Бесплатно Экспресс-аудит сайта:

17.11.2020

Защита сред в публичном облаке: как не попасть в заголовки новостей

Автор: Станислав Федотин, руководитель направления Cloud Security Центра информационной безопасности компании «Инфосистемы Джет»

Введение

Облачные технологии уже давно у всех на слуху, а их использование в рамках ИТ-ландшафта компаний становится нормой. Но несмотря на зрелость технологии, кажется, не проходит и месяца, как очередная компания становится жертвой крупной атаки на облачную инфраструктуру. Например, в 2019 году злоумышленникам удалось украсть данные более 100 млн клиентов американского банка Capital One. Прошлым летом киберпреступники украли данные 140 млн посетителей сети отелей MGM, а осенью в публичном доступе были обнаружены данные 7,5 млн пользователей Adobe из-за ошибки в конфигурации.

Что же особенного в облачных средах с точки зрения ИБ и как повысить свои шансы не попасть в заголовки новостей? В статье я постараюсь ответить на эти вопросы в контексте крупнейших облаков: AWS, Azure и GCP. Тем не менее большинство принципов применимо и при работе с российскими провайдерами, развивающими собственные облачные платформы, например, Яндекс.Облако и Mail.ru Cloud Solutions.

Особенности безопасности в облаке

Одни из ключевых преимуществ облака — гибкость, скорость развертывания ресурсов и глобальный масштаб — становятся драйвером его использования для бизнеса и в то же время привносят уникальные вызовы для службы ИБ.

Гибкость подразумевает возможность использования оптимальной технологии для решения прикладных задач, будь то виртуальная машина, управляемая база данных или serverless функция. Крупнейшие облачные платформы предлагают пользователям более сотни уникальных сервисов. Каждый из них имеет свою специфику, а значит, требует отдельного анализа со стороны ИБ и разработки рекомендаций по использованию и настройке.

Легкость и скорость развертывания ресурсов приводит к тому, что ИТ-ландшафт в облаке становится высокодинамичным. Виртуальные машины могут останавливаться и появляться с различными IP-адресами, системы могут масштабироваться от единиц до десятков и сотен серверов в реальном времени, могут использоваться временные сущности, решающие прикладную задачу и исчезающие из ландшафта. Все это делает невозможным ручной контроль за конфигурациями и настройками ИБ в облаке.

Глобальные масштабы облака позволяют с одинаковой легкостью развернуть ресурсы как в Европе, так и в Китае или Южной Америке. Каждая такая точка присутствия будет соответствовать разным стандартам и требованиям регуляторов, а значит, возникает необходимость выбора допустимых для компании регионов для развертывания облачной инфраструктуры.

Дополнительной сложностью является то, что облака постоянно обновляются: добавляются новые сервисы, вносятся изменения в инструменты управления облачной средой, появляются новые точки присутствия облака.

Семь рекомендаций по безопасному использованию облаков

Очевидно, что перечисленные вызовы требуют изменения традиционного подхода к ИБ. На основе нашей практики я собрал список из ключевых аспектов обеспечения ИБ в облаке.

0. Обучение работников

Облачные платформы уникальны по своему исполнению, поэтому обучение сотрудников — неотъемлемая часть их использования. Сотрудники должны понимать как общую специфику облака, так и иметь достаточные технические навыки для выполнения должностных обязанностей. А в силу постоянного обновления облачных платформ обучение должно стать регулярным для информирования о важных изменениях.

1. Усиление аутентификации

Публичное облако находится вне сетевого периметра компании. Все взаимодействие с платформой производится через портал самообслуживания, доступный через интернет. Защита доступа к порталу является критической составляющей ИБ в облаке. Необходимо использовать многофакторную аутентификацию, предоставлять пользователям минимально достаточные привилегии для работы с облаком и отслеживать их активность.

2. Установка правил для безопасного использования облака

Облака предлагают большой набор опций по организации сред и реализации политик по ограничению доступных к использованию сервисов, предоставляемых полномочий и доступных регионов для развертывания ресурсов. Эти инструменты могут стать фундаментом для организации безопасного использования облака в компании. Например, стоит ограничить перечень доступных к использованию сервисов в промышленном контуре облака только теми, что были протестированы внутри компании и для которых разработаны рекомендации по безопасному использованию. Прочие сервисы могут быть доступны в среде разработки.

