10 советов по безопасности облачных вычислений

За последние несколько лет произошел огромный сдвиг в использовании облачных технологий в бизнесе. Масштабируемость и гибкость предлагаемых услуг позволяет хорошо спроектированной облачной инфраструктуре стать чрезвычайно экономичным решением для бизнеса.

Однако из-за абстракции ресурсов ответственность за защиту данных теперь несут две стороны: клиент и поставщик облачных служб (CSP). Несмотря на то, что CSP может гарантировать физическую безопасность, безопасность сети и некоторых элементов операционной системы, в конечном итоге ответственность за защиту данных лежит на клиенте, и поэтому понимание рисков в вашей облачной среде является ключом к поддержанию безопасности.

Одним из направлений деятельности является тестирование безопасности облачных сервисов. Одна из наших услуг, которая поможет вам обеспечить надежную защиту системы: https://literafort.ru/service/pentest/

В своей работе мы выделили 10 наиболее часто встречающихся ошибок в обеспечении безопасности, о которых поговорим в этой статье.

Основные ошибки в безопасности облачных сервисов

1. Использование настроек «по умолчанию»: настройки «из коробки» часто слишком универсальны и противоречат не то, что внутренней документации и политикам организации, но даже лучшим практикам. Каждый параметр в настройках должен быть проанализирован с точки зрения влияния на безопасность и настроен соответствующим образом.
2. Чрезмерно привилегированные учетные записи и группы: при разработке системы разграничения доступа должен соблюдаться принцип наименьших привилегий. Это позволит значительно снизить потенциальное воздействие внутренних угроз, например при компрометации пользователей. Также рекомендуется использовать политику наименования групп для упорядочения назначения разрешений для каждой группы, чтобы гарантировать, что разрешения не будут назначены неправильно или останутся незамеченными.
3. Слабые пароли: извечная проблема, которая затрагивает все области ИТ и кибербезопасности. Сюда входят пароли для учетных записей пользователей, пароли и секреты приложений (веб-приложений, API, баз данных) и другие. Доступность облачных сред облегчает злоумышленникам атаки методом перебора и распыления паролей (Password Spraying).
4. Устаревшее/неподдерживаемое программное обеспечение: системы Windows с отсутствующими патчами безопасности, неподдерживаемые ОС, такие как Windows 7, устаревшие библиотеки, используемые в API, веб-приложениях и прочее, используемые или размещаемые в облаке могут стать причиной серьезных проблем для компании с точки зрения безопасности.
5. Отсутствие шифрования данных: шифрование при хранении и передаче данных является неотъемлемой частью ИТ-безопасности, особенно в публичных облачных средах, где данные хранятся удаленно вне вашего контроля и, возможно, даже страны. При передаче данные проходят через большое количество сетевых устройств, на каждом из которых они могут быть прослушаны.
6. Отсутствие мониторинга и оповещения: из-за того, что облачные сервисы размещаются и доступны удаленно, в некоторой степени это упрощает работу злоумышленнику, так как не нужно физически проникать в офис компании, обманывать пользователей или компрометировать механизмы VPN/удаленного рабочего стола. Это усиливает необходимость мониторинга и оповещения.
7. Некорректная сегментация сети: все сети должны быть правильно спланированы и защищены с помощью правил брандмауэра, групп сетевой безопасности и списков контроля доступа для ограничения потока входящего и исходящего трафика. Системы с внешним доступом также должны быть настроены таким образом, чтобы разрешить доступ только к необходимым службам. Следует также отметить, что некоторые решения бывают stateful и stateless (в зависимости от установления сессии), что влияет на правила сетевой безопасности.
8. Недостаточный контроль доступа к хранилищу: недостаточный контроль доступа к хранилищу является одной из основных причин утечек данных, связанных с облачными вычислениями.
9. Уязвимые API и бессерверные функции (Serverless Functions): размещение приложений в облаке несет дополнительные риски, например, подделка запросов со стороны сервера (SSRF), поскольку уязвимые приложения могут быть использованы для закрепления в вашей облачной платформе путем создания или раскрытия действительных учетных данных. Размещение приложений в облаке или за WAF не снизит риски безопасности.
10. Отсутствие обучения пользователей: технологии не заменят обучение безопасности и осведомленности пользователей, поскольку персонал из-за низкой квалификации может свести на нет эффективность технических средств защиты. Например, многофакторная аутентификация является отличным средством защиты, но отсутствие осведомленности пользователей могут приводить к тому, что они сообщают одноразовые пароли третьим лицам.

Эксперты могут предложить услуги обеспечения безопасности облачных сред от этапа проектирования до работы в реальных условиях для оценки защищенности и консультирования по повышению информационной безопасности.