Безопасность в облаке: чьи данные и кто их защищает?

Некоторые компании не доверяют облаку. Их беспокоят такие важные аспекты, как безопасность данных, защита облачных систем. В то же время за утечку информации несут ответственность как провайдеры, так и пользователи. Рассмотрим подробнее, что такое облачная безопасность, как ее можно обеспечить, какие функции должен выполнять клиент, а какие поставщик услуг.

Безопасно ли хранение данных в облаке

Сегодня облачные технологии занимают центральное место в информационной структуре многих организаций. С их помощью бизнес обеспечивает доступ к данным, хранение информации, управление предприятием, обмен файлами. При этом вся информация размещается на удаленных серверах, которые принадлежат поставщикам услуг. Работа в облаке ведется через интернет и не требует самостоятельной установки ПО на оборудование клиента.

Для обеспечения безопасности в облачных сервисах провайдеры используют различные методы защиты, постоянно обновляют их. Чтобы сделать облако безопасным для пользователей, поставщики услуг защищают сетевую инфраструктуру, сами данные, онлайн-приложения и свое оборудование. Это значительно снижает вероятность возникновения угроз, включая кибер-атаки, взлом аккаунта, кражу информации, технологические сбои, несанкционированный доступ и т.д.

Но для обеспечения безопасности в процессе должны участвовать обе стороны. То есть и облачные провайдеры, и пользователи вне зависимости от статуса клиента – частное лицо или бизнес.

Что такое разделение ответственности

Использование облачных технологий предполагает разделение ответственности между провайдером и пользователем с учетом рабочей модели облачного сервера. С первого взгляда может показаться, что за все отвечает только поставщик услуг. Однако, несмотря на то, что данные хранятся на серверах провайдера, это не так.

Есть такие проблемы, которые возникают из-за действий клиента, и ответственность за их появление несет тоже он. Особенности разделения ответственности зависят от модели облачного сервера, а именно IaaS (Infrastructure as a Service), PaaS (Platform as a Service) или SaaS (Software as a Service).

Ответственность провайдера

Компания-провайдер в первую очередь отвечает за работу физической инфраструктуры облака, включая сети, хранилища, серверы, другое оборудование. Также поставщик несет ответственность за виртуализацию услуги, то есть создание и эксплуатацию виртуальных версий вычислительных ресурсов. К примеру, если клиент в результате отключения света потеряет доступ к данным, то это прямая ответственность провайдера. Или, если на сервере возникли перегрузки, уязвимость в инфраструктуре, то за это тоже отвечает поставщик.

Исходя из сказанного, компания-провайдер несет ответственность за следующие аспекты:

• Безопасность облачной инфраструктуры – сетей, сервера, услуг. Поставщик должен применять такие меры, как защита от DDoS-атак, использование систем обнаружения и межсетевых экранов, предотвращение возможных взломов.

• Физическая безопасность дата-центров – вся информация должна храниться в надежных дата-центрах уровня TIER II, которые оснащаются круглосуточным наблюдением, охраной периметра, пожарной безопасностью, многоуровневой системой доступа и т.д.

• Управление доступом — применяется принцип минимальных привилегий и ролевая модель доступа, для сотрудников провайдера — многофакторная аутентификация и системы управления привилегированным доступом.

• Шифрование информации – поставщик обеспечивает как шифрование и защиту данных на дисках, так и в процессе обмена файлами по сети.

• Мониторинг и реагирование на инциденты — надежные провайдеры используют технологии SIEM, применяют комплексную систему мониторинга SOC.

При работе с облаками БИТ.CLOUD выполняется автоматическое резервное копирование данных. Созданные копии хранятся на удаленных серверах компании-провайдера, что позволяет восстанавливать информацию в случае повреждения или потери исходных данных.

Виды ответственности в зависимости от облачной модели

Во многом меры ответственности напрямую зависят от того, какую модель облака клиент использует при работе. Существует три варианта – это IaaS, PaaS или SaaS:

1. IaaS (инфраструктура как услуга) – при работе с IaaS, когда в аренду берутся вычислительные ресурсы, провайдер отвечает за бесперебойную работу облачной платформы и физической инфраструктуры. Он обязан предпринимать меры для безопасности оборудования и хранилищ, защиты от уязвимостей. В зону ответственности клиента входит контроль своих приложений, настройка виртуальных сетей, шифрование информации, устранение уязвимостей. Пользователь должен самостоятельно обновлять антивирусник и выполнять резервное копирование данных.

2. PaaS (платформа как услуга) – при такой модели в аренду берется уже готовая облачная платформа, где клиент может самостоятельно разрабатывать, тестировать, запускать разные приложения и программы. Ответственность у провайдера та же, что и при Iaas. Дополнительно он должен обновлять антивирусное ПО, проводить мониторинг работы системы, контролировать учетки пользователей на предмет соответствия безопасным требованиям. Клиент занимается защитой файлов, разработкой, развертыванием и управлением приложениями. Так, пользователь отвечает за контроль доступа, шифрование, данные пользователей. Он самостоятельно должен вовремя выявлять уязвимости, реагировать на инциденты и устранять их. Также пользователь обязан проводить настройку среды PaaS с учетом текущих потребностей, в том числе проводить настройку сервисов и необходимых интеграций.

