Облачные технологии и соответствующие решения помогают добиться как значительной экономии, так и повышения гибкости. Однако при внедрении этих технологий на предприятиях не следует оставлять без внимания традиционные процессы — их необходимо оптимизировать в расчете на новые условия. Из-за отсутствия физического доступа к серверам в публичных облачных средах вопросы безопасности становятся еще более важными, ведь в чрезвычайной ситуации не будет возможности нажать кнопку экстренного отключения.

В публичных облаках для создания новых клиентских учетных записей и облачных серверов потребуется лишь несколько минут времени и действующая кредитная карточка. Опыт показывает, что предприятиям не удается предотвращать ситуации, когда их сотрудники, к примеру, приобретают ресурсы для целей моделирования, включая их стоимость в командировочные расходы или оплачивая с помощью корпоративных кредитных карт. К сожалению, в результате реальное число облачных серверов, на которых хранятся конфиденциальные корпоративные данные, может значительно превосходить то количество, которое находится под контролем ответственных специалистов.

КОНТРОЛИРУЕМОЕ ИСПОЛЬЗОВАНИЕ РЕСУРСОВ

Поэтому гораздо безопаснее обеспечить сотрудникам предприятия контролируемый доступ к этим ресурсам — разумеется, только в действительно необходимых пределах. Это позволит не только упорядочить доступ, но и управлять им. Многие брокеры внешних и внутренних облаков предлагают широкие возможности администрирования доступа для отдельных лиц в соответствии с пользовательской, ролевой или мандантной моделью в рамках общего доступа. С одной стороны, в этом случае предоставляются только те права, которые действительно необходимы пользователям, а с другой — повышается безопасность на предприятии, поскольку права распределяются централизованно и дифференцированно.

Такие функции предоставляют все наиболее популярные облачные брокеры, такие как vCloud Director, Amazon/ IAM, OpenStack и CloudStack. Во многих случаях возможна даже комбинация локальных и внешних ресурсов. Отказ от этих функций равносилен наличию одного общего пароля для всех сотрудников компании, работающих за общим компьютером, — очевидно, не самый благоприятный сценарий. Поэтому создание и использование ролей, индивидуальных учетных записей или мандантов следует считать обязательным.

Независимо от того, под управлением какой операционной системы функционирует облачный сервер, доступ к нему необходимо защитить. Конечно, можно положиться на предоставленные брокером облачных сервисов случайные пароли, но обычно пользователи эти пароли либо где-нибудь записывают, либо заменяют их простыми стандартными комбинациями. Оба варианта не самые удачные.

ДОСТУП К ОБЛАЧНЫМ СЕРВЕРАМ

Один из подходов заключается в разделении внутреннего и внешнего подтверждения прав доступа (Credentials). Это можно реализовать на базе собственных серверов доступа/SSH/ RDP Proxy или с помощью специализированных коммерческих решений. При этом сотрудники указывают свой внутренний пароль для регистрации на сервере доступа, а после проверки предоставленных им прав получают доступ к облачному серверу. Таким образом, при обращении к внешним ресурсам они смогут использовать свои собственные (доменные) пароли без угрозы для безопасности.

Этот вариант привлекателен особенно в средах Windows, поскольку, с точки зрения пользователей, доменные пароли пригодны для авторизации на облачных серверах, причем внешние облачные серверы не получают доступа к элементам Active Directory и их не нужно включать в домен. Периодическая смена паролей тоже значительно облегчается (а в некоторых случаях становится наконец-то возможной), поскольку внутренние и внешние процессы авторизации разделены.

ЖУРНАЛЬНЫЕ ЗАПИСИ В ОБЛАКЕ

Как и любая другая система, облачные серверы тоже создают журнальные записи (Log Data). Однако специалисты часто забывают о том, что журнальные записи могут служить важным источником информации при проведении инженерно-технических экспертиз (особенно для динамически запускаемых и останавливаемых облачных серверов). При необходимости такой экспертизы, к примеру, в случае хакерской атаки, эти данные (при их наличии) зачастую оказываются единственной зацепкой, ведь соответствующие облачные серверы уже могут быть выведены из эксплуатации.

Поэтому сохранение важных журнальных записей (вход/выход пользователей, целостность системы, обновления) за весь срок службы облачного сервера является важной и необходимой мерой. Только сбор данных, их объединение и вывод на внешние инструменты, к примеру на сервер Syslog, платформу безопасности с функцией проверки журналов или на систему управления событиями информационной безопасности (Security Information and Event Management, SIEM), позволят осуществить их последующий анализ. Атака на группу облачных серверов может остаться незамеченной, если атаки злоумышленника станут направляться каждый раз на новый сервер, но после вывода журнальных записей за пределы облачных серверов и выполнения их систематизации такое поведение можно будет быстро обнаружить (см. Рисунок 1).

