Полная версия
Цифровая системная архитектура
унифицированная архитектура кибербезопасности, которая увековечивает ИТ-инфраструктуру бизнес во всех сетях, облаке и мобильных устройствах.
Архитектура предназначена для упрощения сложностей, связанных с умножением подключения и неэффективностью безопасности. Он обеспечивает комплексное предотвращение угроз, которое заполняет уязвимости безопасности, автоматически и немедленно делится информацией об угрозах, собранной из всех сред безопасности, и обеспечивает консолидированное администрирование для повышения эффективности деятельности по обеспечению безопасности.
Облачная мультибезопасность
Multi-Cloud Security – это комплексное решение для облачной безопасности, которое защищает и предотвращает данные, активы и приложения компаний и клиентов от сложных угроз безопасности и кибератак в нескольких облачных инфраструктурах и средах.
Преимущества мультиоблачной стратегии
В первые дни создания публичного облачного сайта компании использовали единый облачный сайт для удовлетворения всех своих потребностей в цифровой инфраструктуре. Сегодня большинство высокотехнологичных компаний полагаются на мультиоблачные стратегии. Эти подходы используют несколько поставщиков облачных ИТ-услуг, чтобы предложить организации различные варианты и возможности.
Если вы ищете аналогию, вы можете подумать о текущем рынке услуг мобильной связи. Есть по крайней мере три или четыре крупных провайдера (и несколько небольших), которые предлагают услуги мобильной связи с различными преимуществами и функциями. Компании и семьи часто используют несколько поставщиков услуг, чтобы каждый мог получить доступ к необходимым функциям по разным ценам.
Мультиоблако используется таким же образом. Он предлагает компаниям дополнительные возможности для максимизации ценности, предлагаемой облачным сайтом.
Мультиоблако, безусловно, является одной из предпочтительных стратегий на текущем рынке. Организации, которые внедряют этот тип структуры, делают это по многим причинам, в том числе
Варианты. Всем нравится иметь выбор. А с мультиоблачной архитектурой вы можете выбирать из множества облачных решений. Это способствует гибкости и не позволяет компании зафиксировать себя в конкретном поставщике или контракте.
Снижение рисков. Поломка может быть катастрофической. Даже несколько минут простоя могут стоить вашей компании тысячи евро (не говоря уже о повреждении ее репутации). Наличие нескольких облачных сред позволяет вам всегда иметь альтернативные ресурсы и хранилище данных, а также избегать простоев.
Но мультиоблачная стратегия не выполняется без усилий. Одним из основных соображений является необходимость обеспечения защиты нескольких различных облачных провайдеров, другими словами: мультиоблачная безопасность.
Лучшие практики мультиоблачной безопасности
Правильная структура безопасности защитит вашу компанию и позволит ей максимизировать общую ценность мультиоблачной среды. Вот несколько хороших практик, которые помогут вам сделать осознанный выбор:
Понимание основ Крайне важно понять, как работает облачная модель совместной ответственности Облачные провайдеры несут ответственность за безопасность своей собственной облачной инфраструктуры. Это включает в себя такие функции, как многофакторная аутентификация, шифрование и управление идентификацией и доступом. Тем не менее, ваша организация несет ответственность за то, как данные, рабочие нагрузки и другие облачные активы защищены в облачной инфраструктуре.
Последовательная безопасность При выполнении одинаковых операций в нескольких облаках (для доступности или избыточности) вы должны реализовать одни и те же параметры безопасности и политики во всех облаках и убедиться, что они поддерживаются для обеспечения непрерывной согласованности.
Автоматизация безопасности везде Не стоит недооценивать важность автоматизации задач безопасности. Хотя это экономит время, это не главная цель. Скорее, цель состоит в том, чтобы снизить риск человеческой ошибки.
Минимизация «точечных» решений безопасности «точечные» решения безопасности – отдельные инструменты безопасности, которые отвечают различным потребностям безопасности – плохо интегрируются друг с другом. Слишком много разовых решений приводит к перегрузке управления и отсутствию безопасности. Для достижения наилучших результатов сведите к минимуму количество доступных решений для обеспечения безопасности. Это значительно снижает сложность и риск ошибок.
Единая точка управления: упростите сложность мультиоблачного, используя унифицированное управление «однопанельным стеклом», которое предоставляет облачным инженерам единую точку управления для управления безопасностью приложений и данных в их многооблачном развертывании.
