенной системой безопасности для решения задач вашего бизнеса. Любую услугу можно протестировать бесплатно.

Оцените статью: 

Оставить комментарий

Комментарий будет опубликован после прохождения модерации. Обычно это занимает несколько минут.

Читайте также

Мы поможем
подобрать решение

Оставьте свой номер телефона и наш консультант расскажет вам об эффективных инструментах для решения задач вашего бизнеса. Вы можете бесплатно воспользоваться любой услугой в течение пробного периода.

© Смарт Офис
8 800 777 8170
sales@smoff.ru
Карта сайта

Продвижение сайта: 5 o'click