Рисунок 1. Правильно подобранные решения безопасности позволят администратору получить представление о статусе используемых облачных ресурсов и своевременно обнаружить цепочку атак, нацеленных на разные облачные ресурсы.
Рисунок 1. Правильно подобранные решения безопасности позволят администратору получить представление о статусе используемых облачных ресурсов и своевременно обнаружить цепочку атак, нацеленных на разные облачные ресурсы.

 

УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ

С точки зрения обеспечения безопасности облака представляют собой лишь одну из разновидностей инфраструктурных платформ, пусть даже с высокой степенью автоматизации. Разумеется, и в облаке не обойтись без процессов, которые хорошо зарекомендовали себя в традиционных физических системах. Такие основополагающие функции, как межсетевой экран, IDS/IPS, виртуальное закрытие уязвимостей (Virtual Patching) и антивирусы, являются обязательными элементами любой концепции безопасности, будь то физические, виртуальные или облачные системы. А вот задачи, возникающие при управлении этими функциями, в различных инфраструктурах отличаются.

Необходимо, чтобы все серверы из локальных, внутренних или внешних облаков были идентифицированы и интегрированы в концепцию управления безопасностью. При использовании облачных сервисов этого можно добиться посредством прямой интеграции с брокером облачных сервисов, который в любой момент может предоставить информацию о наличии различных облачных серверов. Сопоставлять вручную параметры эксплуатируемых серверов с требованиями систем безопасности в динамических средах невозможно, а при попытках такого сравнения возникают многочисленные ошибки.

ФИЛЬТРАЦИЯ ДАННЫХ

К сожалению, в этом случае действует принцип самого слабого звена: если какой-либо облачный сервер не интегрирован в систему управления безопасностью, то есть не защищен в достаточной мере, то для злоумышленников именно он является наиболее привлекательной мишенью. А когда информация о всех облачных серверах предоставляется автоматически, независимо от их расположения, с помощью профилей безопасности можно оперативно вносить изменения для любого количества облачных серверов.

Вместе с тем, это позволяет централизованно контролировать изменения, производимые на облачных серверах (к примеру, в файлах или реестре). Чтобы снизить трудоемкость отслеживания таких событий, необходимо обеспечить автоматическую фильтрацию этих данных посредством специализированного ПО — сортировать вручную все события, к примеру при обновлении стандартной системы Linux или Windows, не получится. Благодаря автоматической фильтрации «положительных» событий появляется возможность подробнее изучить оставшиеся, обнаружить вероятные несанкционированные действия и отследить их.

 

Балансируя на канате: выбор между новыми возможностями цифровой эпохи и безопасностью

Дмитрий Ушаков — руководитель отдела по подготовке и внедрению технических решений Stonesoft Russia.Независимо от того, связан ваш бизнес с Интернетом или нет, в вашей компании все равно есть информационная cеть.

Компьютерные сети упрощают логистику и финансовые операции, способствуют продуктивной работе сотрудников, где бы они ни находились, и обеспечивают сохранение данных. Возрастающие темпы интеграции физического и цифрового мира привели к появлению среды, полной новых возможностей для обучения, ведения совместной деятельности и повышения ее эффективности. В ближайшем будущем почти все устройства, как и люди, будут связаны друг с другом электронными коммуникациями.

Все это ведет к растущей популярности облачных вычислений, виртуализации и мобильности, распространению интеллектуальных датчиков и интересу к использованию персональных устройств для решения бизнес-задач (BYOD).

Однако не все потенциальные цифровые возможности заведомо приводят к успеху. Киберпреступники, хакеры и враждебно настроенные по отношению к другим странам государства стремятся воспользоваться нестабильностью и пробелами в безопасности, возникающими при развитии этих новых тенденций. С ростом взаимозависимости между физическим и электронным мирами крайне важное значение приобретают сбалансированные меры кибербезопасности, которые позволили бы получить максимальный эффект, использовать преимущества новых цифровых моделей и при этом держать под контролем их негативные стороны.

ОБРЕТЕНИЕ СТРАТЕГИИ: В ПОИСКАХ ОРИЕНТИРА

Цифровизация бизнеса — залог успеха, но, увы, у большинства организаций отсутствует какая-либо киберстратегия. Не понимая сопутствующих опасностей, которым они себя подвергают, многие организации не обладают стратегическим пониманием того, как можно свести к минимуму угрозы безопасности и воспользоваться открывающимися возможностями.

