Что такое безопасность облачных вычислений?
- Глоссарий IAM
- Что такое безопасность облачных вычислений?
Безопасность облачных вычислений, также называемая облачной безопасностью, — это обобщенный термин, относящийся к технологиям, процессам и элементам контроля, используемым для защиты облачных инфраструктур, служб и приложений, а также данных, хранящихся или обрабатываемых в облаке.
Что такое облачные вычисления?
Прежде чем углубляться в специфику облачной безопасности, мы должны сначала понять, что такое облачные вычисления.
В традиционной среде данных организация владеет и управляет собственным серверным оборудованием и другой инфраструктурой либо на месте, либо в центре обработки данных (называемым «частным облаком»). Это означает, что организация несет ответственность за настройку, обслуживание и обеспечение безопасности всего, включая серверы и другое оборудование.
В среде облачных вычислений организация фактически «арендует» облачную инфраструктуру у поставщика облачных услуг. Поставщик облачных услуг владеет и управляет центром обработки данных, всеми серверами и другим оборудованием, а также всей базовой инфраструктурой, такой как подводные кабели. Это освобождает организацию от необходимости поддерживать и защищать облачную инфраструктуру и предоставляет множество других преимуществ, таких как простая масштабируемость и модели ценообразования с оплатой по мере использования.
Не все услуги облачных вычислений одинаковы. Существует три основных типа облачных услуг, и современные организации обычно используют их все в сочетании:
Программное обеспечение как услуга (SaaS) – наиболее распространенный тип облачных услуг. Практически все используют SaaS-приложения, даже если и не знают об этом. Продукт SaaS, поставляется через Интернет и доступен через мобильное приложение, настольное приложение или веб-браузер. Приложения SaaS включают в себя все: от приложений потребительского уровня, таких как Gmail и Netflix, до бизнес-решений, таких как Salesforce и офисный пакет Google Workspace.
Инфраструктура как услуга (IaaS) – это облачная услуга, предназначенная в первую очередь для организаций, хотя некоторые технические энтузиасты могут приобретать услугу IaaS для личного использования. Поставщик облачных услуг предоставляет инфраструктурные услуги, такие как серверы, хранилища, сети и виртуализация, в то время как клиент управляет операционной системой и любыми данными, приложениями, промежуточным программным обеспечением и средами выполнения. Когда люди говорят об «общедоступном облаке», они обычно имеют в виду IaaS. Примеры поставщиков общедоступных облаков включают в себя крупнейшую тройку в отрасли: Amazon Web Services (AWS), Google Cloud Platform (GCP) и Microsoft Entra ID (Azure).
Платформа как услуга (PaaS) предназначена исключительно для разработчиков. Клиент заботится о приложениях и данных, а поставщик облачных услуг занимается всем остальным, включая операционную систему, промежуточное ПО и среду выполнения. Другими словами, решения PaaS предоставляют разработчикам готовую среду, в которой они могут создавать, развертывать и управлять приложениями, не беспокоясь об обновлении операционной системы или программного обеспечения. Примеры PaaS включают AWS Elastic Beanstalk, Heroku и Google App Engine. Как правило, PaaS используется в сочетании с IaaS. Например, компания может использовать AWS для хостинга и AWS Elastic Beanstalk для разработки приложений.
Понимание того, за что отвечает поставщик облачных услуг и за что несет ответственность клиент облачных услуг, является ключом к пониманию безопасности облачных вычислений.
Что такое облачная безопасность?
Облачная безопасность основана на так называемой модели долевой ответственности. В этой модели:
- Поставщик облачных услуг отвечает за безопасность облака, то есть за свой физический центр обработки данных, другие активы, такие как подводные кабели, и логическую облачную инфраструктуру.
- Ваша организация несет ответственность за безопасность в облаке, то есть за приложения, системы и данные, которые вы размещаете в облаке.
Приведем аналогию с арендой ячейки камеры хранения. Вы несете ответственность за сохранность вещей в своей ячейки, для чего вы должны запирать ячейку на ключ и хранить этот ключ в безопасном месте. Компания, владеющая камерой хранения, отвечает за безопасность всего комплекса с помощью средств контроля, таких как видеокамеры, достаточное освещение в местах общего пользования и охранники. Поставщик услуги хранения несет ответственность за безопасность всей камеры хранения, но вы несете ответственность за безопасность в своей ячейке.
Как работает облачная безопасность?
Говорим ли мы о приложении SaaS, развертывании IaaS (общедоступное облако) или платформе для разработчиков PaaS, облачная безопасность в значительной степени основана на управлении идентификацией и доступом (IAM) и предотвращении потери данных (DLP); другими словами, на предотвращении доступа неавторизованных лиц к вашему облачному сервису и вашим данным.
Применительно к нашему примеру с камерой хранения: если вы оставляете ключ от своей ячейки без присмотра, а кто-то крадет его и использует для доступа к вашей ячейке, то владелец камеры хранения не виноват, а виноваты вы. Точно так же, если вы используете ненадежный, легко угадываемый пароль для защиты своей учетной записи Gmail или консоли администратора GCP, а злоумышленник скомпрометирует его, ответственность за нарушение безопасности несете вы, а не Google.
Помимо предотвращения несанкционированного доступа и кражи данных, облачная безопасность также направлена на предотвращение случайной потери или повреждения данных в результате человеческой ошибки или небрежности, на обеспечение восстановления данных в случае потери данных и соблюдение законов о конфиденциальности пользователей, таких как HIPAA, запрещающий несанкционированный доступ к личным медицинским записям. Облачная безопасность имеет основополагающее значение для реагирования на инциденты безопасности, аварийного восстановления и планирования непрерывности бизнеса.
Общераспространенные меры облачной безопасности включают:
- Элементы управления IAM, такие как управление доступом на основе ролей (RBAC) и доступ с наименьшими привилегиями, что означает, что сотрудники имеют доступ только к тем приложениям и данным, которые им необходимы для выполнения их работы, и не более
- Инструменты защиты от потери данных, которые идентифицируют конфиденциальные данные, классифицируют их, отслеживают их использование и предотвращают неправомерное использование данных, например не позволяют конечным пользователям делиться конфиденциальной информацией за пределами корпоративных бизнес-сетей.
- Шифрование данных как при передаче, так и при хранении
- Безопасная конфигурация и обслуживание системы
Существуют ли риски, связанные с облачной безопасностью?
Вот некоторые из самых больших проблем и рисков, связанных с облачной безопасностью.
- Облако создает значительно расширенную поверхность атаки без сетевого периметра. Одна из самых больших ошибок, которую совершают организации при переходе на облачное решение, заключается в том, что они думают, что могут просто перенести все свои текущие инструменты и политики безопасности. Хотя многие аспекты облачной безопасности отражают их локальные аналоги, защита облачной среды сильно отличается от защиты локального оборудования, поскольку облако не имеет определенного сетевого периметра.
- В облаке может отсутствовать видимость, особенно в современных очень сложных средах данных. Редко встречаются организации, использующие только одно общедоступное облако. Большинство организаций используют как минимум два общедоступных облака (называемых многооблачной средой) или объединяют общедоступные облака с локальной инфраструктурой (это называется гибридной облачной средой). К сожалению, каждая облачная среда поставляется со своими собственными инструментами мониторинга, что затрудняет ИТ-администраторам и персоналу DevOps получать общую картину того, что происходит в среде данных.
- Расползание рабочей нагрузки — еще одна проблема отсутствия видимости, даже для организаций, использующих только одно общедоступное облако. Виртуальные машины (ВМ) и контейнеры легко создаются, а это означает, что они могут очень быстро распространяться. Неиспользуемые виртуальные машины и контейнеры не только ставят под угрозу безопасность, но и увеличивают выставляемый вам счет за облачные услуги.
- Теневые ИТ или сотрудники, использующие приложения, не проверенные персоналом службы безопасности, являются еще одной проблемой облачных вычислений.
- Компании могут столкнуться с проблемами совместимости с устаревшими системами и программным обеспечением, особенно с устаревшими бизнес-приложениями, которые невозможно заменить или переделать для облака.
- Неправильные настройки облака также вызывают проблемы, такие как непреднамеренная установка общедоступной облачной папки, содержащей конфиденциальные данные.
Рекомендации по обеспечению безопасности облачных вычислений
Убедитесь, что вы полностью понимаете модель долевой ответственности и то, за что ваша организация несет ответственность, а за что нет. Это может показаться очевидным, но выяснить, кто за что отвечает, может быть непросто, особенно в гибридных средах.
Одним из преимуществ облачных вычислений является возможность доступа к ресурсам в любом месте и с любого устройства. Однако с точки зрения безопасности это означает, что нужно защитить больше конечных точек. Инструменты безопасности конечных точек и управления мобильными устройствами позволят вам применять политики доступа и развертывать решения для проверки доступа, брандмауэры, антивирусы, шифрование дисков и другие инструменты безопасности. Другие передовые практики облачных вычислений включают в себя:
- Шифрование всех данных, которые вы храните или обрабатываете в облаке, как при передаче, так и при хранении.
- Сканирование своей среды на наличие уязвимостей и максимально быстрое исправление обнаруженных ошибок.
- Регулярное резервное копирование данных на случай атак программ-вымогателей или аварии.
- Регистрация и отслеживание всей пользовательской и сетевой активности во всей своей среде данных.
- Очень тщательная настройка параметров своего облака. Хорошее эмпирическое правило заключается в том, что настройки по умолчанию редко когда являются подходящими или оптимальными для вас, так что вам следует их изменить. Максимально используйте настройки и инструменты безопасности своего поставщика облачных услуг и следите за новыми инструментами и улучшениями.
- Внедрение политики безопасности с нулевым доверием в сочетании с сегментацией сети и надежными инструментами управления идентификацией и доступом (IAM), включая доступ на основе ролей, доступ с наименьшими привилегиями, надежные пароли, одобрение устройств и многофакторную аутентификацию (MFA).