Современные вызовы и угрозы информационной безопасности публичных облачных решений и необходимые меры защиты

В статье рассмотрены проблемы безопасного использования публичных облачных сервисов. Рассказывается об угрозах информационной безопасности публичных облаков, основных требованиях корпоративных пользователей для перехода в публичное облако. Предложена схема разделения ответственности за обеспечение информационной безопасности между облачным провайдером и пользователем облачных услуг. Приведены основные меры защиты публичного облака на стороне провайдера, а также примеры сервисов ИБ для противодействия угрозам, находящимся в сфере ответственности пользователя.

Александр Васильевич Зубарев, кандидат технических наук, старший научный сотрудник, директор по информационной безопасности ООО «Техкомпания Хуавэй»
zubarev.alexander@huawei.com

Артур Владимирович Пярн, директор по облачным решениям ООО «Техкомпания Хуавэй»
pyarn.artur@huawei.com

За последний год, год всемирного погружения в Сеть и перехода на «удаленку», в России и за рубежом случилось несколько массовых сбоев в работе облачных провайдеров, а также произошел ряд критических утечек внутренней информации компаний, среди которых по открытым источникам можно выделить следующие эпизоды: T-Mobile, EsteeLauder, Keepnet Labs, CouchSurfing, Marriott, Nintendo, Blackbaud, EasyJet, Weibo, SolarWinds, FireEye и ряд других (за рубежом) и ОФД «Дримкас», Сбербанк, языковая школа SkyEng, «Билайн», программа «РЖД Бонус», паспортные данные проголосовавших за поправки в Конституцию, базы данных московских автомобилистов, Альфа-банка, ОТП и ХКФ, ОАО «РЖД», данных о пациентах, переболевших коронавирусом(в России).

По оценке экспертов Лаборатории Касперского, человеческие ошибки, спровоцированные с использованием методов социальной инженерии, – это основная причина утечек корпоративных данных из облаков (около 90 % случаев). То есть чаще всего корень проблем лежит вовсе не на стороне облачных провайдеров. Тем не менее, несмотря на обеспокоенность компаний целостностью и надежностью внешних облачных платформ, киберинциденты в этих средах, как раз наоборот, чаще происходят из-за внутренних причин. Так, лишь каждая десятая (11 %) утечка данных из облака стала возможной из-за тех или иных действий провайдера, в то время как треть всех киберинцидентов в облаке (31 % в России и 33 % в мире) произошла из-за доверчивости сотрудников компании, попавшихся на приемы социальной инженерии.

Все это привело к горячей полемике по теме облачной безопасности, и многими авторитетными экспертами отрасли поднимался вопрос: насколько безопасно хранить и обрабатывать данные в облаке?

Безусловно, наряду с ростом популярности облачных платформ и программного обеспечения по подписке из облака по модели SaaS возрастают и риски при использовании облачной инфраструктуры, так как компании начинают все активнее переносить в облака внутренние системы с коммерческой информацией и персональными данными пользователей.

В статье предложено структурировать основные риски, возникающие при использовании публичного облака, и методы работы с этими рисками, а также ответить на главный
вопрос: насколько это безопасно?

По данным Альянса по облачной безопасности (Cloud Security Alliance, CSA), за последний год можно выделить двенадцать основных угроз, характерных для публичного облака, и ряд критических вызовов для его потенциальных пользователей (рис. 1).

Среди основных угроз, представляющих наибольшую опасность, выделим потенциальную утечку или невосполнимую потерю данных, риски использования совместных ресурсов и потенциальные уязвимости облачной инфраструктуры. Озабоченность заказчиков рассматриваемой проблемой и их требования к безопасности публичного облака можно кратко сформулировать в следующих вопросах.

1. Как провайдер обеспечивает непрерывность обслуживания и какие меры предпринимает для предотвращения хакерских атак?
2. Каким образом достигается выполнение локальных нормативных актов в области информационной безопасности?
3. Как обеспечивается контроль управления облачной инфраструктурой и доступа к ней (идентификация и отработка рисков связанных с обеспечением безопасного доступа в облака для пользователей и обслуживающего персонала), а также как обеспечивается проверка и отслеживание операций администраторов публичного облачного провайдера?
4. Как обеспечивается защита данных пользователей облака, являющихся основным активом организаций? Как мы можем предотвратить утечку данных в облаке через внешний и внутренний персонал? Зашифрованы ли данные? Имеют ли облачные провайдеры доступ к данным клиентов?

Это лишь некоторые из характерных вопросов, связанных с безопасностью облачных услуг. И прежде чем организация сделает первый шаг в использовании облака, она должна иметь четкие ответы на эти вопросы, чтобы избежать проблем и репутационных рисков в будущем, вызванных использованием публичных облачных сервисов.

Одним из ключевых принципов обеспечения безопасности в облаке является понимание разделения ответственности пользователя облачных сервисов и облачного провайдера. Структура такого разделения для классического облачного провайдера изображена на рис. 2. И обоюдное понимание сторон, где заканчиваются возможности и ответственность провайдера и где обеспечение информационной безопасности находится целиком в зоне ответственности пользователя, является необходимым условием для того, чтобы ответить на вышеуказанные вопросы.