Поиск и использование правильных облачных решений для обеспечения безопасности
Для динамических облачных сред вам нужно комплексное решение для обеспечения безопасности. Но с большим количеством доступных облачных решений для безопасности выбор правильного для вашей многооблачной среды может быть реальной проблемой.
Главное – проявить проницательность и терпение. Тщательное изучение каждого решения с несколькими технологиями безопасности в облаке и нес смысла спешить выбирать одно, пока не будет собрана вся информация, необходимая для принятия обоснованного выбора.
За последние десять лет все больше компаний мигрируют в облако с целью более эффективной защиты от кибератак. Небольшая революция, которая создает новые проблемы вокруг понятия доверия и контроля над данными.
Это движение, которое привержено: мы видим все больше и больше услуг, предоставляемых в облаке, и нет никаких сомнений в том, что с точки зрения кибербезопасности, и в подавляющем большинстве случаев, облако в основном представляет собой возможности.
На самом деле, облако соответствует основным критериям, которые обычно оцениваются в кибербезопасности, начиная с доступности данных (обычно жизненно важных для компаний). «Избыточность данных по умолчанию интегрирована большинством поставщиков облачных услуг: независимо от того, куда я кладу свои данные, они будут реплицироваться несколько раз в центрах обработки данных по всему миру. Этот критерий идет рука об руку с целостностью данных: «с момента, когда я нахожусь в мультигеографии и мультиоблаке, все еще существует очень небольшой риск того, что я случайно потеряю свои данные.
Кроме того, облако позволяет компаниям усилить конфиденциальность и прослеживаемость данных. «Облачные провайдеры предлагают механизмы безопасности, которые можно использовать почти на полке для защиты доступа к данным: идентификация и контроль доступа, шифрование, маркировка, надежная аутентификация… Это вещи, которые заняли бы гораздо больше времени и стоили бы гораздо больше времени для установки при эксплуатации собственного центра обработки данных», – говорит он, указывая, что ряд субъектов, управляющих особо конфиденциальными данными, например, «ограниченное распространение» или «секретная защита», в настоящее время не имеют права на миграцию в облако.
Переопределение риска
Компании выиграют от выбора услуг AWS, Microsoft и других Google, чтобы вооружиться против кибератак, при условии, однако, что они гарантируют, что пользователи этих сервисов захватят их должным образом. Однако, компании повышают свою уязвимость, сохраняя свои данные в облаке.
Большинство инцидентов безопасности, которые происходят в облаке, связаны с неправильным использованием или конфигурацией услуг, предоставляемых облачными провайдерами, а не с очень высоким уровнем безопасности этих услуг. Это чрезвычайно мощные и сложные объекты. Малейшая опечатка в файле конфигурации или в исходном коде, и вы рискуете освободить права, поделиться секретами или публично раскрыть свои данные. Это все конфиденциальная информация и недостатки, которые очень легко эксплуатируются злоумышленниками.
Вступление кибербезопасности в эпоху облачных технологий на самом деле сопровождается очень переопределением рисков и того, как к ним подходить. «Существует сдвиг парадигмы, который потряс киберсферу, полностью изменив роль CISO [ответственного за безопасность информационных систем, примечание редактора. До сих пор он мог быть в лагере ограничения в центре обработки данных, чтобы проверить, все ли идет хорошо, он был мастером безопасности на борту. Сегодня он скорее занимает должность проводника и пилота отношений доверия, которые связывают компанию с облачными провайдерами.
Вопрос доверия
Действительно, трудно точно знать, что происходит «за кулисами» в центре обработки данных Microsoft или Google. Перейдя в облако, ИТ-отдел компании обязательно делегирует часть управления данными. Вот где возникает понятие доверия. В зависимости от модели облачных вычислений «как услуга», мы делегируем ей более или менее ответственные функции, перечисляя самые классические модели, от самого высокого уровня мастерства и ответственности за ИТ-отдел компании до самых низких:
IaaS (Infrastructure-as-a-Service),
PaaS (Platform-as-a-Service) и
SaaS (Software-as-Service).
В любом случае, ключевую роль играет ответственность, по крайней мере, за одну вещь, а именно за данные, которые мы будем доверять в процессе работы в облачном провайдере. Поэтому важно четко определить эти данные и их чувствительность, а также разработать, соответственно, стратегию кибербезопасности, объединив инструменты и услуги, предоставляемые поставщиками, и средства управления доверенной третьей стороны. Результат, как правило, быстрее, эффективнее и однороднее, чем когда команды CISO восстанавливают защиту этих данных вручную.