3. Соответствие требованиям регуляторов

Необходимо тщательно подходить к оценке тех мер ИБ, которые реализует облачный провайдер. Разные регионы и разные цели использования облака накладывают свои ограничения. Для оценки допустимых к использованию регионов можно использовать веб-сайты облачных провайдеров, где они публикуют информацию об актуальном статусе соответствия тем или иным стандартам, а также копии заключений о прохождении аудитов.

4. Автоматизированный контроль состояния ИБ в облаке

Учесть все нюансы по настройке ИБ в облаке весьма сложно, а постоянные изменения платформы и ИТ-ландшафта могут быстро привести к появлению новых уязвимостей. Решения Cloud Security Posture Management (CSPM) от ведущих вендоров, например, Check Point Software Technologies, Palo Alto Networks, Cisco, Fortinet, Trend Micro и других, могут помочь с:

  • постоянным мониторингом общего состояния ИБ облака,

  • проверкой облака на соответствие лучшим практикам, рекомендациям облачного провайдера и внутренним политикам ИБ,

  • отслеживанием текущего состояния ИТ-ландшафта в части развернутых ресурсов и сетевых взаимодействий

  • автоматизацией реагирования на выявленные нарушения и аномалии.

5. Микросегментация

Еще одна важная составляющая информационной безопасности в облаке — ограничение зоны поражения в случае компрометации какого-либо из ресурсов. Для этого можно задействовать встроенные механизмы облака, позволяющие выделить системы в отдельные сетевые сегменты, а также обеспечить контроль между компонентами систем, разрешив только необходимые для работы сетевые соединения.

6. Управление инцидентами и мониторинг ИБ

Необходимо ознакомиться и использовать доступный в облаке инструментарий по журналированию и мониторингу событий. Эти решения могут быть интегрированы с SIEM-системой для организации централизованного мониторинга событий ИБ. Еще один важный шаг — адаптация процессов по управлению инцидентами ИБ с учетом специфики и инструментария облака.

Пример фреймворка для защиты облаков

Выше я перечислил только ключевые рекомендации, однако обеспечение ИБ в облаке — это комплексная задача, включающая как уникальные для облака подходы и решения, так и классические контроли ИБ.

Например, наша команда для ее решения разработала фреймворк на основе лучших мировых практик, в том числе рекомендаций Cloud Security Alliance, рекомендаций облачных провайдеров и собственного опыта реализации ИБ-проектов.

В своем подходе мы охватываем защиту частных и публичных облаков, облачных приложений и внешних сервисов, например, платформ закупок, сайтов партнеров и т. д.

Центральная часть нашего фреймворка — контроли ИБ, которые выделены в пять уровней:

  • защита доступа;

  • защита данных;

  • защита приложений;

  • защита инфраструктуры;

  • процессы ИБ, адаптированные под облако.

Контроли на каждом из уровней применяются для защиты четырех ключевых областей:

  • пользователи, взаимодействующие с облачными средами;

  • защита платформы и сред частного облака;

  • защита сред в публичном облаке;

  • защита внешних взаимодействий.

Использование фреймворка помогает нам системно подходить к вопросу обеспечения ИБ в облаке и быть уверенными в полноте и качестве проектов, реализуемых для наших заказчиков.

Резюме

В заключение хочется отметить, что хоть обеспечение ИБ в облаке и преследует те же цели, что и защита ресурсов в собственной инфраструктуре, подходы к достижению этих целей отличаются.

Облака с нами уже более 10 лет, и за это время они прошли большой путь как с точки зрения доступных инструментов ИБ, так и с точки зрения разработанных практик и подходов по организации ИБ. Применение этих подходов и глубокое понимание особенностей облака и доступного в нем инструментария позволит уверенно подойти к использованию облачных технологий внутри организации, с учетом связанных с этим рисков и доступных преимуществ.

Учитесь на чужих ошибках и не болейте.