Данные в облаках: скрытая угроза или четко рассчитанные риски?

Основные принципы информационной безопасности в ЦОДах

Автор: Борис Меркулов, инженер по облачным технологиям и информационной безопасности компании Linxdatacenter

Постоянное развитие облачных сервисов и мобильных технологий напрямую отражается на современных дата-центрах. Новые формы сетевой связанности между компаниями, госструктурами и пользователями, а также рост объема информации ведут к повышению уровня сложности систем безопасности хранения и обработки данных в облаках. Какими же принципами следует руководствоваться при создании защитного периметра в ЦОДах?

Рост доверия

Чем больше число людей, которым необходим доступ к информации в облаке, тем выше требования к инструментам защиты данных. Современный пользователь в среднем работает с двумя различными cloud-сервисами, подключаясь к ним как минимум с двух различных устройств, что добавляет головной боли IT-администраторам. Облако сохраняет свою привлекательность и экономический смысл только в том случае, если провайдер может гарантировать высочайший уровень защиты данных от всех видов угроз. Сегодня недоступность сервисов даже на миллисекунды неприемлема для компаний малого и среднего бизнеса, не говоря уже о крупных корпорациях и структурах национального и транснационального масштаба.

С другой стороны, обеспечение необходимой степени защиты упирается в требование сохранить высокую скорость и уровень удобства при работе с информацией и приложениями в облаках. То есть те ЦОД, которые делают ставку в своем развитии на портфолио cloud-сервисов, должны решить эту задачу как можно быстрее и эффективнее, либо они покинут рынок в ближайшие два-три года.

Исследование Clutch.co показывает, что 64% компаний считают облака более безопасной средой для работы своих IT-систем, чем собственные локальные legacy-системы.

75% из тех, кто уже использует облако, предпринимают дополнительные меры безопасности вкупе с тем, что идет «в пакете» от провайдеров облаков. 61% задействуют сервисы шифрования данных, 52% используют более строгие правила доступа к данным и корпоративным приложениям, а 48% делают ставку на частый аудит систем информационной безопасности (ИБ).

Кибервзломщикам все равно, где именно и в каком виде хранятся интересующие их данные. Виртуальные машины или традиционные физические серверы – разницы нет. То есть в этом отношении

защита информации в облаке мало чем отличается от традиционных схем организации ИБ: шифрование данных, контроль доступа и средства восстановления данных в случае атаки или блокировки доступа к ним

Относительно новая точка возможных атак – распространенность API, которые могут стать слабым звеном системы и уязвимостью облачных платформ.

Человеческий фактор

Исследование Crowd Research Partners показало, что 90% организаций сегодня больше всего волнуются по поводу киберугроз, исходящих от инсайдеров. 53% специалистов по IT-безопасности подтвердили, что сталкивались с подобными инцидентами в своей практике за предшествующие исследованию 12 месяцев. 27% опрошенных также указали, что подобные атаки стали сегодня обыденностью.

Данные исследования CA Technologies за 2018 год дополняют картину. Главным фактором риска респонденты назвали слишком высокое количество пользователей с расширенными полномочиями доступа (37%), растущее число устройств, с которых осуществляется доступ к корпоративной IT-системе и важным данным (36%), а также постоянное усложнение архитектур IT-систем (35%).

Типичный сценарий: слабый пароль на виртуальную машину, которая обменивается данными с внешним сегментом сети. Ее легко взламывают боты, постоянно сканирующие IT-ресурсы на подобного рода слабые места. Происходит проникновение, и далее все зависит от завязанных на данной машине ресурсов. Таким образом, самое слабое звено в любых архитектурах и системах – это не ОС, не СКУД (система контроля и управления доступом), не алгоритмы шифрования, а люди, которые всем этим управляют.

Смягчить проблему человеческого фактора можно постоянными тренингами по ИБ всех сотрудников ЦОД, включая финансовые, коммерческие и HR-отделы. Это поможет повысить общий уровень безопасности всех операций.

