Журнал "Information Security/ Информационная безопасность" #6, 2021

Средства безопасности, предоставляемые облачным провайдером, должны быть всегда включены, просты в использовании и не приво- дить к дополнительным затратам. серверами. Атаки типа Supply Chain направлены как раз на использование инфраструктуры сервис-провайдера для получе- ния данных его клиентов. Одна- ко хакеры все чаще пытаются найти уязвимости и в общих решениях, которые встречаются как в корпоративной среде, так и у облачных провайдеров. Риски информационной безопасности остаются высокими Любая атака может стать при- чиной утечки данных большого количества компаний, если не принимать специальные меры для их защиты. Показательным примером может служить атака на компанию SolarWind в декаб- ре 2020 г. Группировка REvil провела хитроумную работу и больше года готовилась к заражению инфраструктурного ПО, которое используют тысячи клиентов. В результате постра- дало более 17 тыс. компаний, среди них оказались и облачные провайдеры. Как следствие, злоумышленники получили доступ к клиентским данным. Очевидно, что недопустимо использовать полностью откры- тые облака без специализиро- ванных инструментов ИБ. Однако зачастую заказчик не в состоянии самостоятельно оценить уровень защищенности системы, а также выбрать, какие именно из мно- гочисленных сервисов облачной безопасности провайдера использовать. Тут на помощь приходят готовые рецепты без- опасности, средства автомати- зации анализа уязвимостей как на традиционном уровне вирту- альных машин и сети, так и на уровне контейнеров, а также средства автоматизации реаги- рования на инциденты. Учитывая вышесказанное, средства без- опасности, предоставляемые облачным провайдером, должны быть всегда включены, просты в использовании и не приводить к дополнительным затратам, чтобы избежать компромиссов между ценой и безопасностью. Опыт Oracle Облачные сервисы Oracle сопровождаются дополнитель- ными средствами защиты и мониторинга, которые сами по себе несут все необходимые рекомендации и автоматизируют ответы на инциденты. Например, опция зон максимальной без- опасности (Maximum Security Zones) позволяет выделить инфраструктуру каждого клиента в дискретный логический слой, доступ неавторизованных лиц к которому просто невозможен, равно как невозможно случайно разместить конфиденциальные данные в открытой и незащи- щенной зоне облака. А опция Cloud Guard позволит выявить и автоматизированно устранить инциденты безопасности в вашей облачной инфраструк- туре. Причем эти опции вклю- чаются в стоимость облака. Более того, специальные облачные сервисы помогают обеспечить безопасность доступа к широкому спектру ресурсов с единым ID. Например, именно таким образом поступили в япон- ской компании Ricoh. Глобальная корпорация значительно повы- сила общий уровень безопасно- сти десятков внутренних и внеш- них ИТ-систем, внедрив облачную систему управления учетными записями и аутентификацией Oracle Cloud Identity Management. Заключение При этом нельзя забывать и про дополнительные инстру- менты киберзащиты. Напри- мер, для реального обеспече- ния безопасности важную роль играют такие сервисы, как мониторинг безопасности, система управления обновле- ниями ПО и, конечно, средства защиты, использующие искус- ственный интеллект для обна- ружения еще неизвестных угроз. Заказчики, уже постра- давшие от инцидентов безопас- ности или оценившие с финан- совой точки зрения риски ИБ, все чаще ищут облачных про- вайдеров, которые готовы пре- доставить им все необходимые инструменты одновременно с гарантиями безопасности облачных нагрузок. l • 43 ЗАЩИТА ОБЛАКОВ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Модель коллективной ответственности за облачную безопасность Модель коллективной ответственности за безопасность облака предполагает разделение ответственности между поставщиком облачного решения и подписчиком на эти услуги. Четкое понимание этой модели имеет важное значение для защищенности данных, но, к сожалению, эта модель на сегодняшний день остается одной из наименее понятных концепций: только 8% директоров по информационной безопасности полностью осознают свою роль в обеспечении безопасности SaaS. Модель коллективной ответственности за безопасность устанавливает сферу ответственности поставщика облачных решений – поддержание безопасности и доступности услуги, а также ответственность клиента за обеспечение безопасного использования услуги, и обе стороны при этом берут на себя определенные обязательства. Компаниям, пользующимся облачными сервисами, необходимо понимать свои обязанности, ведь отсутствие надлежащей защиты данных может привести к серьезным и дорогостоящим последствиям, и не путать "безопасность облака" с "безопасностью в облаке". Рис 1. Разделение ответственности между пользователем облачного сервиса и его провайдером