Чтобы полностью воспользоваться достоинствами сбалансированной киберстратегии, необходимо разработать два интегрированных плана — реализации цифровых преимуществ и обеспечения безопасности. Для их успешного претворения в жизнь компаниям нужно использовать преимущества стратегического руководства, продемонстрировать стремление к цели и обеспечить постоянный контроль при четком понимании задач и стимулов. Стратегия должна исходить из того факта, что киберфункции приобретают ключевую роль в достижении бизнес-успеха.

РЕАЛИЗАЦИЯ ЦИФРОВЫХ ПРЕИМУЩЕСТВ

Первым шагом к разработке сбалансированной киберстратегии является создание плана реализации преимуществ цифрового мира, для чего необходимо исследовать, какие возможности и выгоды открывают перед организацией новые технологии. Для этого потребуется изучение и углубленный анализ как уже существующих цифровых решений, так и тех, которые будут разработаны в ближайшем будущем.

В первую очередь следует изучить следующее: технологии, обеспечивающие более простой обмен информацией, а также дающие выигрыш в эффективности за счет масштаба, виртуализации и миграции в облако; инновации в области коммуникаций и совместной работы; возможность максимального использования социальных технологий с помощью краудсорсинга и вовлечения заказчиков в процесс исследований и разработок, развития продуктов и маркетинга.

ЦИФРОВАЯ БЕЗОПАСНОСТЬ

Кроме того, чтобы свести к минимуму риски, создаваемые инновационными решениями, нужно разработать план обеспечения безопасности. И прежде всего следует позаботиться об обеспечении устойчивости за счет осведомленности о ситуации, эффективного и действенного управления безопасностью и операциями, а также о создании и поддержке динамичной системы безопасности и противодействия.

Эпоха изолированных решений, нацеленных на защиту отдельных информационных систем, закончилась. Новые подходы должны предусматривать упреждающие стратегии, в рамках которых выявляются и отрабатываются первые признаки опасности, проводится активное тестирование, анализируются поведенческие тенденции, а инструменты и методы противодействия атакам постоянно обновляются в соответствии с изменениями мышления хакеров и применяемых ими методов. Чтобы обеспечить централизованное управление, стандартизацию и быстрое принятие решений безопасности в масштабе всей организации, необходимо целостное (360 градусов, 24/7) представление о всей сетевой инфраструктуре организации, ее ИТ-ресурсах, процессах и событиях.

ЦИФРОВАЯ ГИБКОСТЬ

Последним краеугольным камнем в данной стратегии является способность к гибкости. С развитием цифровых возможностей должна эволюционировать и система информационной безопасности. Выстраивание жестких барьеров и использование статических аппаратно-зависимых технологий позволят лишь идти в ногу с изменениями и инновациями, в то время как хакеры действуют быстрее, опережая способность бизнеса организовать защиту.

Для успешной защиты уровень организации систем безопасности должен быть выше среднего, а условия для проникновения в информационные системы настолько сложными, чтобы затраты времени и усилий, направляемые на взлом, оказывались для хакеров невыгодными. Для компании «лучшая практика» заключается в том, чтобы сравнивать себя с конкурентами и непрерывно развивать не только свою способность к обороне, но и готовность к нападению.

ЦИФРОВАЯ РЕВОЛЮЦИЯ НЕ ДОЛЖНА ЗАСТАТЬ ВРАСПЛОХ

Интернет всегда был и будет великолепным источником и катализатором инноваций. Для успешной конкуренции компаниям следует находить подходящие для себя кибервозможности.

В то же время овладение ими может подвергнуть компанию дополнительному риску, ведь непрерывность бизнес-процессов начинает в большей степени зависеть от надежности сети, партнеры получают доступ к корпоративным данным, а электронное взаимодействие и сотрудничество превращаются в важнейшие элементы взаимодействия с заказчиками. Даже если организация не пользуется Интернетом, игнорировать эти риски нельзя.

Очень важно найти баланс между риском и выигрышем. Составляющие такого баланса специфичны для каждой организации и зависят от степени опасности, которую она считает приемлемой для достижения конкретных показателей возврата инвестиций. Однако руководители предприятий должны быть осмотрительны, знать о возможных угрозах и не упускать их из виду, увлекаясь технологическими инновациями, что потенциально может внести негативные коррективы в уже утвержденные стратегии развития, а в конечном счете — повредить способности бизнеса планировать и реализовывать поставленные задачи.

Дмитрий Ушаков — руководитель отдела по подготовке и внедрению технических решений Stonesoft Russia.

