Угрозы безопасности в облаке

Главные угрозы безопасности в облаке: хищения данных, потери данных, взлом аккаунтов, бреши в интерфейсах и API, DDos-атаки, действия инсайдеров, возможность проникновения хакеров, а также простои по вине провайдера.

Основные угрозы

Cloud Security Alliance (CSA), некоммерческая отраслевая организация, продвигающая методы защиты в облаке, недавно обновила свой список главных угроз в отчете, озаглавленном «Облачное зло: 9 главных угроз в облачных услугах в 2013 году».

CSA указывает, что отчет отражает согласованное мнение экспертов о наиболее значительных угрозах безопасности в облаке и уделяет основное внимание угрозам, проистекающим из совместного использования общих облачных ресурсов и обращения к ним множества пользователей по требованию.

Отчет, опубликованный в понедельник, имеет целью помочь пользователям облака и поставщикам облачных услуг внедрить лучшие стратегии снижения риска.

Итак, главные угрозы...

Кража данных

Кража конфиденциальной корпоративной информации — всегда страшит организации при любой ИТ-инфраструктуре, но облачная модель открывает «новые, значительные магистрали атак», указывает CSA. «Если база данных облака с множественной арендой не продумана должным образом, то изъян в приложении одного клиента может открыть взломщикам доступ к данным не только этого клиента, но и всех остальных пользователей облака», — предупреждает CSA.

Потеря данных

Данные, хранящиеся в облаке, могут быть украдены злоумышленниками или потеряны по другой причине, пишет CSA. Если поставщик облачных услуг не внедрит должные меры резервного копирования, данные случайно может удалить сам провайдер или они пострадают при пожаре или стихийном бедствии. С другой стороны, заказчик, который шифрует данные до того, как выгрузить их в облако, вдруг потерявший шифровальный ключ, также утратит свои данные, добавляет CSA.

Кража аккаунтов / Взлом услуг

В облачной среде взломщик может использовать украденную регистрационную информацию, чтобы перехватывать, подделывать или выдавать искаженные данные перенаправлять пользователей на вредоносные сайты, пишет CSA. Организациям следует запретить раздачу своих регистрационных данных другим служащим и использование одних и тех же паролей для всех сервисов. Нужно также внедрить надежную, двухфакторную аутентификацию для снижения риска, рекомендует CSA.

Незащищенные интерфейсы и API

Слабые интерфейсы ПО или API, используемые заказчиками для управления и взаимодействия с облачными услугами, подвергают организацию целому ряду угроз, пишет CSA. Эти интерфейсы должны быть правильно спроектированы и обязательно включать аутентификацию, управление доступом и шифрование, чтобы обеспечить необходимую защиту и готовность облачных услуг.
CSA добавляет также, что организации и сторонние подрядчики часто используют облачные интерфейсы для предоставления дополнительных услуг, что делает их более сложными и увеличивает риск, поскольку может потребоваться, чтобы заказчик сообщил свои регистрационные данные такому подрядчику для упрощения предоставления услуг.

DDoS-атаки

На облако могут быть предприняты атаки типа «отказ в обслуживании», которые вызывают перегрузку инфраструктуры, заставляя задействовать огромный объем системных ресурсов и не давая заказчикам пользоваться этой услугой. Внимание прессы чаще всего привлекают распределенные, или DDoS-атаки, но есть и другие типы DoS-атак, которые могут блокировать облачные вычисления, пишет CSA. К примеру, злоумышленники могут запустить асимметричные DoS-атаки прикладного уровня, используя уязвимости в Web-серверах, базах данных или других облачных ресурсах, чтобы завалить приложение с очень малой полезной нагрузкой.

Злонамеренный инсайдер

В среде IaaS, PaaS или SaaS, где не обеспечен должный уровень безопасности, инсайдер, имеющий неблаговидные намерения (например, системный администратор), может получить доступ к конфиденциальной информации, которая ему не предназначена, предупреждает CSA.
Системы, которые в обеспечении безопасности полагаются только на поставщика облачных услуг, подвергают себя большому риску, пишет CSA. «Даже если внедрено шифрование, если ключи не хранятся только у заказчика, будучи доступны лишь на время пользования данными, то система всё еще подвержена злонамеренным действиям инсайдера», — указывает CSA.