Каждый сотрудник обязан уяснить, что в современных условиях полагаться на слово коллеги, или представителя компании-партнера, или клиента – недопустимо. Любые отговорки – «я забыл свой пропуск», «я от Иванова, по его поручению, мне нужно получить доступ» – не должны приниматься, даже если имеет место хорошее личное знакомство с человеком, который призывает «по мелочи» нарушить протокол. Угроза может прийти к вам в ЦОД и через письмо с непонятным вложением, которые откроет сотрудник коммерческой службы и не обратит должное внимание на него, подумав, что это обычный спам.

Внимание к «физике»

Физический уровень – важнейшая составляющая ИБ в ЦОД, облака не исключение.

Сегодня акцент делается исключительно на уровень безопасности программного обеспечения и сетевых настроек, тогда как «физику» обсуждают гораздо меньше. И зря.

Кибербезопасность начинается именно с качественного контроля физического доступа к серверам, компонентам сетевой инфраструктуры и системам хранения данных (СХД)

Этому уровню защиты облачных решений в ЦОД необходимо уделять ровно столько же внимания, сколько и всем остальным элементам «надстройки». К физическому уровню относятся:

• Система оповещения. Датчики несанкционированного проникновения, движения, открытия/закрытия дверей – все они должны посылать оповещения ответственным сотрудникам в случае аномальных ситуаций.
• Контроль доступа. Ограничение круга лиц, имеющих доступ в определенные зоны, залы и помещения ЦОД; использование разных форм идентификации личности.
• Видеонаблюдение. Обязательное обеспечение максимального охвата камер наблюдения за площадями внутри ЦОД, включая выделенную камеру на каждый ряд стоек.
• Датчики температуры, влажности и дыма. Профилактика любых коммунальных аварий и сбоев в работе инженерных систем.

Следует позаботиться и о физической безопасности IT-инфраструктуры: состояние оборудования в стойках должно контролироваться так же тщательно, как и инженерная составляющая ЦОД. Вышедший из строя HDD и его замена станут фактором риска для непрерывности работы дата-центра и его облаков.

Аудит состояния оборудования в целях профилактического обслуживания и учета отработавших свой ресурс компонентов – обязательный элемент ИБ в дата-центре. Эта процедура помогает исключить кражу списанного жесткого диска, на котором могут оставаться данные, имеющие ценность для злоумышленников. Стирание данных со старых носителей и их физическое уничтожение, а также высокая степень отслеживаемости пути отработанного оборудования от стойки до утилизации – гарантия целостности периметра ИБ.

По мере автоматизации системы управления дата-центров возрастают все типы рисков, связанные с IoT и ролью этих технологий в работе систем умного управления помещениями. Манипуляции с BMS-системой здания, где расположены стойки, могут причинить ущерб работе ЦОД и завязанных на нем систем.

Пять шагов к безопасному облаку

Первый шаг на пути к достижению высокого уровня безопасности в облаках – прозрачность всех данных, маршрутов их перемещений, точек доступа к ним для внутренних служб. Если система безопасности в ЦОД не позволяет видеть в онлайн-режиме каждый сервер, роутер и порт, а также устройства, через которые доступ к данным получают пользователи со стороны клиента, возможности по предотвращению утечек и проникновений существенно снижаются.

Второй аспект – способность разворачивать и далее управлять системой ИБ на основе набора инструментов от нескольких вендоров, дополняющих друг друга. Безопасность сегодня невозможно обеспечить каким-то одним инструментом, особенно когда речь идет о ЦОД и облаках.

Третий важный фактор – сотрудники. Уровень подготовленности, технической оснащенности и компетентности хакеров требует адекватного ответа от «светлой стороны». Персонал дата-центра на всех уровнях должен не только профессионально отвечать на возникающие угрозы, но и вести проактивную деятельность по предотвращению и минимизации утечек и проникновений с целью полного исключения подобных эпизодов. Это самый сложный для практического воплощения компонент, поскольку хакерский софт, типы угроз и эксплойтов меняются в режиме реального времени. ИБ-стратегии в XXI веке должны носить максимально пластичный и адаптивный характер с перспективой достижения автоматического ответа на инциденты.

