Какая служба облака занимается вопросами обеспечения безопасности облачных вычислений

Обновлено: 05.07.2024

Рассмотрены вопросы безопасности облачных хранилищ. Исследованы способы как сервис-провайдер обеспечивает сохранность хранимых данных, как провайдер обеспечивает сохранность данных при передаче и как провайдер узнает подлинность клиента. Проведен теоретический анализ на тему будущее облачной безопасности. Предоставлена сводка по исследованию безопасности облачных сервисов.

А nnotation

Questions of security of cloud storage. Investigated ways as a service provider ensures the safety of stored data, as the provider provides data transmission and how the provider will know the client is authenticated. The theoretical analysis on the future of cloud security.

Provided a summary of the study of the security of cloud services.

Введение

На компьютере мы храним важные файлы, которые нам необходимы для работы, учебы, а также в иных сферах деятельности. Следует иметь в виду, что операционная система работает в среднем 1-3 года и мы не всегда готовы потерять столь нужные нам документы.

Есть еще одна проблема.

Люди сталкиваются еще с одной проблемой.

Не всегда хватает памяти жесткого диска на вашем компьютере, а файл необходимо сохранить на своем компьютере.

Целью научной работы является сравнительный анализ облачных хранилищ.

Для достижения поставленной цели необходимо решить следующие задачи:

Сравнить несколько хранилищ: Google Drive , OneDrive , Dropbox , Mega , Copy

Безопасность облачных вычислений

Компании, которые задумываются о переходе к облачным вычислениям ( cloudcomputing ), больше всего волнует вопрос безопасности. Но далеко не все знают, что при профессиональном подходе к выбору провайдера облачных услуг существует возможность повысить уровень защиты своих данных. Как выясняется на практике, зачастую провайдер предоставляет более высокий уровень безопасности, чем тот, который компании могут обеспечить внутри собственной инфраструктуры. Часто именно на гарантиях безопасности строится вся маркетинговая активность провайдера. Облачные вычисления несут в себе множество новых рисков для потенциальных пользователей.

Перед тем как довериться определенному провайдеру, компании стоит удостовериться в том, что он действительно обладает средствами для обеспечения уровня надежности, необходимого для безопасной работы с приложениями и хранения данных в облаке. К счастью, возрастающая конкуренция на рынке облачных сервисов заставляет игроков предлагать большие возможности и во многих случаях более гибкий контроль, чем готовы предоставить организациям их собственные ИТ-инфраструктуры. Но прежде чем погрузиться в cloudcomputing , клиенту необходимо определить полный список требований к вычислительной платформе, включая и уровень безопасности.. Для того, чтобы не ошибиться в выборе, крайне важно знать, какие именно вопросы задавать и что именно искать в ответах провайдера.

На сегодняшний день лучшим экспертом в сфере облачной безопасности является CloudSecurityAlliance ( CSA ). Эта организация выпустила и недавно обновила руководство, включающее описание сотни нюансов и рекомендаций, которые необходимо принимать во внимание при оценке рисков в облачных вычислениях.

Приведенные ниже пункты являются ключевыми вопросами, которые стоит задать провайдеру, облачными услугами которого вы планируете пользоваться. Каждый вопрос касается одной из шести специфических областей.

Сохранность хранимых данных. Как сервис-провайдер обеспечивает сохранность хранимых данных?

Лучшая мера по защите расположенных в хранилище данных – использование технологий шифрования. Провайдер всегда должен шифровать хранящуюся на своих серверах информацию клиента для предотвращения случаев неправомерного доступа. Провайдер также должен безвозвратно удалять данные тогда, когда они больше не нужны и не потребуются в будущем.

Защита данных при передаче. Как провайдер обеспечивает сохранность данных при их передаче (внутри облака и на пути от/к облаку)?

Аутентификация. Как провайдер узнает подлинность клиента?

Наиболее распространенным способом аутентификации является защита паролем. Однако провайдеры, стремящиеся предложить своим клиентам более высокую надежность, прибегают к помощи более мощных средств, таких как сертификаты и токены. Наряду с использованием более надежных к взлому средств аутентификации провайдеры должны иметь возможность работы с такими стандартами как LDAP и SAML . Это необходимо для обеспечения взаимодействия провайдера с системой идентификации пользователей клиента при авторизации и определении выдаваемых пользователю полномочий. Худший вариант – когда клиент предоставляет провайдеру конкретный список авторизованных пользователей. Как правило, в этом случае при увольнении сотрудника или его перемещении на другую должность могут возникнуть сложности.

Будущее облачной безопасности

Несмотря на то, что сегодня мы имеем значительно более широкий набор инструментов для обеспечения безопасности, чем прежде, работа далеко не окончена. В некоторых случаях для вывода на рынок той или иной технологии, помогающей решить новую задачу, проходит некоторое время, даже несмотря на то, что она уже разработана. Вот некоторые из таких новейших технологий: данные со встроенной защитой (самозащищенные данные) и доверенные мониторы.