3. SaaS (программное обеспечение как услуга) – эта модель облака предполагает прямое предоставление ПО или приложения пользователю. Зона ответственности у провайдера при SaaS максимальная. Она включает все перечисленные выше обязанности, а также дополнительные. К ним относятся шифрование данных, устранение уязвимостей и ошибок, управление приложениями, обеспечение их производительности. Пользователю остается только контролировать доступ к ПО, корректно распределять права и проводить профилактические меры для безопасности и защиты данных. К примеру, обучать работников азам информационной безопасности, способам аутентификации.

Ответственность пользователя

На уровне учетных записей работников организации ответственность за утечку данных, несанкционированный доступ всегда лежит на пользователе. Провайдер не может обеспечить защиту информации, гарантировать безопасность, если клиент не устанавливает двухфакторную аутентификацию, использует простые пароли. В этом случае очень легко взломать учетку и проникнуть в облако. Кроме того, в зависимости от модели облачных технологий пользователь отвечает за:

• некорректную настройку прав доступа среди своих работников;

• управление своими приложениями в облаке, в том числе защиту кода;

• контроль прав доступа сотрудников к файлам и данным;

• резервное копирование информации;

• обновление антивирусника, контроль и мониторинг уязвимостей;

• маркировку данных, а также их классификацию согласно нормативным требованиям;

• использование при работе внутренних сетей (VPN);

• настройку ОС, виртуальных машин;

• обучение работников способам информационной безопасности.

Во избежание споров и недоразумений важно, чтобы между поставщиком услуги и клиентом были четно обозначены их обязанности. Прописать эти моменты можно в соглашении. К примеру, можно уточнить, какие именно данные подлежат шифрованию, кто должен настраивать инструменты для защиты информации и т.д.

Как работает защита данных в облаке

Для обеспечения безопасности облачных сервисов необходимо предпринимать комплекс мер по защите виртуальной среды. В том числе это шифрование данных, настройка файрволов, управление политиками IAM. Использование всех этих и других стратегий позволяет пользователям защитить свою облачную инфраструктуру от потенциальных угроз, несанкционированного доступа, хакерских атак.

Компании-провайдеры для безопасной работы в облаке кроме своих внутренних методов и многоуровневой отказоустойчивости применяет некоторые другие способы. К примеру, это:

• проведение проверки антивирусником хранимых файлов и данных, а также вновь загружаемых;

• поддержка и внедрение различных технологий защиты от фишинга, включая WebAuthN и FIDO2;

• выявление скомпрометированных и/или слабых паролей с отправкой пользователям уведомлений о необходимости смены паролей;

• использование технологии Anti Brute Force, которая блокирует атаки для подбора паролей;

• контроль и блокировка подозрительных попыток входа с уведомлением о них пользователей и т.д.

Как обеспечить безопасность облачных хранилищ

Обеспечить безопасность облака пользователь может несколькими способами. Разберем основные из них:

• Выбор надежного поставщика услуг – при выборе проверенного провайдера учитывайте репутацию компании, опыт работы на рынке, отзывы клиентов. Важно уточнить, какие методы использует поставщик для безопасности и защиты данных, соответствуют ли его способы работы принятым стандартам и нормам, в каком режиме работает техподдержка и т.д. Преимуществом является размещение серверов в надежных дата-центрах с полным соответствием требованиям TIER III.

• Проанализируйте свои обязанности, которые обеспечивают безопасность облачных хранилищ – важно четко понимать, кто и за что отвечает, какие шаги предпринимает провайдер и клиент для защиты данных. К примеру, пользователь должен использовать многофакторную аутентификацию и установить ее для всех учетных записей, корректно разделить права доступа между сотрудниками с учетом обязанностей и ролей, регулярно выполнять аудит учеток, удалять неактивные записи, обновлять права доступа.

• Шифрование данных – важно обеспечить шифрование при хранении файлов, обмене данными.

• Контроль доступа и управление идентификацией – помогают предотвратить несанкционированный доступ к информации.

• Регулярные проверки – проведение плановых аудитов позволяет предупредить потенциальные уязвимости и вовремя устранить их. Меры включают обзор контроля доступа, планов реагирования, стандартов шифрования.

• Использование безопасных API – важно при передаче данных, поскольку повышает безопасность обмена информацией, защищает от кражи файлов.

Как выбрать надежное облачное решение

Мы предоставляем услугу размещения в облаке уже приобретенного лицензионного обеспечения, организации облачной инфраструктуры с дальнейшим администрированием.

Если вас заинтересовали наши услуги или остались вопросы, звоните нам или пишите через форму обратной связи на сайте. Мы будем рады проконсультировать вас, оформить договоры ИТС, настроить необходимую конфигурацию 1С и обеспечить комфортную работу из любой точки мира.

Оставить заявку на консультацию