Облачная безопасность: почему это может быть более рискованно, чем уверяют поставщики
В недавнем отчете Cloud Security Alliance говорится, что почти 70% мирового бизнеса работает, по крайней мере частично, в облаке. В этом нет ничего удивительного, поскольку облачная инфраструктура, программное обеспечение и службы хранения предлагают несравненные преимущества по сравнению с традиционными центрами обработки данных или локальными реализациями.
В облаках много места!
Однако мы далеки от обещанного мира полностью облачных ИТ, и это связано с рисками безопасности облачных вычислений и проблемами, с которыми сталкиваются предприятия. Например, в недавнем отчете «В центре внимания облачной безопасности» говорится, что 90% предприятий сильно или умеренно обеспокоены безопасностью облачных систем.
Подумайте о потенциальных рисках простоев, кражи данных, инсайдерских атак, побочного ущерба из-за кибератаки на активы другой фирмы на общедоступном облачном сервере — риски, безусловно, реальны. И мы рассмотрим наиболее заметные из этих рисков в этой статье.
Кража данных из облачных систем
Риск кражи данных существует с тех пор, как появились данные. Так почему же служба облачных хранилищ особенно подвергается критике за риски кражи данных?
- Ну, во-первых, это потому, что облачные технологии хранения все еще новы и должны еще выдержать испытание временем. «Мир Юрского периода», «Знакомство с родителями 3», «Убить Билла» и так далее не выдержали проверку временем — эти фильмы были мертвы через минуту после того, как кто-то их посмотрел, но это уже другая тема!
- Кроме того, облачные технологии и системы поставщиков не слишком стандартизированы. Это создает несколько исправлений уязвимых областей с высокой степенью риска в ИТ-инфраструктуре предприятия, использующего более одной облачной технологии.
- В-третьих, поскольку большинство предприятий уже переместили свои данные в общедоступное облако, именно на этом сосредоточены киберпреступники!
- Кроме того, для большинства облачных служб хранения данных условия контракта возлагают значительную долю ответственности за управление данными и их обслуживание на компанию-покупателя, что создает неопределенность для предприятий, впервые отважившихся на облачные услуги.
Мы рекомендуем вам прочитать отчет Института Ponemon об «Атаке человека в облаке», чтобы лучше понять конкретные сценарии, которые создают риски кражи облачных данных. В отчете подчеркивается, что более 50% опрошенных корпоративных ИТ-специалистов считают, что их компании не имеют достаточной защиты от попыток кражи данных из облачных сред. Короче говоря, уникальные характеристики облачного хранилища данных также создают уникальные риски кражи данных, над снижением которых должны работать предприятие и поставщик.
Взлом аккаунта
Поскольку очень многие предприятия внедрили приложения модели SaaS, для огромного числа сотрудников стало обычным делом иметь несколько учетных записей, которые они используют для доступа к облачным приложениям. Именно поэтому взлом учетных записей стал основным направлением деятельности киберпреступников.
Взлом учетной записи означает, что хакеры могут украсть информацию для входа в учетную запись, а затем получить доступ и изменить данные, системные настройки и даже настройки безопасности приложения. Ошибки межсайтового скриптинга используются киберпреступниками для получения учетных данных для входа в учетную запись у сотрудников, поставщиков и клиентов.
Еще один относительно новый вид угрозы захвата учетной записи связан с использованием токенов проверки, используемых облачными платформами для аутентификации пользователей при входе в систему. Недавно стали известны инциденты, когда такие токены были украдены для доступа к учетным записям пользователей, что поставило под сомнение надежность безопасности учетных записей приложений SaaS.
Внутренние атаки
Опять же, точно так же, как кража данных была головной болью ИТ с незапамятных времен, инсайдерские атаки также представляют собой известный риск, который должен учитывать традиционный ИТ. Однако проблема, похоже, усугубилась из-за облачных архитектур корпоративных ИТ.
Поскольку сотрудники имеют доступ к приложениям, они могут по своему выбору или случайно использовать, извлекать или изменять важные данные или настройки. Даже случайный несанкционированный доступ к таким данным классифицируется как случай инсайдерской атаки. Благодаря делегированию управления приложениями в облако сотрудники могут даже запрашивать доступ к приложениям, которые им не нужны, не поднимая при этом особого беспокойства.
Локальные ИТ-отделы всегда обладали знанием местных условий и межличностных отношений, чтобы иметь возможность обнаруживать потенциальные внутренние атаки. Эта возможность, хотя и трудно поддающаяся количественной оценке, была утрачена с переходом на облачные системы.
Чтобы справиться с этой проблемой облачной безопасности, корпоративным ИТ-специалистам необходимо одобрить инструменты для управления доступом и идентификацией, а также проводить аудит и обновлять политики управления доступом к учетным записям.
Проблемы с гибридной облачной инфраструктурой
Мы кратко упомянули, что предприятия используют несколько облачных систем для управления своими ИТ-потребностями. За последние несколько лет появились гибридные облачные инфраструктуры, в которых предприятия выбирают сочетание решений, размещенных в общедоступном облаке (для рабочих нагрузок с низким и средним приоритетом) и в частном облаке (для критически важных рабочих нагрузок).
Хотя этот подход помогает предприятиям контролировать критически важные аспекты непрерывности бизнеса, он также создает уникальные проблемы безопасности в облаке.
- Например, при настройке гибридного облака предприятиям необходимо убедиться, что соблюдаются правила безопасности и конфиденциальности данных для данных, размещенных в частном облаке, а также во время процессов, в которых данные обмениваются с общедоступными облачными системами.
- Кроме того, предприятия не могут игнорировать тот факт, что гибридные облачные системы создают дополнительную сложность по сравнению с любой традиционной ИТ-инфраструктурой. Примерно так же сложно, как пытаться выяснить, как они провернули это в «11 друзей Оушена»! Этот фильм был настоящей загадкой!
- Это означает, что системным и сетевым администраторам приходится работать с более новыми API, сложными настройками конфигурации сети и разными интерфейсами.
Вы знаете это: информационная безопасность — это управление рисками. И все эти факторы вносят дополнительный риск.
Другие проблемы с безопасностью в облаке
Это не так — есть еще вопросы, такие как:
- Недостаточная надлежащая осмотрительность при оценке рисков и управлении ими из-за неясности в отношении обязанностей.
- Повышенная подверженность комплаенс-рискам, связанным с неправомерным использованием облачной инфраструктуры сотрудниками, например хранением пиратского или запрещенного контента.
- Риск стать жертвой DDoS-атак (распределенный отказ в обслуживании), которые на самом деле могут быть нацелены на поставщика облачных услуг или на одного из его клиентов, разделяющих с вами пространство на сервере.
- Общие уязвимости, возникающие в результате неправомерного использования служб облачного хранения или вредоносных сценариев, запускаемых одной из компаний, чьи данные и приложения размещены на том же общедоступном облачном сервере, что и вы.
Знайте риски
Идея этой части состоит в том, чтобы убедиться, что ИТ-менеджеры предприятий понимают уровень оценки рисков и снижения рисков, которые им необходимо предпринять, чтобы их миграция в облако стала залогом успеха, а не нарушением условий сделки, для их бизнеса.
У вас должен быть план. Никто не хочет идти в поход без палатки!