- PVSM.RU - https://www.pvsm.ru -

«Мое облако — моя крепость»: Тренды облачной безопасности

Ранее, в одном из постов [1], мы рассказывали, как обеспечиваем сохранность данных наших клиентов в облаке. Сегодня мы предлагаем рассмотреть мировой опыт в этой сфере. Ведь количество киберугроз во всем мире не просто увеличивается — одновременно повышается их качество.

«Мое облако — моя крепость»: Тренды облачной безопасности - 1 [2]/ Pixabay / PublicDomainPictures [3] / CC0 [4]

Согласно результатам исследования [5]Gartner, к 2010 году 80% всех утечек информации из облака будут обусловлены неправильной конфигурацией или внутренними проблемами компании, а не уязвимостью провайдера. Поэтому ИТ-организациям будет необходимо обратить внимание на внутренние бизнес-процессы и обучение персонала основам безопасности.

Сегодня 64% компаний считают облачную инфраструктуру более безопасной, но при этом 75% предпринимают дополнительные защитные меры [6]. Например, 61% клиентов прибегают к шифрованию данных, 52% ведут политику управления идентификацией и доступом к информационным системам, а 48% — проводят регулярные проверки систем.

Однако злоумышленникам не так важно, где именно находятся данные: на виртуальных или реальных машинах, их цель — получить доступ любой ценой. Поэтому для защиты данных в облаке можно использовать те же средства, что и в дата-центре компании. Эксперты выделяют три основных направления безопасности: шифрование данных, ограничение доступа к данным и возможность их восстановления в случае аварийной ситуации.

Кроме того, специалисты советуют внимательнее отнестись к API. Открытые и незащищенные интерфейсы могут стать слабым звеном в защите данных и главной причиной уязвимости облачных платформ.

Аналитика и машинное обучение

В качестве решения проблемы можно обратить внимание на средства ИИ. Использование фреймворков искусственного интеллекта и машинного обучения для автоматизации защиты данных заключается в упрощении выполнения рутинных задач. Однако в скором времени они будут применяться для обеспечения безопасности в публичных и частных облачных инфраструктурах.

Примером такого подхода сегодня является проект [7]с открытым кодом MineMeld, который позволяет использовать данные об угрозах, полученные из внешних источников, для формирования политик безопасности с автоматическим изменением конфигураций. Такое решение позволяет учитывать специфические потребности конкретной компании. Другой пример — продукт [8]Gurucul Cloud Analytics Platform, использующий поведенческую аналитику и машинное обучение для выявления внешних и внутренних угроз.

Шифрование

Вице-президент Forrester Research Андрас Шер (Andras Cser) уверен [9], что шифровать абсолютно все данные не имеет смысла. Для обеспечения безопасности должна быть введена определенная политика, для составления которой можно привлекать специалистов. Необходимо выяснить, какие данные находятся в облаке, куда идет трафик, а уже потом решать, какую информацию стоит шифровать.

До усиления мер безопасности нелишним будет просчитать их целесообразность: например, сравнить стоимость введения таких мер и возможные потери от утечки информации. Кроме того, следует проанализировать, как шифрование или управление доступом и идентификацией пользователей повлияет на производительность системы.

Защита данных может осуществляться на нескольких уровнях [10]. Например, все данные, которые пользователи отправляют в облако, могут шифроваться с помощью алгоритма AES, обеспечивающего анонимность и безопасность. Следующий уровень защиты — шифрование данных в облачном сервере хранения. Облачные провайдеры также часто используют несколько дата-центров для хранения данных, что положительно сказывается на целостности информации.

Несколько рекомендаций по шифрованию данных в облаке вы можете найти здесь [11]и в этой [12]теме на Stack Exchange.

Мониторинг инфраструктуры

Мы уже рассказывали о том, какое оборудование используется [13]в наших центрах. При миграции в облако многие клиенты сталкиваются с необходимостью внедрения новой стратегии обеспечения безопасности, поскольку приходится изменять настройки брандмауэров и виртуальных сетей.

Согласно исследованию, проведенному аналитической компанией SANS, у клиентов вызывают [14]опасения уязвимость систем предотвращения несанкционированного доступа (68%), уязвимость приложений (64%), заражение вредоносными программами (61%), социальная инженерия и несоблюдение правил безопасности (59%) и внутренние угрозы (53%).

При этом Чандра Секар (Chandra Sekar), старший директор по маркетингу в Illumio, считает [15], что злоумышленники почти всегда смогут найти способ взломать систему. Поэтому основная задача — сделать так, чтобы атака не распространилась на другие уязвимые звенья цепи. Это возможно, если система безопасности блокирует несанкционированное взаимодействие между рабочими нагрузками и предотвращает нелегитимные запросы на подключение.

На рынке есть множество продуктов для мониторинга инфраструктуры дата-центров, например, линейка [16]Cisco предоставляет ИТ-менеджерам возможность получить полное представление о сетевой активности. Можно не только видеть, кто подключается к сети, но и устанавливать правила для пользователей: что конкретные люди могут делать, и какие права доступа у них есть.

