Как IaaS-провайдер работает с ИБ: угрозы и защита

По статистике Apiumhub, у 70% компаний ^[1] как минимум одно приложение работает в облаке. Миграция в облачную среду влечёт за собой ряд преимуществ ^[2], но многие предприятия ^[3] обеспокоены вопросами безопасности данных. Однако мнение о том, что облачная инфраструктура слабо защищена — миф ^[4], поскольку провайдер специализируется на «обороне периметра».

В сегодняшнем материале мы отметим некоторые из наиболее крупных угроз безопасности и поговорим о том, как IaaS-провайдеры защищают данные клиентов.

^[5]
/ Flickr / Blue Coat Photos ^[6] / CC ^[7]

Кражи данных и взломы

Кража данных ^[8] влечёт за собой посягательства на интеллектуальную собственность, коммерческую тайну и конфиденциальную информацию клиентов, что приводит к убыткам и потере имиджа бренда.

Согласно совместному отчёту ^[9] страховых компаний Lloyd's of London и Cyence, глобальная атака на облако может обойтись в 53 миллиарда долларов. При этом страховка покроет только 17% этих убытков.

Одна из таких мощных атак произошла ^[10] в этом году. Целью стало бюро кредитных историй Equifax. По информации ^[11] Forbes, злоумышленники выкрали данные 143 миллионов клиентов компании. Эта кража нанесла существенный урон: топ-менеджеры продали ^[12] свои акции через два дня после обнаружения взлома, а сами акции упали на 13%. И этот случай неединичный — о других крупных атаках и нанесенном ущербе можно узнать здесь ^[13].

Поэтому чтобы защитить клиентов от краж и взломов, провайдеры начинают с самых базовых методов обеспечения безопасности — шифруют трафик с помощью HTTPS и SSL ^[14]. Это предотвращает кражу данных, если злоумышленники попытаются «подслушать» канал. Многие операторы внедряют дополнительные меры защиты: двухфакторную аутентификацию (2FA), сегментацию сети, разграничение доступа, мониторинг и системы аудита.

При этом даже такой небольшой шаг, как подключение 2FA, помогает компаниям предотвратить взлом. Например, именно отсутствие двухфакторной аутентификации привело ^[8] к краже 80 миллионов записей персональных данных пациентов в компании Anthem.

Еще одним компонентом, защитой которого занимаются облачные и IaaS-провайдеры, является API. Провайдер делает всё возможное для защиты программных интерфейсов: использует шифрование данных, позволяет настраивать уровни доступа для управления аутентификацией. Поставщики также предоставляют Cloud Access Security Broker — инструмент для контроля ^[15] передачи и хранения данных во всех облачных приложениях клиента.

Многие провайдеры ещё до заключения договора предоставляют информацию об интерфейсах API и требованиях к ним. Например, мы в компании 1cloud открыто рассказываем ^[16] своим клиентам о возможных уязвимостях и о том, какие способы защиты используются.

Ещё один способ противодействия взлому — микросегментация сети. Это решение ^[17] использует виртуализацию сети и позволяет назначать приложениям ЦОД политики безопасности, вплоть до уровня рабочей нагрузки. Применение политик сетевой безопасности обеспечивают брандмауэры, интегрированные в гипервизоры, уже установленные в дата-центре. Это гарантирует, что злоумышленники не смогут получить доступ к рабочим процессам.

По данным ^[18] Gartner, к 2020 году количество инцидентов, связанных с рабочими нагрузками в облачной инфраструктуре, будет на 60% меньше, чем в обычных дата-центрах.

Потеря данных

Потерять данные можно разными способами ^[19]: их могут повредить злоумышленники, а можно случайно их удалить. Эти проблемы решаются с помощью резервного копирования и Snapshot’ов ^[20]. Большинство IaaS-провайдеров автоматически копируют базу данных клиентов каждый день. Поэтому если клиент провайдера обратится в техподдержку и сообщит об утере данных, их можно будет восстановить.

Компания Clutch опросила 300 предприятий малого и среднего бизнеса для оценки эффективности резервного копирования в облаке. Результаты ^[21] опроса показали, что 87% респондентов уверены в безопасности бэкапов в облаке. А четверть опрошенных утверждают, что резервное копирование данных в облаке гораздо безопаснее локального.

Резервное копирование также защищает и от вирусов-вымогателей. По данным ^[22] Лаборатории Касперского, 15 тысяч модификаций ransomware появилось во второй половине этого года. Общее количество совершенных атак — 270 тысяч.

Самые мощные трояны-вымогатели атаковали пользователей в 2017 году. Первая атака случилась в мае: вирус WannaCry заразил ^[23] сотни тысяч компьютеров по всему миру. В июне уже второй вирус-шифровальщик (Petya) напомнил ^[24] о пользе резервного копирования.