Самозащищенные данные ( self - protecteddata ) – это зашифрованные данные, в которые интегрирован механизм обеспечения безопасности. Такой механизм включает в себя набор правил, которым может или не может удовлетворять среда, в которой находятся самозащищенные данные. При попытке доступа к этим данным, механизм проверяет среду на безопасность и раскрывает их, только если среда является безопасной.

За последние годы пользователи компьютеров все меньше сохраняют на своих жестких дисках то, что можно сохранить в сети – тексты, фото, видео, а из двух одинаковых программ выбирают ту, которую не надо инсталлировать на компьютер, а можно использовать онлайн.

Основные преимущества, которые могут дать облачные технологии колледжам: будущая экономия средств на приобретение ПО (использование технологии Office Web Apps); cнижение потребности в помещениях; выполнение многих видов учебной работы, контроля и оценки online; экономия средств на оплату технических специалистов в колледжах; экономия дискового пространства; открытость образовательной среды для учителей и для учащихся.

Облачные технологии дают возможность студентам взаимодействовать и вести совместную работу с непрерывно расширяющимся кругом сверстников независимо от их местоположения. Данные технологии доставляют учебные материалы наиболее экономичным и надежным способом, отличаясь простотой распространения и обновления. Именно облачные технологии позволят знанию преодолеть существующие барьеры: географические, технологические, социальные.

Внедрение облачных технологий не только снизит затраты на приобретение необходимого программного обеспечения, повысит качество и эффективность образовательного процесса, но и подготовит студента к жизни в современном информационном обществе

В данной статье я попытался подробно рассмотреть доступные средства безопасности 5 популярных провайдеров облачного хранения данных, таких как Google Drive, OneDrive, Dropbox, Copy и Mega. Что касается безопасности, у всех у них есть собственные и особые предложения. Теперь давайте посмотрим какие же основные средства безопасности предлагают эти сервисы.

Требование к надежности пароля: Google, Microsoft и Mega требуют использовать надежный пароль. Dropbox и Copy более гибкие в этом плане.

Требование верификации адреса электронной почты: Все сервисы рано или поздно требуют верифицировать свой электронный адрес.

Двухшаговая верификация: Google Drive, OneDrive и Dropbox предоставляют двухшаговую верификацию. Copy и Mega на данный момент не предоставляют такой опции.

Шифрование клиентской части: Только Mega предлагает шифрования клиентской части. Это осуществляется с устройства, с которого загружаются файлы.

Шифрование серверной части: Dropbox, Mega и Copy хранят ваши файлы на серверах в зашифрованном виде. Вы можете использовать локальное шифрование, чтобы избежать рисков.

Использование секретных вопросов для верификации пользователей: У Google Drive эта опция доступна. OneDrive, Dropbox, Copy и Mega на данный момент не используют секретный вопрос.

Из вышеуказанного становится ясно, что Google Drive предоставляет почти все средства безопасности, кроме шифрования. Microsoft OneDrive и Dropbox идут следом за ним. Mega предоставляет такое сложное средство безопасности, как шифрование, но на сервисе отсутствует двухшаговая верификация. Copy необходимо поработать над тем, чтобы превратить прекрасное облачное хранилище в более безопасную среду с помощью двухшаговой верификации, требования к надежности пароля и других инновационных систем безопасности.

Надеюсь, что эта статья оказалась полезной вам при поиске провайдера безопасного облачного хранения данных.

Безопасность облачных вычислений или, проще говоря, безопасность облачных вычислений относится к широкому набору политик, технологий, приложений и средств управления, используемых для защиты виртуализированных IP-адресов, данных, приложений, услуг и связанной с ними инфраструктуры облачных вычислений . Это поддомен компьютерной безопасности , сетевой безопасности и, в более широком смысле, информационной безопасности .

Содержание

Облачные вычисления и хранилище предоставляют пользователям возможность хранить и обрабатывать свои данные в сторонних центрах обработки данных . [1] Организации используют облако в различных моделях обслуживания (с такими сокращениями, как SaaS , PaaS и IaaS ) и моделях развертывания ( частных , общедоступных , гибридных и общественных ). [2] Проблемы безопасности, связанные с облачными вычислениями, делятся на две широкие категории: проблемы безопасности, с которыми сталкиваются облачные провайдеры (организации, предоставляющие программное обеспечение , платформу илиинфраструктура как услуга через облако) и проблемы безопасности, с которыми сталкиваются их клиенты (компании или организации, которые размещают приложения или хранят данные в облаке). [3] Однако ответственность разделяется. Поставщик должен обеспечить безопасность своей инфраструктуры и данные и приложения своих клиентов, в то время как пользователь должен принять меры по усилению своего приложения и использовать надежные пароли и меры аутентификации.

Когда организация решает хранить данные или размещать приложения в общедоступном облаке, она теряет возможность иметь физический доступ к серверам, на которых размещена ее информация. В результате потенциально конфиденциальные данные подвергаются риску внутренних атак. Согласно отчету Cloud Security Alliance за 2010 год, внутренние атаки являются одной из семи крупнейших угроз облачных вычислений. [4] Таким образом, поставщики облачных услуг должны обеспечить тщательную проверку данных сотрудников, имеющих физический доступ к серверам в центре обработки данных. Кроме того, центры обработки данных необходимо часто проверять на предмет подозрительной активности.

