Журнал "Information Security/ Информационная безопасность" #6, 2021

Многие компании по-прежнему размещают свои данные и нагрузки в облаках, руководствуясь исключительно минималь- ной стоимостью хранения информации. Зачастую заказчик не в состоянии самостоятельно оценить уровень защищен- ности системы, а также выбрать, какие именно из многочисленных сервисов облачной безопасности про- вайдера использовать. С одной стороны, пере- нос данных в облако про- вайдера позволяет компаниям с небольшим или нулевым шта- том ИТ переложить задачи обес- печения ИБ на специалистов провайдера. Это вроде правиль- но, ведь трудоемкость атаки на облачного провайдера, как пра- вило, не сравнима с трудоем- костью атаки на отдельного заказчика. Провайдеры имеют больше возможностей и ресур- сов для защиты инфраструктуры и клиентских данных. Но есть и нюансы. Облака бывают разные Тем не менее как на стороне провайдера, так и в своей инфраструктуре можно столк- нуться с различным уровнем безопасности. Существуют раз- ные типы облаков и разные подходы к их защите. И сегодня, даже если провайдер не декла- рирует предоставление серви- сов ИБ, заказчики априори ожи- дают от любого облака опреде- ленного уровня защиты. Напри- мер, ранее в своем отчете за II квартал 2021 г. редакторы TAG Cyber отметили 1 , что рас- ширение ответственности про- вайдера услуг в сторону кибер- безопасности фактически неизбежно, если он хочет сохра- нить свои позиции на рынке. Но, к сожалению, многие ком- пании по-прежнему размещают свои данные и нагрузки в обла- ках, руководствуясь исключи- тельно минимальной стоимостью хранения информации. И если созданные в облаках виртуаль- ные машины просто распреде- ляются между клиентами без дополнительной защиты и изо- ляции, успешная атака может принести хакеру данные целого ряда организаций и частных лиц. Однако облачные сервисы, ори- ентированные на корпоративных заказчиков и критически важные нагрузки, отличаются как архи- тектурно, так и функционально. Они уже не дают киберпреступ- никам шанса завладеть инфор- мацией большого количества пользователей. Так, существуют технологии изоляции виртуаль- ных пространств разных заказ- чиков, разделения сетевых сег- ментов, шифрования данных и раздельного хранения информа- ции. Более того, подобные реше- ния применяются сегодня даже в рамках одного сервера! К при- меру, недавно представленная Exadata X9M позволяет провай- дерам полностью изолировать нагрузки, предоставляя доступ к высокопроизводительной плат- форме работы с СУБД в том числе для заказчиков из сег- мента СМБ без каких-либо ком- промиссов с безопасностью. Говоря про типы облаков, необходимо упомянуть облач- ную инфраструктуру, которую провайдер разворачивает непо- средственно в ЦОД заказчика, так называемый Cloud@Custo- mer. Такой подход дает заказ- чикам, для которых важно физическое месторасположе- ние данных, возможность вос- пользоваться инновационным программным обеспечением, доступным только в облаке (чаще зарубежном), по цене подписки на аналогичные сер- висы публичного облака. Но при этом у заказчика сохра- няется полный контроль над своими критически важными данными. Однако и вопросы безопасности в этом случае приходится решать на уровне собственного ЦОД. Вектор атаки – эксплойт или уязвимость? Учитывая, что облака про- вайдеров корпоративного уров- ня, как правило, надежно защи- щены, атаки на облачные ресур- сы обычно происходят одним из двух способов. Во-первых, хакеры часто пытаются взломать всю экоси- стему облачного провайдера через одного из клиентов. И если в облаке не применяются сред- ства изоляции рабочих сред, это вполне может сработать. Для атак используется разнообраз- ное вредоносное ПО, а также фишинг, уровень которого вырос за последний год вдвое, по дан- ным отчета Anti-Phishing Working Group (APWG). Фальшивые пись- ма рассылаются сотрудникам компаний и ведут на поддельные сайты, где люди вводят свои учетные данные, заражаются вирусами и троянскими програм- мами, а как следствие – откры- вают злоумышленникам доступ в корпоративную сеть и в облако. При этом со стороны провайдера сперва не наблюдается ничего необычного, ведь перед началом атаки пользователь входит в свою учетную запись. Во-вторых, возможна атака на саму ИТ-инфраструктуру провайдера. Обычно ключевым элементом такой атаки является уязвимость в программном обеспечении. В 2021 г. были зафиксированы случаи эксплуа- тации брешей в специализиро- ванных решениях управления 42 • ТЕХНОЛОГИИ Информационная безопасность облаков блачные технологии выглядят сегодня весьма привлекательно для заказчиков: гибкость, доступность, возможность масштабирования и использование открытых платформ создают все условия для динамичного развития бизнеса. Более того, облачная модель организации ИТ как нельзя лучше подходит для внедрения современных практик DevOps и Agile-разработки, помогая компаниям сокращать время вывода новых продуктов на рынок (Time-to-Market). Однако при этом облака создают новые риски информационной безопасности, которые необходимо учитывать как заказчикам сервисов, так и провайдерам. О Олег Файницкий, архитектор по облачной безопасности Oracle 1 https://www.tag-cyber.com/advisory/quarterly 2 https://www.oracle.com/customers/ricoh-5-identity-cl/