Безопасность облачных хранилищ: какие бывают риски и как защитить данные

Безопасность облака — это целый спектр технологий и методов, предназначенных для защиты облачных сред, приложений и данных. Всё начинается с выбора надёжного провайдера и заканчивается правильным использованием настроек защиты и внедрения регламента информационной безопасности в компании. Защите подлежат сами данные, операционные системы, приложения и ПО, сети виртуализации и не только.

Выделим три основных вида угроз, с которыми так или иначе могут столкнуться компании:

1. Буквальная потеря данных. Человеческий фактор — одна из главных причин потери данных. Сотрудники могут случайно удалить или повредить файлы. Лечится это грамотной политикой резервного копирования, когда в случае подобного форс-мажора можно легко и без больших потерь восстановить утраченную информацию.
2. Несанкционированный доступ к данным. В этом случае подразумевается как физический доступ к устройствам, так и виртуальный доступ к конфиденциальной информации. Злоумышленники могут быть как среди сотрудников, так и вне компании. Во втором случае они могут получать доступ через операционную систему, уязвимости в программном обеспечении и фишинговые атаки.
3. Брак программно-аппаратной части.Например, партия бракованных дисков при единовременном выходе из строя может полностью «положить» облако или локальный сервер. Rusonyx использует в своей работе только промышленное оборудование от официальных вендоров, что практически исключает риск сбоев, связанных с браком.

К сожалению, невозможно на 100% избавиться от риска потери или утечки данных. Этому подвержены как облачные среды, так и локальные серверы компании. Бывает всякое, вплоть до случаев промышленного шпионажа или недобросовестности системных администраторов в компании, которые сами похищают данные. Однако даже если не брать в расчёт такие экстремальные случаи, есть ряд причин, которые только усиливают вероятность потери данных. Проработав их, вы сможете значительно снизить риски:

• Неэффективные пароли — один из основных источников проблем. Если использовать простые пароли или применять один и тот же пароль для разных учётных записей, опытный преступник сможет подобрать нужную комбинацию и получить доступ к конфиденциальной информации.
• Неактуальное ПО, которое давно не обновлялось часто содержит уже известные злоумышленникам «лазейки», которые могут быть использованы для незаконного доступа к чужим данным.
• Незащищённые соединения представляют собой серьёзную угрозу безопасности. Конфиденциальную информацию легко перехватить и использовать в своих целях, если передача данных между клиентом и сервером не защищена.
• Фишинг и психологический хакинг. Это распространённые методы получения доступа к чужим учётным данным. Преступники отправляют фальшивые письма, используют поддельные электронные адреса, создают мошеннические сайты, чтобы обманом заставить пользователей раскрыть нужные данные. Сотрудники компаний нередко получают такие письма под видом сообщений от службы безопасности компании или в качестве рекламы тех или иных товаров по бросовым ценам. Иногда для перехвата доступа достаточно просто пройти по ссылке из такого письма.

Есть устойчивый стереотип, что хранить данные на своём «железе» — это намного надёжнее, чем в облаке. Срабатывает простая логика, что если оборудование находится под прямым контролем, то с ним точно ничего не случится. Но, как видно из причин выше, потерять данные или получить к ним доступ можно не только через облако.

Если сравнивать с собственным физическим сервером, то облако — более выгодный вариант, так как совершенно не требует затрат на оборудование и ПО. Кроме того, облачная инфраструктура, за счёт системы бэкапа, позволяет быстрее восстановить данные после сбоев и аварийных ситуаций.

Даже если вы категорически не приемлете полный переход в облако, вы можете использовать облако для резервного копирования данных в рамках стратегии «3-2-1», где 2 копии хранятся на физическом сервере, а 1 — в облаке. Такой подход поможет значительно усилить безопасность вашего локального решения.

С локальным сервером всё понятно: за безопасность и сохранность данных полностью отвечает владелец сервера. А как быть с облаком? Важно понять главное: на практике ответственность за безопасность разделена между клиентом и провайдером. Как именно она разделяется — зависит от выбранной модели обслуживания.

• Модель SaaS (Software as a Service) предполагает, что поставщик облачных услуг отвечает за безопасность приложений и платформы, на которой они работают. Пользователи могут управлять только авторизацией и правами доступа к этим приложениям.
• В модели PaaS (Platform as a Service) провайдер предоставляет клиентам платформу для разработки и запуска своих приложений, а пользователи отвечают за их базовую безопасность, то есть ответственность между ними распределена более равномерно.
• В модели IaaS (Infrastructure as a Service) провайдер, как и в случае с PaaS, отвечает за базовую безопасность. Он предоставляет клиентам инфраструктуру, такую как серверы, хранилища данных и сетевые ресурсы, а пользователи отвечают за безопасность своих приложений и данных, которые они размещают на этой инфраструктуре. Поставщик управляет физической и виртуальной инфраструктурой облака, включая сеть, серверы, операционные системы и системы хранения данных. В отличие от PaaS, здесь гораздо больше ответственности возлагается на клиента. Пользователи могут контролировать операционные системы, виртуальные системы хранения данных и установленные приложения, а также обладать ограниченным контролем за набором доступных сетевых сервисов.