Автоматизация

Еще один подход, способный повысить надежность дата-центра, — интеграция систем безопасности с практиками DevOps. Это позволяет ускорить темпы развертывания приложений и внедрения изменений. Адаптивная архитектура безопасности обеспечивает интеграцию с инструментами автоматизации и управления, делая изменения настроек безопасности частью процесса непрерывного развертывания.

В облачной инфраструктуре безопасность больше не рассматривается отдельно [5]от разработки и развертывания и становится неотъемлемой частью непрерывной интеграции и непрерывного развертывания (CI/CD). Это могут обеспечивать такие инструменты, как плагин Jenkins, с которым проверка кода и безопасности становится стандартным шагом для гарантии качества.

Другие вендоры предлагают DevOps-инструменты для тестирования и мониторинга безопасности: например, решение SAST используются для анализа исходного кода приложения в статическом состоянии и выявления уязвимости в системе безопасности, а решение DAST — для обнаружения возможных уязвимостей в системе безопасности во время работы приложения. Несколько решений для DAST и SAST можно найти в этой [17]теме на Stack Exchange.

Главное, не откладывать вопросы защищенности в долгий ящик. Раньше безопасностью продукта часто занималась отдельная команда. Но такой подход увеличивал время работы над продуктом и не мог гарантировать устранение всех уязвимостей. Сегодня интеграция безопасности происходит не только на практике, появились специальные термины — DevOpsSec, DevSecOps или SecDevOPs.

По мнению главного технического директора по облачным технологиям и SaaS в Intel Джейми Тисчарта (Jamie Tischart), между этими терминами есть существенная разница [18]— расположение части «Sec» отображает значимость безопасности. И правильным, с точки зрения применения на практике, является вариант SecDevSecOpsSec. Думать о безопасности нужно на всех этапах создания любого продукта, в том числе и облачной инфраструктуры.

P.S. Еще один пост в нашем блоге за сегодня — VPS-дайджест [19].

P.P.S. Еще несколько материалов по теме безопасности и работы дата-центров:

Автор: 1cloud.ru

Источник [25]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/kiberbezopasnost/232821

Ссылки в тексте:

[1] постов: https://habrahabr.ru/company/1cloud/blog/312260/

[2] Image: https://habrahabr.ru/company/1cloud/blog/319398/

[3] PublicDomainPictures: https://pixabay.com/en/computer-security-padlock-hacker-1591018

[4] CC0 : https://pixabay.com/en/service/terms/#usage

[5] исследования : http://www.datacenterjournal.com/top-cloud-security-trends-for-2016/

[6] меры: https://clutch.co/cloud/resources/security-trends-in-enterprise-cloud-computing

[7] проект : https://github.com/PaloAltoNetworks/minemeld/wiki

[8] продукт : http://www.crn.com/slide-shows/security/300076610/25-security-innovations-unveiled-at-rsa-2015.htm/pgno/0/6

[9] уверен: http://www.itworldcanada.com/article/how-to-create-a-cloud-security-strategy/389402

[10] уровнях: http://www.cloudstoragebest.com/data-encryption-cloud/

[11] здесь : http://blog.trendmicro.com/data-encryption-threats-best-practices/

[12] этой : http://security.stackexchange.com/questions/66449/which-encryption-technique-should-be-used-for-cloud-computing-data-transfer

[13] используется : https://1cloud.ru/blog/cloudfiction3

[14] вызывают : https://www.sans.org/reading-room/whitepapers/analyst/state-dynamic-data-center-cloud-security-modern-enterprise-36312

[15] считает: http://www.infoworld.com/article/2891555/security/8-steps-to-secure-your-data-center-in-the-distributed-computing-era.html

[16] линейка : http://www.cisco.com/c/en/us/solutions/collateral/enterprise-networks/secure-data-center-solution/solution_overview_c22-647421.html

[17] этой : http://security.stackexchange.com/questions/31705/dynamic-application-security-testing-tools

[18] разница : https://securingtomorrow.mcafee.com/business/cloud-security/security-integrated-devops-devopssec-secdevops-devsecops/

[19] VPS-дайджест: https://habrahabr.ru/company/1cloud/blog/319374/

[20] Как это работает: Пара слов о DNS: https://habrahabr.ru/company/1cloud/blog/309018/

[21] ОК, Google! Зачем переходить на HTTPS в 2017 году?: https://1cloud.ru/blog/google-http-https-2017

[22] Как обезопасить Linux-систему: 10 советов: https://1cloud.ru/blog/linux-server-security-advices

[23] «Быстрее, выше, сильнее»: Новые технологии дата-центов: https://habrahabr.ru/company/1cloud/blog/312118/

[24] «Работа с микроскопом»: Революция в области хранения данных: https://habrahabr.ru/company/1cloud/blog/306806/

[25] Источник: https://habrahabr.ru/post/319398/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best