Популярность облачных сервисов продолжает расти — они все в большей степени агрегируют корпоративные данные, приложения и процессы. Это также значит, что предприятия вверяют им полномочия по защите своей информации, пишет на портале ZDNet независимый аналитик Джо Маккендрик.
Некоммерческая организация Cloud Security Alliance (CSA), которая занимается просветительской деятельностью в области обеспечения защиты данных в облаке, провела опрос среди 240 отраслевых экспертов с целью выявить основные проблемы, связанные с защитой информации. Согласно данным исследования «Top Threats to Cloud Computing: Egregious Eleven», большинство предприятий осознают необходимость контроля за собственными данными, предпочитая не перекладывать ответственность на поставщиков облачных услуг. Авторы исследования отмечают, что причиной большинства проблем, которые в этом году так или иначе затронули организации, стали сами организации, а не поставщики услуг.
«Актуальность традиционных проблем с облачной безопасностью, решение которых возлагается на сервис-провайдеров, начала снижаться. Значимость упомянутых в прошлогоднем отчете „Treacherous 12“ проблем, к числу которых относятся отказ в обслуживании, распространенные технологические уязвимости, потери данных по вине провайдера и системные уязвимости, упала настолько низко, что мы исключили их из нового отчета. Судя по всему, поставщики услуг начали гораздо лучше справляться с традиционными вопросами безопасности, и теперь они вызывают меньше беспокойства, но, с другой стороны, возникла необходимость устранения проблем, которые являются следствием ошибочных действий высшего руководства компаний», — говорится в отчете.
Данные исследования CSA коррелируют с недавним опросом, проведенным Forbes Insights и VMware. Он показывает, что проактивные компании не желают передавать своим облачным провайдерам вопросы, связанные с обеспечением безопасности, и лишь 31% руководителей передоверяют им большую часть мер по защите данных. Тем не менее, 94% применяют облачные сервисы для некоторых аспектов безопасности.
Всего CSA выделила 11 проблем, которые угрожают пользователям облачных сервисо, и сформулировала рекомендации по их устранению:
- утечки данных. Данные становятся главной целью кибератак. Исходя из этого, определение бизнес-ценности данных и последствий их потери имеет важное значение для организаций, которые ими владеют или обрабатывают их. Немаловажную роль в защите данных играет вопрос доступа к ним. Для защиты данных существуют общепринятые методы шифрования, но они негативно влияют на производительность системы, создавая неудобства для пользователя;
- ошибки конфигурирования и неправильное управление изменениями. Облачные ресурсы очень сложны и динамичны, и это затрудняет их конфигурирование. Как следствие, традиционные средства управления и подходы к управлению изменениями в облаке не эффективны. Во избежание проблем с конфигурированием компаниям стоит прибегнуть к инструментам автоматизации и другим технологиям, которые непрерывно сканируют облачные ресурсы и устраняют проблемы с ошибочно выбранными конфигурациями настроек в режиме реального времени;
- отсутствие архитектуры и стратегии облачной безопасности. Убедитесь, что ваша архитектура безопасности соответствует бизнес-целям и задачам. Разработайте и внедрите ее, если она у вас отсутствует;
- неэффективное управление средствами идентификации, учетными данными, доступом и хранилищем ключей. Обеспечьте защиту учетных данных, подключив двухфакторную аутентификацию и ограничьте использование корневых учетных записей. Контроль доступа и идентификация облачных пользователей должны осуществляться за счет самых строгих средств проверки личности;
- воровство («угон») аккаунта. Это угроза, к которой нужно отнестись серьезно. Чтобы предотвратить воровство учетных записей, лучше всего обратиться за помощью к специальным программным средствам для управления учетными данными пользователей (IAM) и системам углубленного контроля и управления доступом;
- инсайдерская угроза. Чтобы смягчить урон, который могут нанести торговцы инсайдерской информацией, предприятиям следует предпринять меры для его минимизации путем обучения ИБ-команд правильной установке, настройке и мониторингу ваших компьютерных систем, сетей, мобильных устройств и устройств резервного копирования. Обучите своих сотрудников тому, как им противодействовать фишингу и защищать корпоративные данные на ноутбуках и мобильных устройствах, когда они работают на удалении от офиса;
- небезопасные интерфейсы и API. Соблюдайте гигиену API, время от времени проводя инвентаризацию, тестирование, аудит и осуществляя защиту от подозрительной деятельности интерфейсов. Кроме того, рассмотрите возможность использования стандартных и открытых API-платформ (например, OCCI и CIMI);
- слабый уровень управления. Клиент, который выбирает тот или иной облачный сервис, должен провести комплексную проверку и определить, обладает ли он адекватным уровнем управления (частью сети, которая переносит сигнальный трафик и отвечает за маршрутизацию);
- отказы метаструктуры и «applistructure». Поставщики облачных услуг должны обеспечить прозрачность услуг и раскрывать меры по снижению рисков, что позволит устранить присущее облаку отсутствие открытости для арендаторов. Провайдерам следует проводить пентесты и предоставлять клиентам результаты;
- ограниченная прозрачность использования облака. Снижение рисков возможно при наличии полной подконтрольности облачного сервиса. Обязательно проводите общекорпоративные занятия по изучению утвержденных компанией облачных политик и их применению. Чтобы получить доступ к неутвержденным облачным сервисам, сотрудникам нужно будет обратиться за утверждением к архитектору облачной безопасности или стороннему разработчику, который отвечает за риск-менеджмент;
- применение облачных сервисов не по назначению. Предприятия должны контролировать действия своих сотрудников в облаке, так как традиционные облачные механизмы защиты не могут снизить риски, связанные с хранением стороннего или и вовсе противозаконного контента.