Укрепление этой надежной доверенной связи заключается именно в роли доверенных третьих сторон. Облачные провайдеры смогут полагаться на ноу-хау с точки зрения возможностей центра обработки данных, криптографических возможностей или обнаружения вторжений и мошенничества
Чтобы установить свой суверенитет над данными, ряд компаний полагаются на гибридное облако. Стратегия, которая заключается в том, чтобы не класть все яйца в одну корзину. Ряд компаний выбирают стратегию «облако прежде всего», сохраняя при этом локальную емкость на случай наиболее чувствительных рабочих нагрузок: «если когда-либо возникала проблема с облачным провайдером, то всегда можно предоставлять услуги локально, даже в пониженном режиме.
Неизбежная эволюция
Сегодня создаются новые устройства для развития этой связи доверия. Ещё в начале 2022 года Google Cloud объявил, что сформировал команду для разработки различных видов деятельности вокруг блокчейна. Столкнув с инновациями, мы всегда должны задавать себе вопрос о возможностях против риска. Блокчейн также является технологией, которую мы используем в нескольких случаях использования, в частности, для обеспечения тонкой прослеживаемости всех изменений в конфигурациях системы. Это позволяет доказать, что системы в том виде, в котором они были построены, не были изменены. Даже если потенциал этой технологии кажется невероятным, на данный момент сценариев использования операционной деятельности остается немногочисленным, и окупаемость инвестиций в этой области очень ограничена.
Использование облака в кибербезопасности будет продолжать ускоряться. С киберточки зрения, у нас есть реальная проблема: обработка чрезвычайно важных объемов данных и информации, которые больше не совместимы с системами, как мы их разрабатывали в течение многих лет. И сегодня только облачные провайдеры могут позволить нам это сделать.
Облачная безопасность
Организации всех размеров массово внедряют облачные вычисления из-за их преимуществ с точки зрения масштабируемости, гибкости и скорости развертывания. Публичные и частные облака позволяют им развертывать программное обеспечение, включая облачные приложения, без затрат и сложности, связанных с локальной инфраструктурой.
Поставщики публичного облака отдают приоритет безопасности, потому что их бизнес-модель требует от них поддержания доверия широкой общественности. Тем не менее, облако также знаменует собой исчезновение периметра традиционной локальной ИТ-инфраструктуры. Кроме того, облачные среды взаимосвязаны и поэтому предлагают хакерам множество потенциальных точек входа, позволяющих им переключаться из одной сети в другую. Кроме того, трудно поддерживать видимость и контроль над облачными приложениями и данными из-за быстрой эволюции и распределенного характера этих сред.
Поэтому разработчикам нужны новые методы для защиты своих собственных облачных приложений на основе современных подходов, таких как модель CI/CD, бессерверные приложения и контейнеры. Больше невозможно просто защитить приложения после их производства.
Облачная безопасность включает в себя все методы и инструменты, используемые для защиты облачной инфраструктуры, ее приложений и данных. Традиционно безопасность решалась путем защиты внутренних сетей от внешних угроз. К сожалению, периметр облака гораздо менее ясен. Кроме того, во многих точках облачная инфраструктура работает иначе, чем у центра обработки данных. Благодаря облачной безопасности организации могут обеспечить конфиденциальность данных, управлять доступом к сетям и ресурсам, сохранять соответствие требованиям и снизить нагрузку на ИТ-команды, чтобы сосредоточиться на других задачах.
По данным Kubernetes, облачная безопасность сосредоточена вокруг «4 C»:
– Облако (Cloud)
– Кластеры (Clusters)
– Контейнеры (Containers)
– Код (Code)
Пять преимуществ облачной безопасности
– Доверие клиентов сохранено
– Упрощенное администрирование
– Унифицированная безопасность
– Конфиденциальность и соблюдение
– Гибкость
Облачные модели – это эффективный способ запуска приложений и хранения данных без затрат и задержек, связанных с развертыванием и обслуживанием локальных систем. С другой стороны, они также могут ограничить видимость и контроль над стратегическими процессами. Таким образом, создание надежной программы облачной безопасности может предложить организациям множество преимуществ:
Доверие клиентов сохраняется: пользователи могут получать доступ к данным и приложениям, где бы они ни находились, и с любого устройства с уверенностью в том, что их данные не рискуют кибератакой или непреднамеренным удалением.
Упрощенное администрирование: традиционные ИТ-инфраструктуры требовали ручных конфигураций и частых обновлений безопасности. Облачная безопасность использует проактивный подход, обеспечивающий постоянную защиту с ограниченным или без ручного количества вмешательств.