Архитектура облачной безопасности эффективна только при наличии правильных защитных реализаций. Эффективная архитектура облачной безопасности должна распознавать проблемы, которые могут возникнуть при управлении безопасностью. [8] Управление безопасностью решает эти проблемы с помощью мер безопасности. Эти средства управления используются для защиты любых слабых мест в системе и уменьшения эффекта атаки. Несмотря на то, что за архитектурой облачной безопасности существует множество типов элементов управления, их обычно можно найти в одной из следующих категорий: [8]

Сдерживающий контроль Эти элементы управления предназначены для уменьшения атак на облачную систему. Подобно предупреждающему знаку на заборе или собственности, средства сдерживания обычно снижают уровень угрозы, информируя потенциальных злоумышленников о том, что в случае их продолжения для них будут неблагоприятные последствия. (Некоторые считают их подмножеством превентивных мер контроля.) Профилактический контроль Превентивные меры укрепляют систему против инцидентов, как правило, уменьшая, если не фактически устраняя уязвимости. Например, строгая аутентификация облачных пользователей снижает вероятность того, что неавторизованные пользователи могут получить доступ к облачным системам, и более вероятно, что облачные пользователи будут точно идентифицированы. Детективный контроль Детективный контроль предназначен для обнаружения и надлежащего реагирования на любые происшествия. В случае нападения детективный контроль будет сигнализировать о профилактических или корректирующих мерах для решения проблемы. [8] Мониторинг безопасности системы и сети, включая механизмы обнаружения и предотвращения вторжений, обычно используются для обнаружения атак на облачные системы и поддерживающую инфраструктуру связи. Корректирующий контроль Корректирующие меры уменьшают последствия инцидента, как правило, путем ограничения ущерба. Они вступают в силу во время или после инцидента. Восстановление резервных копий системы для восстановления скомпрометированной системы является примером корректирующего контроля.

Обычно рекомендуется выбирать и внедрять средства управления информационной безопасностью в соответствии с рисками и соразмерно им, обычно путем оценки угроз, уязвимостей и воздействий. Проблемы облачной безопасности можно сгруппировать по-разному; Gartner назвал семь [9], а Cloud Security Alliance выявил двенадцать проблемных областей. [10] Брокеры безопасности доступа к облаку (CASB) - это программное обеспечение, которое находится между пользователями облака и облачными приложениями, чтобы обеспечить видимость использования облачных приложений, защиты данных и управления для мониторинга всей активности и обеспечения соблюдения политик безопасности. [11]

Сканирование и тестирование на проникновение изнутри или за пределами облака должно быть авторизовано поставщиком облака. Поскольку облако является общей средой с другими клиентами или арендаторами, пошаговое выполнение правил тестирования на проникновение является обязательным требованием. Нарушение политики допустимого использования может привести к прекращению предоставления услуги. [ необходима цитата ]

Конфиденциальность данных - это свойство, при котором содержимое данных не предоставляется или не раскрывается незаконным пользователям. Данные, переданные на аутсорсинг, хранятся в облаке и находятся вне прямого контроля владельцев. Только авторизованные пользователи могут получить доступ к конфиденциальным данным, в то время как другие, включая CSP, не должны получать никакой информации о данных. Между тем, владельцы данных рассчитывают полностью использовать облачные сервисы данных, например поиск данных, вычисление данных и совместное использование данных , без утечки содержимого данных к CSP или другим злоумышленникам.

Управляемость доступа означает, что владелец данных может выполнять выборочное ограничение доступа к своим данным, передаваемым в облако. Законные пользователи могут быть авторизованы владельцем для доступа к данным, в то время как другие не могут получить к ним доступ без разрешения. Кроме того, желательно обеспечить детальный контроль доступа к данным, переданным на аутсорсинг, т. Е. Разным пользователям должны быть предоставлены разные привилегии доступа в отношении разных частей данных. Авторизация доступа должна контролироваться только владельцем в ненадежных облачных средах.

Целостность данных требует поддержания и обеспечения точности и полноты данных. Владелец данных всегда ожидает, что его или его данные в облаке могут храниться правильно и надежно. Это означает, что данные не должны быть незаконно подделаны, ненадлежащим образом изменены, намеренно удалены или злонамеренно сфабрикованы. Если какие-либо нежелательные операции повреждают или удаляют данные, владелец должен иметь возможность обнаружить повреждение или потерю. Кроме того, когда часть данных, переданных на аутсорсинг, повреждена или потеряна, пользователи данных все равно могут их восстановить.

Некоторые передовые алгоритмы шифрования , примененные в облачных вычислениях, повышают защиту конфиденциальности. В практике, называемой крипто-шредингом , ключи можно просто удалить, когда данные больше не используются.