Использование облачных ресурсов хакерами

Облачные вычисления дают возможность организациям любого размера задействовать огромную вычислительную мощь, но кто-то может захотеть сделать это с неблаговидными намерениями, предупреждает CSA. К примеру, хакер может использовать совокупную мощь серверов облака, чтобы взломать шифровальный ключ в считанные минуты.
Поставщики облачных услуг должны продумать, как они будут отслеживать людей, использующих мощь облачной инфраструктуры во вред, каким образом будут выявляться и предотвращаться такие злоупотребления, пишет CSA.

Недостаточная предусмотрительность

В погоне за снижением затрат и другими преимуществами облака некоторые организации спешат использовать облачные услуги, не понимая до конца все последствия этого шага, пишет CSA. Организации должны провести обширную, тщательную проверку своих внутренних систем и потенциального поставщика облака, чтобы полностью уяснить все риски, которым они себя подвергают, переходя на новую модель.

Смежная уязвимость

В любой модели облачной доставки существует угроза уязвимости через общие ресурсы, указывает CSA. Если ключевой компонент совместно используемой технологии — например, гипервизор или элемент общей платформы — будет взломан, то это подвергает риску не только пострадавшего заказчика: уязвимой становится вся среда облака.

Ситуация с безопасностью облаков

Большинство ИТ-организаций находятся в неведении относительно того, каким образом осуществляется защита корпоративных данных в облаке — в результате компании подвергают рискам учетные записи и конфиденциальную информацию своих пользователей. Таков лишь один из выводов недавнего исследования осени 2014 года, проведённого институтом Ponemon по заказу SafeNet. В рамках исследования, озаглавленного «Проблемы управления информацией в облаке: глобальное исследование безопасности данных», во всём мире было опрошено более 1800 специалистов по информационным технологиям и ИТ-безопасности.

В числе прочих выводов, исследование показало, что хотя организации всё активнее используют возможности облачных вычислений, ИТ-подразделения корпораций сталкиваются с проблемами при управлении данными и обеспечении их безопасности в облаке. Опрос показал, что лишь в 38% организаций четко определены роли и ответственности за обеспечение защиты конфиденциальной и другой чувствительной информации в облаке. Усугубляет ситуацию то, что 44% корпоративных данных, хранящихся в облачном окружении, неподконтрольны ИТ-подразделениям и не управляются ими. К тому же более двух третей (71%) респондентов отметили, что сталкиваются с всё новыми сложностями при использовании традиционных механизмов и методик обеспечения безопасности для защиты конфиденциальных данных в облаке.
С ростом популярности облачных инфраструктур повышаются и риски утечек конфиденциальных данных Около двух третей опрошенных ИТ-специалистов (71%) подтвердили, что облачные вычисления сегодня имеют большое значение для корпораций, и более двух третей (78%) считают, что актуальность облачных вычислений сохранится и через два года. Кроме того, по оценкам респондентов около 33% всех потребностей их организаций в информационных технологиях и инфраструктуре обработки данных сегодня можно удовлетворить с помощью облачных ресурсов, а в течение следующих двух лет эта доля увеличится в среднем до 41%.

Однако большинство опрошенных (70%) соглашается, что соблюдать требования по сохранению конфиденциальности данных и их защите в облачном окружении становится всё сложнее. Кроме того, респонденты отмечают, что риску утечек более всего подвержены такие виды хранящихся в облаке корпоративных данных как адреса электронной почты, данные о потребителях и заказчиках и платежная информация.
В среднем, внедрение более половины всех облачных сервисов на предприятиях осуществляется силами сторонних департаментов, а не корпоративными ИТ-отделами, и в среднем около 44% корпоративных данных, размещенных в облаке, не контролируется и не управляется ИТ-подразделениями. В результате этого, только 19% опрошенных могли заявить о своей уверенности в том, что знают обо всех облачных приложениях, платформах или инфраструктурных сервисах, используемых в настоящий момент в их организациях.

Наряду с отсутствием контроля за установкой и использованием облачных сервисов, среди опрошенных отсутствовало единое мнение относительно того, кто же на самом деле отвечает за безопасность данных, хранящихся в облаке. Тридцать пять процентов респондентов заявили, что ответственность разделяется между пользователями и поставщиками облачных сервисов, 33% считают, что ответственность целиком лежит на пользователях, и 32% считают, что за сохранность данных отвечает поставщик сервисов облачных вычислений.

