Рекомендации по безопасности IaaS, которым необходимо следовать

Следите за рекомендациями по безопасности IaaS, чтобы защитить свои данные.

Принятие решений в отношении безопасности инфраструктуры как услуги (IaaS) является сложной задачей из-за присущей системам IaaS сложности и, в некоторых случаях, отсутствия представления о том, как платформа IaaS защищает ваши ресурсы.

Если вы владелец бизнеса, менеджер или ИТ-специалист, это руководство по передовым методам обеспечения безопасности IaaS поможет вам обеспечить защиту ваших активов. Давайте рассмотрим риски безопасности, связанные с IaaS, прежде чем углубиться в наилучший подход к их минимизации.

Риски безопасности с IaaS

Несмотря на удобство, масштабируемость и низкие эксплуатационные расходы систем IaaS, они сопряжены с уникальными рисками безопасности, особенно потому, что вы должны доверить свои данные, вычисления и сеть внешнему поставщику услуг.

Но, в конце концов, многие риски безопасности, с которыми вы сталкиваетесь при использовании решения IaaS, аналогичны рискам, с которыми сталкивается любая вычислительная среда, подключенная к Интернету. Вот некоторые из основных рисков, о которых следует знать:

• Эксфильтрация данных . Когда вы используете решение IaaS, ваша система хранения бизнес-данных может быть подключена к Интернету, что дает хакерам возможность попытаться украсть конфиденциальную информацию. Хотя инциденты, связанные с данными, часто называют «утечками», на самом деле они часто происходят в результате сложных или продвинутых атак.

• Потеря данных . В отличие от кражи данных, потеря данных может произойти в результате злоумышленного действия или несчастного случая. Например, сотрудник, который не понимает ценности данных в системе, может удалить ценные файлы. В то же время злоумышленники также могут проникнуть в вашу систему и намеренно стереть информацию или взять ее в заложники в рамках атаки программ-вымогателей.

• Несанкционированный доступ . В отличие от традиционной среды, в которой у пользователей есть локальные компьютеры и устройства, доступ к настройке IaaS через Интернет может получить любой человек с правильными учетными данными. Это означает, что если все пользователи не будут соблюдать надлежащую кибергигиену, их учетные данные могут оказаться в руках злоумышленника, пытающегося проникнуть в систему.

• Внутренние атаки . Внутренние атаки обычно исходят от недовольных сотрудников или тех, кому заплатили в рамках схемы кибершпионажа. Однако иногда бывший сотрудник, у которого все еще есть учетные данные для доступа, может попасть в систему IaaS и вызвать проблемы. Удаляя привилегии доступа бывших сотрудников, вы можете предотвратить множество внутренних атак.

• Вредоносные программы и атаки типа «отказ в обслуживании» . Как и все серверные среды, решения IaaS могут быть уязвимы как для вредоносных программ, так и для атак типа «отказ в обслуживании». Но если у вашего провайдера есть межсетевые экраны нового поколения и системы обнаружения вторжений, они могут предотвратить многие подобные атаки.

Хорошая новость заключается в том, что ни одна из этих угроз не должна мешать вам использовать модель IaaS, особенно если вы применяете следующие рекомендации.

Лучшие практики безопасности IaaS

Несмотря на общий рост хакерской активности и типы угроз, которым организации подвергаются в последнее время, вы можете многое сделать для обеспечения безопасности своих систем. Когда дело доходит до решения IaaS, обеспечение надлежащей безопасности сводится к нескольким ключевым соображениям.

Знание модели безопасности IaaS вашего провайдера

Модель безопасности вашего поставщика IaaS — это ваша основная линия защиты. В некотором смысле среда IaaS очень похожа на любую другую ситуацию, когда вы доверяете удаленному объекту безопасность того, что вам дорого, будь то хранилище, банк или няня. Вы должны понимать, как они защищают вещи, которые являются важными элементами вашей жизни.

Вот некоторые инструменты и методологии безопасности, о которых можно узнать у поставщика IaaS:

• Какие системы используются для защиты интерфейсов протоколов приложений (API) от злоумышленников? API-интерфейсы доступны через Интернет, поэтому ваш провайдер должен точно указать, как они обеспечивают безопасность тех, которые контролируют вашу среду IaaS.

• Системы предотвращения вторжений (IPS) и системы обнаружения вторжений (IDS) должны лежать в основе решения безопасности IaaS. Ваш провайдер должен не только иметь системы, которые блокируют угрозы, но и использовать решения для мониторинга сети, которые могут обнаруживать подозрительную активность.

• Некоторые поставщики IaaS используют сегментацию сети для применения индивидуальных решений безопасности к определенным частям вашей облачной среды. Например, они могут отделить одну область вашей сети с помощью брандмауэра, в то время как другой брандмауэр защищает вашу общую инфраструктуру. Это может быть полезно для предотвращения распространения угроз по вашей системе.

• Используются ли виртуальные брандмауэры для защиты определенных рабочих нагрузок? Ваш провайдер IaaS может предложить виртуальные брандмауэры, которые можно разместить перед критически важными бизнес-приложениями. Некоторым организациям это обеспечивает дополнительный уровень уверенности в защите наиболее важных рабочих нагрузок.

