Руслан Рахметов, Security Vision
Облачные сервисы стали важной частью цифровой жизни современного человека. Они не только предоставляют хранение и удобный доступ к личным данным с любого устройства, а также обмен и совместное редактирование файлов, управление инфраструктурой и облачные вычисления для 60-85% организаций в мире. Как и любая другая технология, облачные сервисы имеют свои риски и киберугрозы, поэтому в этой статье мы сосредоточимся на безопасности данных в «облаках».
Безопасность данных обеспечивается провайдерами классическими и рассмотренными нами в своем блоге способами и средствами защиты. Безопасность облачных сервисов – комплексный процесс, включающий в себя как действия самих пользователей, так и задачи провайдеров, такие как: физическая безопасность дата-центров, сетевая безопасность и безопасность самих данных, управление доступом и безопасность приложений.
Защита инфраструктуры дата-центров состоит из строгого контроля доступа на территорию, использование биометрических данных и круглосуточный мониторинг всех зон дата-центра системами видеонаблюдения. Сохранность же данных в рамках управления непрерывностью бизнеса поддерживается контролем оптимальных условий температуры и влажности для защиты оборудования и защитой от стихийных бедствий и иных катастроф. Классические источники бесперебойного питания и другие резервные источники электричества защитят данные от потерь, связанных с физическим воздействием на серверы и прочее оборудование.
С другой стороны, безопасность обеспечивается на уровнях сети (защита от несанкционированного доступа из внешних сетей при помощи брандмауэров, создание безопасных соединений между пользователями и облаком и системы обнаружения и предотвращения вторжений для выявления и блокирования атак). Особое место в защите трафика занимают и решения для защиты от распределённых атак типа «отказ в обслуживании» (DDoS, Denial of Service) и защиты веб-приложений от различных уязвимостей (SQL-инъекции, межсайтовый скриптинг XSS и др.).
А безопасность самих данных начинается с качественного шифрования данных как в состоянии покоя, так и регулярное создание резервных копий данных для восстановления в случае потери (или вымогательств с применением шифровальщиков). Ведение подробных журналов действий пользователей для анализа и расследования инцидентов дополняет средства защиты и позволяет пусть не проводить активные действия, но качественно и быстро расследовать происходящие инциденты.
Провайдеры облачных услуг постоянно совершенствуют свои системы защиты и разрабатывают новые методы для предотвращения угроз, но в любом текущем состоянии часть функция защиты данных зависят и от самих пользователей. Если подходить к задаче выбора надёжного сервиса основательно, то стоит начать с изучения отзывов и рейтингов, прочтения политик безопасности провайдера. Не стесняйтесь спросить совета у близких или в профильных сообществах, а вот несколько экспертных советов и ключевых действий, которые вы можете выполнить самостоятельно:
- не используйте непонятные, малоизученные и непроверенные временем и отзывами пользователей сервисы;
- используйте сильные пароли (сложные, с использованием букв разных регистров и спецсимволов);
- создавайте уникальные пароли для разных сервисов (в случае потери одного из них вы не потеряете все данные;
- помните, что пароли нужно периодически обновлять, поставьте для этого напоминание на смартфоне;
- включите двухфакторную аутентификацию для всех своих учётных записей, связанных с личными и рабочими данными;
- выберите несколько сервисов для одновременного использования для сохранности данных и/или создавайте локальные бэкапы.
- шифруйте данные сквозным образом или дополнительно защищайте архивы с важными данными паролем до выгрузки в хранилище;
Злоумышленники могут попытаться вас обмануть, чтобы получить доступ к вашим данным в облаках, но выполняя рекомендации выше вы сформируете надёжные эшелоны защиты. Также целью злоумышленников могут стать и сотрудники провайдера, для управления подобным риском компании обеспечивают обучение сотрудников помимо применения различных средств защиты, описанных в первой части статьи. Злоумышленники могут также использовать боковые каналы атак для получения информации, например, путём анализа времени выполнения операций или потребления ресурсов, такой своего рода анализ для будущего взлома может быть обнаружен применением машинного обучения для поиска аномалий в сетевой трафике. Также провайдеров мотивируют регуляторы, выпускающие различные стандарты безопасности, таких как ISO 27001, GDPR, 152-ФЗ, PCI DSS и HIPAA для различного типа данных.
Особый способ организации хранилища использует децентрализацию. Технологии блокчейна в 2024 году внедряются не только в области торрентов, NFT и цифровых валют, существуют наработки по децентрализации хранилищ и прозрачности транзакций и для облаков. Только в этом случае разработчикам предстоит уделить больше внимания шифрованию данных и вопросам конфиденциальности.
Последнюю часть статьи мы посвятим обзору разрешений и выданных доступов, фундаментального принципа безопасности в облачных средах. Он заключается в систематической проверке и переоценке доступа пользователей к данным и ресурсам. Цель такого обзора – минимизировать риски несанкционированного доступа и предотвратить утечки данных.
Если мы говорим про применение облаков для компаний, стоит помнить, что обязанности сотрудников и проекты могут меняться, меняются и необходимые им разрешения. Со временем могут появиться неиспользуемые или избыточные разрешения, которые могут стать потенциальной угрозой.
Мы рекомендуем соблюдать несколько принципов для похожих случаев:
- каждый пользователь должен иметь только те разрешения, которые необходимы для выполнения своих задач;
- разрешения, которые больше не нужны пользователю, необходимо отслеживать и своевременно удалять;
- необходимо проверять, соответствуют ли текущие разрешения пользователя его текущим обязанностям.
Используйте инструменты для автоматизации процесса сбора данных о разрешениях и выявления аномалий, внедрите процессы управления активами для аккаунтов и их доступов, внедряйте инструменты с ИИ для анализа больших данных или вручную управляйте доступами сотрудников в рамках процессов изменения должностей и увольнений сотрудников. Стоит мониторить и разрешения, предоставленные внешним пользователям (например, подрядчикам, аутстаффу и аутсорсу).
Если же мы сфокусируемся на личном применении облачных сервисов, регулярный обзор разрешений также будет полезной привычкой. Изучите своё облачное хранилище и удалите старые ссылки доступа, включите уведомления о подключении новых пользователей к общему фотоальбому или папке, периодически обновляйте свои пароли. Не доверяйте всем подряд при предоставлении доступа к своим данным и помните, что безопасность в облаке – это совместная ответственность провайдера и пользователя. Следуя этим советам, вы значительно снизите риски потери или компрометации ваших данных, даже если вы доверяете провайдеру.