Как IaaS-провайдер работает с ИБ: угрозы и защита - 2
/ кадр из видео ^[25] о нашем дата-центре Xelent

Физический взлом

Провайдеры хранят данные в охраняемых ЦОДах с системами видеонаблюдения. Доступ в дата-центр запрещён для посторонних и для большей части персонала. Преступник не сможет прийти и забрать носители с данными — он просто не попадёт внутрь.

Например, дата-центр Xelent, в котором располагаются ^[26] мощности компании 1cloud, имеет многоуровневую систему защиты. Периметр ЦОД огорожен забором с вибродатчиками и камерами. Проход на территорию осуществляется через КПП и строго по пропускам. Если сотрудник забыл его дома — на рабочее место он не пройдет.

Что касается доступа к дискам виртуальных машин, то получить его также непросто. В теории он есть у работников ЦОДа. Но на практике они не могут им воспользоваться, потому что сотрудники дата-центра, как правило, не имеют ^[27] логического доступа в облако (по сети). Дополнительно провайдеры отслеживают трафик, шифруют данные и предлагают клиентам инструменты для отслеживания состояния облачной среды.

Отметим, что некоторые компании применяют дополнительные и даже экзотические решения для повышения защиты. Например, ЦОД Bank of America находится ^[28] в неприметном бетонном здании без вывесок. На вид дата-центр — закрытый и неприступный склад, который мало кому захочется «грабить».

DDoS и DoS

Для запуска ^[29] DoS-атаки прикладного уровня киберпреступники анализируют уязвимости веб-серверов, базы данных и других облачных ресурсов. По данным ^[30] Corero, 40% компаний подвергаются DDoS-атакам ежемесячно/еженедельно и ежедневно.

В первом квартале ^[31] 2017 года таким атакам подверглись ресурсы в 72 странах. Китай, Южная Корея и США остаются лидерами по количеству DDoS-атак. Самая продолжительная атака длилась 120 часов. Во втором квартале ^[32] 2017 года 86 стран подверглись нападению. Рекордная DDoS-атака длилась 277 часов — на 131% дольше, чем самая продолжительная атака того же периода прошлого года.

Провайдеры защищают ^[8] сервисы от DoS и DDoS-атак. Этому способствуют сети доставки и дистрибуции Content Delivery Network (CDN) и защитные экраны уровня приложений Web Application Firewall (WAF).

Среди других комплексных технологий защиты — искусственный интеллект, автоматизация и машинное обучение. Ник Коулмен (Nick Coleman), специалист компании IBM, заявляет ^[33], что автоматизация и искусственный интеллект будут повсеместно использоваться для защиты данных через 3–4 года.

Эти технологии позволяют упростить и ускорить выполнение рутинных задач политики безопасности и прогнозировать угрозы. Open source проекты ^[34] и фреймворки ^[35], например, TensorFlow, помогают разработчикам создавать и автоматически настраивать политики на основе анализа угроз внешних ресурсов.

Машины хорошо показывают себя в поиске уязвимостей: в начале этого года облачный искусственный интеллект помог ^[36] найти 10 дыр в безопасности LinkedIn. Компании Google ^[37], Oracle ^[38] и другие возлагают большие надежды на технологии машинного обучения.

Как защитить данные в облаке

Еще раз обобщим самые распространенные виды атак на облачную инфраструктуру и способы защиты. Которые предоставляют провайдеры:

Кража данных влечёт за собой убытки компании и потерю имиджа (пример — Equifax). Чтобы противостоять злоумышленникам, провайдеры шифруют трафик в облаке с помощью HTTPS и SSL. Также используются дополнительные меры: 2FA, сегментация сети, управление политиками доступа, инструменты для защиты API, искусственный интеллект, машинное обучение и автоматизация.
Потеря данных из-за вирусов-шифровальщиков (Petya), троянов-вымогателей (WannaCry), случайности или забывчивости может стать необратимой. Для того чтобы защитить данные клиентов от утери облачный провайдер использует функции Backup и Snapshot. Помимо этого, поставщик ежедневно копирует базы данных и использует надёжные носители. Если данные оказались утеряны, техподдержка провайдера поможет их восстановить.
Чтобы обезопасить инфраструктуру провайдеры хранят данные в надёжных дата-центрах, используют шифрование, инструменты для отслеживания среды.
Половина компаний подвергается DDoS и DoS-атакам на постоянной основе. Чтобы защитить данные и предотвратить атаки этого типа, IaaS-провайдеры запускают регулярные проверки, задействуют CDN и WAF.

