Rambler's Top100
Статьи ИКС № 4 2021
Александр ВЕТКОЛЬ  20 сентября 2021

Чек-лист безопасности облачных сервисов

Как сделать облачную инфраструктуру не менее защищенной, чем классическую инфраструктуру on-premise? Прежде, чем переходить к выбору конкретных инструментов, есть смысл определить основные направления работы по защите данных в мультиоблачных средах.

По данным аналитической компании Gartner, глобальный доход от предоставления облачных сервисов в 2022 году вырастет практически на треть по сравнению с 2020 годом и достигнет $364 млрд. Уже не нуждается в подтверждении то, что решения IaaS, PaaS и SaaS становятся все популярнее. 

Переход в облака позволяет компаниям достичь недоступной прежде гибкости бизнес-процессов, одновременно сократив капитальные затраты, которые при построении классической инфраструктуры on-premise были бы неизбежно велики. Последняя пока сохраняет как минимум одно, но весьма важное преимущество – данные в ней хранятся на стороне компании и могут быть защищены куда более надежно. А в случае утечки или порчи информации винить будет некого, кроме самих себя.

Важной причиной все ускоряющегося процесса повсеместной «облачной трансформации» являются, конечно, и растущая доля сотрудников, работающих удаленно, и тенденция к созданию полностью распределенных коллективов, которые могут иметь глобальный охват. В таких сценариях инфраструктура on-premise по финансовым показателям и трудозатратам на подготовку вчистую проигрывает распределенным облачным сервисам, уже развернутым и одинаково доступным из любой точки планеты.

Еще один драйвер этой тенденции – оптимизация расходов. Возможность платить только за реально потребленные ресурсы делает облачные сервисы гораздо привлекательнее собственных дата-центров, операционные расходы на которые почти постоянны, даже если большая часть ресурсов простаивает.

Может ли облачная инфраструктура быть не менее защищенной, чем дата-центр на площадке компании? По данным исследования «Лаборатории Касперского», 26% российских компаний выражают свое беспокойство по этому поводу. В мире в целом эта цифра еще выше (что странно, обычно именно наши специалисты более полно осознают риски, на которые они никак повлиять не могут) – 33% сомневающихся хотя бы в сравнимом уровне защищенности.

Облачные угрозы

С ростом популярности облаков неизбежно растет и количество связанных с ними инцидентов информационной безопасности. И если, по различным оценкам, по доказанной вине провайдеров облачных услуг происходит около 11% подобных событий, то более 30% вызваны человеческим фактором – сотрудники компаний становятся жертвами приемов социальной инженерии. Если говорить о подтвержденных утечках корпоративных данных из облака, то, по данным упомянутого исследования «Лаборатории Касперского», 90% подобных случаев произошли из-за ошибок сотрудников.

При этом с ростом потребления облачных услуг усложняются сценарии их использования. Инфраструктуры все чаще становятся гибридными и мультиоблачными. Это, в свою очередь, усложняет и ландшафт угроз, что требует приобретения дополнительных, зачастую узконаправленных, инструментов обеспечения информационной безопасности. При планировании сокращения расходов после переноса бизнес-процессов в облака это обстоятельство надо учитывать.

Взломы последних лет дают повод задуматься. В 2015 году крупная утечка учетных записей пользователей произошла в Slack. В течение четырех дней хакеры имели доступ к инфраструктуре провайдера сервиса для совместной работы. Об этом давнем инциденте снова заговорили в 2019 году, когда оказалось, что многие из украденных «учеток» до сих пор активны и используют те же связки «логин – пароль». Компании тогда пришлось принудительно сбросить пароли примерно 1% своей аудитории.

Не менее примечательные инциденты имели место и с Zoom – сервисом для групповых видеоконференций, популярность которого взлетела до небес на фоне пандемии коронавируса. В апреле 2020 года тысячи учетных записей пользователей этой платформы были опубликованы на одном из хакерских форумов. Нередко записи приватных видеоконференций удавалось обнаружить на YouTube.

