
Чек-лист: как обеспечить безопасность облачной инфраструктуры
Безопасность
Время чтения
7 минут
По данным «Лаборатории Касперского», в марте 2022 года на российские компании совершалось в 8 раз больше DDoS-атак по сравнению с аналогичным месяцем в 2021. А в отчете за первый квартал Qrator Labs зафиксировали рекордный инцидент, в котором было задействовано 901 600 устройств. Рассказываем, как правильно защитить IT-инфраструктуру.
На рынке IaaS с 2019 по 2025 год ожидается рост до 136,21 миллиардов долларов. Переход в облако позволяет бизнесу снижать расходы, повышать доступность сервисов, ускорять работу, оперативно и с меньшими затратами масштабировать инфраструктуру. Но чтобы работа в облачной среде была безопасной, нужно использовать комплексный подход по обеспечению безопасности: от определения модели угроз до выбора конкретных архитектурных и технических механизмов защиты. Рассказываем, что нужно делать, чтобы обеспечить безопасность облачной инфраструктуры.
1. Определить ответственного за информационную безопасность в компании
Чтобы обеспечивать безопасность инфраструктуры в облаке, нужна вовлеченность сотрудников ИТ и ИБ подразделений — без этого невозможно организовать постоянный мониторинг, обновление инструментов, быстрое реагирование на инциденты, а также качественное и оперативное взаимодействие с сотрудниками облачного провайдера для совместной митигации возникающих инцидентов.
В ИТ и ИБ подразделениях компании должны быть назначены ответственные специалисты с расширенными контрольными полномочиями. Они будут взаимодействовать с провайдерами и принимать решения со стороны заказчика.
Зачастую на эту роль назначают руководителей ИТ и ИБ подразделений. Они имеют достаточно навыков для управления профильными внутренними подразделениями компании и компетенций для согласования действий с облачным провайдером.
2. Зафиксировать компетенции сторон
46% инцидентов кибербезопасности за последний год вызваны незнанием или несоблюдением основных постулатов информационной безопасности сотрудниками компании. Работа с облачными провайдерами позволяет уменьшить этот процент, так как часть ответственности по обеспечению информационной безопасности системы переходит к провайдеру.
Обязательства по обеспечению мер защиты информации фиксируются в договоре на предоставление услуг. В нем описываются:
механизмы и каналы контактирования двух сторон;
зоны ответственности сторон;
соглашение об уровне обслуживания.
Условия соглашения об уровне обслуживания (SLA) важно составлять с учетом компетенций сторон — если у заказчика нет опыта выполнения тех или иных задач, их лучше перепоручить провайдеру.
При таком подходе риски недоступности сервиса или других неоказанных услуг компенсируются согласно условиям договора. При размещении инфраструктуры полностью внутри самой компании все финансовые риски, связанные с недоступностью сервисов, остаются внутри компании.
3. Обеспечить разноуровневую защиту инфраструктуры
Защита инфраструктуры должна быть предусмотрена на всех уровнях: от физического, сетевого до логического уровня функционирования приложения и его устойчивости к возможных атакам.
Безопасность при размещении и эксплуатации оборудования. Для оценки устойчивости ЦОД применяется Tier-система. Требования Tier охватывают сферы строительства, электроснабжения, охлаждения, контроля безопасности, резервирования, ремонтопригодности и ввода в эксплуатацию.
Возможность попасть на территорию центра обработки данных (ЦОД) должна быть у ограниченного количества людей.
Физическое оборудование дата-центра должно быть защищено с помощью ограждений, постов охраны, систем видеонаблюдения, контрольно-пропускного режима.
Доступность ЦОД должна поддерживаться постоянным электропитанием, иметь несколько независимых точек подключения к провайдерам, предоставляющим каналы связи с внешним миром.