Шифрование на основе атрибутов - это тип шифрования с открытым ключом, в котором секретный ключ пользователя и зашифрованный текст зависят от атрибутов (например, страны, в которой он живет, или типа подписки, которую он имеет). В такой системе дешифрование зашифрованного текста возможно только в том случае, если набор атрибутов ключа пользователя совпадает с атрибутами зашифрованного текста.

В CP-ABE шифровальщик управляет стратегией доступа. Основная исследовательская работа CP-ABE сосредоточена на проектировании конструкции доступа. [15]

В KP-ABE наборы атрибутов используются для описания зашифрованных текстов, а закрытые ключи связаны с определенной политикой, которая будет использоваться пользователями. [16] [17] [18]

Полностью гомоморфное шифрование позволяет выполнять вычисления с зашифрованными данными, а также позволяет вычислять сумму и произведение для зашифрованных данных без дешифрования. [19]

Шифрование с возможностью поиска - это криптографическая система, которая предлагает функции безопасного поиска по зашифрованным данным. [20] [21] Схемы SE можно разделить на две категории: SE, основанные на криптографии с секретным (или симметричным) ключом, и SE, основанные на криптографии с открытым ключом. Чтобы повысить эффективность поиска, SE с симметричным ключом обычно создает индексы ключевых слов для ответа на запросы пользователей. Это имеет очевидный недостаток, заключающийся в предоставлении маршрутов мультимодального доступа для неавторизованного извлечения данных в обход алгоритма шифрования, подвергая структуру альтернативным параметрам в общей облачной среде. [22]

Многочисленные законы и постановления относятся к хранению и использованию данных. В США к ним относятся законы о конфиденциальности или защите данных, Стандарт безопасности данных индустрии платежных карт (PCI DSS), Закон о переносимости и подотчетности медицинского страхования (HIPAA), Закон Сарбейнса-Оксли , Федеральный закон об управлении информационной безопасностью 2002 года (FISMA). , а также Закон о защите конфиденциальности детей в Интернете от 1998 года. Подобные стандарты существуют и в других юрисдикциях, например, Сингапурский стандарт безопасности многоуровневого облака .

Подобные законы могут применяться в разных правовых юрисдикциях и могут значительно отличаться от тех, которые применяются в США. Пользователям облачных сервисов часто необходимо знать о юридических и нормативных различиях между юрисдикциями. Например, данные, хранящиеся у поставщика облачных услуг, могут быть расположены, скажем, в Сингапуре, а зеркальные копии - в США. [23]

Многие из этих правил предписывают определенные меры контроля (такие как строгий контроль доступа и контрольные журналы) и требуют регулярной отчетности. Заказчики облачных услуг должны гарантировать, что их поставщики облачных услуг должным образом выполняют такие требования, что позволяет им выполнять свои обязательства, поскольку в значительной степени они остаются подотчетными.

Непрерывность бизнеса и восстановление данных У поставщиков облачных услуг есть планы обеспечения непрерывности бизнеса и восстановления данных, чтобы гарантировать, что сервис может поддерживаться в случае аварии или чрезвычайной ситуации, и что любая потеря данных будет восстановлена. [24] Эти планы могут быть переданы их клиентам и рассмотрены ими, в идеале в соответствии с собственными договоренностями о непрерывности работы клиентов. Совместные упражнения на непрерывность могут быть уместны, например, имитируя серьезный сбой в сети Интернет или электроснабжение. Журнал и контрольный журнал Помимо создания журналов и аудиторских журналов , облачные провайдеры работают со своими клиентами, чтобы гарантировать, что эти журналы и аудиторские журналы должным образом защищены, поддерживаются столько, сколько требуется клиенту, и доступны для целей судебного расследования (например, eDiscovery ) . Уникальные требования соответствия В дополнение к требованиям, предъявляемым к клиентам, центры обработки данных, используемые поставщиками облачных услуг, также могут подчиняться требованиям соответствия. Использование поставщика облачных услуг (CSP) может вызвать дополнительные проблемы с безопасностью в отношении юрисдикции данных, поскольку данные клиентов или арендаторов могут не оставаться в той же системе, в том же центре обработки данных или даже в облаке того же поставщика. [25] Регламент GDPR Европейского Союза ввел новые требования соответствия для данных клиентов.

Помимо проблем безопасности и соответствия, перечисленных выше, поставщики облачных услуг и их клиенты будут согласовывать условия в отношении ответственности (с указанием, как будут разрешаться инциденты, связанные с потерей или компрометацией данных, например), интеллектуальной собственностью и прекращением обслуживания (когда данные и заявки в конечном итоге возвращаются заказчику). Кроме того, существуют соображения относительно получения данных из облака, которые могут быть вовлечены в судебные разбирательства. [26] Эти вопросы обсуждаются в соглашениях об уровне обслуживания (SLA).

Юридические вопросы могут также включать требования к ведению документации в государственном секторе , где многие агентства по закону обязаны хранить и предоставлять электронные записи определенным образом. Это может быть определено законодательством, или закон может требовать от агентств соблюдения правил и практик, установленных агентством по ведению документации. Государственные учреждения, использующие облачные вычисления и хранилище, должны учитывать эти опасения.