Какие ИБ-риски характерны для облаков

Каждый облачный сервис использует собственные механизмы предоставления прав доступа, свои типы данных и форматы журналов активности. Из-за отсутствия единых принципов контроля данных и обеспечения их доступности такие сервисы могут сделать компанию уязвимой перед внешними или инсайдерскими атаками. Для того чтобы эти риски имели шанс воплотиться в конкретных инцидентах, компании достаточно совершить одну из четырех основных ошибок:
  • не наладить систему контроля выдачи прав доступа. Это рано или поздно может привести к тому, что данные окажутся в распоряжении, например, уволенного сотрудника;· разрешить доступ к корпоративным данным из личных учетных записей и не установить ограничения на географическое местоположение пользователей. Личные учетные записи легко могут быть скомпрометированы, а подключение пользователя из нетипичного для него региона без предварительно согласованного разрешения почти всегда свидетельствует о том, что учетная запись украдена;
  • не вести полноценного журналирования связанных с доступом к данным активностей. Отсутствие такой информации усложнит расследование инцидентов и не позволит усилить периметр безопасности на необходимых направлениях. Отметим, что в большинстве популярных облачных сервисов встроенных инструментов наблюдения за активностью пользователей нет;
  • не отслеживать случаи нестандартного поведения пользователей. Это может привести к тому, что администратор, например, не сможет вовремя заметить массовое удаление файлов или их отправку за пределы защищаемой инфраструктуры.
Конечно, использование многофакторной аутентификации (Multi-Factor Authentication, MFA) и брокеров доступа к средам (Cloud Access Security Broker, CASB) может существенно снизить риски, но не устранить их полностью.

Чек-лист облачной безопасности

Перед тем, как переходить к практической стороне защиты данных в мультиоблачных средах и выбору конкретных инструментов, есть смысл обозначить основные направления этой работы:
  1. Для того чтобы уменьшить площадь потенциальной атаки на облачный сервис, надо следить за тем, чтобы каждый из сотрудников (возможно, на базе ролевой модели, что упростит задачу) получал лишь минимально необходимый набор прав на операции с данными. Такую работу нужно вести непрерывно – недостаточно однократно определить перечень прав при подключении работника к сервисам. Этот перечень должен постоянно пересматриваться. Если права сотрудника стали избыточными для выполнения конкретной работы (например, изменились его обязанности и, как следствие, его роль), они должны быть немедленно отозваны. Часто те работники, которые по какой-либо причине получили избыточные привилегии, начинают использовать их для целей, не связанных с рабочими процессами. Это повышает риск инсайдерской атаки, а также возможный ущерб при краже такого аккаунта.
  2. Необходимо постоянно отслеживать активность пользователей на предмет аномальных действий или нарушений принятых в компании правил работы. Отход от стандартной модели поведения укажет на возможную компрометацию учетной записи или же на недобрые намерения самого пользователя.
  3. Отслеживать надо не только активность аккаунтов, но и ее отсутствие. Если аккаунт, присвоенный сотруднику или какому-либо бизнес-процессу, длительное время простаивает, он должен быть отключен. Иначе подобный «призрак» в системе легко может стать входными воротами для хакерской атаки.
  4. Необходимо регулярно передавать отчеты о проверке прав руководителям бизнес-подразделений. Хорошо зная ситуацию в своих департаментах, они без труда определят, для каких аккаунтов и токенов приложений права должны быть изменены или отозваны.
  5. Следует подобрать инструменты безопасности таким образом, чтобы они были способны контролировать угрозы, охватывающие несколько облачных сервисов. Зачастую средства ИБ, которыми облачные платформы оснащены по умолчанию, видят только ту часть атаки, которая приходится на их инфраструктуру. Такой обзор не всегда будет полным. На рынке есть продукты, осуществляющие унифицированный контроль облачных сред и приложений с различной функциональностью.
  6. Нужно регулярно проводить аудит настроек общего доступа. Это поможет не допустить случайной или преднамеренной утечки данных просто в силу того, что конфиденциальный файл оказался в папке с излишне широкими правами.
  7. Необходимо сделать процесс отключения учетных записей и отзыва прав доступа обязательной частью процесса увольнения сотрудников или прекращения работы с подрядчиками. Это даст возможность избежать ситуации, когда часть облачных сервисов остается вне вашего контроля. Облегчить эту задачу помогут решения для управления сущностями и доступом к ним (Identity and Access Management, IAM), которые позволяют гибко работать с учетными записями сотрудников и выданными им правами доступа при изменениях их статуса, в том числе при увольнении или переводе на другую должность.
Александр Ветколь, ведущий системный инженер, Varonis
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!