Моделирование угроз. Эту задачу можно решить как с помощью привлеченных специалистов, так и собственными силами. В зависимости от смоделированных угроз, вероятности их возникновения и возможных последствий нужно применять разные по стоимости и сложности настройки средств защиты информации.
Часть мер защиты может обеспечивать поставщик услуг:
средства контроля целостности образов виртуальных машин (ВМ) и гипервизоров;
инструменты защиты от DDoS-атак, которые будут выявлять потенциально опасную активность и своевременно принимать меры или использовать WAF для защиты web-приложений.
В качестве инструмента для защиты от DDoS-атак можно использовать сервис Anti-DDoS от Cloud. Он обеспечивает высокую точность и скорость обнаружения неправомерных действий и помогает сохранять стабильность работы даже в случае самых мощных атак.
Разработка безопасных приложений. При проектировании собственного приложения стоит обратить пристальное внимание на построение процесса безопасной разработки кода и его тестирования. Особенно, если приложение является одним из источников дохода организации и его компрометация влияет на выручку и устойчивость компании.
На что нужно обратить внимание:
проектировать в безопасном исполнении архитектуру приложения;
рассмотреть модули и библиотеки приложения с точки зрения сохранности обрабатываемых данных, их безопасной передачи между модулями и пользователями;
использовать статические и динамические анализаторы кода, которые позволяют выявлять уязвимости в программах и оперативно решать возникающие проблемы;
обеспечить устойчивость приложений под большой нагрузкой.
Сертификация. Выбранный провайдер должен соответствовать международным стандартам безопасности: ISO/IEC 27001, QSA или локальным требованиям регуляторов в части обработки персональных данных (152-ФЗ или GDPR). Сертификация позволяет подтвердить из независимого источника оценку о требуемом уровне безопасности облака. Это важно для защиты от внутренних и внешних угроз, а также для обеспечения непрерывности бизнес-процессов.
4. Обеспечить внутреннюю защиту виртуальной инфраструктуры
Помимо разноуровневой защиты инфраструктуры от внешних атак, нужно предусмотреть защиту сервисов, приложений и информационных систем внутри виртуальной инфраструктуры.
Микросегментация сетей. Подход подразумевает разделение виртуального дата-центра на сегменты безопасности и определение элементов их стабильного управления.
Эти сегменты имеют различные уровни безопасности и каждый из них защищается отдельно. Метод позволяет развертывать гибкие индивидуальные политики безопасности для каждого сегмента, в том числе на уровне приложений. Назначение способов защиты для каждого отдельного сегмента повышает устойчивость сетевой инфраструктуры к атакам.
Контроль доступа и ролевая модель. Назначение пользователям и администраторам минимально необходимых прав доступа к тем подсистемам, с которыми они работают, а также логирование и контроль доступа к обрабатываемым данным и администрируемым системам.
Одна из систем, помогающая в автоматизации таких процессов, — Identity and Access Management. Она позволяет выделять сотрудникам компании необходимые ресурсы по иерархической модели без риска для конфиденциальной информации — чем важнее данные, тем меньше людей имеет к ним доступ.

Инструменты для мониторинга. Обязательный элемент защиты данных — круглосуточный мониторинг состояния системы с точки зрения ее целостности, доступности, обеспечения конфиденциальности обрабатываемой информации и своевременное реагирование на инциденты, независимо от их масштаба.
Для этого могут применяться решения с разным функционалом, в том числе сервисы для контроля и фильтрации сетевого трафика. Такие сервисы собирают данные от развернутых приложений и виртуальных машин (ВМ), отслеживают подозрительную активность и попытки атак.
5. Использовать дополнительные сервисы
Поставщики облачных услуг могут предлагать дополнительные сервисы. Используя их, клиент может делегировать часть обязанностей в сфере ИБ провайдеру.
Сетевая подсистема. Наряду с базовыми средствами защиты, можно использовать более функциональные инструменты — например, межсетевые экраны нового поколения (NGFW). Это программное обеспечение совмещает функции файрвола, системы обнаружения угроз и инспекции трафика.
- Межсетевой экран NGFW UserGate. Обеспечивает сетевую защиту ресурсов в облаке, в том числе от продвинутых атак, выявляет аномалии, проверяет загружаемый контент.
- Anti-DDoS+WAF. Сервис предназначен для противодействия кибератакам: выполняет фильтрацию трафика и защиту от взлома веб-приложений.
- Cloud Web Application Firewall. Для исключения SQL-инъекций, сохранения конфиденциальности данных, предотвращения удаленного выполнения кода и блокировки деятельности поисковых ботов.
Подсистемы хранения данных и вычислений:
- учетные записи операционных систем;
- механизмы управления правами доступа пользователей;
- инструменты резервного копирования и восстановления данных (сервис резервного копирования данных на базе решений Veeam).
Подсистемы управления. Сервисы сбора и анализа событий ИБ. С их помощью удобно идентифицировать таргетированные атаки, комплексные угрозы и деятельность злоумышленников.
Инженерные и консалтинговые услуги. Если у компании недостаточно компетенций или кадровых возможностей, можно воспользоваться экспертными услугами провайдера, доверив ему разработку плана миграции, работу с облачной инфраструктурой, администрирование и другие зоны ответственности, связанные с ИБ.
Вывод. Чтобы обеспечить информационную безопасность, нужно реализовывать комплексные меры — от назначения ответственных лиц и разделения обязанностей сторон до защиты физической инфраструктуры и сервисов.
Вам может понравиться