 

ЗАЩИТА ДАННЫХ

Предоставление надежно защищенного облачного сервера для обработки данных — это лишь первый шаг при использовании облачных сервисов. На втором и третьем этапах требуется переместить данные на защищенный облачный сервер и позаботиться о том, чтобы они и в облаке (то есть за пределами сферы физического доступа клиента) оставались в безопасности. Последнее можно обеспечить с помощью полного шифрования виртуальных жестких дисков: в случае необходимости получения доступа данные расшифровываются при считывании, а затем снова зашифровываются при записи на диск. Благодаря этому можно избежать ситуаций, когда незашифрованная информация попадает в системы длительного хранения провайдеров услуг или сохраняется в виде резервных копий.

При шифровании данных всегда возникает вопрос о ключах. Их хранение на облачном сервере нецелесообразно, поскольку каждый, кто имеет доступ к облачным серверам или шаблонам, мог бы получить доступ к ключу — а значит, и к расшифрованным данным. Набор пароля при запуске системы, как это принято в локальных решениях для шифрования данных, затруднен в связи с отсутствием настоящей консоли, однако идея неплоха. Физический ввод ключа заменяется запросом, который облачный сервер отправляет внешнему источнику — серверу управления ключами (Key Management Server, KMS).

ШИФРОВАНИЕ ДАННЫХ Сервер KMS проверяет идентификационные данные (к примеру, по облачному серверу, IP-адресам, шаблонам, ЦОД или местонахождению) и целостность (брандмауэр, установленные заплаты, наличие активного антивирусного сканера) облачного сервера, направившего запрос, — точно так же, как это делает человек при традиционном шифровании жестких дисков. В случае успеха ключ предоставляется либо автоматически, либо после подтверждения вручную уполномоченным лицом. После этого облачный сервер получает доступ к данным — до тех пор, пока не окажется нарушена его целостность или идентичность.

Решающим фактором для обеспечения безопасности такого решения является раздельная эксплуатация облачного сервера и сервера управления ключами (см. Рисунок 2): если оба размещены у (одного и того же) провайдера облачных сервисов, то вся информация снова оказывается собранной в одном месте. Хорошей альтернативой является установка сервера KMS в локальном ЦОД или в качестве внешней услуги у другого сервис-провайдера.

Рисунок 2. Для более надежного использования облачных сервисов управление ключами должно быть отделено от облачных серверов.
Рисунок 2. Для более надежного использования облачных сервисов управление ключами должно быть отделено от облачных серверов. 

 

РАЗДЕЛЬНОЕ АДМИНИСТРИРОВАНИЕ КЛЮЧЕЙ

Помимо вышеупомянутого варианта шифрования жестких дисков с раздельным управлением ключами при предоставлении инфраструктуры в качестве сервиса (Infrastructure as a Service, IaaS), эта концепция встречается и при реализации модели предоставления платформы как услуги (Platform as a Service, PaaS). Информация зашифровывается таким образом, что в базы данных, предоставляемые провайдером облачных сервисов, в виде открытого текста она не попадает. В этом случае необходимые для работы с зашифрованными данными ключи тоже контролируются пользователем.

Оба указанных метода не следует путать с шифрованием данных на стороне провайдера, когда данные шифруются провайдером перед их перемещением на системы хранения или при резервном копировании (такой подход применяется, к примеру, в сервисе Amazon S3 Server-Side Encryption). Эта технология позволяет защитить информацию от злоумышленников, даже если те получат физический доступ к жестким дискам (украденные данные будут непригодны для использования), но не убережет от злоупотребления должностными полномочиями со стороны сотрудников провайдера облачных сервисов.

 

Защита в зависимости от облачной модели

Максим Чирков — руководитель направления развития сервисов ЭП компании «Аладдин Р.Д.».Рынок облачных сервисов растет быстрыми темпами, поэтому и вопросы безопасности их использования стоят очень остро. На территории Российской Федерации работа с такими сервисами имеет свою специфику в силу законодательных требований обязательной защиты информации, например персональных данных, врачебной тайны и т. д. В первую очередь необходимо определиться с подходами к решению вопросов ИБ при различных реализациях облачных сервисов.

Модель «ПО как сервис» (Software as a Service, SaaS) подразумевает обработку и хранение всех данных на стороне провайдера. В данном случае приходится полностью доверять принятым им мерам и технологиям защиты информации. Использование SaaS для обработки, скажем, персональных данных — причем как в техническом плане, так и в организационно-правовом — возможно только в доверенных инфраструктурах. Поэтому единственным применением этой модели представляется реализация частных облаков, когда доверенный провайдер является подразделением или подведомственной организацией вышестоящего органа.