Унифицированная безопасность: облачные вычисления позволяют пользователям получать доступ к рабочим процессам с любого устройства или конечной точки, что трудно реализовать с помощью обычных подходов. Облачная безопасность централизует мониторинг сети и оптимизирует обновление программного обеспечения и политик. Все управление безопасностью происходит в рамках одного интерфейса.
Конфиденциальность и соответствие требованиям: облачная безопасность позволяет разработчикам автоматически писать и применять политики для обеспечения конфиденциальности данных и соответствия нормативным требованиям.
Устойчивость: облачная безопасность упрощает реализацию планов аварийного восстановления, потому что администрация вмешивается в единый интерфейс.
Различные типы облачной безопасности
Облачная безопасность может быть разбита на несколько модулей:
– Безопасность данных направлена на защиту данных в покое и при передаче.
– Управление идентификацией и доступом (IAM) контролирует трафик между каждой областью облачной архитектуры с помощью идентификации и контроля доступа.
– Управление и соответствие требованиям направлены на обеспечение соответствия облачной архитектуры организационным или правительственным правилам.
– Непрерывность данных и деятельности зависит от избыточности для обеспечения восстановления систем в случае сбоя сети или потери данных.
Проанализируем каждый из этих элементов более подробно:
Безопасность данных
Конфиденциальные данные должны быть защищены в покое в публичных облачных ресурсах, а также во время транспортировки, чтобы предотвратить несанкционированный доступ и утечку. Пользователи могут получить доступ к облачным данным из любого места или устройства, подключенного к Интернету. Поэтому ИТ-команды должны принять новые подходы к их обеспечению.
Им доступны различные инструменты и методы:
Шифрование: использование алгоритма для кодирования информации в покое и в пути. Если хакерам удастся обойти безопасность и получить доступ к данным, они будут вынуждены расшифровать данные, чтобы иметь возможность просмотреть их в их первоначальном виде. Для достижения этого им в большинстве случаев придется мобилизовать экономически неосуществимую вычислительную мощность. Таким образом, шифрование является основным звеном в безопасности данных.
VPN: виртуальные частные сети (VPN) позволяют безопасно отправлять данные о соединениях, которые могут быть не путем шифрования и маршрутизации через удаленный сервер, выполняемый хостом VPN. Таким образом, данные защищены, а ваша личность и местоположение маскируются.
Архитектура облачной безопасности: нарушения облачных систем часто возникают в результате использования ошибок или уязвимостей в облачных развертываниях. Хакеры получают доступ к данным через плохо настроенные или незащищенные интерфейсы, а затем выводит их в свою сеть. Поэтому рекомендуется изолировать компоненты облачной архитектуры, такие как приложения, контейнеры, виртуальные машины и данные. Такие инструменты, как виртуальные частные облака и виртуальные сети Azure, позволяют сделать это путем разделения рабочих нагрузок на различные подсети. Тонкие политики безопасности, конфигурации IAM, правила брандмауэра и конфигурации маршрутизации могут быть применены к контролю доступа.
Мониторинг облачных сервисов: поскольку облачные сервисы не ограничиваются внутренними сетями и устройствами, ИТ-команды должны иметь видимость самого облачного сервиса для мониторинга данных. Таким образом, это равносильно использованию классических методов мониторинга внутреннего сетевого трафика, за исключением того, что управление несколькими облаками включает в себя возможность интеграции различных облачных провайдеров и управление постоянно растущей сложностью облачных развертываний. Кроме того, клиенты, которые используют только одного облачного провайдера, по-прежнему должны устанавливать и поддерживать видимость своего сетевого трафика для обеспечения безопасности.
Следует отметить, что каждый из этих инструментов и методов защищает как от хакеров, так и от человеческих ошибок, которые приводят к утечке данных или повреждению. Их реализация является первым шагом на пути к смягчению последствий возможного нарушения.
Управление идентификацией и доступом (IAM)
Модели облачных вычислений включают в себя ряд технологий, включая службы хранения объектов и баз данных, программное обеспечение, такое как операционные системы и виртуальные машины, а также пользовательское оборудование, часто устройства BYOD. Управление трафиком между этими областями является центральной осью облачной безопасности. IAM позволяет вам получить видимость и контроль над всеми этими пользователями и конечными точками.
Он включает в себя следующие элементы:
Аутентификация и авторизация: элементы управления доступом являются ключевым способом предотвращения того, чтобы законные или вредоносные пользователи компрометировали информацию и системы. Надежное управление паролями и активация многофакторной аутентификации также являются двумя подходящими инструментами аутентификации и авторизации.