Что может chmod: как управлять доступами к файлам и папкам в Linux

Как узнать IP-адрес в Linux через командную строку

Как узнать IP-адрес своего компьютера

Система MySQL: что это и для чего нужна

Команды kill и killall в Linux: как завершить ненужные процессы

Работа с файлами в Linux: их создание и организация через терминал

Стандарт Tier III для дата-центра: что значит и почему это круто

Какие новости за декабрь и начало января — дайджест Cloud.ru

Что такое FTP-протокол и как настроить FTP сервер

Белые и серые IP, динамические и статические - в чем различие

Как защищать сайты и приложения в облаке от DDoS-атак

Какие новости за ноябрь — дайджест Cloud.ru

BAT-файлы: что это такое, зачем они нужны и как их создавать

Гайд по протоколу HTTP: расшифровка, структура и механизм работы

Межсетевой экран, firewall и брандмауэр: что это, в чем между ними разница и зачем они нужны

Kubernetes на Cloud.ru Evolution: возможности и преимущества

Какие новости за октябрь — дайджест Cloud.ru

Как создать сетевую архитектуру для размещения межсетевых экранов на платформе Облако VMware

Рассказать про технологии лампово, или Как мы провели конференцию GoCloud Tech для инженеров и...

Какие новости за сентябрь — дайджест Cloud.ru

Высокоресурсные вычисления: роль суперкомпьютеров в жизни и бизнесе

Реферальная программа Cloud.ru: как устроена и как на ней зарабатывать

Сетевая модель OSI: что это такое и зачем она нужна

Какие новости за август — дайджест Cloud.ru

Сетевые протоколы передачи данных — что это такое и какие бывают

Какие новости за июль — дайджест Cloud.ru

Как новые возможности в юридических документах Cloud.ru облегчают работу с договорами и не только

Какие новости за июнь — дайджест Cloud.ru

Как обновления VMware Cloud Director облегчают управление и делают работу с инфраструктурой в ...

Как мы рассчитывали «Панораму российского IT-рынка» за 2022 год

Как снизить риски утечки данных и санкций госрегуляторов: 152-ФЗ в Cloud.ru

Бесплатный курс по работе с Cloud.ru Advanced: рассказываем, в чем польза, кому подойдет и как...

Как модель Anything as a Service упрощает IT-процессы

Снижение рисков на производстве: AI-сервис распознает нарушения ношения СИЗ

Kandinsky 2.1: новый уровень в генерации изображений по текстовому описанию

Облачные сервисы для стартапов: как пройти путь от идеи до цифрового продукта и не разориться

Создать пользователя, настроить 2FA, связаться с поддержкой — новые возможности личного кабине...

VDI: что это, как работает и в чем выгода для бизнеса

Как защитить облачную инфраструктуру — рассказываем на примере межсетевого экрана нового покол...

Как начать использовать AI/ML на практике

Бессерверные вычисления: что это за технология и кому она нужна

Искусственный интеллект

Что такое IaaS?

Что такое PaaS

Machine Learning

Data Science

Машинное обучение без учителя

Классическое машинное обучение

Нейронные сети

Глубокое обучение

Защита персональных данных: как легче соблюдать закон с Cloud.ru и сохранять спокойствие

Как сохранить IT-инфраструктуру и бизнес: руководство к действию

Машинное обучение и Big Data в кибербезопасности

Ответы на актуальные вопросы

Что такое DDoS-атаки, чем они опасны и как от них защититься

Аудит информационной безопасности: что это, зачем и когда его проводить

Межсетевые экраны: UTM, NGFW-системы, NTA, NDR

Обзор межсетевых экранов, систем IPS и IDS

PostgreSQL vs MySQL: какая система подходит вашему бизнесу

Основы резервного копирования

Специальное предложение «180 дней тестового периода резервного копирования» для всех клиентов
Платформа SberCloud Advanced теперь обеспечивает максимальный уровень защиты персональных данных

Что такое объектное хранилище S3 и как его используют

Customer Enablement: как SberCloud работает с клиентами, чтобы сделать миграцию в облако комфо...

Сеть доставки контента CDN: новые функциональные возможности и преимущества

Объясняем на кейсах: польза CDN для бизнеса

Новая Windows Server 2022 в облаке SberCloud — новые возможности клиентов

Запуск нового сервиса Managed OpenShift в облачной среде SberCloud

Как работает технология DNS

SberCloud Advanced запустила третью ресурсную зону доступности для комфортной работы клиентов

PostGIS в PostgreSQL — как можно использовать

GitLab для начинающих: как и для чего используется

Краткий обзор методологии CI/CD: принципы, этапы, плюсы и минусы

Персональные данные: правильно обрабатываем и храним

Кто и зачем использует облачные модели IaaS и PaaS

152-ФЗ в облаке: хранение персональных данных в облаке

Как работает CDN (Content Delivery Network)?

Service Level Agreement (SLA): все о соглашении об уровне сервиса

Что такое «интернет поведения» (IoB)?

Чек-лист: 6 шагов для успешной миграции в облако

Машинное обучение: просто о сложном

Профессия DevOps-инженер: кто это и чем занимается

Гайд по Kubernetes. Эпизод I: k8s для неразработчиков

Публичные, частные и гибридные облака: в чем разница?
