Rambler's Top100
Статьи
08 ноября 2021

Доверяй, но проверяй: как преодолеть сомнения в безопасности облаков

ИБ-риски в сочетании со сложностью гибридных и мультиоблачных сред, а также нехватка квалифицированных специалистов сдерживают массовый переход бизнеса в облака. Какой стратегии следует придерживаться?

Из 200 топ-менеджеров ИТ-компаний, участвовавших в опросе Accenture, 65% назвали риски информационной безопасности и несоответствия нормативным требованиям наиболее частым препятствием для применения облачных технологий. 

Новая реальность

С началом пандемии традиционные стратегии и методы обеспечения безопасности подверглись серьезным испытаниям. Наряду с привычными угрозами взлома ИТ-систем резко увеличилась популяция вымогателей, использующих блокировку с помощью программ класса ransomware.

Современные технологии шифрования позволяют злоумышленникам блокировать компаниям доступ к файлам и информационным системам. Блокировку снять невозможно – ключ шифрования известен только преступнику. За снятие блокировки у жертвы атаки требуют деньги.

Киберпреступников нового поколения привлекают схемы с низким риском и высоким вознаграждением в случае успеха. Блокировке по данной схеме могут подвергнуться практически любые ИТ-ресурсы компании, вне зависимости от схемы развертывания, включая облачные среды. 

По данным отчета Accenture о трендах киберугроз Cyber Threat Intelligence, опубликованного в начале 2021 года, более 60% инцидентов с ИТ-системами бизнеса связано с использованием ransomware. Среднее время простоя корпоративных ИТ по этой причине составляет сегодня не менее 12 дней.

В этом свете актуализируется тезис о том, что любая миграция на новые платформы и преобразование привычных бизнес-моделей должны в первую очередь быть безопасными. Руководителям ИБ-служб необходимо повышать устойчивость ИТ-систем, адаптироваться к изменениям и заручиться на этом пути поддержкой руководства компании. 

Сумма облачных преимуществ

ИБ-риски рассматриваются как самый большой тормоз на пути перехода к облачной парадигме ведения бизнеса. В то же время при грамотном подходе безопасность ИТ-ресурсов в публичных облаках может быть обеспечена на более высоком уровне, чем в локальных инфраструктурах.

Такой эффект достигается за счет быстроты безопасного запуска ИТ в облаках, которую обеспечивают нативные ИБ-инструменты, разработанные поставщиками облачных сервисов. Это позволяет развертывать средства контроля ИТ-систем в течение нескольких минут или часов. Функционал защиты часто встроен в облачные решения, благодаря чему ИБ-инструменты действуют проактивно – осуществляют упреждающий контроль для предотвращения случайных или злонамеренных инцидентов.

Кроме того, важные характеристики ИБ в облаках – автоматизация и масштабируемость. Автоматизация сокращает количество ручных операций и позволяет отказаться от выделения дополнительных ресурсов при масштабировании. В сумме это обеспечивает хорошую экономическую эффективность, когда глубокая проработка ИБ-задач с самого начала облачного проекта дает возможность избежать дополнительных расходов.

Барьер недоверия и как его преодолеть

Сегодня до 98% крупных компаний в мире используют публичное облако и локальные элементы ИТ-инфраструктуры в рамках комбинированных решений. При этом у 53% компаний больше половины совокупного объема инфраструктуры размещается локально.

Тем не менее недоверие к облачным провайдерам сохраняется: «А что, если они похитят наши данные? А вдруг там не соблюдаются базовые правила доступа к оборудованию? Откуда мы знаем, как в облаке организована работа с данными и приложениями разных клиентов?» и т.д. Подобные вопросы способствуют формированию ряда мифов, касающихся публичных облачных платформ. 

Объем инвестиций провайдеров в инфраструктуру и ресурсы на порядки превышает размер потенциальной выгоды от систематических краж баз данных о клиентах или транзакциях бизнеса. Соотношение миллиардных инвестиций в дата-центры, «железо», софт, сеть, инженерные системы и персонал, репутационные риски и стоимость базы крупной компании – величины несопоставимые. 

Остальные мифы опровергаются с помощью четкого разделения ответственности за доступ к различным элементам ИТ-системы клиента, определения сценариев авторизованного доступа к ним, продуманной архитектуры и, конечно, встроенных средств защиты облачной платформы для критически важных данных и приложений. 

Так, детализация ИБ-угроз, проработанная на фазе проекта совместно со специалистами провайдера, позволяет построить оптимальную архитектуру облачного или гибридного приложения, которая нейтрализует большинство существующих угроз.

Что касается процессуальных рисков, включая активность злонамеренных инсайдеров на стороне провайдера, то здесь гарантию дает соответствие нормативным требованиям и стандартам управления – как общим (например, законодательству о персональных данных, ISO 27001), так и отраслевым (PCI DSS, Uptime Tier, Uptime M&O и проч.). В совокупности их наличие подтверждает зрелость процессов и мер защиты на стороне провайдера. 

Добиться аналогичного уровня управления и безопасности ИТ-инфраструктуры самостоятельно сегодня очень дорого. При грамотном разграничении ответственности и правильной настройке оборудования и софта в облаке достигается высокий уровень безопасности инфраструктуры.

Стратегический подход

Обеспечить максимальный уровень ИБ при внедрении облаков поможет продуманная и согласованная облачная стратегия, представляющий собой общий взгляд разных подразделений компании на облако и его роль в развитии бизнеса. Это подробный документ, утвержденный руководителями разных департаментов, постоянно обновляемый с учетом развития технологий, требований регуляторов и самой компании.

В стратегии облачные перспективы развития компании учитывают ее прочие устремления. Она обязательно фокусируется на улучшении бизнес-результатов, задает основные правила игры и определяет принципы управления в том, что касается облака во всех его проявлениях (IaaS, PaaS, SaaS). 

Разработка ИБ-стратегии облачного развития бизнеса состоит из четырех шагов, которые позволяют обеспечить безопасность приложений и данных компании в облаке.
  1. Определите текущий ИБ-уровень организации. Непредвзятое изучение и выявление имеющихся недостатков и уязвимостей поможет спроектировать архитектуру ИБ-решения с учетом всех возможных рисков. На этой основе можно разрабатывать «дорожную карту» для обеспечения базовой безопасности облачных сред, оптимизируя инвестиции в ИТ.
  2. Автоматизируйте базовые ИБ-инструменты. Ускорьте получение положительных результатов за счет автоматизации развертывания ИБ-периметра для собственных облачных служб, включая как частные, так и публичные облачные среды. 
  3. Обеспечьте соответствие нормативным требованиям. Снижение рисков при работе в облачных средах включает соблюдение нормативных требований регуляторов. В разных странах они различаются. Эти нюансы необходимо четко представлять и уверенно в них ориентироваться. 
  4. Используйте ИБ-мониторинг и средства реагирования. Осуществляйте мониторинг облачных ресурсов с помощью инструментов безопасности согласно сценариям противодействия меняющимся угрозам и сложным нормативным требованиям.
В качестве ориентиров можно взять такие характеристики ИТ-системы в облаке, как минимальный прямой доступ к данным, настроенные согласованные политики для частного и публичного облаков (если речь идет о гибридной схеме), а также гранулярный доступ к ИТ-системам в минимально необходимом объеме только авторизованным пользователям при возникновении необходимости.

Андрей Тимошенко, руководитель ИБ-практики в России, Accenture
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!