Хотели принять участие в вебинаре КРОК Облачные сервисы, но не нашли времени? Специально для таких случаев вводим новую рубрику в корпоративного блоге - материалы по мотивам наших онлайн-мероприятий. Первый из них - рассказ про особенности проведения аудитов в облачной среде.

О спикере
План вебинара
Преимущества облачных технологий
Зачем владельцу бизнеса облака?
Гарантии безопасности облачных платформ
Проблемы при миграции приложений в облако
Аудит безопасности облачных приложений
Новые угрозы
Обеспечение защищенности
Выводы
Вопросы и ответы
Запись вебинара

анализом защищенности приложений, в т. ч. веб-приложений;
собственно пентестами;
анализом инфраструктуры;
применением методов социальной инженерии и сопутствующими задачами.

Сегодня мы поговорим о том, с чем владельцы сервисов сталкиваются при миграции инфраструктуры (приложений, сервисов) в облако.

Также остановимся на том, как мы, пентестеры, реагируем на особенности работы приложений в облаках. Эта тема актуальна для тех, кто когда-либо сталкивался с аудитом в работе или хочет получить такую информацию для общего понимания. Следует знать, что пентест в облаке и в инфраструктуре заказчика очень сильно отличаются.

Обсудим мы и новые способы защиты в облаках. В конце подведем краткие итоги.

Преимущества облачных технологий

Почему будущее за облачными технологиями и почему уже сейчас множество приложений и сервисов переносят в облака? Это гибко, надежно и дешево.

Во-вторых, появляются новые инструменты управления. Они намного проще имеющихся инструментов, которые требуют обучения, опыта работы с ними, опыта конфигурации. О конфигурации облачных технологий и прочих средств мы поговорим отдельно.

В-четвертых, преимущество в удобстве масштабируемости — как бизнеса в целом, так и отдельных приложений и сервисов.

Зачем владельцу бизнеса облака?

Облака используют для:

хранения данных (Dropbox, Mega и пр.);
аренды мощностей, хостинга для сайтов, программ и т. д;
управления бизнесом (платформы документооборота: Windows Live, G Suite).

Каждая модель работы с облаками предполагает свои угрозы, историю компрометации и различные случаи, о которых поговорим ниже.

Гарантии безопасности облачных платформ

Что хорошего в облачных платформах с точки зрения безопасности?

Облачные платформы смягчают часть рисков:

Причина — удобный интерфейс облака. В отдельных случаях конфигурацию можно настроить по кнопкам, что позволяет сразу применять лучшие практики. Это удобнее, ведь не каждый администратор знает все тонкости работы с облаками. Разумеется, в облаке есть своя конфигурация, которая может на первый взгляд показаться незамысловатой, однако невнимательный подход к ней чреват последствиями.

Это улучшает точность, мощность и надежность приложений, а также их защищенность от угроз безопасности (DDoS-атак, ботов, большого трафика клиентов).

Большинство облачных провайдеров по умолчанию предоставляют сервисы для борьбы с DDoS-атаками.

Облачные сервисы часто предоставляют защиту от ботов, например, с помощью активации капчи (в частности, для ограничения парсинга данных в приложениях для продажи билетов).

Теперь поговорим подробнее об облачной безопасности — о том, с чем сталкивались мы как специалисты, и о чем стоит задуматься владельцам облачных сервисов.

Проблемы при миграции приложений в облако

Что следует предусмотреть при миграции в облако?

Неизвестные механизмы администрирования

При миграции вы сталкиваетесь с новыми механизмами управления. Часто администраторы не понимают, как решать возникающие при этом проблемы.

Мы уже говорили о том, что сервер можно правильно настроить по кнопке, но из-за особенностей конфигурации можно ошибиться и здесь.

В качестве примера можно привести недавнюю утечку данных 100 млн пользователей банка Capital One, ущерб от которой был оценен более чем в 140 млн долларов. Причина только в том, что администратор облака неверно настроил доступы для различных IAM-ролей. Злоумышленник — сторонний подрядчик — смог получить доступ к этим данным и украсть их.

Нужно понимать, что вы не делегируете процесс обеспечения безопасности в облаке, но делегируете процесс поддержания работоспособности серверов. В этом есть свои плюсы и минусы.

Обновление ПО после миграции

Поможет развертывание тестовых стендов, но при этом, к сожалению, нельзя рассчитывать на полноценное изучение поведения нагрузки в рабочей среде. Например, если появляется набор инстансов приложения, их работа в новой облачной инфраструктуре может отличаться. Это тоже следует учитывать.

Новые технологии виртуализации и оркестрирования

Сервис сервису рознь. Администраторы сталкиваются с новыми технологиями виртуализации и оркестрирования.

Возникают трудности: во-первых, приложение реагирует на новые технологии по-разному; во-вторых, если администратор с этими технологиями раньше не сталкивался, он не знает, как приложение будет взаимодействовать с пространствами и как его сконфигурировать.

