IT ExpertКак это сделатьСам себе админ

Как обеспечить безопасность приложений в облаках

Егор Богомолов | 31.10.2019

Как обеспечить безопасность приложений в облаках

Сегодня эксперты четко формулируют преимущества облачных ИТ-ресурсов для корпоративных пользователей: сокращение капитальных затрат на ИТ, гибкое масштабирование, экономия бюджета. Однако несмотря на все плюсы, популярность облачных ИТ- и ИБ-услуг в нашей стране существенно ниже, чем, например, в США. Связано это с тем, что российские компании все еще настороженно относятся к передаче в облака своих данных и приложений из-за невозможности использовать привычные методы и средства контроля за инфраструктурой. Рассказываем, как правильно выстроить схему взаимодействия с облачным провайдером, чтобы максимально защитить свои продукты.

Один из главных сервисов, за которым компании обращаются в облачные хранилища, — оперативное обеспечение отказоустойчивости. Облачные технологии нивелируют риски, связанные с неквалифицированным администрированием серверных систем, ведь провайдер, обладающий опытом обслуживания многочисленных клиентов, в состоянии оперативно применять лучшие практики.

Но параллельно с этим возникают и дополнительные риски — появление облачных ИТ- и ИБ-компонентов в составе корпоративной инфраструктуры расширяет поверхность атак и набор их возможных векторов. В числе новых угроз эксперты называют атаки на механизмы доставки приложений в облака, на механизмы управления доступом, на гипервизоры, на учетные данные облачных пользователей. Облака также порождают сложности разграничения доступа к ИТ-ресурсам со стороны клиента и со стороны провайдера.

img

Поговорим о нескольких практиках, позволяющих устранить возможные угрозы и повысить уверенность в безопасности при переводе приложений в облака.

1. Использование безопасной инфраструктуры

Регулярное тестирование провайдером своей инфраструктуры на проникновение дает компании-клиенту уверенность в устойчивости сетевого решения к атакам злоумышленников (в частности, как минимум, что другой клиент в результате технического сбоя или умышленно не проникнет в нее). Поэтому имеет смысл запросить результаты таких аудитов и на их основе принимать решение о размещении своих данных.

2. Внедрение автоматизированного мониторинга

Эта мера позволит своевременно узнать о возникших проблемах и если не исправить, то хотя бы минимизировать их в кратчайшие сроки и с наименьшими потерями для бизнеса.

В настоящее время не каждый провайдер обеспечивает клиентов автоматизированными средствами мониторинга, предоставляющими детализированные результаты, потому мы рекомендуем уточнять этот аспект на стадии переговоров Но даже если поставщик облачных услуг предоставляет такие инструменты, нужно быть готовым к тому, что средства администрирования могут потребовать от клиентских системных администраторов новых нетривиальных навыков эксплуатации, а значит, и дополнительного времени на их приобретение.

img

Кроме того, специалистам компании стоит изучить типовые ошибки конфигурирования: их можно выявить, проанализировав самые распространенные инциденты у других клиентов данного провайдера.

3. Применение новых ИБ-инструментов

Эксперты обращают внимание на сложность расследования инцидентов при работе с облачными сервисами. Но этот аспект можно нивелировать, если обеспечить себя самыми современными – качественными и правильно настроенными – средствами логирования.

Как уже упоминалось, часть ИБ-функций предоставляется облачными провайдерами в виде сервисов, и этой возможностью стоит воспользоваться. Однако надо отдавать себе отчет, что среди решений, предлагаемых провайдерами, представлены далеко не все необходимые клиентам. О составлении списка нужных в вашем случае ИБ-инструментов следует позаботиться заранее, просчитывая все варианты еще на этапе выборе провайдера, чтобы уровень защиты вашего продукта не вызывал опасений.

4. Регулярный аудит приложений

Регулярный аудит самого приложения, а не только сетевой инфраструктуры – основа информационной безопасности. Он позволяет быть уверенным в уровне защищенности решения, лучше понимать потенциальные угрозы и планировать дальнейшую разработку.

Важно также отметить, что при использовании облачных ИТ-сервисов, когда ИТ-инфраструктура больше не принадлежит заказчику, меняется и процедура аудита приложений, критически важного для своевременного обнаружения уязвимостей. Прежде всего пользователям приложений нужно помнить о необходимости уведомлять сервис-провайдера о проведении аудита (например, теста на проникновение) и предоставлять ему необходимые технические и организационные детали.

Чтобы сократить риски, связанные с изменениями в процессах обеспечения ИБ при миграции в облака, компаниям также рекомендуется проводить предварительные стендовые тестовые испытания. И самое важное – четко понимать, что ответственность за обеспечение информационной безопасности в любом случае остается за компанией, о каких бы договорах об уровне предоставляемых ИБ-услуг (SLA) речь ни шла. Применение этих практик с учетом специфики облачных решений позволяет компании, помимо обеспечения высокого уровня безопасности, приобрести уникальный опыт, которым можно поделиться с другими пользователями облачных мощностей.

img

И наконец, важно построить свои отношения с провайдерами так, чтобы нивелировать с их помощью возможные риски до привычных для себя показателей. К настоящему времени на российском рынке уже сформировался список ИБ-услуг, показывающих наибольшую эффективность: в их числе встроенные в облака средства сканирования уязвимостей приложений, защита от DDoS-атак и бот-сетей, средства фильтрации трафика веб-приложений, защита от утечек данных, системы обнаружения вторжений.

Ключевые слова: информационная безопасность, атаки на облачные сервисы

Журнал: Журнал IT-Expert [№ 10/2019], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Компании сообщают

Мероприятия

13.12.2019 — 15.12.2019
Конференция «Новый год Рождения Клуба»

Переславль-Залесский

17.12.2019
Кибербезопасность: законы, люди, технологии.

Москва, Конференц-центр Newsroom, зал "Цукерберг", Поклонная ул, д.3, корпус Е4

02.04.2020
HotelCIO Exchange

Москва, Отель Бородино, Русаковская ул., 13, стр. 5

21.04.2020 — 24.04.2020
32-ая международная выставка информационных и коммуникационных услуг «Связь»

Москва, ЦВК «Экспоцентр», Павильоны 2 и 8