Безопасность облака — это совокупность процедур, политик и технологий, призванных защищать облачные вычислительные среды от потенциальных угроз кибербезопасности. При любых атаках или нарушениях целостность и безопасность моделей облачных вычислений должны сохраняться. Поставщики облачных услуг обеспечивают безопасную облачную инфраструктуру.
Обеспечить безопасность облака не так сложно, как может показаться. Существует множество способов защитить свой бизнес, одновременно обеспечивая безопасность облака и используя все его преимущества.
Безопасность облака начинается с верного выбора модели услуг, которая соответствует потребностям вашей организации. С точки зрения облачной безопасности предлагаются три уникальные модели услуг и четыре варианта развертывания. Модели услуг:
программное обеспечение как услуга (SaaS):по модели SaaS клиенты получают доступ к программам, которые не требуется устанавливать на персональные компьютеры или серверы. В качестве примера SaaS можно привести Microsoft 365 (ранее Office 365) и Gmail. В этом случае клиентам нужен только компьютер, планшет или телефон для доступа к каждому приложению. Компании используют различные термины для обозначения своих продуктов, например, DRaaS (аварийное восстановление как услуга), HSMaaS (аппаратный модуль безопасности как услуга), DBaaS (база данных как услуга) и даже XaaS (что угодно как услуга). По термину, который компания использует для продвижения продукта, бывает сложно определить, является ли он SaaS или PaaS, но в любом случае четкое определение предусмотренных контрактом обязанностей поставщика — более важный вопрос. Поставщики облачных услуг также расширяют свои контракты дополнительными услугами для обеспечения безопасности, например, HSMaaS (аппаратный модуль безопасности как услуга) или DRMaaS (технические средства защиты авторских прав как услуга).
Четыре модели развертывания:
Важны все аспекты индивидуальной политики безопасности облака, но существуют определенные ключевые компоненты, которые должен предлагать каждый провайдер и которые относятся к числу самых важных аспектов инфраструктуры безопасности облака. Если выбранный вами поставщик предоставляет все эти возможности, то вы сможете реализовать наиболее комплексную стратегию безопасности облака.
Постоянный контроль: благодаря постоянному ведению журналов поставщики услуг по обеспечению облачной безопасности могут дать вам представление о том, что происходит на ваших облачных платформах. Если произойдет инцидент, ваши специалисты по безопасности могут проверить и сравнить внутренние журналы событий с записями вашего провайдера и получить подробную информацию о возможных атаках или изменениях. Это поможет быстро обнаружить угрозу и отреагировать на инциденты.
Управление изменениями: ваш поставщик услуг по обеспечению безопасности облака должен предлагать протоколы управления изменениями, чтобы проконтролировать соответствие требованиям, когда запрошены изменения, меняются или перемещаются активы, вводятся в эксплуатацию новые серверы или списываются старые. Он может развернуть специальные приложения для управления изменениями, которые автоматически отслеживают необычное поведение, чтобы ваша команда могла быстрее его исправить и принять меры по смягчению его последствий.
Защита с нулевым доверием: изоляция критически важных активов и приложений от облачной сети. Конфиденциальность и недоступность рабочих нагрузок помогает соблюдать политики безопасности, направленные на защиту вашей облачной среды.
Всеобъемлющая защита данных: ваш поставщик должен предложить усиленную защиту данных с дополнительным шифрованием на всех транспортных уровнях, хорошую гигиену данных, непрерывный мониторинг управления рисками, безопасный обмен файлами и надежные коммуникации. Одним словом, он должен всеми способами и средствами защищать ваши бизнес-данные.
Спросите себя: «Какие проблемы мне нужно решить?» Ответ на этот вопрос поможет вам определить, какие вопросы следует задать поставщику облачных услуг, чтобы не упустить наиболее важные аспекты.
Облачная архитектура — это результат объединения множества сред для совместного использования масштабируемых ресурсов программными приложениями, базами данных и другими службами. По сути, этот термин охватывает инфраструктуру и компоненты, которые, работая в тандеме, образуют «облако», как мы его представляем.
Базовые компоненты для создания облака включают в себя сети, маршрутизаторы, коммутаторы, серверы, межсетевые экраны и системы предотвращения вторжений. Облако также включает в себя такие элементы внутри серверов, как гипервизор, виртуальные машины и, конечно же, приложения. Создание архитектуры облака, управление ею и предоставление облачных услуг подразумевает участие поставщика, архитектора и брокера. Выстроена целая экосистема, которую нужно отслеживать, но когда говорят «облако», как правило, имеют в виду облачную архитектуру.