Элементы управления доступом на основе ролей: использование элементов управления доступом на основе ролей, а не пользователей. Эти элементы управления легче изменять, когда пользователь меняет роли. Привилегии всегда должны предоставляться в соответствии с подходом «наименийших привилегий». Кроме того, распределение самых высоких привилегий должно зависеть от более сильной аутентификации. С моделью «меньше привилегий», если злоумышленнику удастся получить доступ к учетной записи, он не сможет пойти дальше в системе или получить доступ к важным данным, таким как ключи API.
Межзонная безопасность: эта категория включает в себя блокировку портов, запрос авторизации, детальное приложение безопасности и другие элементы
В идеале команды безопасности должны контролировать каждую идентификацию и аутентификацию. По правде говоря, их ресурсы ограничены, и поэтому каждый пользователь должен освоить основные концепции, которые ограничат риск злонамеренного использования его идентификаторов. В частности, они должны быть обучены использованию надежных паролей и многофакторной аутентификации. Принципы IAM подчеркивают важность наличия безопасной облачной архитектуры и специальной роли, например, архитектора облачной безопасности, для обеспечения правильной настройки и управления.
Управление и соблюдение
Облачные среды трансформируют соблюдение нормативных обязательств, касающихся конфиденциальности пользователей, таких как SOC 2, PCI и HIPAA, а также внутренних обязательств. Процессы соответствия должны касаться самой инфраструктуры, а также интерфейсов между внутренними системами, облачной инфраструктурой и Интернетом.
Например, автоматизация политик и элементов управления позволяет обеспечить соответствие в облачных средах. Эти политики должны включать в себя политики мониторинга, определения приоритетов и смягчения угроз в отношении критически важных систем, политики защиты данных, использования шифрования и ведения журнала, а также политики для обеспечения безопасного поведения пользователей, включая пароли.
Устойчивость данных и непрерывность бизнеса
Этот аспект облачной безопасности направлен на создание механизмов избыточности для обеспечения непрерывности данных и активности в случае катастрофы или неожиданной потери данных. Например, развертывание резервных копий данных и систем способствует поддержанию операций. Эта категория также включает в себя шаги тестирования резервного копирования и инструкции по восстановлению данных. Правильно резервное копирование данных в облаке, вы также можете защитить себя от атак программ-вымогателей. Действительно, если злоумышленник шифрует ваши файлы в производстве, то вам просто нужно восстановить их из ваших резервных копий, что не позволит вам заплатить выкуп.
Заключение. Рекомендации
– Безопасное использование облака – это главное
Доступ к облачным сервисам осуществляется с устройства, подключенного к Интернету. Например, это может быть ПК, смартфон или телевизор с подключением к Интернету. Таким образом, если такое устройство заражено, например, трояном, облачные сервисы, к которым обращается это устройство, также становятся уязвимыми. Таким образом, конечные устройства заслуживают защиты и должны быть надежно настроены.
К данным в облаке можно получить доступ либо через веб-сайт поставщика облачных услуг, либо с помощью соответствующего приложения, например, на ПК или смартфоне. Доступ к облачным сервисам должен быть особенно защищен: отсутствие или слабая защита паролем открывает двери для воров данных. После устранения препятствия для доступа доступ ко всем данным будет открыт, если они не будут дополнительно зашифрованы. Поэтому обратите внимание на наши советы по созданию надежного пароля.
В настоящее время многие облачные провайдеры также предлагают двухфакторную аутентификацию, например, ту, которая используется в онлайн-банкинге: здесь требуется функция в дополнение к имени пользователя и паролю для аутентификации вне всяких разумных сомнений. Это может быть одноразовый действительный код доступа (TAN), USB-накопитель с секретным ключом, удостоверение личности или отпечаток пальца.
Информация для аутентификации (имя пользователя/пароль) не должна храниться на устройстве, например, в качестве сохраненного пароля в браузере, и должна использоваться автоматически при вызове облачной службы. Использование двухфакторной аутентификации значительно повышает безопасность, и поэтому ее следует использовать, когда это возможно.
– Настройка облачных сервисов
Одним из преимуществ использования облачных сервисов является то, что данными, как правило, можно легко делиться с другими людьми, и над ними можно работать вместе. Для этого существуют разные процедуры. Ниже предположим, что мы используем онлайн-хранилище, которое позволяет передавать свои собственные данные (например, фотографии) третьим лицам.
