Close

Общие сведения об облачной безопасности

Что такое облачная безопасность?

Облачная безопасность — это технология и процессы, внедряемые с целью защиты облачной инфраструктуры, данных и приложений. Подобно тому, как меры физической безопасности (надежные дверные замки, охрана на местах, процедуры регистрации в здании) защищают офисное здание, меры облачной безопасности (принцип «нулевого доверия», система единого входа и др.) защищают компанию от цифрового взлома.

Независимо от выбранного варианта инфраструктуры — публичное облако (с размещением на общем сервере), частное облако (на частном сервере) или гибридное облако (комбинация двух предыдущих), — обеспечение безопасности остается первоочередной задачей большинства компаний, и не без оснований. Только за первую половину 2019 г. произошло более 3800 утечек данных объемом 4,1 миллиарда записей. Средняя стоимость одной утечки составляет 3,92 млн $.

Сравнение облачной и локальной безопасности

Для многих компаний очень важно получить ответ на вопрос: действительно ли облако так же безопасно, как локальная среда? В первые годы существования облака ответ был: «Не совсем». Но с тех пор мы прошли долгий путь, и сегодняшний ответ может вас удивить.

По имеющимся данным, облако сейчас более безопасно, чем локальная среда. Действительно, 94 % всех перешедших в облако компаний уверены, что после перехода их безопасность повысилась. По данным опроса TechValidate, 92 % из 300 перешедших в облако клиентов Atlassian считают, что безопасность в облаке такая же или выше, чем в локальной среде.

Джарретт Проссер, ведущий инженер компании Rollercoaster Digital, делится впечатлениями после миграции его компании в облако Atlassian: «Стабильность и безопасность стали значительно выше, чем в локальной среде. Возможность масштабирования индивидуальных пользовательских лицензий экономически очень выгодна».

Основные различия между локальной и облачной безопасностью

Почему безопасность в облаке намного выше? Ответ заключается в тщательном тестировании безопасности, разработке планов аварийного восстановления, использовании шифрования данных при передаче и хранении и применении других отраслевых рекомендаций. Не говоря уже о том, что в облаке применяется принцип «нулевого доверия», который предполагает использование нескольких проверок безопасности там, где в локальной среде обычно ограничиваются лишь одной.

Локальная среда: ров безопасности

Когда мы говорим, что в локальной среде обычно ограничиваются одной проверкой безопасности, то имеем в виду, что большинство локальных систем построено по принципу «крепости со рвом», где система — это крепость, а ров — проверка безопасности (обычно корпоративная VPN-сеть и брандмауэр). Эта система хорошо работает до тех пор, пока не преодолен ров. А после — «Хьюстон, у нас проблемы». Потому что злоумышленники не просто взломали систему — они получили доступ ко всей информации. Пала вся крепость.

Облако: принцип «нулевого доверия»

Согласно принципу «нулевого доверия» предпочтение отдается не однократным проверкам безопасности, а непрерывному контролю. Основные положения принципа:

  • частая аутентификация на основе учетных данных, устройства и т. д.;
  • предоставление доступа только к необходимой информации;
  • сквозное шифрование сеансов.

Вместо того чтобы автоматически считать безопасным все, что находится за брандмауэром, принцип «нулевого доверия» предусматривает аутентификацию, авторизацию и шифрование каждого запроса доступа.

Иными словами, облако, основанное на принципе «нулевого доверия», функционирует как ряд островов. В отличие от подхода с единственным рвом в локальной среде, здесь каждый остров имеет собственный ров. И преодоление одного рва не открывает доступ к другим островам. А значит, уязвимость одной системы или проблема с одной учетной записью не подвергает опасности всю экосистему островов.

Облако: система управления учетными данными

Система управления учетными данными в облаке включает в себя определение ролей, а также управление ролями и доступом отдельных пользователей к облачным системам и их компонентам. Хорошая программа управления учетными данными должна создавать отдельный идентификатор для каждого пользователя и предоставлять пользователям доступ к инструментам и системам в зависимости от назначенных им прав.

Основные функциональные возможности, которыми должна обладать облачная система управления учетными данными:

  • система единого входа на базе SAML, которая позволяет пользователям обращаться к нескольким продуктам и системам, используя единый безопасный вход;
  • двухфакторная аутентификация пользователей;
  • политики паролей, основанные на рекомендациях по выбору паролей;
  • приоритетная поддержка для скорейшего разрешения проблем с безопасностью.

Главные условия облачной безопасности

Если вы планируете перейти в облако, ознакомьтесь с тремя советами, которые помогут обеспечить максимальную безопасность:

1. Выбирайте подходящих поставщиков

По данным опроса TechValidate, 92 % из 300 перешедших в облако клиентов Atlassian считают, что в облаке безопасность осталась такой же или стала выше. Но так может быть не у всех поставщиков облачных решений. Поэтому когда дело касается безопасности, выбор поставщика имеет значение.

Хорошая новость в том, что на рынке есть достаточно поставщиков облачных решений, которые отвечают необходимым требованиям. Зачастую поставщики облачных решений выделяют больше ресурсов на обеспечение безопасности, конфиденциальности и соответствия требованиям, чем может себе позволить обычная ИТ-организация. Не говоря уже о том, что у многих поставщиков есть команды профессионалов, которые воплощают в жизнь новейшие рекомендации по безопасности. Ведь репутация поставщиков — и их платформ в целом — основывается на доверии клиентов.

Как понять, отвечает ли поставщик облачных решений вашим требованиям к безопасности и конфиденциальности? При оценке поставщиков облачных решений:

  • выясните, какие сертификаты соответствия требованиям они имеют;
  • подумайте, какие типы данных ваши команды будут вводить в приложение и какие бизнес-риски повлечет за собой возможность их утечки (помните, что меры по управлению рисками зависят от типа данных);
  • выясните, как поставщик собирается управлять правами и доступом каждого пользователя к данным в системе.

2. Несите совместную ответственность

Поставщик облачных решений берет на себя решение множества задач, связанных с обеспечением безопасности. Но это не снимает с вас ответственности. Самые защищенные компании работают совместно с поставщиками для обеспечения безопасности своих систем и данных.

Хороший поставщик облачных решений должен нести ответственность за безопасность приложений, систем, на которых они выполняются, и сред, в которых они размещены. Обычно они выполняют автоматическое обновление и устранение багов без привлечения вашей команды.

Со своей стороны, ваша команда должна нести ответственность за управление аккаунтами, пользователями и правами доступа, а также за приложения Marketplace, которые вы устанавливаете и которым доверяете.

3. Планируйте оперативное управление

Безопасность требует оперативного управления как со стороны поставщика облачных решений, так и со стороны вашей команды. Ваша команда должна следить за обновлениями безопасности и политик поставщика облачных услуг и любых приложений. Кроме того, она должна регулярно проводить аудиты с целью обнаружения теневых ИТ-ресурсов или ненадлежащего хранения данных за пределами ваших систем. Такие данные должны быть возвращены под контроль системы безопасности.

Риски облачной безопасности (и как их снизить)

Теневые ИТ-ресурсы

Теневым ИТ-ресурсом считается использование любой системы или инструмента без разрешения и контроля со стороны ИТ-команды. Количество теневых ИТ-ресурсов растет быстрыми темпами вслед за быстрым ростом числа доступных, дешевых, а иногда и бесплатных инструментов. По данным McAfee, когда компании начинают разбираться с собственными теневыми ИТ-ресурсами, они обычно обнаруживают что их в десять раз больше, чем ожидалось.

Как это угрожает облачной безопасности? По мнению Gartner, директора по ИТ должны переформулировать свои вопросы и вместо того, чтобы спрашивать о безопасности облака, спросить: «Безопасно ли я использую облако?».

Данные свидетельствуют о том, что облачные инструменты используют все компании — даже те, которые, как им кажется, работают в локальной среде. Просто ИТ-команда не всегда об этом знает.

Чтобы снизить риски, связанные с использованием теневых ИТ-ресурсов, нужно прежде всего провести аудит инструментов, применяемых в компании. Тогда вы узнаете, как на самом деле выглядит ваша экосистема теневых ИТ-ресурсов. Следующими шагами должны быть:

  • оценка безопасности этих инструментов;
  • повышение безопасности и помещение инструментов под контроль ИТ-команды;
  • прекращение использования небезопасных инструментов и предоставление сотрудникам приемлемых аналогов.

Также важно иметь документированные политики в отношении теневых ИТ-ресурсов и позаботиться о том, чтобы сотрудники знали, что от них требуется и почему.

Политика использования собственных устройств (BYOD)

Одним из важных преимуществ облака является то, что оно позволяет сотрудникам работать из любой точки мира и с различных устройств. При этом все устройства должны соответствовать вашим стандартам безопасности. Для снижения риска работы сотрудников на небезопасных устройствах многие компании используют политики BYOD, которые определяют:

  • действия, которые разрешены или запрещены сотрудникам при работе на устройствах, не принадлежащих компании (имеются ли определенные данные, к которым они не должны обращаться или которые не должны загружать? имеются ли приложения, доступ к которым разрешен только с безопасных устройств компании?);
  • все сайты, приложения и варианты использования с ограниченным доступом (или небезопасные);
  • что произойдет, если устройство сотрудника с данными компании будет украдено и данные нужно будет стереть;
  • требования безопасности к устройствам, с которых возможен доступ к данным компании (например, требования к паролю);
  • политики оплаты (если сотрудник использует устройство для работы, должна ли компания полностью или частично оплатить его счет?).

Видимость и безопасность данных

Чтобы соответствовать требованиям GDPR, закону Калифорнии о защите персональных данных и другим нормативным требованиям, которые появляются каждый год, очень важно обеспечить конфиденциальность данных. Не говоря уже о том, что сотрудники и клиенты ожидают от вас ответственного отношения к их конфиденциальной информации.

Чтобы снизить риск утечки данных или несоблюдения требований GDPR, необходимо найти поставщиков, которые шифруют данные при передаче и хранении, предъявляют к сторонним приложениям высокие требования в отношении конфиденциальности данных и имеют облачные продукты, изначально соответствующие требованиям законодательства о конфиденциальности данных.

Безопасность приложений

Любой уважающий себя поставщик должен сформулировать требования к безопасности используемых сторонних приложений. Ищите поставщиков с высокими требованиями к безопасности; эти поставщики должны отвечать требованиям GDPR и иметь программы вознаграждения за найденные ошибки (Bug Bounty). Если вы собираетесь использовать внешние приложения или интеграции, не проверенные вашим поставщиком, имеет смысл привлечь эксперта для оценки всех угроз безопасности.

Безопасность в Atlassian

92 % клиентов Atlassian не зря считают, что безопасность в облаке не ниже, а возможно и выше. Она встроена в структуру наших облачных продуктов, инфраструктуру и процессы, и мы стремимся постоянно ее укреплять.

Прозрачность — основной принцип нашей философии безопасности. Поэтому мы совместно с Альянсом безопасности облачных вычислений (CSA) работаем над тем, чтобы все наши рекомендации, политики и другие материалы были доступны всем для ознакомления.

Подробнее о том, как Atlassian защищает свои системы и данные, можно узнать, посетив наш Центр безопасности или изучив следующие дополнительные ресурсы по безопасности:

* По результатам опроса TechValidate, в котором участвовало более 320 клиентов Atlassian.


Перейдите в Центр безопасности


Продолжение темы

Облачная платформа

Посетите Центр безопасности Atlassian

Получите актуальную информацию о безопасности, надежности и конфиденциальности продуктов и сервисов Atlassian, а также об их соответствии требованиям.

Миграция в облако

Подробнее о миграции в облако

Ресурсы, инструменты и поддержка — все для того, чтобы понять, подходит ли облачное решение вашей организации.