Более двух третей (71%) респондентов отметили, что защищать конфиденциальные данные пользователей, хранящиеся в облаке, с помощью традиционных средств и методов обеспечения безопасности становится всё сложнее, и около половины (48%) отмечают, что им становится всё сложнее контролировать или ограничивать для конечных пользователей доступ к облачным данным. В итоге более трети (34%) опрошенных ИТ-специалистов заявили, что в их организациях уже внедрены корпоративные политики, требующие в качестве обязательного условия для работы с определёнными сервисами облачных вычислений применения таких механизмов обеспечения безопасности как шифрование. Семьдесят один (71) процент опрошенных отметили что возможность шифрования или токенизации конфиденциальных или иных чувствительных данных имеет для них большое значение, и 79% считают, что значимость этих технологий в течение ближайших двух лет будет повышаться.

Отвечая на вопрос, что именно предпринимается в их компаниях для защиты данных в облаке, 43% респондентов сказали, что в их организациях для передачи данных используются частные сети. Примерно две пятых (39%) респондентов сказали, что в их компаниях для защиты данных в облаке применяется шифрование, токенизация и иные криптографические средства. Еще 33% опрошенных не знают, какие решения для обеспечения безопасности внедрены в их организациях, и 29% сказали, что используют платные сервисы безопасности, предоставляемые их поставщиками услуг облачных вычислений.

Респонденты также считают, что управление корпоративными ключами шифрования имеет важное значение для обеспечения безопасности данных в облаке, учитывая возрастающее количество платформ для управления ключами и шифрования, используемых в их компаниях. В частности, 54% респондентов сказали, что их организации сохраняют контроль над ключами шифрования при хранении данных в облаке. Однако 45% опрошенных сказали, что хранят свои ключи шифрования в программном виде, там же, где хранятся и сами данные, и только 27% хранят ключи в более защищенных окружениях, например, на аппаратных устройствах.

Что касается доступа к данным, хранящимся в облаке, то шестьдесят восемь (68) процентов респондентов утверждают, что управлять учетными записями пользователей в условиях облачной инфраструктуры становится сложнее, при этом шестьдесят два (62) процента респондентов сказали, что их в организациях доступ к облаку предусмотрен и для третьих лиц. Примерно половина (46 процентов) опрошенных сказали, что в их компаниях используется многофакторная аутентификация для защиты доступа сторонних лиц к данным, хранящимся в облачном окружении. Примерно столько же (48 процентов) респондентов сказали, что в их компаниях применяются технологии многофакторной аутентификации в том числе и для защиты доступа своих сотрудников к облаку.

Рекомендации

• Роль ИТ-подразделений постепенно меняется: перед ними стоит задача приспособиться к новым реалиям облачных ИТ. ИТ-подразделения должны рассказывать сотрудникам о проблемах безопасности, разрабатывать комплексные политики по управлению данными и по соблюдению законодательных требований, разрабатывать рекомендации по внедрению облачных сервисов и устанавливать правила относительно того, какие данные можно хранить в облаке, а какие — нет.
• ИТ-подразделения способны выполнить поставленную перед ними миссию по защите корпоративных данных и одновременно выступать в роли инструмента в реализации «Теневых ИТ», реализуя меры по обеспечению безопасности данных, например, внедряя подход `encryption-as-a-service` («шифрование в виде сервиса»). Подобный подход позволяет ИТ-отделам централизованно управлять защитой данных в облаке, обеспечивая другим подразделениям компании возможность самостоятельно находить и пользоваться облачными сервисами по необходимости.
• По мере того, как всё больше компаний хранят свои данные в облаке, а их сотрудники всё активнее пользуются облачными сервисами, ИТ-подразделениям необходимо уделять больше внимания реализации более эффективных механизмов для контроля за пользовательским доступом, таких как многофакторная аутентификация. Это особенно актуально для компаний, которые обеспечивают третьим лицам и поставщикам доступ к своим данным в облаке. Решения многофакторной аутентификации могут управляться централизованно и обеспечивать более защищенный доступ ко всем приложениям и данным, где бы они ни размещались — в облаке, или на собственном оборудовании компании.

Источник: TAdviser.ru