Согласно исследованию ^[3] компании Crowd Research Partners, 74% респондентов уверены, что шифрование данных — самый надёжный способ защиты в облаке. Половина опрошенных специалистов отметила контроль доступа как наиболее действенный метод облачной защиты. За внедрение интерфейсов для отслеживания и уведомления об угрозах проголосовали 40% респондентов.

P.S. Другие наши материалы о безопасности:

Немного о безопасности в «облаке»: методики и технологии ^[39]

4 тренда облачной безопасности: мировой опыт ^[40]

Как обезопасить Linux-систему: 10 советов ^[41]

Что нужно знать об IaaS-провайдере до начала работы ^[16]

Автор: 1cloud

Источник ^[42]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/268912

Ссылки в тексте:

[1] 70% компаний: https://apiumhub.com/tech-blog-barcelona/cloud-computing/

[2] преимуществ: http://www.information-age.com/top-10-benefits-cloud-computing-123467995/

[3] многие предприятия: https://dome9.com/wp-content/uploads/2017/03/Cloud-Security-Report-2017.pdf

[4] миф: https://www.tripwire.com/state-of-security/security-data-protection/4-reasons-why-the-cloud-is-more-secure-than-legacy-systems/

[5] Image: https://habrahabr.ru/company/1cloud/blog/342770/

[6] Blue Coat Photos: https://www.flickr.com/photos/111692634@N04/11407112573/

[7] CC: https://creativecommons.org/licenses/by-sa/2.0/

[8] Кража данных: http://blog.panoply.io/top-cloud-security-threats-risks-and-concerns

[9] отчёту: https://www.databreachtoday.com/report-major-cloud-services-attack-could-cost-53-billion-a-10116

[10] произошла: https://blog.cloudsecurityalliance.org/2017/10/26/days-stolen-identity-equifax-soap-opera/

[11] информации: https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/

[12] продали: https://finance.yahoo.com/news/3-equifax-executive-sold-stock-012657717.html

[13] здесь: http://breachlevelindex.com/data-breach-database

[14] SSL: https://1cloud.ru/blog/sozdat-ili-kupit-ssl

[15] контроля: https://www.gartner.com/it-glossary/cloud-access-security-brokers-casbs/

[16] рассказываем: https://1cloud.ru/blog/21-question-to-iaas-provider

[17] решение: http://www.bmc.com/blogs/cloud-security-trends-watch-2017/

[18] данным: https://www.gartner.com/smarterwithgartner/is-the-cloud-secure/

[19] разными способами: https://tdwi.org/articles/2017/06/09/top-5-cloud-security-threats.aspx

[20] резервного копирования и Snapshot’ов: https://1cloud.ru/blog/razlichija-backup-i-snapshot

[21] Результаты: https://www.cloudcomputing-news.net/news/2016/jul/07/cloud-data-backup-inexperience-and-ignorance-key-fear-factors/

[22] данным: https://securelist.com/it-threat-evolution-q2-2017-statistics/79432/

[23] заразил: https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware

[24] напомнил: https://www.theregister.co.uk/2017/06/28/petya_notpetya_ransomware/

[25] видео: https://www.youtube.com/watch?v=YpDRctkB1kM

[26] располагаются: https://1cloud.ru/infrastructure/datacenter-saint-petersburg

[27] не имеют: https://1cloud.ru/blog/bezopasnost-dannih-v-oblake

[28] находится: http://www.tomsitpro.com/articles/physical-data-center-security,2-831.html

[29] запуска: https://www.infoworld.com/article/3041078/security/the-dirty-dozen-12-cloud-security-threats.html

[30] данным: https://www.corero.com/resources/2017-ddos-survey-infographic.html

[31] первом квартале: https://securelist.com/ddos-attacks-in-q1-2017/78285/

[32] втором квартале: https://securelist.com/ddos-attacks-in-q2-2017/79241/

[33] заявляет: http://www.computerweekly.com/news/450429185/Cyber-security-professionals-urged-to-embrace-AI-and-automation

[34] проекты: https://www.paloaltonetworks.com/products/secure-the-network/subscriptions/minemeld

[35] фреймворки: https://www.tensorflow.org/

[36] помог: https://thehackernews.com/2017/01/artificial-Intelligence-cybersecurity.html

[37] Google: https://cloud.google.com/products/machine-learning/

[38] Oracle: https://www.computerworlduk.com/cloud-computing/oracle-expands-cloud-at-customer-service-following-strong-customer-demand-3661581/

[39] Немного о безопасности в «облаке»: методики и технологии: https://1cloud.ru/blog/security-cloud

[40] 4 тренда облачной безопасности: мировой опыт: https://1cloud.ru/blog/cloud-safety-trends

[41] Как обезопасить Linux-систему: 10 советов: https://1cloud.ru/blog/linux-server-security-advices

[42] Источник: https://habrahabr.ru/post/342770/

Нажмите здесь для печати.