Как мы видим, облачный провайдер обеспечивает защиту инфраструктуры и сервисов на уровне самой платформы и каналов доступа к ней следующими мерами, которые нивелируют вышеуказанные основные риски и угрозы безопасности:

• обеспечение надежности системы разграничения доступа в облако и защита учетных записей (аккаунтов) пользователей облака от внешнего проникновения;
• шифрование данных пользователей;
• защита API облака, обнаружение (предотвращение) вторжений;
• контроль доступа в управляющие системы облака извне;
• идентификация и аутентификация;
• защита платформы от уязвимостей кода самой платформы и сведение к нулю эксплойтов в ней за счет установки патчей, повышающих безопасность системного программного обеспечения, используемого в архитектуре платформы и для реализации сервисов;
• контроль облачной платформы и управление ею со стороны администраторов и разработчиков с использованием специализированных технических средств и организационных мероприятий;
• антивирусная защита;
• регистрация и реагирование на инциденты информационной безопасности;
• обеспечение механизмов многоуровневого резервирования данных и сервисов с прозрачным SLA для предотвращения потери информации;
• защита технологий виртуализации при использовании общих физических ресурсов пользователями, а также обеспечение возможности использования пользователями выделенных физических ресурсов как для хранения данных, так и для вычислительных задач, если это потребуется;
• защита сетевого стека систем облака и публичных каналов связи доступа в облако;
• аттестация платформы и сертификация ее компонентов на соответствие требованиям законодательства в области информационной безопасности.

Вышеуказанные меры позволяют надежно защитить саму облачную платформу провайдера и средства доступа к ней от хакерских атак, а данные пользователей – от потери или хищения. Данными мерами также гарантируется непрерывность обслуживания клиентов при выходах из строя оборудования и компонентов системы, а также при попытках вмешательства извне в работу платформы. Этим же обеспечивается соответствие принципов работы платформы локальным нормативным правовым актам РФ, требованиям ФСТЭК России и ФСБ России, а также гарантируется использование оборудования и ПО, прошедшего необходимую оценку соответствия, в том числе в форме сертификации.

Формально, ответственность провайдера на этом заканчивается. В зоне ответственности пользователя лежат все его настройки, приложения и сервисы, которые он развернул поверх инфраструктуры провайдера. И если пользователь неправильно сконфигурировал сетевой доступ к своей инфраструктуре, намеренно открыл порты и не обеспечил защиту публичных интерфейсов и внешних приложений, имеющих доступ в Интернет, выбрал слабую аутентификацию пользователей облака, не использовал дополнительные средства защиты своей внутренний инфраструктуры, поставил «дырявый» софт, то это безусловная зона ответственности пользователя, так как провайдер не имеет доступа к инфраструктуре последнего и его возможности влиять на настройки облака.

На основе данных использования нашей облачной платформы по всему миру и на основе анализа открытых источников по произошедшим утечкам и проблемам, связанным с облаками, можно прийти к выводу, что в основе 95 % инцидентов, связанных с информационной безопасностью, лежат именно пренебрежение базовыми правилами безопасной настройки инфраструктуры и человеческие ошибки со стороны заказчика.

Тем не менее, даже если утечка данных произошла по вине пользователя, это наносит серьезный репутационный удар провайдеру и облачной индустрии в целом: так в общем информационном поле связываются понятия «публичное облако» = «проблемы». Поэтому, чтобы обеспечить всю полноту защиты данных и инфраструктуры пользователей в облаке и утвердительно ответить на вопросы о безопасности его использования, возникла необходимость в ИБ-сервисах для Облака 2.0, которые не только защищают саму облачную платформу на уровне провайдера, но и предоставляют удобный инструментарий по защите приложений и сред для пользователей, включающий в том числе «защиту от дурака» и готовые сервисы обеспечения информационной безопасности клиентских решений.

К ИБ-сервисам для Облака 2.0 можно отнести:

• защиту электронной почты и web-приложений (Web Application Firewall, WAF) пользователя;
• готовые сервисы предотвращения сетевых вторжений (Unified Threat Management, UTM) и Anti-DDoS;
• использование готовых шаблонов и политик защиты периметра сети;
• сервисы обеспечения безопасности СУБД;
• дополнительные уровни шифрования и, при необходимости, анонимизации данных;
• возможность использования закрытых периметров инфраструктуры в облаке и многие другие, которые могут применяться по разным сценариям: параллельно и одновременно, а также индивидуально.

Их главная особенность – поставка из единой платформы облака технологий защиты, их автоматическое развертывание, централизованное управление ими и поддержка необходимых сетевых функций, а также их адаптация по ситуации в режиме реального времени.

Поэтому, отвечая на главный из заданных нами ранее вопросов: безопасно ли пользоваться облаком? – следует понимать, что ответ на него зависит не только от того, сколь высок уровень безопасности самой облачной платформы, но и насколько безопасно она используется, то есть правильно ли вы применяете предоставленные инструменты (методы, средства, сервисы и технологии) по обеспечению безопасности в облаке.

К сожалению, в случае снижения входного порога для использования облачных сервисов, снижается и компетенция сотрудников, строящих
облачную инфраструктуру. Следовательно, возникает необходимость в более продвинутых облачных сервисах информационной безопасности для заказчика, которые даже «из
коробки» позволяют хотя бы минимально защитить инфраструктуру последнего, в том числе и от некорректных действий его же системного администратора.

По данным Huawei, количество инцидентов, связанных с информационной безопасностью в облаке, при правильной организации эшелонированной защиты на 60 % меньше, чем при использовании собственной инфраструтуры и ЦОД заказчика. Происходит это в том числе благодаря эксплуатации готовых инструментов информационной безопасности, стоимость аренды которых существенно ниже стоимости покупки частных решений. Кроме того, их можно использовать незамедлительно, не растягивая во времени процесс внедрения.

Таким образом, компетентное использование облачной инфраструктуры провайдера может быть не только столь же безопасным, как построение собственной инфраструктуры, но и способно существенно сократить количество и понизить уровень ИБ-рисков для заказчика при создании и эксплуатации информационных систем, а также положительно сказаться на таком показателе, как совокупная стоимость владения (TCO) инфраструктурой.

Журнал «Защита информации. INSIDE» № 5’2021