Тренды

Не дайте данным утечь

Сергей Зинкевич, директор K2 Cloud

Облачные вычисления кардинально изменили правила игры в сфере ИТ. Сегодня многие компании стремятся переместить свою инфраструктуру в облако, ожидая не только экономии, но и гибкости, масштабируемости и улучшения производительности. Однако одна из главных проблем – обеспечение безопасности данных в облачных средах. Чтобы справиться с этим вызовом, обеим сторонам – заказчику и облачному провайдеру – нужно четко понимать архитектуру рисков и зону своей ответственности.

Всего с января по декабрь 2024 г. в РФ зарегистрировано 765 400 киберпреступлений, что на 13,1% больше, чем за аналогичный период 2023 г. Аналитики CNews Analytics и «Лаборатории Касперского» утверждают, что 64% российских компаний используют облачные технологии в своей ИТ-инфраструктуре. С ростом объема информации, хранящейся в облаках, повышается интерес к ним со стороны хакеров. Также усиливается внимание регуляторов, которые требуют, чтобы провайдеры повысили уровень надежности облачных платформ. Поэтому вопросы о том, какие шаги предпринять, чтобы обеспечить безопасность данных в облаке и кто несет за нее ответственность, становятся все более актуальными.

Выбор надежного облачного провайдера

Первый и, пожалуй, самый важный шаг ‒ выбор облачного провайдера. Именно на этом этапе необходимо убедиться, что провайдер способен принять надлежащие меры безопасности. Нужно тщательно изучить материалы на сайте облачной платформы, запросить аудиторские отчеты и сертификаты и внимательно ознакомиться с ними. Чем больше информации о своей надежности предоставит вам провайдер, тем выше вероятность того, что его облачная платформа имеет высокий уровень защиты.

Подтверждение соответствия международным и национальным стандартам, таким как ISO 27001, PCI DSS, ГОСТ Р 57580.1-2017 и другим, служит индикатором того, что провайдер уделяет должное внимание безопасности. Успешная аттестация требует не только соблюдения множества требований, но и независимой оценки со стороны экспертов.

Разграничение зон ответственности

Еще одна ключевая задача, с которой сталкиваются компании при переходе в облако, ‒ четкое разделение ответственности в плане безопасности. Ответственность за защиту данных в облаке делится между клиентом и провайдером, и важно, чтобы эти зоны ответственности были обозначены с самого начала. Здесь роль играет модель используемых облачных сервисов: IaaS (инфраструктура как услуга), PaaS (платформа как услуга) или SaaS (программное обеспечение как услуга).

В случае с IaaS клиент отвечает за управление операционными системами виртуальных машин, настройку виртуальных сетей и межсетевых экранов, а также безопасность данных и приложений. Провайдер берет на себя ответственность за гипервизоры, виртуализацию и отказоустойчивость инженерных систем. 

При использовании PaaS зона ответственности клиента сужается: он отвечает только за управление данными, их конфиденциальность и безопасность приложений. Облачный провайдер, в свою очередь, занимается защитой аппаратного обеспечения и сетевой инфраструктуры, виртуализации, операционной системы.

В модели SaaS ответственность за безопасность приложений и всей инфраструктуры лежит на провайдере, а клиенту остается лишь правильно управлять доступами и обеспечивать конфиденциальность данных.

Зоны ответственности нужно детально зафиксировать в договоре. Это поможет избежать недоразумений и неопределенности, когда дело касается серьезных инцидентов, таких как утечка данных или несанкционированный доступ.

Проведение регулярных аудитов и пентестов

Один из наиболее эффективных способов определить, что ваши данные в облаке находятся в безопасности, – регулярные тестирования на проникновение (пентесты). Эти проверки позволяют обнаружить слабые места в системе и устранить уязвимости прежде, чем их используют злоумышленники.

Важно не только выполнять тестирование на проникновение своих информационных систем в облаке, но и убедиться, что облачный провайдер проводит аналогичные проверки своих публичных ресурсов  как минимум дважды в год. Это подтверждает готовность компании противостоять новым угрозам и снижает риски, связанные с использованием уязвимостей. При этом желательно, чтобы провайдер привлекал разных подрядчиков, проводящих пентесты. Это обеспечит более объективную оценку уязвимостей, так как каждая команда использует свои методы анализа безопасности.

Для предприятий, работающих по ряду международных стандартов, проведение пентестов – обязательное требование. Например, стандарт PCI DSS, который регулирует работу с данными платежных карт, включает в себя требования по проведению регулярных проверок безопасности инфраструктуры.

Организация защиты данных на всех уровнях

Для обеспечения сохранности данных необходим комплексный подход  от физической безопасности дата-центров до защиты информации при передаче и хранении. Провайдеры облачных услуг должны гарантировать, что их дата-центры соответствуют требованиям физической защиты, включая контроль доступа, видеонаблюдение, резервирование и защиту от стихийных бедствий.

На уровне данных важнейший элемент – шифрование. Вся чувствительная информация, которая хранится в облаке, должна быть зашифрована не только в процессе передачи, но и при хранении на дисках.

Кроме того, в облаке должны быть реализованы системы обнаружения и предотвращения вторжений, а также регулярный мониторинг и логирование всех операций с данными.

Проектирование и настройка систем защиты

При переходе в облако недостаточно ограничиваться базовой безопасностью, которую предоставляет провайдер. Необходимо самостоятельно настраивать системы защиты с учетом специфики бизнеса как на уровне организационных процессов, так и в технической архитектуре.

Проектирование облачной инфраструктуры должно включать оценку рисков, анализ потенциальных векторов атак и уязвимостей, а также разработку стратегии защиты. Помимо встроенных инструментов облачного провайдера, имеет смысл внедрить дополнительные,  например мультифакторную аутентификацию пользователей операционных систем и приложений, контроль доступа, защиту API своих приложений и другие.

Кибергигиена: обучаем сотрудников

Безопасность ‒ это не только технологии и инструменты, но и человеческий фактор. Ошибки, в числе которых использование простых паролей, открытие ненадежных ссылок, подключение к небезопасным Wi-Fi-сетям, могут привести к серьезным утечкам данных и другим инцидентам. Регулярное обучение сотрудников основам информационной безопасности, создание культуры правильного поведения и контроль за соблюдением корпоративных стандартов ‒ важнейшая часть защиты данных.

Постоянный мониторинг и реагирование на инциденты

Важную роль в обеспечении безопасности данных в облаке играет и система мониторинга и реагирования на инциденты. Они вероятны даже при правильно настроенных средствах защиты. Поэтому критично иметь проработанный план реагирования и четкие процедуры для минимизации последствий.

Облачные провайдеры могут предложить услуги мониторинга безопасности и выстроенные процессы для быстрого реагирования на инциденты. Тем не менее компании важно иметь собственный план действий на случай кибератаки или утечки данных, чтобы полностью не полагаться на провайдера.