Четвертый момент – архитектура сетевой составляющей ЦОД, в которой ни один из сегментов (облачный, офисный, внешний и т. д.) не пересекается с любым другим. Необходимо соблюдать принцип полной изоляции сетей друг от друга, а также использовать для критически важных данных участки сети, полностью отрезанные от выходов «вовне» – подсети типа ДМЗ (демилитаризованная зона – сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных), ограниченные с помощью специальных шлюзов, межсетевых экранов и более жестких протоколов шифрования.

Наконец, пятый элемент – грамотный расчет стоимости защищаемой информации относительно выбранной системы защиты: внедрение DLP-решений, к примеру, нужно осуществлять при доказанной рентабельности такого проекта, то есть при высокой стоимости защищаемых данных. В каких-то случаях для качественной защиты достаточно оптимизации рабочих процессов и небольшого апгрейда инфраструктуры.

Полезные инструменты

В перспективе в обеспечении безопасной работы облачных платформ большое значение будут иметь следующие факторы:

• Искусственный интеллект. ИИ сможет взять на себя ряд задач в области ИБ, упрощая и автоматизируя рутинные процедуры. Уже сегодня отдельные ИИ-решения выполняют эту роль в публичных и частных облаках. К примеру, они используют общедоступные данные об угрозах для формирования актуальных ИБ-политик и настройки конфигурации периметра безопасности ЦОД, не прерываясь на дополнительное согласование. ИИ также хорошо зарекомендовал себя в поведенческом анализе пользователей для идентификации и предотвращения внешних и внутренних угроз.
• Шифрование. Имеет смысл применять селективный подход к этой составляющей. Шифровать все данные нецелесообразно, тогда как гарантия успеха – составление маршрутов движения данных в системе с последующим определением массивов информации, подлежащих защите с обязательным расчетом экономической целесообразности проекта.
• Мониторинг инфраструктуры. Миграция в облако требует применения новых стратегий ИБ, например, изменения настроек файерволов и виртуальных сетей.
• Автоматизация. Интеграция систем безопасности дата-центров с практиками DevOps (взаимодействие разработчиков и специалистов по обслуживанию) позволит ускорять развертывание новых приложений и быстрее вводить необходимые перемены в коммерческую практику. Акцент здесь должен делаться на адаптивной архитектуре ИБ и инструментах управления ИТ-системой в формате DevSecOps (контроль безопасности и разработка осуществляются параллельно).

Преимущества «песочницы»

Необходимо понимать, что хакеры практически всегда найдут способ взлома ИБ-периметра. Угрозы 0-day (нулевого дня) существуют для любых компонентов систем информационной безопасности. 

Главная цель любой системы ИБ, помимо предотвращения вторжений, заключается в недопущении распространения последствий взлома на всю инфраструктуру ЦОД

Для этого систему нужно настроить так, чтобы при выявлении несанкционированного взаимодействия с элементами IT-инфраструктуры срабатывала блокировка любых запросов от пораженного участка.

С 0-day успешно борется sandbox, или «песочница», – тестовая среда, в которой запускается файл на проверку. Если обнаруживается подозрительное поведение (например, обращение файла к функциям администрирования системы), он удаляется без шансов на проникновение в рабочую среду. Хакеры придумывают обходные пути, например, вкладывая в файл PDF-изображения эротического содержания. Человек задержит свое внимание на такой картинке. Это станет сигналом для программы, что она находится не в «песочнице», где все файлы запускает машина автоматически, а в рабочей среде IT-системы. А значит, можно запускаться и внедряться в участки, которые обеспечат доступ к данным, являющимся целью атаки.

***

В итоге единственный действенный рецепт – это комплексный подход к защите данных: от дверей ЦОД до конкретной стойки, уровня ПО и сетевых компонентов. 80% ИБ-инцидентов сегодня происходит из-за неправильной настройки или ошибки эксплуатации системы, а лучшая защита в этих случаях – использование комбинации успешных кейсов под конкретную задачу и конкретного заказчика штатом компетентных специалистов.

Изображение: lori.ru