Поймите подход вашего провайдера к совместной ответственности

Независимо от инструментов, которыми располагает ваш поставщик IaaS, важно понимать, за какие элементы безопасности он отвечает, а какие ложатся на ваши плечи.

Например, некоторые провайдеры могут гарантировать безопасность ваших сохраненных данных, но многие не обещают, что используемые вами приложения будут защищены от взломов, особенно потому, что вы (клиент) предоставляете приложения, которые работают в экосистеме IaaS.

Но важно понимать, кто что должен защищать, и получить это в письменном виде, чтобы вы могли работать со своим поставщиком IaaS, чтобы обеспечить безопасность всех активов.

Настройте строгие протоколы доступа

Используя протоколы строгого доступа, вы значительно увеличиваете степень сложности для хакеров и, как следствие, резко сокращаете поверхность атаки.

Вы можете использовать некоторые из следующих подходов, чтобы снизить риск несанкционированного проникновения в вашу среду IaaS:

• Управление доступом на основе ролей (RBAC) ориентировано на предоставление доступа только тем людям, которым этот сегмент вашей сети нужен для выполнения их работы. Например, специалисту по бухгалтерскому учету, вероятно, не потребуется доступ к платформе веб-разработки, а программисту не потребуется доступ к базе данных информации о клиентах, если только он не создает приложение, которое ее использует. Чем меньше людей имеет доступ, тем меньше вероятность взлома вашей системы.

• Принципы безопасности с нулевым доверием предполагают, что каждый человек, приложение и сеть, пытающиеся получить доступ к вашей системе, представляют собой угрозу. Только после того, как они подтвердят свою личность, они допускаются в вашу сеть. Это означает, что даже сотрудники не будут иметь права повторно входить в сеансы, которые они завершили за несколько минут до этого, если только они не смогут повторно подтвердить свою личность.

• Многофакторная аутентификация заставляет пользователей предоставлять по крайней мере один дополнительный метод проверки своей личности, такой как сканирование отпечатка пальца или физического устройства, в дополнение к имени пользователя и паролю.

Шифрование данных в состоянии покоя

Шифруя данные в состоянии покоя, вы поддерживаете их целостность, а также защищаете системы, которые могут использовать их в будущем. У большинства поставщиков IaaS шифрование данных является нормой.

Вот как это работает:

1. Ваш поставщик инфраструктуры как услуги использует алгоритм для шифрования ваших данных, превращая их в заданное количество символов.

2. Только системы, с которыми ваши компоненты хранилища Инфраструктура как услуга используют общий ключ, могут расшифровывать символы и делать их читабельными.

3. Алгоритмы шифрования предназначены для того, чтобы кто-то не смог выяснить систему шифрования, даже если у него есть исходный файл и его зашифрованная форма.

В результате, если кто-то проникнет в вашу систему и получит доступ к облачному хранилищу вашего провайдера, он не сможет прочитать данные, которые пытался испортить или украсть.

Протоколы регулярного мониторинга и инвентаризация

Регулярно отслеживая свои облачные ресурсы, вы и ваш поставщик инфраструктуры как услуги можете обнаруживать сетевые аномалии, свидетельствующие о вредоносной активности. Выявление проблем на ранних этапах их жизненного цикла предотвращает их раздувание до серьезных перерывов в работе.

Например, система мониторинга сети может определить, когда из вашей сети внезапно начинает выходить большой объем данных. В некоторых ситуациях это может быть признаком того, что внешний злоумышленник крадет информацию или кто-то внутри отправляет данные злоумышленнику, с которым они сотрудничают. Имея систему мониторинга, вы можете поймать эту активность и немедленно положить ей конец.

Инвентаризация, с точки зрения поставщика инфраструктуры как услуги, относится к виртуальным машинам и рабочим нагрузкам, за которые они отвечают. Отслеживая свои ресурсы IaaS, вы можете:

• Узнайте, как ваши самые ресурсоемкие рабочие нагрузки обрабатываются вашими облачными ресурсами

• Внесите коррективы и запросите дополнительные ресурсы, если это необходимо

• Предотвратите перегрузку сетевого актива, что может привести к уязвимостям

Последовательное исправление

Когда вы постоянно исправляете операционные системы (ОС) и программное обеспечение, которое используете вместе со своей средой IaaS, вы значительно усложняете жизнь хакерам, ищущим легкие плоды.

Например, некоторые злоумышленники попытаются воспользоваться уязвимостями, которые поставщики программного обеспечения уже устранили в последнем выпуске. Просто установив бесплатный патч, вы отсекаете этих злоумышленников на проходе.

Это одна из обязанностей, которую вам, возможно, придется взять на себя, особенно потому, что именно вы решаете, какое программное обеспечение запускать в вашей облачной среде. К счастью, исправление часто выполняется быстро и легко, и если вы когда-либо беспокоились о проблемах совместимости, быстрый разговор с вашим поставщиком программного обеспечения или ОС может вас успокоить.