Угроза не самая значительная. Но нужно понимать, что и здесь могут тоже таиться риски безопасности, поэтому стоит пересмотреть подходы к миграции.

Безопасная реализация доставки

Когда сервис находится в облаке, вы начинаете задумываться о том, как безопасно реализовать доставку.

Когда вы работаете в физической сети, может казаться, что вы в неприступном замке: есть внешний и внутренний периметр, налажена DMZ-зона, вы считаете, что это пространство не атакуется злоумышленниками, и можете позволить себе использовать слабо защищенные репозитории или системы ведения документации.

В облако же для удобства работы часто переносятся также многие сторонние звенья. Например, для поддержания управления доступом к приложению (коду, документации) появляются механизмы непрерывной доставки и тестирования CI/CD и т. д. Нужно понимать, что злоумышленнику теперь видны все звенья этой цепочки, и он волен выбирать, какое звено атаковать.

Если вы используете облачные средства управления бизнесом, например, G Suite — единое окно аутентификации, злоумышленнику выгоднее получить доступ к учетной записи G Suite, а через нее к остальным учетным записям. С помощью собранной информации злоумышленник может производить новые атаки, искать ошибки конфигурации, а также попытаться оценить осведомленность сотрудников с помощью методов социальной инженерии. Работая с архитектурами и инфраструктурой на Windows, пентестеры ищут доменные учетные записи, чтобы пробить внешний периметр и попасть во внутреннюю сеть, используя учетные данные. В случае с облаком мы можем пытаться украсть учетные данные от облачных сервисов, что предоставляет намного большие перспективы в дальнейшем анализе и поиске уязвимостей.

Аудит безопасности облачных приложений

Несколько слов о том, как изменился аудит безопасности облачных приложений.

Техническая составляющая вашей облачной платформы принадлежит провайдеру. Если вы заказываете аудит, то это аудит приложения.

Ранее, когда вы сами настраивали и поддерживали свою физическую среду, пентестеры могли атаковать ее и искать возможности проникновения, определяя уязвимости сервера, операционной системы, сторонних сервисов на узле, пытаться скомпрометировать основное приложение. Сейчас, когда инфраструктура больше вам не принадлежит, мы вынуждены ограничить себя в способах проверки. Но проверять мы обязаны, потому что наша задача — найти все возможные угрозы для вашего приложения. И здесь появляются сложности.

Во-первых, владелец приложения должен уведомить провайдера о том, что в определенное время с определенных адресов будет проводиться пентест. Это упрощает анализ того, что еще находится в облаке.

Во-вторых, больше нет доступа к инфраструктуре компании и DMZ-зоне. Раньше пентесты проводились так: мы пытались найти ваше приложение, скомпрометировать его и попасть в DMZ-зону или внутреннюю сеть. Теперь все усложняется. Мы изучаем, как правильно подсчитывать ресурсы. Если вы хотите провести аудит, нужно понимать, что в него включить, и это, в том числе, зависит от того, что находится в облаке. Это небольшая сложность, она не очень страшна для заказчиков, но для ведения проектов, для аудиторов это важный фактор.

Сейчас мы детальнее разберем угрозы безопасности, возникающие при работе с облаками.

Разграничение доступа

Какие пространства видите вы, когда используете мощности провайдера? Кто может видеть вас в этих пространствах? Владельцы редко получают доступ к сторонним приложениям, работая в облаке, но это все-таки случается даже с весьма крупными заказчиками. Скомпрометировав один узел, мы иногда можем скомпрометировать и остальные виртуальные узлы. Никому бы не хотелось, чтобы при компрометации слабо защищенного приложения пострадали и другие приложения, находящиеся в облаке.

К сожалению, владельцу приложения сложно проверить, насколько облако защищено в этом плане. Если у владельца есть некоторый вес и он волен выбирать среди облачных провайдеров и ставить свои условия, он может потребовать информацию о проведенных аудитах: какие аудиты проводились, когда и кем, каковы результаты. Многие провайдеры специально заказывают аудит, чтобы проверить, можно ли получить доступ из одного приложения к другому. Успешные случаи бывали.

Отказоустойчивость

Облачные провайдеры обязуются поддерживать отказоустойчивость из коробки. Ее сложно обеспечить в собственной физической инфраструктуре, но облачному провайдеру с этим проще, потому что есть масштабы. Но всем известны примеры ситуаций, когда отказывают целые ЦОДы. У одних провайдеров это происходит чаще, у других — реже.

Выбирая провайдера, сравните статистические данные. Если у вас критически важная часть приложения вынесена в облако и вы не можете позволить себе ее временное отключение и потерю данных, нужно очень тщательно присматриваться к тому, какие инциденты случались у провайдера.