Для обеспечения надёжной защиты данных в облачной среде необходим комплексный подход. Рассмотрим основные способы защиты.

Шифрование помогает сделать данные нечитаемыми для тех, кто не имеет соответствующего ключа для расшифровки. Этот способ помогает защитить данные от случайного раскрытия или утечки, поскольку даже сотрудники облачного провайдера не смогут прочитать данные без разрешения клиента.

Существует множество методов шифрования данных. Вот некоторые из них:

• Симметричное шифрование. В этом методе используется один и тот же ключ для шифрования и дешифрования данных.
• Асимметричное шифрование. Здесь используются два разных ключа: открытый и закрытый. Открытый ключ используется для шифрования данных, а закрытый — для их дешифрования.
• Хэш-функции. Эти функции преобразуют входные данные в уникальную строку фиксированной длины, которая служит для данных своего рода «отпечатком пальца».
• Цифровая подпись. Метод, позволяющий подтвердить подлинность отправителя сообщения или документа.

• Многофакторная аутентификация (MFA) усложняет несанкционированный доступ. Даже если злоумышленник знает пароль, потребуется дополнительное подтверждение личности несколькими способами. Например, код из SMS или биометрические данные. 
• Адаптивная аутентификация использует геолокацию или тип устройства для дополнительной проверки пользователей. Например, в банках специальная программа осуществляет скоринг смартфона, планшета или любого другого устройства, с которого пользователь заходит в систему. Это позволяет более точно определить личность пользователя и снизить риски несанкционированного доступа.
• Ролевое разграничение доступа (RBAC) означает создание ролей, зависящих от должностных обязанностей сотрудников. Каждая роль имеет определенные права доступа к информации. Администраторы могут легко добавлять, удалять или изменять роли и права доступа для поддержания актуальности системы безопасности.

Системы мониторинга в облаке предназначены для постоянного контроля за действиями пользователей и состоянием облачной инфраструктуры. Они позволяют своевременно выявлять и реагировать на подозрительные действия. Одной из ключевых функций систем мониторинга является анализ данных с помощью машинного обучения. Это позволяет выявлять отклонения от нормального поведения и предупреждать о потенциальных угрозах. Кроме того, системы мониторинга собирают и хранят логи событий из всех частей облачной инфраструктуры. Это упрощает анализ и расследование инцидентов, а также помогает создавать отчёты для совершенствования мер безопасности.

Проведение курсов и тренингов по безопасности данных помогает подготовить сотрудников к киберугрозам. Важно обновлять программы обучения персонала, чтобы они соответствовали последним тенденциям в области информационной безопасности. Регулярные тренировки по сценариям симуляции инцидентов помогают развивать навыки реагирования на реальные угрозы и выстраивать эффективные стратегии защиты.<

В России используются криптографические стандарты, разработанные в соответствии с ГОСТ. Эти алгоритмы особенно важны для государственных учреждений и компаний, работающих с особо конфиденциальной информацией. Среди них —  ГОСТ Р 34.12-2015 для шифрования данных и ГОСТ Р 34.11-2012 для хеширования. Они обеспечивают высокий уровень защиты конфиденциальных данных.

Компании должны получать согласие клиентов на обработку их персональных данных, обеспечивать их конфиденциальность и безопасность. Об этом сказано в Федеральном законе №152-ФЗ. Роскомнадзор рекомендует компаниям регулярно обновлять программное обеспечение, использовать средства защиты информации, контролировать доступ и вести журналы событий. Это поможет минимизировать риски утечки информации и несанкционированного доступа.

Российское законодательство требует хранить персональные данные граждан России на серверах, расположенных на территории страны. Это обеспечивает их дополнительную защиту от рисков, связанных с международной передачей данных, и соответствует нормам №242-ФЗ от 21.07.2014 г.

Искусственный интеллект (ИИ) становится важной частью процесса обнаружения и предотвращения киберугроз. Новые технологии позволяют анализировать большие объёмы данных, выявлять аномалии и подозрительные активности, что помогает предотвращать кибератаки в оперативном режиме. Специально разработанные системы на базе ИИ могут автоматически блокировать подозрительные действия, уведомлять специалистов о потенциальных угрозах и предоставлять рекомендации по их устранению.

Российские компании активно разрабатывают и внедряют уникальные решения в сфере кибербезопасности. Они учитывают потребности российского рынка и адаптированы к требованиям современного законодательства. Речь идет о системах защиты от DDoS-атак, платформах для мониторинга и управления безопасностью, а также специализированном программном обеспечении для защиты конфиденциальных данных.

• Главные угрозы — это потеря данных и несанкционированный доступ к ним.
• Основные риски — это слабые пароли, неактуальное ПО, незащищённые соединения и фишинг-атаки. Ну или крот в компании. 
• Система защиты данных должна быть комплексной, включать в себя целый спектр методов и подходов, в том числе обучение сотрудников. 
• Локальный сервер не гарантирует полную защиту данных.
• Ответственность за безопасность данных в облаке распределяется между компанией и провайдером.