01-11-2019 06:11

Как обеспечить безопасность приложений в облаках

Как обеспечить безопасность приложений в облаках

Сегодня эксперты четко формулируют преимущества облачных ИТ-ресурсов для корпоративных пользователей: сокращение капитальных затрат на ИТ, гибкое масштабирование, экономия бюджета. Однако несмотря на все плюсы, популярность облачных ИТ- и ИБ-услуг в нашей стране существенно ниже, чем, например, в США. Связано это с тем, что российские компании все еще настороженно относятся к передаче в облака своих данных и приложений из-за невозможности использовать привычные методы и средства контроля за инфраструктурой. Рассказываем, как правильно выстроить схему взаимодействия с облачным провайдером, чтобы максимально защитить свои продукты.

GPS-часы нового поколенияВам будет интересно:GPS-часы нового поколения

Один из главных сервисов, за которым компании обращаются в облачные хранилища, — оперативное обеспечение отказоустойчивости. Облачные технологии нивелируют риски, связанные с неквалифицированным администрированием серверных систем, ведь провайдер, обладающий опытом обслуживания многочисленных клиентов, в состоянии оперативно применять лучшие практики.

Но параллельно с этим возникают и дополнительные риски — появление облачных ИТ- и ИБ-компонентов в составе корпоративной инфраструктуры расширяет поверхность атак и набор их возможных векторов. В числе новых угроз эксперты называют атаки на механизмы доставки приложений в облака, на механизмы управления доступом, на гипервизоры, на учетные данные облачных пользователей. Облака также порождают сложности разграничения доступа к ИТ-ресурсам со стороны клиента и со стороны провайдера.

img

Поговорим о нескольких практиках, позволяющих устранить возможные угрозы и повысить уверенность в безопасности при переводе приложений в облака.

1. Использование безопасной инфраструктуры

Регулярное тестирование провайдером своей инфраструктуры на проникновение дает компании-клиенту уверенность в устойчивости сетевого решения к атакам злоумышленников (в частности, как минимум, что другой клиент в результате технического сбоя или умышленно не проникнет в нее). Поэтому имеет смысл запросить результаты таких аудитов и на их основе принимать решение о размещении своих данных.

2. Внедрение автоматизированного мониторинга

Эта мера позволит своевременно узнать о возникших проблемах и если не исправить, то хотя бы минимизировать их в кратчайшие сроки и с наименьшими потерями для бизнеса.

В настоящее время не каждый провайдер обеспечивает клиентов автоматизированными средствами мониторинга, предоставляющими детализированные результаты, потому мы рекомендуем уточнять этот аспект на стадии переговоров Но даже если поставщик облачных услуг предоставляет такие инструменты, нужно быть готовым к тому, что средства администрирования могут потребовать от клиентских системных администраторов новых нетривиальных навыков эксплуатации, а значит, и дополнительного времени на их приобретение.

img

Кроме того, специалистам компании стоит изучить типовые ошибки конфигурирования: их можно выявить, проанализировав самые распространенные инциденты у других клиентов данного провайдера.

3. Применение новых ИБ-инструментов

Эксперты обращают внимание на сложность расследования инцидентов при работе с облачными сервисами. Но этот аспект можно нивелировать, если обеспечить себя самыми современными – качественными и правильно настроенными – средствами логирования.

Как уже упоминалось, часть ИБ-функций предоставляется облачными провайдерами в виде сервисов, и этой возможностью стоит воспользоваться. Однако надо отдавать себе отчет, что среди решений, предлагаемых провайдерами, представлены далеко не все необходимые клиентам. О составлении списка нужных в вашем случае ИБ-инструментов следует позаботиться заранее, просчитывая все варианты еще на этапе выборе провайдера, чтобы уровень защиты вашего продукта не вызывал опасений.

4. Регулярный аудит приложений

Регулярный аудит самого приложения, а не только сетевой инфраструктуры – основа информационной безопасности. Он позволяет быть уверенным в уровне защищенности решения, лучше понимать потенциальные угрозы и планировать дальнейшую разработку.

Важно также отметить, что при использовании облачных ИТ-сервисов, когда ИТ-инфраструктура больше не принадлежит заказчику, меняется и процедура аудита приложений, критически важного для своевременного обнаружения уязвимостей. Прежде всего пользователям приложений нужно помнить о необходимости уведомлять сервис-провайдера о проведении аудита (например, теста на проникновение) и предоставлять ему необходимые технические и организационные детали.

Чтобы сократить риски, связанные с изменениями в процессах обеспечения ИБ при миграции в облака, компаниям также рекомендуется проводить предварительные стендовые тестовые испытания. И самое важное – четко понимать, что ответственность за обеспечение информационной безопасности в любом случае остается за компанией, о каких бы договорах об уровне предоставляемых ИБ-услуг (SLA) речь ни шла. Применение этих практик с учетом специфики облачных решений позволяет компании, помимо обеспечения высокого уровня безопасности, приобрести уникальный опыт, которым можно поделиться с другими пользователями облачных мощностей.

img

И наконец, важно построить свои отношения с провайдерами так, чтобы нивелировать с их помощью возможные риски до привычных для себя показателей. К настоящему времени на российском рынке уже сформировался список ИБ-услуг, показывающих наибольшую эффективность: в их числе встроенные в облака средства сканирования уязвимостей приложений, защита от DDoS-атак и бот-сетей, средства фильтрации трафика веб-приложений, защита от утечек данных, системы обнаружения вторжений.

Ключевые слова: информационная безопасность, атаки на облачные сервисы

Журнал: Журнал IT-Expert, Подписка на журналы

Об авторах

Егор Богомолов

Егор Богомолов

Специалист по информационной безопасности компании «Онсек».

Поделиться: