Контакты
Подписка
МЕНЮ
Контакты
Подписка

Безопасность облака. С поправкой на человеческий фактор

В рубрику "Видеонаблюдение (CCTV)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Безопасность облакаС поправкой на человеческий фактор

Всего несколько лет прошло со времени терминологических дебатов о содержательном значении термина "облачные технологии", а уже сегодня мы наблюдаем их повсеместное проникновение в сфере ИТ. Изначально это наступление серьезно сдерживалось технологической, а иногда и юридической неподготовленностью участников рынка обеспечить должную управляемость и безопасность внедряемых решений. Но экономические аспекты подстегивали производителей решать эти вопросы скорейшим образом
Дмитрий Семынин
Директор департамента инфраструктуры
информационных систем компании "АМТ Групп"

К настоящему времени был накоплен довольно большой арсенал средств обеспечения безопасности, которым могут воспользоваться разработчики облачных сред. Cущественно изменился и был пересмотрен ландшафт угроз, стал применяться другой подход для системы оценки репутации файлов и сертификатов безопасности. В то же время появилась возможность по-другому спланировать архитектуру решений по управлению учетными записями, системой идентификации и средствами предотвращения утечек информации.

5 способов повысить безопасность

Рассмотрим основные элементы эффективного повышения безопасности технологического стека.

Изоляция инфраструктуры виртуализации

Одновременное использование кластера хостов для размещения виртуальных машин с применением виртуализации сети (обеспечивается технологиями VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service) позволяет ограничить доступ к самой инфраструктуре. После окончания развертывания виртуальной среды управление ею даже с административными правами осуществляется без прямого доступа к аппаратным средствам. Особое внимание необходимо обратить на формирование прав и ролей, а также на ограничение привилегированного доступа к управлению ресурсами виртуальных сред.

Ограничение в управлении изменениями разных уровней приложений

Жизненный цикл любого приложения предусматривает периодическое внесение изменений, что может повлечь за собой риски в существующей архитектуре. В связи с этим проведение плановых изменений кода приложений должно проходить обязательный цикл тестирования, а также мониториться на предмет соответствия требованиям идентификации пользователей и предоставления им адекватных прав доступа к ресурсам.

Организация экстенсивного мониторинга

Жизненно важной необходимостью в обеспечении безопасности облачной среды является постоянный мониторинг ее производительности и изменяемости. Такой мониторинг может выполняться несколькими независимыми специализированными приложениями, которые должны содержать аналитические модули, позволяющие выявлять события, несущие в себе угрозы целостности либо риск снижения доступности основных сервисов.


Безопасность конечных устройств доступа

Устройства конечного доступа должны быть оснащены специальными средствами защиты от утечки конфиденциальных данных даже в случае утери или хищения устройств. Наиболее распространенным средством является применение VPN, наряду с системой двойной идентификации для контроля доступа к конфиденциальным данным.

Комплексный сетевой мониторинг

В дополнение к перечисленным мерам повышения безопасности необходимо осуществлять мониторинг всего поступающего внешнего трафика на предмет анализа поведения и обнаружения аномальной активности, требующей немедленного реагирования.

5 основных видов угроз

Следует рассмотреть основные виды угроз, с которыми повсеместно можно столкнуться при построении облачной среды.

Традиционные атаки на ПО

Уязвимости операционных систем, модульных компонентов, сетевых протоколов – традиционные угрозы. Соответственно, занимаясь защитой от таких угроз, важно иметь инструментарий, который эффективно работает в условиях виртуальных средств.

Эффективность эксплуатации и большая гибкость облачной инфраструктуры позволяет сосредоточиться на новых сервисах для обслуживания бизнес-задач

Функциональные атаки на элементы облака

Этот тип атак использует многослойность облака для поиска уязвимостей в одном из физических или программных компонентов. Например такие, как DDoS-атаки, либо другие типы атак, направленные на отказ в обслуживании одного из взаимосвязанных компонентов. Эти атаки могут быть одной из составляющих частей более широкого вторжения или являться отвлекающим маневром.

Атаки на клиента

Данный тип атаки нацелен как на хищение конфиденциальной информации, так и на поиск ключей для проникновения (например, хищение паролей, перехват трафика и т.д.). Наиболее эффективной защитой от такого типа атак является шифрование трафика, двойная идентификация, а также применение решений BYOD для мобильных устройств.

Атаки на гипервизор

Целью таких атак является, как правило, получение доступа к ресурсам других виртуальных машин для перехвата данных или вытеснение для организации отказа в обслуживании.

Атаки на системы управления

Получение контроля над системой управления может привести к появлению виртуальных машин-невидимок, способных блокировать одни виртуальные ресурсы либо подменять их другими.

Security as a Service

В связи с высокой сложностью облачного ландшафта традиционные системы защиты не успевают в своем развитии за вредоносными программами, охватывающими все больше платформ, включая атаки и на мобильные устройства. Стандартным средствам сложно работать с подобными уязвимостями – выявление вредоносного кода, подготовка сигнатур и алгоритмов по удалению вирусов, а также профилактические мероприятия чрезвычайно трудоемки. Как следствие, на рынке появилась и набирает популярность концепция SecaaS (Security as a Service), которая через некоторое время займет свое достойное место в облачном стеке, прикрыв щитом многослойность других сервисов.


Тем не менее, несмотря на все технические и методологические успехи в выработке решений по безопасности облачной среды, самым большим риском был и остается человеческий фактор. Именно вопросы безопасности чаще всего тормозят решения по оптимизации корпоративной инфраструктуры в пользу облачных сервисов.

10 причин утечки информации

Американский исследовательский институт Ponemon Institute провел анализ причин, по которым в организациях различных отраслей происходили инциденты нарушений общих правил безопасности, несущих риск утечки конфиденциальной информации. Вот десять наиболее часто встречающихся инцидентов:

  1. Подключение к информационной системе через незащищенные сети.
  2. Сохранение информации на своем компьютере без необходимости работы с ними.
  3. Обмен паролями с другими пользователями.
  4. Использование одинаковых паролей в разных системах.
  5. Использование внешних носителей без шифрования информации.
  6. Оставление компьютера без присмотра.
  7. Утеря внешнего носителя, содержащего конфиденциальную информацию.
  8. Работа на ноутбуке в общественных местах или в дороге.
  9. Хранение конфиденциальных данных на ноутбуке во время путешествий.
  10. Подключение к информационным системам с личных мобильных устройств.

Это стандартные риски, которые относятся к безопасности информационных систем, без коррекции на облачность. Но для подразделений ИТ, имеющих непосредственное отношение к созданию и поддержке частного облака, влияние человеческого фактора начинается еще на этапе обсуждения и проектирования перехода в облачную среду. В работу оказываются вовлечены руководители подразделений, бизнес-процессы которых затрагивает изменение технологии обслуживания средствами ИТ.

Человеческий фактор

Безопасность облачной среды требует комплексного подхода с использованием разнообразных технологических средств обеспечения безопасности, мониторинга, а также средств идентификации и управления. При этом комплексный аудит всех систем на предмет безопасности и/или соответствия определенным стандартам является чрезвычайно сложной организационной задачей. Одним из аспектов риска безопасности систем, помещаемых в облако, является автоматизация управления такой инфраструктурой, которая приводит к опасениям персонала потерять место работы в рамках улучшенной архитектуры, что может повлечь саботаж либо деструктивные действия по отношению к создаваемой инфраструктуре. Данные опасения необходимо пресекать, направив потенциал персонала в творческое русло.

Несмотря на все технические и методологические успехи в выработке решений по безопасности облачной среды, самым большим риском был и остается человеческий фактор

Эффективность эксплуатации и большая гибкость облачной инфраструктуры позволяет сосредоточиться на новых сервисах для обслуживания бизнес-задач. Использование облачных компонентов позволяет делать бизнес-сервисы более динамичными и изменяемыми под конкретные потребности клиентов; сокращать время создания инфраструктуры под такие сервисы; существенно экономить время на тестирование новых продуктов и услуг, выводимых на рынок. Таким образом, персонал может быть вовлечен в формирование новых конкурентных преимуществ собственного бизнеса. Это существенно снижает озвученные риски и делает ИТ-службу союзником службы безопасности, полноценным участником целостности информационной среды предприятия не только в технологической, но и процедурно-регламентной ее части.

Опубликовано: Спец.приложение "Video & Vision"-2014
Посещений: 5707

  Автор

Дмитрий Семынин

Дмитрий Семынин

Директор департамента инфраструктуры
информационных систем компании "АМТ Групп"

Всего статей:  1

В рубрику "Видеонаблюдение (CCTV)" | К списку рубрик  |  К списку авторов  |  К списку публикаций