Многие термины облачной архитектуры — это привычные термины, к которым подставляются слова «облачный», «облачные», например, «потребитель облачных услуг». Если вы знаете значение термина «потребитель услуг», то поймете и кто такой «потребитель облачных услуг».
Несколько базовых понятий:
Защита облака начинается с создания архитектуры его безопасности, т. е. добавления к базовой архитектуре защитных средств. Традиционными средствами безопасности являются, например, межсетевые экраны, продукты для защиты от вредоносных программ и системы обнаружения вторжений. В разработке структуры безопасности всего облака участвуют различные специалисты, в том числе аудитор облачных услуг, архитектор по информационной безопасности и инженер по информационной безопасности.
Очевидно, что создание архитектуры безопасности облака не ограничивается подбором программного и аппаратного обеспечения.
Прежде всего встает вопрос управления рисками. Для принятия дальнейших решений необходимо понять, какие проблемы могут возникнуть и какими будут последствия для бизнеса. Три ключевых темы, на которые в этом обсуждении стоит обратить особенное внимание, — непрерывность бизнеса, цепочка поставок и физическая безопасность.
Например, как на бизнес повлияет сбой на стороне вашего поставщика облачных услуг? То, что серверы, службы и данные находятся в облаке, не отменяет необходимости планирования непрерывности бизнеса и аварийного восстановления.
Что будет, если в ЦОД поставщика сможет зайти любой желающий? Если речь идет о AWS, GCP и Azure, сделать это не так-то просто. Дело в том, что они вложили значительные ресурсы в обеспечение безопасности центров обработки данных.
Можно ли то же самое сказать о других поставщиках? Попробуйте запросить у любого поставщика разрешение на обход его ЦОД и на участие в аудите. Что вам ответили? Разрешили осмотреть центр обработки данных на следующий же день? Если попасть в центр обработки данных легко, возможно, этот поставщик вызывает сомнения.
Небольшие поставщики облачных услуг могут не иметь физического центра обработки данных. Скорее всего, они используют и эффективно перепродают услуги крупных поставщиков. Это одно из преимуществ использования облака. Если неизвестно, как именно сотрудничают поставщики, могут возникнуть проблемы с выполнением законов, требований регуляторов и контрактов. Задайте простой вопрос: «Где находятся мои данные?» Если у поставщика облачных услуг есть несколько уровней ответственности, ответ будет трудно сформулировать Также могут быть юридические последствия, такие как проблема с Общим регламентом по защите данных для ЕС (GDPR).
Элементы архитектуры безопасности облака могут также быть облачными услугами. Можно приобрести такие услуги, как предотвращение утечки данных (DLPaaS). Другие инструменты помогают обеспечивать безопасность, например, инструмент сканирования, который ищет данные, идентифицирующие личность, чтобы обеспечить их надлежащую защиту. Работу этих услуг необходимо контролировать через управление безопасностью облака.
CNAPP — это группа решений по обеспечению безопасности, которые помогают выявить риски в ряде облачных приложений, оценить и приоритизировать их, а также адаптироваться к рискам.
CNAPP объединяет несколько наиболее важных функций, собранных из разрозненных продуктов и платформ — сканирование на наличие артефактов, защиту во время исполнения и проверку облачной конфигурации. Сюда могут входить:
Trend Micro можно считать поставщиком CNAPP. Такие продукты, как Trend Micro Cloud One™, платформа услуг безопасности, предназначенная для разработчиков облачных решений, вполне вписываются в архитектуру CNAPP.
Компании должны обеспечивать соответствие множеству законов, регуляторных требований и контрактов. Когда вы передаете свои данные и услуги в чье-то владение, необходимо соблюдать определенные сложные требования.
В зависимости от отрасли и региона компаниям нужно выполнять требования разных регуляторов: Общего регламента по защите данных (GDPR), закона Сарбейнза–Оксли (SOX), закона о передаче данных и учете в системе медицинского страхования (HIPAA) и т. д. Если компания обрабатывает данные кредитных карт, защита этих данных определяется стандартом безопасности данных индустрии платёжных карт (PCI-DSS).
После определения субъектов, для которых нужно обеспечивать соответствие требованиям, можно провести аудит. Аудиты проводятся согласно утвержденным подходам и проверенной методологии, например, SSAE 18 от организации American Institute of Certified Public Accountants, устанавливающей стандарты аудита в США. Результаты аудита покажут, насколько полно компания выполняет требования регуляторов и где есть нарушения. При выборе поставщика облачных услуг нужно прочитать их отчеты по аудитам, чтобы узнать, насколько безопасны их ЦОД и чего стоит ожидать.
Статьи по теме
Исследования по теме