При этом особое внимание следует уделить вопросам доступа к сервису SaaS. Для его защиты необходимы строгая двухфакторная аутентификация пользователей с помощью отчуждаемых носителей (USB-токенов или смарт-карт), например eToken, и передача данных в зашифрованном виде. Для этой цели подходят HTTPS или VPN с поддержкой сертифицированной «российской» криптографии, шифрование выборочных данных на прикладном уровне посредством подключаемого модуля браузера или же описанное автором статьи решение с применением собственных proxy-серверов, которые защищают коммуникацию с провайдером.

Модель «платформа как сервис» (Platform as a Service, PaaS), как и SaaS, при обработке персональных данных применима только при работе с доверенным провайдером. И на нее тоже распространяются все вышеперечисленные подходы (с некоторым расширением).

Кардинальную противоположность SaaS представляет модель «инфраструктура как сервис» (Infrastructure as a Service, IaaS). В данном случае потребителю предоставляется готовая инфраструктура. Это может быть как виртуальная машина, так и целая сеть. При обращении к услугам недоверенного провайдера следует контролировать доступ на уровне гипервизора, иначе все попытки построить эффективную защиту будут сродни построению крепких ворот без забора. При этом задача обеспечения информационной безопасности сводится к комплексной защите удаленного подразделения с применением зарекомендовавших себя традиционных методов, применяемых в физических системах.

В случае недоверенного провайдера при использовании любой модели актуально хранение данных в облаке в зашифрованном виде. Особую остроту этому вопросу придает популярность общедоступных сервисов Data as a Service и Database as a Service, которые не предусматривают защищенного взаимодействия между провайдером и потребителем, нарушая требования регуляторов в области ИБ. Когда HTTPS или VPN с сертифицированной «российской» криптографией не используется, единственно возможным решением представляется передача данных по открытым каналам связи в зашифрованном виде. И такие предложения имеются на рынке — например, «Крипто БД» в режиме работы с шифрующим посредником (proxy). Отличительная особенность этих решений заключается в том, что управление ключами осуществляется администратором ИБ в рамках локальной инфраструктуры, а не в инфраструктуре провайдера.

Максим Чирков — руководитель направления развития сервисов ЭП компании «Аладдин Р.Д.».

 

ЗАШИФРОВАННАЯ ПЕРЕДАЧА

Но что даст зашифрованное хранение данных даже в сочетании с надежным контейнером, если передача данных осуществляется в незащищенном виде и без проверки целостности? Для безопасной обработки данных обязательным условием является их шифруемая передача. Интересный вариант представляет собой комбинация из зашифрованных данных и технологий защищенной передачи.

Большинство протоколов SSL и VPN в качестве опции поддерживают использование цифровых сертификатов для аутентификации, посредством которых проверяется идентификационная информация другой стороны, причем еще до начала передачи данных. Такие цифровые сертификаты могут храниться на виртуальных жестких дисках в зашифрованном виде, и используются они только после того, как сервер управления ключами проверит идентификационную информацию и целостность системы. Следовательно, такая цепочка взаимозависимостей позволит передавать данные только тем облачным серверам, которые прошли предварительную проверку.

Тема безопасности в облаке очень обширна. Особое внимание следует обратить на контекст, в котором работают облачные серверы: ведь во внешних облаках ближайший сосед может оказаться основным конкурентом, поэтому следует изначально исходить из того, что вы находитесь на «вражеской территории», и обеспечить соответствующие меры безопасности. К сожалению, к обещаниям, которые дают провайдеры облачных сервисов, следует относиться с осторожностью, ведь правовая ответственность за сохранность данных и их утрату возлагается на самих клиентов.

ТЕХНИЧЕСКИЕ МЕРЫ

Помимо общих правовых условий, существуют меры технического характера, соблюдение которых позволит повысить защищенность облачных ЦОД. Прежде всего все действия, направленные на улучшение их защиты и управление ими, не должны становиться помехой для работы пользователей. Это потребует, с одной стороны, применения уже проверенных инструментов и методов — частично в более расширенном формате (как в случае шифрования данных и раздельного управления ключами). С другой стороны, обязательным условием для повышения уровня автоматизации является более тесная интеграция различных функций безопасности с брокером облачных сервисов. Учет этих двух аспектов позволит в полной мере воспользоваться преимуществами облаков и не допускать компромиссов в сфере безопасности.

Удо Шнайдер — системный архитектор по региону ЕМЕА в компании Trend Micro.