19 передовых практик в сфере облачной безопасности в 2019 году

Облачные вычисления коммерчески доступны уже около 20 лет и применяются практически повсеместно: около 95% компаний отмечают, что у них есть облачная стратегия. Хотя поставщики облачных услуг значительно усовершенствовали свои системы безопасности, пользование такими сервисами до сих пор сопряжено с рисками. К счастью, эти риски можно снизить до минимума с помощью представленных ниже передовых практик:

Защитите свои данные в облаке:

1. Определите, какая информация наиболее уязвима. Хотя повсеместное внедрение защиты самого высокого уровня, конечно, будет излишним, компании должны обезопасить свои конфиденциальные данные — в противном случае они подвергаются риску потери интеллектуальной собственности и наложению нормативных штрафов. По этой причине в первую очередь необходимо определить, какая именно информация подлежит защите. Для обнаружения и классификации данных обычно используют специальный механизм. Установите комплексное решение, которое сможет обнаружить и защитить конфиденциальную информацию в вашей сети, на конечных устройствах и в облаке, и при этом обеспечит необходимый уровень гибкости и мобильности для вашей организации.

2. Как осуществляется доступ к данным и их хранение? Несмотря на то, что конфиденциальные данные можно хранить в облаке, такая возможность не является чем-то очевидным. По данным отчета McAfee за 2019 г. «О внедрении облака и рисках» (Cloud Adoption and Risk Report), 21% всех файлов в облаке содержат конфиденциальную информацию. Эксперты отмечают резкий рост этого показателя по сравнению с прошлым годом1. Хотя большая часть этой информации хранится в хорошо зарекомендовавших себя корпоративных облачных сервисах типа Box, Salesforce и Office365, важно понимать, что ни одно из этих решений не гарантирует 100% безопасности. Ввиду этого важно изучить разрешения и контекст доступа к данным в вашей облачной среде и внести необходимые корректировки. В некоторых случаях придется удалить конфиденциальные данные, уже размещенные в облаке, или поместить их в карантин.

3. Кто может делиться данными и каким образом? По сравнению с предыдущим годом объемы обмена конфиденциальными данными увеличились более чем на 50%.1 Какой бы продуманной ни была ваша стратегия по снижению угроз, нельзя только реагировать на инциденты: риски такого подхода слишком велики. Необходимо разработать политику контроля доступа и обеспечить ее применение еще до попадания данных в облако. Возможность редактировать документы должна быть только у небольшого числа сотрудников, большинству будет достаточно их просмотра. Аналогично, не всем пользователям, у которых есть доступ к определенным данным, следует дать разрешение на обмен ими. Необходимо создать группы и настроить права, чтобы пересылать такую информацию мог только узкий круг лиц с соответствующими полномочиями. Это существенно ограничит распространение конфиденциальных данных.

4. Не полагайтесь на шифрование облачного сервиса. Комплексное шифрование на уровне файлов должно быть основой всех мер по обеспечению безопасности в облаке. Хотя шифрование данных силами поставщиков облачных услуг защищает их от третьих сторон, у провайдеров при этом появляется доступ к вашим ключам шифрования. Для максимальной защиты компаниям необходимо внедрить современные криптографические решения с собственными ключами и применять их до загрузки данных в облако.

Устраните внутренние угрозы облачной безопасности

5. Использование облака сотрудниками должно быть прозрачным. Даже если в вашей организации действует корпоративная стратегия по облачной безопасности, ваши сотрудники могут пользоваться облаком по собственному усмотрению. Большинство людей заводят учетные записи в Dropbox или пользуются онлайн-сервисами для конвертации файлов без предварительной консультации со специалистами ИТ. Чтобы оценить потенциальные риски работы сотрудников с облаком, проверьте журналы прокси-сервера, брандмауэра и системы управления информацией о безопасности и событиями безопасности (SIEM). Это позволит получить полное представление о том, какие облачные сервисы используются, и определить их ценность для сотрудников/организации в сравнении с рисками полного или частичного развертывания систем в облаке. Также следует помнить, что теневое использование — это не только доступ к новым или неразрешенным сервисам с известных конечных устройств. Компаниям также нужна стратегия по борьбе с перемещением данных из доверенных облачных решений на неконтролируемые ими смартфоны, планшеты и ноутбуки. Поскольку в облачный сервис можно зайти с любого подключенного к интернету устройства, неконтролируемая личная техника создает пробел в любой стратегии безопасности. Чтобы ограничить скачивание файлов на несанкционированные устройства, можно сделать проверку безопасности обязательным предварительным условием такого скачивания.

6. Составьте список безопасных сервисов. Хотя большинство сотрудников используют облачные сервисы в рабочих целях и с законными намерениями, некоторые из них неизбежно найдут и установят сомнительные решения. Из 1935 облачных сервисов, которые доступны для среднестатистической организации, 173 относятся к приложениям с высоким риском1. Знание того, какие решения используются в вашей компании, позволит разработать соответствующие политики безопасности.

1) Определите, данные какого типа допустимо размещать в облаке.

2) Составьте список безопасных облачных приложений, которыми могут пользоваться сотрудники

3) Проинформируйте сотрудников о передовых практиках в сфере облачной безопасности, мерах предосторожности и инструментах, которые необходимы для безопасной работы с этими приложениями.

7. Помните о важной роли конечных устройств. Большинство пользователей применяют для доступа к облаку веб-браузер, поэтому компаниям необходимо внедрить эффективные инструменты для защиты клиентской стороны и обеспечить своевременное обновление браузеров, чтобы предотвратить эксплуатацию их уязвимостей. Это ключевые компоненты облачной безопасности. Для полноценной защиты устройств конечных пользователей установите современные специализированные решения, например брандмауэры, особенно если ваша компания работает по модели IaaS или PaaS.

8. Смотрите в будущее. Новые облачные сервисы появляются в интернете довольно часто, а связанные с ними риски постоянно увеличиваются, что затрудняет разработку и обновление соответствующих политик вручную. Хотя спрогнозировать, к каким облачным приложениям будут обращаться сотрудники, слишком трудно, вы можете автоматически обновлять политики веб-доступа с помощью информации о профиле риска того или иного сервиса. Это позволит заблокировать доступ к такому облаку или вывести на экран предупреждение для пользователя. Ремедиацию замкнутого цикла (применение политик на основании общей категории риска облачного сервиса или его отдельных характеристик) необходимо интегрировать с защищенным веб-шлюзом или брандмауэром. Система будет автоматически обновлять и применять политики без нарушения работы существующей технологической среды.

9. Обеспечьте защиту от неосторожных пользователей и злоумышленников. Среди угроз безопасности, с которыми компании сталкиваются ежемесячно, по вине персонала происходят в среднем 14,8 инцидентов. В 94,3% организаций внутрисистемные угрозы возникают как минимум раз в месяц. Они неизбежны: вопрос лишь в том, когда эта проблема затронет вас. Угрозы такого рода включают в себя как непреднамеренное раскрытие (т. е., скажем, случайная пересылка документа с конфиденциальными сведениями), так и собственно вредоносную активность — например, когда менеджер по продажам скачивает полную версию клиентской базы перед уходом к конкурентам. И неосторожные сотрудники, и взломщики могут совершать действия, указывающие на злоумышленное использование облачных данных. Для отслеживания аномальных явлений и предотвращения внутренних и внешних утечек данных используйте решения с технологиями машинного обучения и анализа поведения пользователей.

10. Доверяйте. Но проверяйте. Пользователи, которые пытаются получить доступ к конфиденциальным данным в облаке с нового устройства, должны проходить дополнительную проверку. Возможное решение — автоматическое требование двухфакторной аутентификации во всех сценариях облачного доступа с высоким риском. Специализированные решения по облачной безопасности могут запросить у пользователя дополнительный идентифицирующий атрибут в режиме реального времени; они работают с имеющимися поставщиками идентификаторов и факторами аутентификации (аппаратными токенами, мобильными программными токенами или текстовыми сообщениями), которые знакомы конечным пользователям.

Постройте прочные партнерские отношения с надежными поставщиками облачных услуг

11. Соблюдение нормативных требований — по-прежнему обязательное условие. Компания может перенести в облако большую часть ключевых бизнес-функций, но ответственность за нормативно-правовое соответствие всегда будет лежать на ней, а не на сторонних организациях. Независимо от того, каким нормативным документом руководствуется ваше предприятие — Калифорнийским законом о защите прав потребителей, стандартом безопасности данных PCI DSS, регламентом GDPR, актом HIPAA или другим, необходимо выбрать такую облачную платформу, которая позволит вам выполнять требования любых стандартов и правил, действующих в отрасли. Затем следует выяснить, за какие аспекты нормативного соответствия отвечает ваш провайдер, а какие остаются в вашей компетенции. Хотя многие поставщики облачных услуг прошли сертификацию во множестве отраслевых и правительственных регуляторах, развертывание в облаке приложений и сервисов, отвечающих требованиям нормативов, и поддержание этого соответствия в будущем входит в вашу зону ответственности. Нужно отметить, что прежние контрактные обязательства и правовые барьеры могут препятствовать использованию облачных услуг: перемещение данных в облако трактуется как передача контроля над этими данными.

12. Соблюдение требований бренда также важно. Переход в облако не обязательно происходит в ущерб стратегии продвижения бренда. Разработайте комплексный план по управлению идентификацией и авторизацией в облачных сервисах. Программные приложения, отвечающие требованиям стандартов SAML, Open ID и других, поддерживают применение элементов корпоративного стиля в облаке.

13. Найдите надежных поставщиков услуг. Поставщики облачных услуг, которые ориентированы на подотчетность, прозрачность и соблюдение общепринятых стандартов, обычно имеют сертификаты SAS 70 Type II или ISO 27001. Поставщики облачных услуг должны быть готовы предоставить всю необходимую документацию и отчеты в готовом виде — например, результаты аудитов и сведения о сертификации вместе с необходимой информацией о процессе оценки. Все аудиты должны проводиться независимыми экспертами на основе существующих стандартов. Поставщик облачных услуг отвечает за актуальность полученных сертификатов и уведомление клиентов о любых изменениях в их статусе. Обязанность клиента при этом — изучить объем применения каждого стандарта: например, некоторые широко распространенные нормативные документы не дают оценки эффективности систем безопасности; надежность аудиторских фирм и аудиторов также может быть различной.

14. Как они обеспечивают вашу защиту? Ни один поставщик облачных услуг не гарантирует 100% безопасность. За последние несколько лет многие ключевые провайдеры подверглись нападениям хакеров, в том числе AWS, Azure, Google Drive, Apple iCloud, Dropbox и другие. Важно ознакомиться со стратегиями обеспечения безопасности данных облачного сервиса и особенностями его многоарендной архитектуры. При несанкционированном доступе к аппаратным средствам или операционной системе поставщика услуг вся размещенная у него информация автоматически подвергнется риску. По этой причине необходимо внедрить защитные меры и изучить данные предыдущих аудитов, чтобы выявить потенциальные слабые места в системе безопасности. Если в этой сфере поставщик пользуется услугами сторонних компаний, следует также ознакомиться с данными их сертификаций и аудитов. После этого вы сможете определить, какие проблемы безопасности необходимо решить с вашей стороны. Например, менее 10% провайдеров применяют шифрование данных при хранении. Еще меньше сервисов поддерживают использование криптографических ключей заказчиков1. Для надежной и безопасной работы в облаке необходимо найти таких поставщиков услуг, которые, с одной стороны, обеспечивают комплексную защиту, а с другой, дают пользователям возможность закрывать любые бреши в ней.

15. Тщательно изучите контракты и соглашения об уровне услуг выбранного облачного провайдера. Контракт на предоставление облачных услуг — единственная гарантия обслуживания и главный документ, к которому вы будете апеллировать при возникновении проблем. По этой причине важно тщательно изучить все договорные условия, в том числе в приложениях и дополнительных соглашениях. Например, контракт может прояснить, будет ли компания-провайдер нести ответственность за ваши данные или станет владельцем ваших данных. (Только 37,3% провайдеров указывают, что данные клиентов являются собственностью клиентов. Остальные либо не устанавливают владельца данных напрямую, создавая тем самым неясный с юридической точки зрения момент, либо явно утверждают, что все загруженные в облако данные являются их собственностью1). Обеспечивает ли сервис открытый доступ к информации о событиях безопасности и отклике на них? Предоставляет ли провайдер инструменты мониторинга или возможность подключения корпоративных средств контроля? Будете ли вы получать ежемесячные отчеты о событиях безопасности и отклике на них? Что произойдет с вашими данными, если вы откажетесь от использования сервиса? (Обратите внимание на то, что только 13,3% поставщиков облачных услуг удаляют пользовательские данные сразу после закрытия учетной записи. Остальные хранят эту информацию в течение года, а некоторые провайдеры особо оговаривают свое право хранить эти сведения бессрочно.) Спорные условия контракта можно обсудить в ходе переговоров, но если поставщик услуг назовет их не подлежащими пересмотру, вам придется решить, приемлем ли риск, связанный с принятием этих условий, для вашего бизнеса. Если нет, необходимо найти альтернативный способ управления этим риском — внедрить средства криптографии или мониторинга либо обратиться к другому провайдеру.

16. Что делать в случае нештатной ситуации? Поскольку у каждого поставщика облачных услуг своя система безопасности и ни один из них не гарантирует 100% защиты данных, крайне важно иметь план мероприятий по реагированию на инциденты (IR-план). При составлении таких планов провайдер должен выступать в качестве партнера и учитывать ваше мнение. Определите каналы связи, функции и обязанности и заранее продумайте возможные сценарии реагирования на проблемы. В соглашениях об уровне обслуживания (SLA) должны быть четко прописаны сведения, которые поставщик услуг обязан предоставить в случае возникновения инцидента, порядок работы с данными для обеспечения их доступности и гарантии поддержки, которая потребуется для эффективного выполнения корпоративного IR-плана на каждом этапе. Хотя лучший способ своевременного обнаружения атак — это постоянный мониторинг, необходимо выполнять полномасштабную проверку систем как минимум ежегодно, а также проводить дополнительные тесты при каждом значительном изменении архитектуры.

17. Защитите свои IaaS среды. При работе в средах IaaS, например AWS и Azure, вы несете ответственность за безопасность операционных систем, приложений и сетевого трафика. Чтобы обезопасить инфраструктуру от вредоносных программ, необходимо развернуть современные технологии защиты на уровне ОС и виртуальной сети. Списки разрешенных приложений и средства предотвращения несанкционированного использования памяти помогут защитить специализированные рабочие нагрузки, а средства безопасности на основе машинного обучения отлично подойдут для файловых систем и приложений общего назначения.

18. Нейтрализуйте и удалите вредоносное ПО из облака. Заражение приложений вредоносными программами происходит через общие папки, которые автоматически синхронизируются с папками в облачном хранилище. Таким образом опасный код переходит с одного взломанного пользовательского устройства на другие. Чтобы предупредить заражение вредоносным ПО и программами-вымогателями, а также хищение данных, установите решение для облачной безопасности и выполняйте сканирование файлов, которые хранятся в облаке. При обнаружении хакерского ПО на хосте или в облачном приложении его можно поместить в карантин или удалить. Это позволит обезопасить конфиденциальные данные и избежать их повреждения вредоносными программами.

19. Выполняйте регулярный аудит своих конфигураций IaaS. Неправильная настройка критически важных параметров сред IaaS (AWS или Azure) приводит к появлению существенных уязвимостей. В среднем в любой момент времени в любой организации запущено, как минимум, 14 инстансов IaaS с ошибками конфигурации. Число связанных с ними инцидентов безопасности достигает 2300 в месяц. Хуже того, более 5% всех используемых бакетов AWS S3 с некорректными настройками открыты для чтения1. Чтобы избежать таких потенциальных утечек данных, необходимо проверять конфигурации на предмет ошибок в параметрах управления идентификацией и доступом, в параметрах работы сети и шифрования. Компания McAfee предлагает бесплатную услугу Cloud Audit, которая поможет приступить к работе.

Тематики: Безопасность

Ключевые слова: McAfee, информационная безопасность, исследование рынка