Видимость безопасности в облаке
Облака по своей природе… облачны. Что внутри них скрыто. Когда вы перемещаете свою ИТ-инфраструктуру, приложения и данные в общедоступное облако, у вас больше нет такой степени видимости их «внутренней работы», как в вашей локальной сети. Поскольку мы, как ИТ-администраторы, склонны иметь широкую полосу «помешательства на контроле» в нашей природе, это заставляет нас чувствовать себя некомфортно. Можно сказать, что у нас проблемы с доверием.
Однако нельзя отрицать, что облака — это путь в обозримом будущем, нравится нам это или нет. Облачные вычисления имеют преимущества в стоимости, преимущества в удобстве и даже преимущества в безопасности (наряду с некоторыми недостатками). Задача состоит в том, чтобы воспользоваться этими преимуществами и признать, что нам, возможно, придется отказаться от определенной степени видимости и контроля, в то же время научившись использовать доступные инструменты, которые помогут нам сохранить как можно больше и того, и другого., в пределах параметров этой новой среды.
Доверие имеет значение
Успешный перенос ваших ИТ-активов в облако начинается с выбора подходящего поставщика облачных услуг. Для большого числа организаций это означает, что один из технологических гигантов, названный Gartner в прошлогоднем считается лидером в области IaaS. Другими словами, Microsoft Azure или Amazon Web Service (AWS).
Есть несколько причин, по которым эти компании доминируют на рынке IaaS. Одна из важных причин заключается в том, что они известны покупателям; они существуют уже давно, они финансово устойчивы и вряд ли обанкротятся в ближайшее время, мы используем их программное обеспечение и / или услуги в течение многих лет — мы им, по крайней мере, в некоторых отношениях. и в какой-то степени.
Google Compute Engine также завоевал популярность благодаря некоторым уникальным предложениям, таким как скидки на постоянное использование, упреждающие виртуальные машины и общее хранилище. Однако в этой статье я буду говорить об Azure, так как это сервис IaaS, с которым я работал больше всего и лучше всего знаком.
Поставщики облачных услуг признают, что у многих организаций есть оговорки в отношении размещения ценных ресурсов и конфиденциальных данных в общедоступном облаке, что означает (в большинстве случаев) регулярное пересечение очень небезопасного Интернета. Поставщики предприняли шаги не только для повышения своей безопасности, но и для обеспечения видимости событий безопасности для своих клиентов, а также для того, чтобы быть более открытыми с информацией о своих мерах безопасности в своей документации и маркетинговых материалах.
Например, корпорация Майкрософт создала веб-сайт Центра управления безопасностью Майкрософт, над которым я имел возможность работать как специалист по безопасности. Центр управления безопасностью отвечает на наиболее часто задаваемые вопросы клиентов о том, что Microsoft делает для защиты ваших данных в облаке и для соблюдения нормативных и отраслевых требований безопасности, которые могут повлиять на вашу компанию. На сайте подробно рассказывается о том, как защищена каждая из его популярных облачных служб — от Azure до Visual Studio Team Service, используемых технологиях и механизмах (шифрование, аудит и ведение журналов, управление угрозами и т. д.), а также о соответствии сертификаты и подтверждения, на которые могут претендовать облачные службы Microsoft. На сайте также рассматриваются вопросы конфиденциальности (например, стандарты конфиденциальности компании и то, как они отвечают на запросы правительства), прозрачность в отношении того, где хранятся ваши данные и как они используются, методы и процессы безопасности (например, Red Teaming/тестирование на проникновение). ) и соответствующие новости и ресурсы для резервного копирования информации.
У AWS есть сайт безопасности, на котором документируется аналогичная информация об их платформе и процессах безопасности.
Управление вашим облаком
Приятно читать обо всех мерах, которые принимают провайдеры для защиты ваших активов от перехвата, несанкционированного доступа или потери, но им недостаточно сказать: «Мы позаботимся о безопасности, так что не Не беспокойтесь о своих хорошеньких головках. Мы ИТ-специалисты, поэтому, конечно, мы будем беспокоиться, если только не сможем получить представление о состоянии безопасности наших конкретных облачных ресурсов — нашего маленького кусочка этого облачного пирога.
Мы хотим знать о состоянии безопасности наших виртуальных машин, наших виртуальных сетей и наших приложений, которые работают в облаке. Мы хотим иметь возможность определять политики безопасности, отражающие уникальные потребности нашей компании в области безопасности. Мы хотим иметь возможность выявлять потенциальные и фактические уязвимости безопасности в наших виртуальных сетях и настраивать элементы управления, чтобы закрыть дыры. Нам нужны рекомендации о том, как лучше всего это сделать, и мы хотим иметь возможность развертывать сторонние решения для обеспечения безопасности с этой целью. Мы хотим получать оповещения, когда и в случае возникновения угрозы безопасности, такой как вредоносное ПО или атака грубой силы на наши виртуальные машины.
Хорошей новостью является то, что поставщики облачных услуг прислушиваются к пожеланиям клиентов и предоставляют инструменты, которые обеспечивают вам большую прозрачность и больший контроль над аспектами безопасности ваших облачных ресурсов.
Центр безопасности Microsoft Azure
В июле 2016 г. Microsoft выпустила Центр безопасности Azure (ASC) для общего доступа для клиентов после длительного периода предварительного просмотра, в течение которого он был протестирован некоторыми крупными компаниями. Версия GA также добавила несколько новых функций. Цель ASC — помочь клиентам Azure получить больше контроля над облачной безопасностью и лучше понять ее, а также быстро обнаруживать атаки и реагировать на них — и все это с одного централизованного портала.
Когда происходит атака, ASC предоставляет предупреждения, которые предоставляют вам информацию о связанных событиях и о том, какие из ваших облачных ресурсов затронуты. Затем он делает еще один шаг и предлагает, что вы можете сделать, чтобы исправить проблемы и восстановиться после атаки. Проблема, присущая любой системе обнаружения угроз, — ложные срабатывания. Никто не хочет тратить драгоценное время на реагирование на сообщения об угрозах только для того, чтобы узнать, что программное обеспечение «чрезмерно реагировало» и в конце концов никакой угрозы не существует (каким бы облегчением это ни было). Microsoft усердно работала, чтобы уменьшить количество ложных срабатываний, не упуская при этом «настоящего дела».
Некоторые из новых функций в выпуске GA включают интеграцию журналов, упрощающую передачу данных безопасности в популярные системы SIEM, такие как Splunk, уведомления по электронной почте о предупреждениях безопасности высокой степени серьезности и единое представление связанных предупреждений, которые помогают вам более широкая перспектива общей атаки и ее воздействия.
Существует также поддержка большего количества типов ресурсов. Microsoft стремится быть по-настоящему «инклюзивным», о чем свидетельствуют такие шаги, как предоставление программного обеспечения Office для мобильных устройств iOS и Android. Вы увидите другое проявление этого в Azure, где вы не ограничены виртуальными машинами Windows Server; на самом деле все больше виртуальных машин Azure работают под управлением Linux. ASC теперь поддерживает больше дистрибутивов, включая Red Hat, Ubuntu, Debian, CentOS и SUSE.
Что касается обнаруженных атак, исследователи безопасности Microsoft постоянно добавляют новые возможности. Ландшафт угроз постоянно меняется, и ASC спроектирован так, чтобы быть гибким и быстро реагировать на появление новых угроз. К счастью, у них есть доступ к большому количеству данных об угрозах, собранных по всему миру, как в их локальном корпоративном программном обеспечении, так и в их облачных сервисах. Это означает, что данные безопасности можно анализировать в сравнении с наборами данных из нескольких источников, а при обнаружении новых тенденций атак ASC может быстро обновлять свои алгоритмы. Непрерывный мониторинг и настройка обнаружения помогают обеспечить безопасность файлов Azure.
Если у вас есть разные ресурсы в облаке Azure с разными требованиями к безопасности, не беспокойтесь. ASC позволяет устанавливать политики безопасности для разных групп ресурсов. Эти политики управляют мониторингом и рекомендациями по безопасности.
Помимо настройки политик безопасности, предотвращения атак и обнаружения угроз, ASC упрощает развертывание решений для облачной безопасности от компаний-партнеров Microsoft, таких как брандмауэры следующего поколения (NGFW).
Вы можете узнать больше о Центре безопасности Azure на веб-сайте Microsoft Azure.
AWS CloudTrail
Amazon AWS идет немного другим путем. Их служба CloudTrail увеличивает вашу видимость инцидентов и действий, связанных с безопасностью, путем регистрации действий, предпринятых пользователями, и эту информацию можно сортировать различными способами. Решения партнеров, такие как Splunk, AlertLogic и Sumologic, интегрируются с файлами журналов CloudTrail и могут выполнять анализ безопасности.
В AWS Marketplace доступен ряд сторонних решений безопасности для управления угрозами и обнаружения вторжений в среде AWS, таких как Alert Logic’s Threat Manager для AWS, который отслеживает экземпляры EC2 для Windows и Linux и предоставляет вам обнаружение вторжений. Система (IDS), внутреннее и внешнее сканирование уязвимостей и возможности сканирования PCI с помощью модели Security-as-a-Service (SaaS).
Вы можете узнать больше о безопасности AWS на веб-сайте Amazon.
Заключительная мысль
Доверие жизненно важно для успеха любых отношений, включая отношения вашей компании с поставщиком облачных услуг. Мы доверяем, когда можем увидеть и убедиться, что процессы безопасности поставщика работают, а для этого требуется видимость этих процессов. Крупные облачные провайдеры осознают эту потребность и предоставляют клиентам больше информации и контроля над облачными ресурсами безопасности, и в этой статье мы представили обзор того, как Microsoft и Amazon делают это.