Средства защиты

Новые технологии оркестрирования и виртуализации

Мы уже говорили о том, что из-за новых технологий оркестрирования и виртуализации и появляются новые ошибки конфигурации (банк Capital One). Если в облаке предоставляется сырое управление средствами Docker, Kubernetes, дроплетами и т. д., появляются новые сложности, ведь администраторы должны иметь навыки работы с этими средствами и знать типовые ошибки в облачной инфраструктуре провайдера. Для этого нужно отслеживать инциденты, которые происходили с компанией. Полезно посмотреть, что происходило, разобраться в причине и пытаться не наступить на те же грабли. По-другому разобраться с этим вопросом практически невозможно.

Система разграничения в бакетах/подах/дроплетах и т. д.

Мы уже говорили о разграничении доступа между заказчиками, но есть еще разграничение доступа в ваши же сервисы. За этим тоже необходимо внимательно следить.

Сложность мониторинга состояния

Не каждый провайдер обеспечивает правильный мониторинг состояния, и приходится настраивать его самостоятельно. Предпочтительнее, когда провайдер дает возможность проводить максимально детальный мониторинг при помощи средств автоматизации (рассылки по электронной почте, СМС).

Сложности при расследовании инцидентов

В нашей практике также часто встречаются сложности при расследовании инцидентов с участием облачных провайдеров. Если что-то произошло в вашем облаке, вам нужно понять, что именно и как произошло. Для этого нужны правильно настроенные механизмы логирования со сроком длительности не менее 3–6 месяцев. Потеря логов при падении приложения недопустима.

Вы должны иметь возможность отследить, что происходило в облаке в любой момент времени. Об этом стоит позаботиться во время выбора провайдера, либо обеспечить это самостоятельно.

Сегодня поговорим об угрозах облачной безопасности, рассмотрев ТОП-12, с которыми сталкиваются те или иные организации, использующие облачные сервисы. Как известно, количество облачных миграций с каждым годом растет, а вопрос безопасности по-прежнему остается серьезной темой.

Первым шагом к минимизации рисков в облаке является своевременное определение ключевых угроз безопасности. На конференции RSA , прошедшей в марте этого года, CSA (Cloud Security Alliance) представила список 12 угроз облачной безопасности, с которыми сталкиваются организации. Рассмотрим их более подробно.

Напомним, что CSA — некоммерческая организация, лидер в области стандартов, рекомендаций и инициатив, направленных на повышение безопасности и защищенности использования облачных вычислений.

Угроза 1: утечка данных

Облако подвергается тем же угрозам, что и традиционные инфраструктуры. Из-за большого количества данных, которые сегодня часто переносятся в облака, площадки облачных хостинг-провайдеров становятся привлекательной целью для злоумышленников. При этом серьезность потенциальных угроз напрямую зависит от важности и значимости хранимых данных.

Раскрытие персональной пользовательской информации, как правило, получает меньшую огласку, нежели раскрытие медицинских заключений, коммерческих тайн, объектов интеллектуальной собственности, что наносит значительный ущерб репутации отдельно взятой компании. При утечке данных организацию ожидают штрафы, иски или уголовные обвинения, а также косвенные составляющие в виде ущерба для бренда и убытков для бизнеса, которые приводят к необратимым последствиям и затяжным процедурам восстановления имиджа компании. Поэтому облачные поставщики стараются обеспечивать должный контроль и защиту данных в облачном окружении. Чтобы минимизировать риски и угрозы утечки данных, CSA рекомендует использовать многофакторную аутентификацию и шифрование.

Угроза 2: компрометация учетных записей и обход аутентификации

Утечка данных зачастую является результатом небрежного отношения к механизмам организации проверки подлинности, когда используются слабые пароли, а управление ключами шифрования и сертификатами происходит ненадлежащим образом. Кроме того, организации сталкиваются с проблемами управления правами и разрешениями, когда конечным пользователям назначаются гораздо б о льшие полномочия, чем в действительности необходимо. Проблема встречается и тогда, когда пользователь переводится на другую позицию или увольняется. Мало кто торопится актуализировать полномочия согласно новым ролям пользователя. В результате учетная запись содержит гораздо б о льшие возможности, чем требуется. А это узкое место в вопросе безопасности.

Немного фактов: крупнейшей утечкой данных в первой половине 2015 года стала атака с целью хищения идентификационных данных клиентов Anthem Insurance. Атаку оценили в 10 баллов по Индексу критичности, где было скомпрометировано более 80 миллионов учетных записей, что составило одну треть от общего числа данных, похищенных за первое полугодие 2015 года.

CSA рекомендует использовать механизмы многофакторной аутентификации, включая одноразовые пароли, токены, смарт-карты, USB-ключи. Это позволит защитить облачные сервисы, поскольку применение озвученных методов усложняет процесс компрометации паролей.

Угроза 3: взлом интерфейсов и API

Сегодня облачные сервисы и приложения немыслимы без удобного пользовательского интерфейса. От того, насколько хорошо проработаны механизмы контроля доступа, шифрования в API, зависит безопасность и доступность облачных сервисов. При взаимодействии с третьей стороной, использующей собственные интерфейсы API, риски значительно возрастают. Почему? Потому что требуется предоставлять дополнительную информацию, вплоть до логина и пароля пользователя. Слабые с точки зрения безопасности интерфейсы становятся узким местом в вопросах доступности, конфиденциальности, целостности и безопасности.

