Себастиан Букур о том, как защитить данные в облаке

Наряду с удобством использования, облачные сервисы приносят и дополнительные риски в информационной безопасности.

2 сентября 2022 г.

cloud_security_blog

В России, согласно опросу, проведенному CNews, на конец 2020 года объем российского рынка IaaS превысил 40 млрд рублей. Общая выручка Yandex Cloud только за первое полугодие 2021 года составила 1,1 млрд рублей. Это больше, чем выручка облачной платформы Яндекса за весь 2020 год.

Рост выручки в первую очередь обусловлен тем, что количество клиентов увеличилось на 60%, новые и существующие клиенты увеличивают потребление облачных услуг, в том числе быстро растет сегмент крупных клиентов.

Клиенты Yandex.Cloud увеличили потребление услуг платформы данных в пять раз и услуг по разработке контейнеров в четыре раза.

7 способов защитить ваши облачные данные. Рис. 1

Это свидетельствует о том, что в 2021 году российские компании стали еще активнее переводить в облако свои клиентские операции и внутренние сервисы, а также продолжили наращивать объемы облачных разработок. Для многих компаний это фактически означает перенос большинства их ИТ-решений в облако. Однако облако Яндекса — лишь один из игроков на рынке. Есть прямые конкуренты, такие как Сбер Облако от Сбербанка и облако ВК от ВКонтакте, а также чисто технологические облачные провайдеры, такие как МТС, Selectel, и зарубежные, такие как Amazon AWS, Microsoft Azure и GCP от Google.

7 способов защитить ваши облачные данные. Рис. 2

В Соединенных Штатах Америки 67% корпоративной инфраструктуры уже находится в облаке. Цифры на самом деле растут с каждым годом, а облако становится все более популярным и востребованным.

Такие компании как Facebook, Alibaba, LinkedIn, Weibo, Accenture, Marriott (дважды) уже столкнулись с нарушениями облачной безопасности за последние три года. Если это случилось с Facebook и LinkedIn, значит, это может случиться с каждым. Существует общее ложное чувство безопасности, связанное с использованием облака. Тот факт, что почти никто не сообщает о своем опыте нарушений безопасности, не означает, что подобные инциденты никогда не происходят. На самом деле они происходят чаще, чем мы думаем. Причем речь идет не только о проблемах в сфере кибербезопасности, но и других ситуациях, когда данные могут быть повреждены, случайно удалены или полностью потеряны по разным причинам. Компании, особенно крупные, стараются избегать публичного признания того, что они пережили инциденты с кибербезопасностью. Это очень неприятно, дорого и несет серьезные репутационные риски. Можем ли мы что-то сделать, чтобы избежать таких негативных событий? Да, конечно. В этой статье мы рассмотрим семь основных шагов, которые любой бизнес может предпринять для защиты своих данных в облаке.

Современные облачные провайдеры предлагают гораздо больше сервисов, чем простое хранение файлов в облаке. К таким услугам можно отнести всевозможные PaaS, IaaS и SaaS решения, когда компании арендуют виртуальные копии их локальных инфраструктур, включая сети, рабочие станции, физические устройства, лицензированные приложения и многое другое. Однако, до сих пор облачные файловые хранилища являются одним из наиболее востребованных и популярных сервисов для множества компаний и частных лиц. Но наряду с удобством использования, данные сервисы приносят и дополнительные риски в информационной безопасности.

1. Делайте резервное копирование данных локально 

Да, у облачных провайдеров есть такие функции, как автоматическое резервное копирование. Тем не менее мы рекомендуем, по крайней мере, локально создавать резервные копии любых конфиденциальных или важных данных. Это не займет много времени и места, и у вас всегда будет доступ к локальной резервной копии в любое время, даже если Интернет не работает.

2. Избегайте хранения строго конфиденциальной информации

Используйте облако только для данных, которые вы потенциально можете «позволить себе» потерять. Помните, хакеры всегда ищут конфиденциальные данные, такие как база данных клиентов или пользователей. Им нужна такая информация, как номера телефонов, адреса электронной почты, физические адреса, номера кредитных карт, пароли и т. д., то есть информация, которую они затем смогут продать в даркнете. Другими конфиденциальными данными могут быть патенты, контракты, финансовая информация компании и сведения о сотрудниках.

3. Зашифруйте данные в облаке

Многие облачные провайдеры предоставляют встроенный функционал по шифрованию данных, хранящихся на сервере, но мало кто из конечных юзеров пользуется данным функционалом. Рекомендуется воспользоваться этой функцией и добавить дополнительный уровень защиты ваших данных. При правильной настройке шифрование данных не повлияет на соединение или скорость работы.

4. Зашифруйте данные перед загрузкой в облако

Если у вас нет выбора и вам нужно хранить конфиденциальные или важные данные в облаке, вам следует зашифровать их перед загрузкой в облако. Таким образом, хакеры не будут иметь доступа к вашим локальным паролям или ключам шифрования. На самом деле это безопаснее, чем шифрование данных в облаке, хотя и не всегда практично.

5. Внимательно прочтите условия и положения вашего поставщика облачных услуг

Условия использования фактически отличаются от одного облачного провайдера к другому. Помните, что провайдеры на самом деле являются предприятиями, которые должны соблюдать местные законы и ограничения. Вы должны с самого начала знать, как облачный провайдер управляет вашими данными и хранит их, какие гарантии предлагает, как вы можете оформить их, и какие ограничения налагает провайдер. Всегда читайте мелкий шрифт, чтобы до конца понимать, что вы покупаете, и снизить любые риски и ограничения, которые впоследствии могут негативно повлиять на ваш бизнес.

6. Защитите устройства конечных пользователей, которые обращаются к облачным ресурсам

Облачная среда может быть очень безопасной, но если хотя бы одно из устройств вашей компании, имеющее доступ к данным в облаке, не защищено, это представляет серьезный риск. Плохо защищенный компьютер или смартфон, который получает доступ к данным в облаке, является слабым звеном в цепочке безопасности и точкой входа для злоумышленника или вредоносного программного обеспечения. Примите все возможные доступные меры для защиты устройств (без исключений), имеющих доступ к облаку.

7. Проводите регулярный аудит безопасности

Настоятельно рекомендуется регулярно проводить аудит безопасности всей вашей облачной инфраструктуры. В процессе данного аудита необходимо удостовериться, что использование облачного хранилища каждым сотрудником компании удовлетворяет требованиям безопасности.

Регулярная проверка безопасности, проводимая экспертами в области облачной безопасности, — лучший способ снизить риски и избежать серьезных инцидентов и убытков. Аудит означает, что небольшая группа экспертов приходит и проверяет настройки безопасности облака, компьютеров и устройств, которые имеют к нему доступ, какие политики и ограничения у вас есть, а также любые настройки, предотвращающие утечку данных и несанкционированный доступ. Кроме того, такие эксперты также могут выполнить смоделированные вредоносные атаки, чтобы обнаружить любые слабые места в вашей конфигурации, а затем исправить их вместе с вами.

Из нашего опыта мы можем сказать, что всегда лучше, проще и дешевле предотвратить, чем лечить. Сделайте безопасность облачной среды одним из своих приоритетов, если это еще не сделано. Будьте в безопасности в облаке!

Материал опубликован на сайте IT World. Источник: https://www.it-world.ru/cionews/security/186912.html