Облачная безопасность: как защитить свои данные

Правила облачной безопасности отличаются от тех, которым привыкли следовать пользователи интернета, а точнее — расширяют их. В статье рассмотрим, как работают механизмы обеспечения безопасности данных в облачных сервисах, а также расскажем, какие факторы нужно учитывать при выборе облачного провайдера.

Что такое безопасность облака

Безопасность облака является частью технологий кибербезопасности и подразумевает обеспечение конфиденциальности информации внутри сетевой инфраструктуры. Под конфиденциальностью мы понимаем исключение доступа к данным любых третьих лиц. При этом результат достигается за счет совместной работы облачного провайдера и клиента: первый предоставляет качественные услуги, а клиенты не нарушают правил кибербезопасности. Технологии защиты облака направлены на обеспечение безопасности как программной, так и аппаратной частей системы, в том числе:

• сетевого и серверного оборудования;
• физических носителей информации;
• ОС, сетевого и другого ПО и приложений;
• оборудования пользователя (ПК и ноутбуки, смартфоны и гаджеты, устройства IoT);
• самой информации как главного ресурса.

Как работает облачная безопасность

Функции и задачи облачной безопасности заключаются в следующем:

• восстановление утраченной информации;
• защита облачных хранилищ и сетевых компонентов от взлома и кражи информации;
• минимизация человеческого фактора как причины утечки данных;
• минимизация последствий, если произошел взлом сети.

Из конкретных инструментов защиты выделим:

• Надежное шифрование защитит данные даже в случае кражи. Злоумышленники попросту не смогут их расшифровать, поскольку они не получат доступ к ключу для дешифрования.
• Также важны технологии IAM, которые отвечают за настройку доступа и идентификации пользователей. Многофакторная аутентификация давно стала нормой для серьезных облачных решений, а блокировать доступ к определенным наборам данных помогает разграничение прав внутри сети.
• Кроме того, применяются средства административного контроля, направленные прежде всего на обнаружение и предотвращение угроз. Timeweb Cloud для этого использует специальное ПО.
• Еще две важные технологии, которые помогают в непредвиденных случаях (технические сбои, массовые кибератаки) — это резервное копирование и аварийное восстановление данных. Серьезные сервисы предусматривают и такие возможности, как проверка уже созданных резервных копий. Это помогает восстанавливать данные в полном объеме практически в любых ситуациях.
• Важен и правовой аспект: конфиденциальность пользовательских данных защищена законом, и в договоре должно быть четко прописано, при каких условиях провайдер имеет право предоставлять доступ к ним третьим лицам, в том числе и сотрудникам службы поддержки.

Чем подходы к обеспечению безопасности хранения данных в облаке отличаются от традиционных

Традиционная модель защиты данных подразумевает их хранение в локальной сети, что, конечно, упрощает создание защиты от внешних угроз. Облачная инфраструктура распределенная, поэтому работающие в облаке компании предусматривают безопасное обновление большого количества модулей и приложений, гибкую настройку прав доступа, защиту облачных сетей при работе пользователей в интернете. Также учитываются и уязвимости внутри сети, ведь клиент в облаке не один, поэтому провайдеры стараются исключить утечку данных между облачными серверами и внутри них.

Всё это накладывает определенные обязательства на поставщика услуг, но также требует серьезного отношения и от клиентов, которые не должны игнорировать рекомендации провайдера к настройке выделенных серверов и приложений. Также сотрудники клиента должны быть обучены азам кибербезопасности при работе в интернете: практика показывает, что многие угрозы возникают как раз из-за недостаточной осведомленности пользователей в этом вопросе.

Риски для безопасности облака

К главным рискам отнесем следующие:

• использование устаревшего ПО как на стороне провайдера, так и на стороне клиента, что может привести к краже учетных записей;
• человеческий фактор: некорректная настройка уровней доступа и другие ошибки, которые чреваты тем же;
• кибератаки извне: например, попытки запустить вредоносное ПО, фишинг, целью которого также является кража пользовательских данных.

Между тем грамотно настроенные права доступа помогут избежать утечек конфиденциальной информации, поскольку в этом случае злоумышленники не смогут получить доступ к защищенным сегментам сети, даже если у них получится взломать аккаунты рядовых сотрудников. Ошибки же приводят к тому, что киберпреступники, получая доступ к одному сегменту, постепенно завладевают всей сетью, что может нанести компании непоправимый финансовый и репутационный ущерб.

Почему нужно разбираться в вопросах безопасности облака

Атаки злоумышленников всё чаще становятся направленными на инфраструктуру ЦОД и облачных провайдеров, ведь при взломе таких сетей получится «убить» не одного-двух, а множество «зайцев» сразу. По этой причине сотрудники компаний крупного и среднего бизнеса тоже должны быть подкованы в вопросах кибербезопасности, не полагаясь только на провайдера.

Конечно, современные методы защиты минимизируют человеческий фактор и противостоят подавляющему большинству угроз, однако атаки на централизованные системы и хранилища данных с каждым годом становятся всё более опасными, ведь совершенствуются не только методы защиты, но и киберпреступники. И они зацепятся за любую уязвимость, а значит, нужно быть наготове и соблюдать правила конфиденциальности.

Проблемы конфиденциальности

В России, как и в любой другой технологически развитой стране, действуют законы об охране персональных данных и ограничении доступа к ним. Но здесь также учитываются и местные законы, ведь провайдер должен соблюдать законодательство той страны, в которой физически расположена инфраструктура. Поэтому клиенты перед началом сотрудничества должны внимательно изучить не только договор, но особенности местного законодательства, связанные с обработкой данных.

В договоре обращайте внимание на условия, при которых сотрудники провайдера и иные третьи лица (например, сотрудники правоохранительных органов) получают доступ к конфиденциальной информации. Кроме того, нужно внимательно изучить, какие конкретные меры принимает провайдер для обеспечения конфиденциальности данных.

Как защитить данные в облаке

В дополнение к инструментам, предлагаемым провайдером, клиент в состоянии и сам повысить безопасность своих данных. Сделать это можно при помощи шифрования. Можно шифровать:

• сообщения в облаке;
• конфиденциальную информацию — например, регистрационную;
• все данные.

Всё это лучше выполнять с помощью алгоритмов сквозного шифрования, поскольку они исключают возможность получения ключа для дешифрования третьими лицами, включая даже сотрудников службы технической поддержки провайдера. Сквозное шифрование рекомендуется в случаях, когда клиенту требуется часто перемещать данные между хранилищами или копировать их на локальный сервер. Поэтому поинтересуйтесь, предоставляет ли провайдер услугу сквозного шифрования. Если нет, пусть об этом позаботятся сотрудники вашей компании.

Еще один ключевой момент для защиты данных — правильная настройка конфигурации. Здесь следует исключить настройки по умолчанию и закрыть контейнер облачного хранилища, исключая доступ к нему по URL. Кроме того, подключайте все возможности вашего провайдера — они тоже повысят безопасность информации.

Правила кибербезопасности, о которых должен знать каждый

Эти правила информационной безопасности нужно соблюдать независимо от того, работаете ли вы в облаке или на своей платформе.

• Составляйте сложные пароли. Лучше всего для пароля сгенерировать случайный набор символов.
• Пользуйтесь менеджером паролей. В этом случае не придется запоминать пароли для каждого сервиса, но понадобится создать надежный мастер-пароль.
• Установите защиту на все устройства. Даже на планшет, если он присоединен к сети. Любой незащищенный элемент становится уязвимостью.
• Не забывайте о резервных копиях. При частых изменениях создавайте бэкапы несколько раз в день.
• Настройте разрешения, измените уровни доступа. Это поможет избежать опасных уязвимостей при работе из дома.
• Используйте надежный антивирусный пакет. Современные антивирусные решения предлагают комплексную защиту, включая также антишпионское ПО и файрвол.
• Не работайте через публичные сети Wi-Fi. Пользуйтесь приватными сетями, которые предоставляют защищенную аутентификацию.
• Соблюдайте правила безопасности при работе в электронной почте и мессенджерах. Не открывайте подозрительные ссылки и запрашивайте дополнительное подтверждение о пересылке файлов.

Разработчикам приложений также будет полезно изучить основные подходы к защищенной разработке в облаке. Эти подходы основаны на принципах глубинной защиты и многоуровневой безопасности. Глубинная многоуровневая система безопасности как минимум замедлит атаку, поскольку злоумышленнику, преодолевшему первый, сторожевой уровень защиты, предстоит иметь дело со следующим, более продвинутым. А значит, у сотрудников из службы кибербезопасности будет достаточно времени справиться с угрозой.

Облачное хранилище и общий доступ к файлам

Настраивать общий доступ к файлам из облачного хранилища нужно с учетом ролей пользователей. Это важно, если вы делитесь конфиденциальными документами через Google.Drive, Яндекс.Диск, Облако Mail.Ru, Mediafire или Mega. Смотрите не только на ссылки на конкретные документы, но и на то, не «расшарена» ли папка, в которой эти файлы хранятся. Также позаботьтесь о шифровании файлов, поскольку общедоступные облачные сервисы по умолчанию не выполняют это.

Решения для безопасности облачных сред

Одним из лучших вариантов для бизнеса является гибридная облачная среда. Под этим термином понимают сочетание облачных и локальных ресурсов, на которых хранится часть данных. Здесь есть возможности для сегментации данных, и, например, ценные персональные данные можно оставить под локальным контролем, а остальное хранить в облаке. Кроме того, использование гибридной среды повышает надежность хранения, поскольку копии могут создаваться и в облаке, и локально. Выбирая конкретное решение, учитывайте и масштабы бизнеса:

• Для малых и средних предприятий подходящим вариантом будет использование публичных или общественных облачных сервисов в сочетании с локальными ресурсами, поскольку собственная инфраструктура — решение дорогое. Различие между публичным и общественным облаком заключается в том, что последнее используется сразу несколькими организациями, которые соседствуют в пределах одного сервиса.
• Корпорации в состоянии поддерживать собственные частные облачные сети и хранилища, что повышает конфиденциальность данных и обеспечивает нужные для бизнеса аппаратные мощности (процессоры, облачная память). Однако поддержка частного облака сопряжена с дополнительными сложностями, а риски за возможные утечки данных будет нести сама компания.

Чек-лист проверки вашего провайдера облачных услуг

Безопасность хранения данных в облаке во многом зависит от надежности провайдера, а хороший провайдер обеспечивает:

• проведение регулярного (не реже раза в год) аудита своих систем с привлечением сторонних экспертов;
• раздельное хранение данных пользователей и логическую сегментацию;
• соблюдение политики конфиденциальности в соответствии с договором и местным законодательством;
• физическое удаление данных клиента в случае непродления договора;
• возможность гибкой настройки прав доступа;
• не только виртуальную, но и физическую безопасность ЦОД (центра обработки данных);
• работает в соответствии с принципом IaC (инфраструктура как код), что означает, что облачные серверы можно будет без проблем развернуть и на резервных мощностях, если возникнет такая необходимость.

Если на вопрос по каждому пункту вам ответят утвердительно и подтвердят это документально, провайдеру можно доверять. 

Кстати, в официальном канале Timeweb Cloud мы собрали комьюнити из специалистов, которые говорят про IT-тренды, делятся полезными инструкциями и даже приглашают к себе работать.