CSA рекомендует организовать адекватный контроль доступа, использовать инструменты защиты и раннего обнаружения угроз. Умение моделировать угрозы и находить решения по их отражению — достойная профилактика от взломов. Кроме того, CSA рекомендует выполнять проверку безопасности кода и запускать тесты на проникновение.

Угроза 4: уязвимость используемых систем

Распространена ошибка, когда при использовании облачных решений в модели IaaS компании уделяют недостаточно внимания безопасности своих приложений, которые размещены в защищенной инфраструктуре облачного провайдера . И уязвимость самих приложений становится узким местом в безопасности корпоративной инфраструктуры.

Угроза 5: кража учетных записей

Угроза 6: инсайдеры-злоумышленники

Инсайдерская угроза может исходить от нынешних или бывших сотрудников, системных администраторов, подрядчиков или партнеров по бизнесу. Инсайдеры-злоумышленники преследуют разные цели, начиная от кражи данных до желания просто отомстить. В случае с облаком цель может заключаться в полном или частичном разрушении инфраструктуры, получении доступа к данным и прочем. Системы, напрямую зависящие от средств безопасности облачного поставщика, — большой риск. CSA рекомендует позаботиться о механизмах шифрования и взять под собственный контроль управление ключами шифрования. Не стоит забывать про логирование, мониторинг и аудит событий по отдельно взятым учетным записям.

Угроза 7: целевые кибератаки

Развитая устойчивая угроза, или целевая кибератака, — в наше время не редкость. Обладая достаточными знаниями и набором соответствующих инструментов, можно добиться результата. Злоумышленника, задавшегося целью установить и закрепить собственное присутствие в целевой инфраструктуре, не так легко обнаружить. Для минимизации рисков и профилактики подобных угроз поставщики облачных услуг используют продвинутые средства безопасности. Но помимо современных решений, требуется понимание сущности и природы такого вида атак.

CSA рекомендует проводить специализированное обучение сотрудников по распознаванию техник злоумышленника, использовать расширенные инструменты безопасности, уметь правильно управлять процессами, знать о плановых ответных действиях на инциденты, применять профилактические методы, повышающие уровень безопасности инфраструктуры.

Угроза 8: перманентная потеря данных

Поскольку облака стали достаточно зрелыми, случаи с потерей данных без возможности восстановления по причине поставщика услуг крайне редки. При этом злоумышленники, зная о последствиях перманентного удаления данных, ставят целью совершение подобных деструктивных действий. Облачные хостинг-провайдеры для соблюдения мер безопасности рекомендуют отделять пользовательские данные от данных приложений, сохраняя их в различных локациях. Не стоит забывать и про эффективные методы резервного копирования. Ежедневный бэкап и хранение резервных копий на внешних альтернативных защищенных площадках особенно важны для облачных сред.

Кроме того, если клиент шифрует данные до размещения в облаке, стоит заранее позаботиться о безопасности хранения ключей шифрования. Как только они попадают в руки злоумышленнику, с ними становятся доступны и сами данные, потеря которых может быть причиной серьезных последствий.

Угроза 9: недостаточная осведомленность

Организации, которые переходят в облако без понимания облачных возможностей, сталкиваются с рисками. Если, к примеру, команда разработчиков со стороны клиента недостаточно знакома с особенностями облачных технологий и принципами развертывания облачных приложений, возникают операционные и архитектурные проблемы.
CSA напоминает о необходимости понимать функционирование облачных сервисов, предоставляемых поставщиком услуг. Это поможет ответить на вопрос, какие риски берет на себя компания, заключая договор с хостинг-провайдером.

Угроза 10: злоупотребление облачными сервисами

Облака могут использоваться легитимными и нелегитимными организациями. Цель последних — использовать облачные ресурсы для совершения злонамеренных действий: запуска DDoS-атак, отправки спама, распространения вредоносного контента и т. д. Поставщикам услуг крайне важно уметь распознавать таких участников, для чего рекомендуется детально изучать трафик и использовать инструменты мониторинга облачных сред.

Угроза 11: DDoS-атаки

Несмотря на то что DoS-атаки имеют давнюю историю, развитие облачных технологий сделало их более распространенными. В результате DoS-атак может сильно замедлиться или вовсе прекратиться работа значимых для бизнеса компании сервисов. Известно, что DoS-атаки расходуют большое количество вычислительных мощностей, за использование которых будет платить клиент. Несмотря на то что принципы DoS-атак, на первый взгляд, просты, необходимо понимать их особенности на прикладном уровне: они нацелены на уязвимости веб-серверов и баз данных. Облачные поставщики, безусловно, лучше справляются с DoS-атаками, чем отдельно взятые клиенты. Главное — иметь план смягчения атаки до того, как она произойдет.

Угроза 12: совместные технологии, общие риски

Приглашаем посетить наш блог !

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Читайте также: