HP озаботилась безопасностью и облаками


Содержание

HP представляет новые средства защиты от киберугроз

15 октября 2014

HP представила новые решения в области защиты от киберугроз в рамках конференции HP Protect. В числе новшеств — система защиты для приложений, универсальный набор механизмов распознавания сетевых угроз и усовершенствованная система управления журналами операций.

За последние четыре года убытки, наносимые киберпреступниками по всему миру, выросли на 78%. Этот факт заставляет производителей средств ИБ собирать информацию о методах работы злоумышленников, определять ее актуальность и, руководствуясь полученными сведениями, предвидеть атаки, обезвреживать их или ограничивать возможный ущерб.

Новые решения HP помогают заранее обнаруживать атаки и обеспечивают автоматическое оперативное реагирование. Собирая сведения об угрозах и координируя необходимые действия с помощью интегрированных решений, эксперты по безопасности получают возможность заблаговременно выстраивать защиту.

«Динамично развивающиеся ИТ обуславливают не только постоянно растущие требования со стороны бизнеса к их производительности и доступности, но и высочайший уровень неуязвимости для внешних атак. Ведь киберпреступность сегодня — одна из наиболее актуальных проблем, с которой сталкиваются большинство крупных предприятий и организаций, — прокомментировал Андрей Кутуков, директор HP Software в России. — Портфель решений, представленный в рамках конференции HP Protect и уже доступный нашим заказчикам на российском рынке, в полной мере отражает потребности современного бизнеса: он включает широкий спектр продуктов, воплотивших в себе колоссальный опыт компании в сфере безопасности».

«Несовершенство стратегий безопасности и любые уязвимости, не устраненные в корпоративной сети, используются злоумышленниками для достижения своих целей, — отметил Арт Гиллилэнд (Art Gilliland), старший вице-президент и генеральный директор HP Enterprise Security Products. — Чтобы предвосхищать действия противника, надежно защитить ценную информацию и обеспечить устойчивую работу сетей, нужны решения, которые предоставляют актуальные сведения нужным людям в нужное время».

Оперативное предотвращение взлома с помощью сервиса самозащиты

Учитывая, что свыше 80% успешных атак сегодня происходит на уровне приложений, последние нуждаются в защитных механизмах, оперативно пресекающих попытки взлома. Изменение кода, средства защиты периметра и другие традиционные методы реагирования на известные и непредвиденные угрозы играют важную роль, но на их полноценное внедрение могут уйти недели или месяцы. HP представляет HP Application Defender, первый облачный сервис, наделяющий приложения способностью к самозащите и оперативно устраняющий программные уязвимости.

Опираясь на технологию Runtime Application Self-Protection (RASP), HP Application Defender помогает вести мониторинг активности приложения в продуктивной среде, обнаруживать атаки и пресекать их. Сервис позволяет защититься от распространенных атак, осуществляемых с использованием программных уязвимостей, в том числе от SQL-инъекций, межсайтового скриптинга и попыток несанкционированного доступа.

Обезвреживание сложных целенаправленных атак в точке проникновения

Новое семейство продуктов HP TippingPoint Advanced Threat Appliance (ATA) тоже предназначено для оперативного противодействия киберпреступникам. В этих решениях реализован обширный набор средств распознавания сложных угроз безопасности сети, противодействия им и снижения ущерба. Для этого применяются статические и динамические методы анализа, а также поведенческий анализ. Развитые средства распознавания и анализа угроз наряду с автоматизированными механизмами противодействия, предусмотренными в новых решениях HP, позволяют эффективно обезвредить атаку в самом ее начале.

За решение этой задачи отвечают системы HP Tipping Point Next-Generation Intrusion Prevention System (NGIPS), HP TippingPoint Next-Generation Firewall (NGFW) и HP TippingPoint Security Management System (SMS) — они позволяют быстро остановить распространение вредоносного ПО по сети. Собранные при этом сведения об угрозах используются для предотвращения дальнейших атак. Дополнительно усилить защиту, обеспечиваемую решениями HP TippingPoint ATA, помогают фильтры, подготовленные опытными специалистами HP TippingPoint Digital Vaccine (DV) Labs.

Широкомасштабная разведка

HP позаботилась как об эффективном анализе растущего объема журнальных данных, так и об извлечении из них ценных с точки зрения безопасности сведений. Компания представила HP ArcSight Logger 6.0 — новую версию универсального решения для управления журналами, в которой реализованы функции сбора, хранения и анализа журналов событий, способствующие более надежному обеспечению безопасности и соблюдению нормативных требований. Эта система является одним из ключевых компонентов продуктового портфеля HP ArcSight, предназначенного для управления информацией и событиями безопасности (Security Information and Event Management, SIEM). По сравнению с предыдущей версией, HP ArcSight Logger 6.0 обладает улучшенной масштабируемостью, поэтому может анализировать в восемь раз больше данных и работать на порядок быстрее.(3) Система позволяет осуществлять непрерывный мониторинг журналов операций и оперативно проводить компьютерно-техническую экспертизу.

Информационная безопасность облаков. Миф или реальность?

Облака как модель организации ИТ в компаниях появились на рынке сравнительно недавно по меркам традиционного бизнеса. И до сих пор существует множество мифов о надежности облаков, что объясняется недостаточной осведомленностью пользователей и наличием большого количества не совсем достоверной информации.

В большинстве случаев удобство, предоставляемое облачными сервисами, существенно перевешивает последствия возможных проблем с надежностью и безопасностью. Так, например, различные стартап-компании успешно запускают новые проекты без существенных вложений в собственную инфраструктуру.

Миф первый: ИТ-безопасность внутри компании обеспечена более надежно, чем в облаке

Нередко анализ ИБ собственной инфраструктуры показывает, что большую часть данных можно безбоязненно вынести на облако, где уровень ИБ на площадке провайдера заметно выше чем в корпоративной среде.

Перечислим основные преимущества облачных провайдеров перед корпоративной ИТ-инфраструктурой:

Безопасность индивидуальных ресурсов заказчика. Провайдеры облачной инфраструктуры обеспечивают безопасность на своем уровне (изоляция сетей и инфраструктуры пользователей, протоколирование действий администраторов, резервное копирование и т.д., но к самим приложениям и данным пользователя провайдер доступа обычно не имеет. Если пользователь использует платформу IaaS (инфраструктура как сервис) или PaaS (платформа как услуга) на уровне приложений пользователь самостоятельно должен обеспечить безопасность данных. В случае с SaaS безопасность должен гарантировать облачный провайдер.

Ответственность провайдера перед компанией-клиентом регулируются соглашением об уровне обслуживания (Service Level Agreement, SLA), а также соглашением о не разглашении (Non-Disclosure Agreement, NDA), которое определяет как и какой доступ к данным клиента провайдер может получить в зависимости от ситуации, как регистрируется факт получения доступа к данным, какие штрафные санкции применяются в случае нарушений.


Облачные провайдеры вкладывают значительные ресурсы в развитие систем защиты и сохранности данных (программные средства, аппаратные средства, оперативный контроль облачных сервисов специалистами провайдера).

Миф второй: данные из облака похитить проще, чем изнутри компании

Подавляющее большинство утечек данных происходит не на стороне сервиса, а на стороне пользователя. Повышенным источником угроз являются не внешние злоумышленники, а сами сотрудники компании, которые уже имеют доступ к информационным ресурсам компании. Утечки могут быть вызваны как непреднамеренными или ошибочными действиями, так и целенаправленным вредительством (продажа информации конкурентам, саботирование, месть кому-либо и пр.). Тенденция смещения акцента с внешних угроз на внутренние также усиливается с повсеместным применением мобильных устройств, которые не всегда настроены корректным образом и не всегда имеют защитное ПО.

Сконцентрировать данные в облаке и организовать их защиту – значит получить более безопасную и контролируемую среду по сравнению с офисной, где вся информация распределена по рабочим станциям, мобильным устройствам и филиалам компании.

Основные риски облачных сервисов и рекомендации по их снижению

Информационная безопасность – это прежде всего процесс управления рисками. Абсолютная защищенность невозможна в принципе. Перед выбором модели построения ИТ-инфраструктуры с участием облака необходимо оценить, насколько те или иные факторы влияют на функционирование конкретной компании.

Опишем основные риски информационной безопасности, которые наиболее часто появляются при работе с облаком:

Нарушение законодательства со стороны других пользователей облака с последующим изъятием оборудования.

Серверное оборудование, на котором размещен облачный сервис, зачастую используется одновременно несколькими пользователями облака, в случае его изъятия могут пострадать «соседи» нарушителя.

Рекомендации: инфраструктура провайдера должна позволять переносить мощности клиента на резервное оборудование в случае недоступности основного.

Передача данных по Интернет-каналу.

Обмен данными с облаком осуществляется непосредственно через Интернет-канал, соответственно, без надлежащей защиты злоумышленники теоретически могут получить передаваемые данные (тела документов, пароли, персональные данные и т.д.).

Рекомендации: необходимо использовать те облачные сервисы, которые обеспечивают своим пользователям защиту передаваемых данных (VPN-соединение, HTTPS и прочие защищенные протоколы передачи).

Ограниченные ресурсы.

Особенность облачных сервисов – практически неограниченные ресурсы, которыми пользователь может гибко управлять. Однако при значительных нагрузках на оборудование облачного провайдера часть пользователей могут ощущать существенное снижение быстродействия сервисов вплоть до недоступности сервиса.

Рекомендации: уточните у провайдера, каким объемом ресурсов он фактически располагает. Запросите экскурсию в ЦОД провайдера, если есть такая возможность. Проводите регулярное нагрузочное тестирование предоставляемых сервисов (IaaS и PaaS).

Экономические последствия DDoS-атак.

Это атаки, нацеленные на то, чтобы загрузить все доступные ресурсы сервиса с целью сделать его недоступным для пользователей. Поскольку плата идет за фактическое потребление ресурсов, резкое увеличение трафика существенно скажется на стоимости потребленных облачных ресурсов в момент DDoS- атаки.

Рекомендации: выбирайте тарифные планы без платы за фактический объем потребляемого трафика, отключайте по возможности автоматическое увеличение ресурсов хостинга, регулируйте производительность вашего облака вручную

Большинство рисков локальной ИТ-инфраструктуры практически полностью применимы к облачной инфраструктуре (уязвимости сетевых протоколов, уязвимости ОС и отдельных компонентов и т.д).

Прочие риски, о которых часто забывают

Безопасность данных в облаке – это не единственный риск.

● Пользователи облаков могут потерять собственные компетенций в области поддержки инфраструктуры и/или могут попасть в зависимость от внешнего поставщика услуг.


● Так или иначе пользователи теряют собственный контроль над действиями удаленных администраторов и над потоками информации за пределами корпоративной сети.

● Требования российского законодательства во многом ограничивают возможности облачной модели. Для обеспечения требований законодательства облачные провайдеры должны оснащать ЦОДы специальным оборудованием, сертифицированным на соответствие нормативным требованиям. Этим частично объясняются стоимость решений, привязка сервисов к конкретным ЦОДам и невозможность масштабирования.

При переносе ИТ-инфраструктуры в облако следует предварительно тщательно взвесить риски, учесть надежность облачных провайдеров, оценить потенциальные убытки от возможных простоев, ознакомиться со штрафными санкциями регуляторов. Совсем не обязательно выносить в облака сразу всю ИТ-инфраструктуру. Изначально можно ограничиться определенной долей информации и вынести на облака ряд бизнес-процессов.

При верном подходе и правильном выборе поставщика услуг облака способны обеспечить бОльшую надежность и удобство использования бизнес-приложений, нежели существующая в компании ИТ-инфраструктура, а также повысить эффективность вашего бизнеса.

Информационная безопасность в облачных технологиях

Секция: Технические науки

XV Студенческая международная научно-практическая конференция «Технические и математические науки. Студенческий научный форум»

Информационная безопасность в облачных технологиях

Аннотация. В последнее годы большое распространение приобретают технологии облачных вычислений. Облачные технологии предоставляют пользователям необходимые ресурсы, будь это хранение информации, или организация вычислительной мощности для решения различных задач. В статье рассматриваются модели обслуживания пользователей облачных технологий, основные угрозы информационной безопасности и методы повышении безопасности.

Ключевые слова: облачные технологии, информационная безопасность, модели обслуживания пользователей, IaaS, PaaS, SaaS.

Введение

«Облако» — это инновационная модель (концепция) организации IT-инфраструктуры, которая состоит из распределенных и разделяемых конфигурируемых аппаратных и сетевых ресурсов, а также программного обеспечения, развернутых на удаленных (облачных) дата центрах поставщиков (провайдеров). То есть облако — это новый подход организации IT-инфраструктуры [5]. Провайдеры облачных технологий способны предоставить своим пользователям необходимые вычислительные мощности за счет динамического выделения необходимых ресурсов . Клиенты, в свою очередь, получают возможность использовать значительные вычислительные мощности, объемы памяти и необходимое программное обеспечение для решения любых задач. Одним из ключевых факторов удобства использования облачных услуг, является организация доступа в сеть из любых точек мира, в том числе и использование мобильных устройств.

Для подавляющего большинства компаний, в том числе и научных, облачные сервисы являются оптимальным вариантом организации доступа к вычислительным ресурсам и хранилищам данных. Ключевые преимущества: невысокая стоимость предоставления услуг (в сравнении с организацией и технической поддержкой большого кластера вычислительной техники или аренды вычислительной мощности в центре обработки данных (ЦОД)), предоставление клиентам большого спектра информационных услуг, а также доступ к различному программному обеспечению (ПО) для решения любых задач. Клиенты провайдеров облачных услуг также могут существенно уменьшить арендную плату за предоставление услуг, путем оптимизации использования вычислительных ресурсов и использованием общедоступных сетевых хранилищ. Провайдеры, в свою очередь, могут объединяться друг с другом для расширения облачной сети и динамического расширения, перераспределения мощностей между потребителями, в условиях постоянного увеличения спроса и потребностей на использование услуг облачных технологий.

Следуя из вышесказанного, можно сделать вывод о том, что одним из основных достоинств облачных технологий является возможность пользоваться услугами облачных провайдеров в любое время из любой точки мира. Однако из-за этого возникают существенные проблемы в вопросе информационной безопасности облачных вычислений. Необходимы сложные алгоритмы аутентификации пользователей, внедрение разграничение прав клиентов и провайдеров, изолирование данных и ПО и т.д. К тому же, следует внимательно относится к повышению надежности вычислительной системы и распределению нагрузки на аппаратную часть. Все это является весьма непростой задачей для всей индустрии.

Цукерберг рекомендует:  «Сейчас или никогда!» Бросил хорошую работу ради Python

Модели облачных вычислений Под понятием облачные вычисления подразумевается различное программно-аппаратное обеспечение, доступное пользователю через локальную сеть или Интернет в виде сервиса, позволяющего использовать удобный интерфейс для удаленного доступа к выделенным ресурсам (вычислительным ресурсам, программам и данным) [2]. С развитием облачных технологий возникло несколько моделей развертывания «облака», удовлетворяющие потребности различных категорий клиентов. Каждая модель облачных услуг и каждый способ ее развертывания обеспечивает свой уровень гибкости, управляемости и контроля безопасности и процессов работы.

Существует 3 основных модели обслуживания пользователей:

  • «Программное обеспечение как сервис» («Software as a Service», SaaS)
  • «Платформа как сервис» («Platform as a Service», PaaS)
  • «Инфраструктура как сервис» («Infrastructure as a Service», IaaS)

Рассмотрим каждую из моделей.

Модель IaaS предоставляет инфраструктуру для построения облачной информационной системы. Пользователю предоставляется доступ к хранилищу данных, сетевым ресурсам и виртуальным машинам для дальнейшей организации клиентской IT-системы. IaaS предоставляет потребителю стандартизированную инфраструктуру, оптимизированную под потребности клиента. Как правило, облачные провайдеры предоставляют следующие компоненты [2]:

  • Аппаратные ресурсы (включая и хранилища даннных)
  • Компьютерную сеть (включая различное оборудование на сети: маршрутизаторы, брандмауэры и т.д.)
  • Подключение виртуальной сети клиента к сети Интернет
  • Платформу виртуализации, для организации доступа виртуальных машин к конечной IT-cети
  • Сервисное обслуживание

Пользователь получает полные административные права внутри арендованных услуг. Настройка сетевого оборудования, серверов и установка программного обеспечения клиентом выполняется самостоятельно.


Данная модель обслуживания подходит средним и крупным компаниям, т.к. избавляет их от необходимости организации и обслуживания сложных центров обработки данных и клиентских инфраструктур, а также существенно снижает расходы на поддержку корпоративной сети.

Следующая модель обслуживания называется «Платформа как сервис», или сокращенной PaaS. Модель предоставляет интегрированную платформу для создания и поддержки необходимых клиенту веб-приложений как сервис. Клиент получает веб-интерфейс, и право наполнить его любым необходимым содержанием, включая поддержку массивных баз данных (БД) или объемных скриптов. Разработчику не нужно покупать ПО и сетевое оборудование, отсутствует необходимость в его настройке и обслуживания, снята нагрузка по администрированию серверов. Основными достоинствами модели PaaS является масштабируемость (в зависимости от количества используемых приложений, будут выделяется необходимые аппаратные ресурсы) ,безопасность системы и ее отказоустойчивость.

Заключительная модель обслуживания клиентов – «Программное обеспечение как сервис» (SaaS). Это модель развертывания приложения, которая подразумевает предоставление приложения конечному пользователю. Контроль и управление физической и виртуальной инфраструктурой «облака», настройка ПО и приложений осуществляется облачным провайдером. Доступ к приложениям, как правило, предоставляется через веб-интерфейс Интернет-браузера. Целевыми клиентами является мелкие компании и конечные потребители.

Рисунок. 1. Сравнение моделей обслуживания IaaS, PaaS, SaaS

Угрозы безопасности в облачных технологиях

В настоящий момент облачные инфраструктуры не являются новой технологией, однако старые вопросы и проблемы все также остаются. Одной из таких проблем является обеспечение должного уровня безопасности. Как было сказано выше, облачные сервисы состоят из трёх уровней: инфраструктура, платформа и приложение. И каждый из этих уровней надо обеспечить целостностью, конфиденциальностью и доступностью услуг для авторизированных пользователей [1]. Собственно, эти три задачи и формируют основную триаду, на которую и ориентируются, когда обеспечивают безопасность «облаков». Так какие основные угрозы у облачных сервисов? Рассмотрим главные из них:

Происходит в случае, если сторонними лицами был получен доступ к конфиденциальной информации. Поэтому, для большей защищенности, крупные и средние компании хранят свои данные в серверах, расположенных в хорошо охраняемых ЦОД ах. Физически сервер оттуда не вынесешь, не имея специализированного пропуска на объект. В виртуальном плане, доступ на сервер можно получить, взломав корпоративную защиту. Также, обязательным условием является защита данных в процессе их передачи по сети.

  1. Кража аккаунта, взлом услуг

Подразумевается кража регистрационной информации с последующим ее использованием для незаконных действий.

Один из опаснейших видов атак, вызывающий перегрузку каналов и использующий все ресурсы системы. В результате этой атаки, сотрудники фирмы теряют возможность получить своевременно услугу, что приводит к остановке рабочего процесса.

Плохая проектировка интерфейсов и слабое ПО, используемое для управления облачными услугами, также является слабой стороной в сфере безопасности и наиболее часто именно они подвергаются атакам. К тому же, при предоставления дополнительного набора услуг, архитектура интерфейсов усложняется, и не всегда удается вовремя заметить угрозу взлома.

К сожалению, тоже частая проблема. Недальновидность сотрудников, безответственное и несерьезное соблюдение внутренних правил и распоряжений компании, а также неправомерное использование конфиденциальных данных в личных целях тоже приводит к большим рискам.

Рисунок 2. Основные барьеры для внедрения облачных услуг

На рис. 2. представлена статистика CSА (некоммерческая отраслевая организация) основных причин, почему как мелкие, так и крупные фирмы пока не могут полностью довериться облачным технологиям. Можно сделать вывод, что преобладающим барьером является именно человеческий фактор и ненадежная безопасность конфиденциальных данных.

Методы обеспечения безопасности в облачных технологиях

Как ни странно, но одним из минусов облачных технологий является то, что они…. «облачны». Человек понятия не имеет где и как хранятся его данные, не контролирует их, поэтому полагается только положительные отзывы провайдера или не полагается никакого в принципе. И тогда, единственной гарантией сохранности данных является их шифрование. При таком методе ключи для дешифровки передаются только клиенту, отсюда он может быть спокоен, что третьи лица, даже если завладеют его информацией, без ключей сделать ничего не смогут. Но минусом шифрования является большая нагрузка на производительность серверов, которая влечет за собой их замедленную работу и задержки в плане шифрования-дешифрования. Рассмотрим другие способы обеспечения безопасности. Один из них — аутентификация. Простыми словами аутентификация — это защита паролем. Чаще всего, для достижения большей надежности используются средства сертификации.

Еще одним способом является изоляция пользователя. Её суть заключается в том, что для работы клиента(ов) используются индивидуальные виртуальные машины и сети. Данные технологии реализуются при помощи Виртуальных Частных Сетей (VPN) и Виртуальных Локальных Сетей (VLAN). Изоляция пользователей друг от друга происходит при помощи изменения кода в единой программной среде [4]. Однако, и у этого метода есть свои «минусы». В случае возможной (случайной) ошибки в коде один пользователь может получить данные другого. Или же есть возможность найти «пробел» в коде и , опять таки, получить данные другого пользователя.

Также, немаловажным методом защиты информации является защита данных при передаче. В данном случае зашифрованные данные будут доступны только после аутентификации. При их передаче используются самые надежные и проверенные протоколы, такие как: AES, TLS, IPsec, а изменить или расшифровать трафик не получится, даже если он проходит через ненадежные узлы. Обязательной процедурой со стороны крупных компаний и организаций является разработка политики безопасности и правил корпоративной этики. Также это может выражаться в плане усиленного контроля доступа пользователей, например, при помощи многофакторной аутентификации [1]. Более того, организации могут создать централизованное управление, которое обеспечит более безопасный доступ к данным и приложениям.

Заключение Использование облачных вычислений несомненно несет в себе большое количество «плюсов»: это и финансовые выгоды, когда меньше тратишься на оборудование и уход за ним; более легкая масштабируемость; разделение и динамическое перераспределение ресурсов; быстрый доступ и простота использования. Однако, всё это требует высокую надежность и безопасность. Нами по возможности были рассмотрены все многогранные угрозы, которые нависают над облачными технологиями, и методы борьбы с ними. Данный анализ рисков позволит более продуктивно работать в этой области и развивать её.

HP анонсировала ноутбуки c продвинутыми фишками безопасности

HP показала новую линейку Elitebook, в которой производитель сфокусировался на безопасности пользователя.

Что показали


Серия Elitebook 800 получит сразу три версии ноутбуков с разной диагональю и характеристиками. Модель 830 G5 получит 13-дюймовый дисплей, а 840 G5 и 850 G5 — 14 и 15 дюймов соответственно. Младшая модель обзаведется разрешение до Full HD, тогда как старшие — 4K. Чтобы потянуть такое разрешения, 840 G5 и 850 G5 получат дискретную графику, а 830 G5 только интегрированный чип Intel.

Офисные фишки

В серии ноутбуков Elitebook 800 компания сфокусировалась на офисном планктоне и бизнесменах, которые часто звонят по Skype и пекутся о безопасности.

HP установили в компьютеры два микрофона, предназначенные для улучшения связи. Второй микрофон умеет в два сценария использования. Если вы ведете видеоконференцию по Skype, то он будет улавливать голоса стоящих рядом людей. Если вы одни, микрофон будет давить шумы вокруг вас.

Безопасность

Для клиентов, которые пекутся о своей безопасности, HP добавили несколько полезных фишек. Во-первых, встроенные заслон для веб-камеры, чтобы СБУ и ФСБ не смотрели, как вы «орете» с мемчиков. Во-вторых, фильтр для дисплея, который усложнит задачу любителям подсматривать в чужой монитор. По нажатию Fn + F2 экран становится темным для всех кто сидит сбоку от компьютера.

HP позаботилась и об интернет безопасности. Технология Sure Click запускает браузер в «отдельном контейнере», который бережет PC от вредоносных программ. Возможно, прога сможет защитить ноутбук от уязвимостей на подобии Spectre, которые используют браузер для атаки.

Цена вопроса

Новая серия ноутбуков поступит в продажу до конца февраля 2020 года. За 830 G5 просят $1,049, а 840 G5 и 850 G5 обойдутся в $1,029 и $,1039 соответственно.

ТОП-12 угроз облачной безопасности по версии Cloud Security Alliance

Сегодня поговорим об угрозах облачной безопасности, рассмотрев ТОП-12, с которыми сталкиваются те или иные организации, использующие облачные сервисы. Как известно, количество облачных миграций с каждым годом растет, а вопрос безопасности по-прежнему остается серьезной темой.

Первым шагом к минимизации рисков в облаке является своевременное определение ключевых угроз безопасности. На конференции RSA , прошедшей в марте этого года, CSA (Cloud Security Alliance) представила список 12 угроз облачной безопасности, с которыми сталкиваются организации. Рассмотрим их более подробно.

Напомним, что CSA — некоммерческая организация, лидер в области стандартов, рекомендаций и инициатив, направленных на повышение безопасности и защищенности использования облачных вычислений.

Угроза 1: утечка данных

Облако подвергается тем же угрозам, что и традиционные инфраструктуры. Из-за большого количества данных, которые сегодня часто переносятся в облака, площадки облачных хостинг-провайдеров становятся привлекательной целью для злоумышленников. При этом серьезность потенциальных угроз напрямую зависит от важности и значимости хранимых данных.

Раскрытие персональной пользовательской информации, как правило, получает меньшую огласку, нежели раскрытие медицинских заключений, коммерческих тайн, объектов интеллектуальной собственности, что наносит значительный ущерб репутации отдельно взятой компании. При утечке данных организацию ожидают штрафы, иски или уголовные обвинения, а также косвенные составляющие в виде ущерба для бренда и убытков для бизнеса, которые приводят к необратимым последствиям и затяжным процедурам восстановления имиджа компании. Поэтому облачные поставщики стараются обеспечивать должный контроль и защиту данных в облачном окружении. Чтобы минимизировать риски и угрозы утечки данных, CSA рекомендует использовать многофакторную аутентификацию и шифрование.

Угроза 2: компрометация учетных записей и обход аутентификации

Утечка данных зачастую является результатом небрежного отношения к механизмам организации проверки подлинности, когда используются слабые пароли, а управление ключами шифрования и сертификатами происходит ненадлежащим образом. Кроме того, организации сталкиваются с проблемами управления правами и разрешениями, когда конечным пользователям назначаются гораздо б о льшие полномочия, чем в действительности необходимо. Проблема встречается и тогда, когда пользователь переводится на другую позицию или увольняется. Мало кто торопится актуализировать полномочия согласно новым ролям пользователя. В результате учетная запись содержит гораздо б о льшие возможности, чем требуется. А это узкое место в вопросе безопасности.

Немного фактов: крупнейшей утечкой данных в первой половине 2015 года стала атака с целью хищения идентификационных данных клиентов Anthem Insurance. Атаку оценили в 10 баллов по Индексу критичности, где было скомпрометировано более 80 миллионов учетных записей, что составило одну треть от общего числа данных, похищенных за первое полугодие 2015 года.

CSA рекомендует использовать механизмы многофакторной аутентификации, включая одноразовые пароли, токены, смарт-карты, USB-ключи. Это позволит защитить облачные сервисы, поскольку применение озвученных методов усложняет процесс компрометации паролей.

Угроза 3: взлом интерфейсов и API

Сегодня облачные сервисы и приложения немыслимы без удобного пользовательского интерфейса. От того, насколько хорошо проработаны механизмы контроля доступа, шифрования в API, зависит безопасность и доступность облачных сервисов. При взаимодействии с третьей стороной, использующей собственные интерфейсы API, риски значительно возрастают. Почему? Потому что требуется предоставлять дополнительную информацию, вплоть до логина и пароля пользователя. Слабые с точки зрения безопасности интерфейсы становятся узким местом в вопросах доступности, конфиденциальности, целостности и безопасности.

CSA рекомендует организовать адекватный контроль доступа, использовать инструменты защиты и раннего обнаружения угроз. Умение моделировать угрозы и находить решения по их отражению — достойная профилактика от взломов. Кроме того, CSA рекомендует выполнять проверку безопасности кода и запускать тесты на проникновение.

Угроза 4: уязвимость используемых систем

Уязвимость используемых систем — проблема, встречающаяся в мультиарендных облачных средах. К счастью, она минимизируется путем правильно подобранных методов управления ИТ, отмечают в CSA. Лучшие практики включают в себя регулярное сканирование на выявление уязвимостей, применение последних патчей и быструю реакцию на сообщения об угрозах безопасности. Согласно отчетам CSA, расходы, затраченные на снижение уязвимостей систем, ниже по сравнению с другими расходами на ИТ.

Распространена ошибка, когда при использовании облачных решений в модели IaaS компании уделяют недостаточно внимания безопасности своих приложений, которые размещены в защищенной инфраструктуре облачного провайдера . И уязвимость самих приложений становится узким местом в безопасности корпоративной инфраструктуры.

Угроза 5: кража учетных записей

Фишинг, мошенничество, эксплойты встречаются и в облачном окружении. Сюда добавляются угрозы в виде попыток манипулировать транзакциями и изменять данные. Облачные площадки рассматриваются злоумышленниками как поле для совершения атак. И даже соблюдение стратегии «защиты в глубину» может оказаться недостаточным.

Цукерберг рекомендует:  Webapi - Работа с видео в JS


Необходимо запретить «шаринг» учетных записей пользователей и служб между собой, а также обратить внимание на механизмы многофакторной аутентификации. Сервисные аккаунты и учетные записи пользователей необходимо контролировать, детально отслеживая выполняемые транзакции. Главное — обеспечить защиту учетных записей от кражи, рекомендует CSA.

Угроза 6: инсайдеры-злоумышленники

Инсайдерская угроза может исходить от нынешних или бывших сотрудников, системных администраторов, подрядчиков или партнеров по бизнесу. Инсайдеры-злоумышленники преследуют разные цели, начиная от кражи данных до желания просто отомстить. В случае с облаком цель может заключаться в полном или частичном разрушении инфраструктуры, получении доступа к данным и прочем. Системы, напрямую зависящие от средств безопасности облачного поставщика, — большой риск. CSA рекомендует позаботиться о механизмах шифрования и взять под собственный контроль управление ключами шифрования. Не стоит забывать про логирование, мониторинг и аудит событий по отдельно взятым учетным записям.

Угроза 7: целевые кибератаки

Развитая устойчивая угроза, или целевая кибератака, — в наше время не редкость. Обладая достаточными знаниями и набором соответствующих инструментов, можно добиться результата. Злоумышленника, задавшегося целью установить и закрепить собственное присутствие в целевой инфраструктуре, не так легко обнаружить. Для минимизации рисков и профилактики подобных угроз поставщики облачных услуг используют продвинутые средства безопасности. Но помимо современных решений, требуется понимание сущности и природы такого вида атак.

CSA рекомендует проводить специализированное обучение сотрудников по распознаванию техник злоумышленника, использовать расширенные инструменты безопасности, уметь правильно управлять процессами, знать о плановых ответных действиях на инциденты, применять профилактические методы, повышающие уровень безопасности инфраструктуры.

Угроза 8: перманентная потеря данных

Поскольку облака стали достаточно зрелыми, случаи с потерей данных без возможности восстановления по причине поставщика услуг крайне редки. При этом злоумышленники, зная о последствиях перманентного удаления данных, ставят целью совершение подобных деструктивных действий. Облачные хостинг-провайдеры для соблюдения мер безопасности рекомендуют отделять пользовательские данные от данных приложений, сохраняя их в различных локациях. Не стоит забывать и про эффективные методы резервного копирования. Ежедневный бэкап и хранение резервных копий на внешних альтернативных защищенных площадках особенно важны для облачных сред.

Кроме того, если клиент шифрует данные до размещения в облаке, стоит заранее позаботиться о безопасности хранения ключей шифрования. Как только они попадают в руки злоумышленнику, с ними становятся доступны и сами данные, потеря которых может быть причиной серьезных последствий.

Угроза 9: недостаточная осведомленность

Организации, которые переходят в облако без понимания облачных возможностей, сталкиваются с рисками. Если, к примеру, команда разработчиков со стороны клиента недостаточно знакома с особенностями облачных технологий и принципами развертывания облачных приложений, возникают операционные и архитектурные проблемы.
CSA напоминает о необходимости понимать функционирование облачных сервисов, предоставляемых поставщиком услуг. Это поможет ответить на вопрос, какие риски берет на себя компания, заключая договор с хостинг-провайдером.

Угроза 10: злоупотребление облачными сервисами

Облака могут использоваться легитимными и нелегитимными организациями. Цель последних — использовать облачные ресурсы для совершения злонамеренных действий: запуска DDoS-атак, отправки спама, распространения вредоносного контента и т. д. Поставщикам услуг крайне важно уметь распознавать таких участников, для чего рекомендуется детально изучать трафик и использовать инструменты мониторинга облачных сред.

Угроза 11: DDoS-атаки

Несмотря на то что DoS-атаки имеют давнюю историю, развитие облачных технологий сделало их более распространенными. В результате DoS-атак может сильно замедлиться или вовсе прекратиться работа значимых для бизнеса компании сервисов. Известно, что DoS-атаки расходуют большое количество вычислительных мощностей, за использование которых будет платить клиент. Несмотря на то что принципы DoS-атак, на первый взгляд, просты, необходимо понимать их особенности на прикладном уровне: они нацелены на уязвимости веб-серверов и баз данных. Облачные поставщики, безусловно, лучше справляются с DoS-атаками, чем отдельно взятые клиенты. Главное — иметь план смягчения атаки до того, как она произойдет.

Угроза 12: совместные технологии, общие риски

Уязвимости в используемых технологиях — достаточная угроза для облака. Поставщики облачных услуг предоставляют виртуальную инфраструктуру , облачные приложения, но если на одном из уровней возникает уязвимость, она влияет на все окружение. CSA рекомендует использовать стратегию «безопасности в глубину», внедрять механизмы многофакторной аутентификации, системы обнаружения вторжений, придерживаться концепции сегментирования сети и принципа предоставления наименьших привилегий.

Безопасность данных в облаке

Какие опасности могут подстерегать данные, в том числе, в облаке? — Во-первых, возможность их утраты. Во-вторых, возможность доступа к данным посторонних лиц, то есть потери конфиденциальности.

Разумное беспокойство по этим случаям должно присутствовать всегда, а при размещении компьютерной инфраструктуры в публичном облаке оно может усиливаться.

Потеря данных

Все привыкли к тому, что цифровые данные легко скопировать. Однако для копирования чего бы то ни было нужен оригинал. Если оригинал утрачен, данные, содержавшиеся в нём, также будут потеряны.


Компьютерные данные можно потерять либо в результате удаления соответствующих файлов, либо в результате разрушения носителя, на котором находятся эти файлов.

Резервное копирование

Чтобы не потерять все накопленные данные, нужно регулярно создавать их резервные копии. При этом для сохранности резервных копий важно размещать их не на том же носителе, на котором находится оригинал, а на другом — физически (!) другом диске, на другом компьютере, в другой сети.

Надёжные носители

Сейчас для хранения данных используются носители самых разных типов. У них разный принцип хранения данных и разная надёжность хранения.

Дополнительно надёжность хранения можно повысить за счёт совместного использования нескольких носителей, объединённых в группу, например, в RAID-массив.

Но даже очень высокая надёжность хранения данных вовсе не отменяет необходимости их резервного копирования.

Утрата конфиденциальности

Собственно, задача сохранения конфиденциальности данных возникает не только в случае виртуального сервера, расположенного облаке, но и в привычном мире.

Компьютерные данные, к которым получил доступ посторонний человек невозможно вернуть назад — никогда не будет 100-процентной уверенности в том, что эти данные не были скопированы. Поэтому защита данных сводится в тому, чтобы исключить саму возможность любого неразрешённого доступа к ним.

Чужие данные можно получить двумя путями: в результате доступа к их носителю или через операционную систему, обрабатывающую эти данные. Особенности этих способов доступа и определяют методы защиты данных.

К счастью, цифровая природа компьютерных данных даёт такую возможность их защиты, как шифрование. — Если постороннее лицо получит доступ к носителю с зашифрованными данными или к файлу, хранящему зашифрованные данные, оно не сможет ими воспользоваться.

Далее мы рассмотрим меры в части системного администрирования по сохранению конфиденциальности компьютерных данных, размещённых в виртуальном облаке. При этом мы не будем касаться вопросов безопасности данных внутри приложений (программ), которые используют эти данные.

Физический доступ

Диски виртуальных машин — это файлы, расположенные в больших дисковых массивах, находящихся в центрах обработки данных (ЦОДах). Соответственно, «физический» доступ к дискам виртуальной машины сводится к доступу к этим файлам.

Теоретически, доступ к дискам виртуальных машин могут иметь работники ЦОДа и работники облачного провайдера.

Центр обработки данных

Центр обработки данных обеспечивает оборудование облачного провайдера:

  • стабильным и надёжным электропитанием;
  • охлаждением чистым воздухом;
  • охраной от посторонних лиц.

Несмотря на то, что работники ЦОДа имеют физический доступ к оборудованию облачного провайдера, опасаться того, что они смогут найти и скопировать определённый диск определённой виртуальной машины, не стоит. Для балансировки нагрузки и обеспечения отказоустойчивости виртуальные диски могут перемещаться по всему аппаратному дисковому пространству, которое в настоящее время может достигать многих сотен терабайтов или даже петабайтов.

Кроме того, работники ЦОДа, как правило, не имеют логического доступа в облако (по сети).

Провайдер


Что касается работников облачного провайдера, они (по крайней мере, уполномоченные системные администраторы) всегда имеют доступ и к файлам с «аппаратной» конфигурацией виртуальных машин, и к файлам с их виртуальными дисками. Без таких возможностей они просто не смогут управлять облаком и обеспечивать предоставление услуг своим клиентам.

Более того, нередко системные администраторы облачного провайдера имеют доступ и в операционные системы виртуальных машин своих клиентов. Этот доступ упрощает управление облаком и виртуальными машинами в нём.

Можно ли обойтись без такого доступа? — Да, можно. Но с некоторыми уточнениями.

Операционная система

Для защиты данных на уровне операционной системы используются учётные записи, правами по которым можно управлять. В системе не должно быть посторонних учётных записей, а по имеющимся записям не должно быть лишних прав.

Однако для работы операционной системы на конкретном «железе» требуются драйверы. Для работы операционной системы на облачном «железе» тоже требуются драйверы, и их должен кто-то установить. То есть административного доступа в операционную системы виртуальной машины в ручном или автоматическом режиме всё-таки не избежать. Такой доступ может потребоваться и для сетевой настройки машины.

В принципе, после создания новой виртуальной машины можно изменить пароль её системного администратора и даже удалить или заблокировать соответствующую учётную запись. И после этого у облачных администраторов априори не будет доступа внутрь виртуальной машины.

Однако нужно осознавать, что все дальнейшие заботы об обеспечении работоспособности виртуальной машины лягут исключительно на системного администратора клиента.

Вопрос о возможности доступа облачных администраторов в операционную систему виртуальной машины должен обсуждаться и решаться спокойно и взвешенно.

Шифрование дисков

Как уже было сказано, доступ к данным можно получить и без входа в операционную систему виртуальной машины. Для этого будет достаточным получить доступ к её дискам напрямую.

Единственный способ полностью исключить такую возможность — зашифровать диски. Препятствие возникнет только с одним из них — системным.

Проблема в том, что пароль для подключения зашифрованного системного диска нужно вводить до загрузки операционной системы, то есть до того, когда появляется возможность удалённого подключения к виртуальной машине.

Преодолеть это препятствие можно только с помощью удалённого доступа к консоли виртуальной машины, упрощённо говоря — к её экрану, на котором можно увидеть весь процесс загрузки операционной системы.

Большинство современных облачных провайдеров имеют средства для предоставления клиентам доступа к консолям их виртуальных машин.

Заключение

Будем реалистами, в нашем мире исключить что-то на все 100% невозможно, но максимально сократить вероятность возникновения какого-то события и уменьшить размер его негативных последствий можно. Облако 1cloud даёт немало средств к тому.

Check Point: 66% ИБ-специалистов считают, что технологии защиты облаков не работают

Xakep #246. Учиться, учиться, учиться!

Эксперты компании Check Point представили отчет Cloud Security Report 2020, посвященный безопасности облачных хранилищ данных. Как оказалось, главная причина, по которой компании опасаются быстро внедрять облачные технологии — проблемы с обеспечением безопасности данных (57% организаций указали ее как основную).

Согласно проведенному Check Point исследованию, 66% ИБ-специалистов считают, что традиционные инструменты безопасности не могут обеспечить достаточную защиту в облаке или не защищают совсем.

Провайдеры облачных сервисов усиливают меры безопасности для защиты своих платформ, однако ответственность за защиту данных и приложений на этих платформах лежит на самих заказчиках. Несмотря на то, что более половины организаций (54%) заявили, что их облачные хранилища не взламывали, четверть респондентов не смогли точно ответить на этот вопрос, а еще 15% подтвердили, что их облака страдали от каких-либо инцидентов безопасности.

Основные выводы отчета Cloud Security Report таковы:


  • Четыре самых уязвимых места в публичном облаке: несанкционированный доступ в облако (42%), небезопасные интерфейсы (42%), неправильная настройка облачной платформы (40%) и хищение аккаунта (39%).
  • Основные проблемы безопасности при работе с облаком: ИТ-специалисты борются с отсутствием безопасности и за соответствие нормативным требованиям облачной инфраструктуры (эти проблемы отметили 67% респондентов). Установка согласованных политик безопасности в облаке и на компьютерах организации, а также нехватка квалифицированных сотрудников службы безопасности занимают 31%.
  • Устаревшие решения безопасности: 66% респондентов заявили, что технологии, которые они применяют, или не работают совсем, или предоставляют ограниченную защиту в облачных средах.
  • Организации не используют облака из-за проблем с безопасностью: безопасность данных является крупнейшим барьером для внедрения публичных облачных систем по мнению почти трети (29%) респондентов. На втором месте стоит риск разглашения секретной информации (28%), на третьем — проблемы соблюдения нормативных требований (26%) и нехватка опыта и квалифицированного персонала для обеспечения безопасности (26%).

«Выводы в отчете свидетельствуют о том, что специалистам по информационной безопасности необходимо срочно пересмотреть стратегии защиты и заменить устаревшие решения. Преступники стремятся использовать облачные уязвимости организаций — уже 15% респондентов сообщают об инцидентах с облачной безопасностью, — говорит Зохар Алон, глава подразделения, выпускающего линейку решений для облаков в компании Check Point Software Technologies. — Компаниям необходимо обеспечить полную прозрачность во всех своих общедоступных облачных средах, которая будет поддерживаться автоматизацией облачных политик, соблюдением нормативных требований, защитой привилегированных пользователей и анализом угроз, чтобы сделать облачные хранилища более безопасными и управляемыми».

Почему я не решаюсь использовать облачные хранилища

Привет, Пикабу!
Решил поделиться с вами своими размышлениями на такую актуальную сейчас тему как облачные хранилища.
Осторожно, многабукаф!

Меня уже довольно-таки давно интересует такая вещь как облачные хранилща файлов. Вот уже несколько раз я пытался начать активно пользоваться каким-либо из них, но каждый раз меня останавливали сомнения в их надёжности и удобстве.

Сама по себе идея интересна. Легко перечислить те возможности, которые даёт нам облачное файловое хранилище:

1. Расширение свободного места для хранения своих файлов.
2. Резервное копирование – возможность восстановить данные, если физический носитель будет сломан, потерян и т.д.
3. Использование загруженных в облако файлов с любого устройства и из любого места, где есть интернет.

Казалось бы, предложение, от которого невозможно отказаться. Но что же останавливает меня каждый раз, когда я пытаюсь заняться этим вопросом (кроме лени, конечно)?

Цукерберг рекомендует:  Разработка на Yii2 MVC, формы и шаблоны

Во-первых, вопрос конфиденциальности. Подобрать пароль от облака вряд ли сложнее, чем пароль от почтового ящика (особенно, если оба сервиса предоставляются через единый аккаунт). Если мой ящик взломают, то все мои файлы станут доступны злоумышленнику. Не очень приятная ситуация, особенно если что-то из своих файлов я не хотел бы показывать кому попало.
Да, я могу не хранить там приватную информацию, а сохранять её по-старинке, на флэшку. Но почему бы мне тогда просто не купить флэшку побольше.

Во-вторых, вероятные косяки софта, аппаратуры и людей, которые я никак не могу контролировать. Конечно, всё это может иметь место и при классическом хранении файлов, но в этом случае я сам за всё отвечаю и многое могу предотвратить. Моя флэшка не сломается, если я не наступлю на неё и мой комп не зависнет, если я сам не нахватаю на него вирусов.
Полностью доверить свои файлы незнакомым мне людям и машинам, находящимся чёрт знает где. Сомнительная авантюра.

В-третьих, – что меня больше всего интересует, – вопросы синхронизации и восстановления данных. Допустим, я удалил/изменил с устройства некий файл, а потом попытался восстановить его из облака. Что, если синхронизация уже произошла, и файл в облаке тоже уже удалён/изменён и теперь потерян для меня навсегда? Какой смысл иметь такой «резерв», который не помогает мне восстановить данные в случае чего?
Ладно. Может быть, мне стоит просто отключить автосинхронизацию и синхронизировать изменения только в те моменты, когда я на сто процентов уверен во всех изменениях? Но как же тогда удобство и гибкость «единой среды», единого файлохранилища?

В-четвёртых, в том числе в связи с предыдущим вопросом, мне непонятна модель использования реальной папки на моём компьютере для синхронизации с облаком. То есть, я должен либо создавать отдельную папку, которая будет занимать реальное дополнительное место на моём компьютере (вот уж точно не вариант для расширения свободного пространства!). Либо использовать для этих целей папку, в которой мои файлы на компьютере хранятся уже давно и постоянно, и тем самым подвергать их опасности. Ведь что, если мой аккаунт уведут и удалят все файлы? Или просто на серверах моего «хранителя» что-нибудь взглюкнет? Если я не отключил автосинхрон, то, опять же, прощай мои фоточки и документы. Разве нет?

Все эти мысли неизбежно напрягают меня, когда я пытаюсь начать работу с облачными хранилищами и в полной мере насладиться их гипотетическими удобствами.

Единственное, что я слышал позитивного по поводу своих вопросов – это то, что в DropBox есть такая вещь как контроль версий файлов. Остальные же предоставители данной услуги в лучшем случае ограничиваются «корзиной», доступной только в web-версии.

Помимо прочего, несмотря на обилие статей про облачные технологии, мне не удалось наткнуться на сколько-нибудь внятный мануал по использованию их в повседневной жизни. По-видимому, облака до сих пор остаются преимущественно увлеченим гиков, которые просто пробуют их на зуб, как что-то новенькое. Яблочники же со своим регулярно взламываемым айклаудом не в счёт, – у них, можно сказать, просто нет выбора.

Ну а нам, простым смертным, остаётся только ждать, пока технологии и культура облачного хранения разовьются настолько, чтобы можно было действительно с комфортом и спокойствием насладится его преимуществами.

P.S. Какими я могу представить решения озвученных проблем?

1. Безопасность. Использование привязки к мобильному телефону, отпечатку пальца и других современных способов аутентификации, по крайней мере, по желанию пользователя.

2. Возможность отказаться от использования реальной физической папки на жёстком диске для хранения облачных файлов.

3. Контроль изменений. Постоянное включение/отключение синхронизации вручную я не вижу выходом, потому что это противоречит концепции единой среды файлового хранения и использования. Куда логичнее, на мой взгляд, научить систему не тупо синхронизировать все изменения, а отличать добавление, изменение и удаление файлов.
Было бы удобно, если бы при каждом соединении устройства с облаком (или наоборот, смотря что было раньше) и обнаружении каких-либо изменений, пользователю предоставлялся бы запрос на применение этих операций, с возможностью подробного просмотра и корректировки.
Логичным будет и возможность отключить этот запрос, если пользователь всегда полностью доверяет самому себе и своему хранилищу.

Пример такого запроса (извиняюсь, но рисовать окошки было влом, думаю, и так понятно):
|Соединение с сервером установлено.
|С 15.03.2020 обнаружены следующие изменения:
|Добавлено 10 файлов [Подробности]
|Изменено 17 файлов [Подробности]
|Удалено 3 файла [Подробности]
|[Применить всё]

Пример при нажатии кнопки «Подробности»:
|С 15.03.2020 было удалено 3 файла:
|[х] ..Картинкиглупыеtrollface.jpg
|[_] ..Документыtxt.txt
|[х] ..Фотографиифшпсдэхиfacepalm.psd
|[Удалить выбранное (2 файла)]


Пример «Настроек синхронизации» (запрашивает подтверждение только на удаление):
|(_)Синхронизировать файлы автоматически
|(+)Выдавать запрос на применение:
| [_] Добавления файлов
| [_] Изменения файлов
| [х] Удаления файлов

«Облака» в тумане: чем опасны cloud-сервисы

Первая неделя сентября ознаменовалась эпичнейшей новостью об утечке личных фото- и видеоматериалов знаменитостей, в том числе голливудской звезды Дженнифер Лоуренс и некоторых других. Несмотря на то что источников конфиденциальных данных было несколько, больше всего досталось компании Apple, ее облачному хранилищу и сервису Find My iPhone.

После скандала, разумеется, последовали всевозможные слухи о взломах iCloud, рассуждения о несовершенстве систем защиты и бесконечные споры о том, кто и как умудрился собрать внушительную базу чужих фоток. Мы же хотим коснуться другой, не столь очевидной проблемы: большинство пользователей понятия не имеют о том, что их данные хранятся не только в их смартфонах и планшетах, но и в так называемом «облаке», а те, кто все-таки об этом знает, как правило, не очень хорошо себе представляют, что с этими данными там происходит, каким образом они защищены и кто имеет к ним доступ.

Если задуматься, то столь удручающая ситуация в некоторой степени обязана своим существованием самим компаниям, предоставляющим облачные сервисы. Google, Facebook, Apple, Microsoft и прочие гиганты столь же активно развивают свои cloud-продукты, сколь часто дополняют и меняют условия их использования, непонимание или даже незнание которых очень часто становится причиной многих проблем. И беда не в том, что кто-то недостаточно грамотен для понимания принципов работы облачных хранилищ, а в том, что угнаться за постоянно меняющимися нюансами их функционирования зачастую довольно трудно, если вообще возможно.

Несколько лет назад, когда Apple только-только запустила поддержку iCloud на всех устройствах, один из моих коллег стал жертвой этого феномена, поучаствовав в переписке с приятелем:
Приятель: Ну что, где сегодня встречаемся?
Коллега: Без разницы. Главное — чтобы поближе, а за барной стойкой была как минимум одна горяченькая барменша.

Довольно безобидно… было до тех пор, пока iCloud не решил синхронизировать все сообщения iMessage между всеми девайсами коллеги. Таким образом его переписка прилетела на iPad, который на тот момент был в руках его сына, который, в свою очередь, тут же пошел к маме продемонстрировать непонятно откуда появившееся сообщение. Что было дальше, догадаться нетрудно.

С тех пор Apple, как известно, слегка подкорректировала принцип синхронизации, а особо продвинутые родители соответствующим образом настроили отданные своим детям устройства, но проблему это едва ли решило: очень немногие имеют четкое представление о том, где именно находятся их данные, кто имеет к ним доступ и каким образом они защищены.

Кстати, о защите облачных хранилищ (особенно тех, которые нацелены на обычных пользователей): в ряде случаев механизм авторизации в таких сервисах надежен лишь условно и очень часто взламывается при помощи примитивных методов вроде социальной инженерии или на худой конец несложных программ и скриптов, не требующих даже минимальных знаний в предметной области. Положение слегка исправляет двухфакторная аутентификация, но именно что слегка: во-первых, она есть не везде, а во-вторых, у нее тоже есть серьезные недостатки, сильно ограничивающие круг тех, кто этой функцией пользуется.

Кроме того, как я уже сказал выше, пользователи понятия не имеют, у кого на самом деле есть доступ к их данным, потому что никто (подчеркиваю: никто!) не читает соглашения об использовании — длинные документы, которые мы вынуждены «подписывать», если хотим получить доступ к тому или иному интернет-сервису или ПО. Те же, кто хоть как-то разобрался в этом вопросе (и ужаснулся), вынуждены страдать от другой проблемы, заключающейся в сложности управления всем тем добром, что оказалось в «облаках». Кто-то сейчас, конечно, скажет, что это цена, которую мы вынуждены платить за бесплатность сервисов. Этот аргумент давно стал притчей во языцех, и он, безусловно, в какой-то степени справедлив. Только вот беда в том, что факт взимания платы за подобные сервисы или отказ от их бесплатных версий вовсе не означает избавление от вышеописанных проблем.

Взять, к примеру, многочисленные онлайн-сервисы, позволяющие увеличить свою производительность: почтовые сервисы, планировщики, таск-менеджеры, системы управления заказами, клиентами и так далее. Если вы не используете подобные вещи, значит, вы, скорее всего, будете отставать от конкурентов, которые оказались более благосклонны к инновациям. Так что вы или играете по тем же правилам, что и все, или мигом оказываетесь аутсайдером.

Но вот беда: все подобные современные сервисы неразрывно связаны с Интернетом и теми «облаками», посредством которых происходит создание, передача и хранение данных. Технически эти «облака» представляют собой всего лишь кучу серверов, расположенных в каком-нибудь Купертино или, что более вероятно, в месте с более скромной арендной платой за помещение. То есть они находятся в конкретном месте на вполне конкретных физических носителях. И вот тут возникает масса вопросов: а что происходит с этими данными? Они кем-нибудь индексируются? У кого есть доступ к ним? Может ли, скажем, некая государственная структура получить эти данные? А конкуренты могут? Вот почему аргументы типа «тем, кому нечего скрывать, нечего и бояться» не выдерживают никакой критики: потому что тех, «кому нечего скрывать», просто не существует. Кроме того, скрывать что-либо — это пока еще не обязательно преступление.

Беда в том, что мало кто знает, где, кто и как распоряжается их данными в «облаках»

Проблема тем временем становится все больше и шире, все сильнее влияя на личную жизнь каждого из нас. Куда отправляются данные с вашего фитнес-трекера? Вы знаете, у кого есть доступ к ним? Можете ли вы быть уверены в том, что однажды эти данные не повлияют на стоимость вашей медстраховки?

Apple и другие компании зарабатывают огромные деньги на своих облачных сервисах и при этом причинами утечки фотографий знаменитостей называют продвинутые целевые атаки. Окей, не вопрос, только вот то, что было «продвинутым» вчера, может стать совершенно обыденным уже к тому моменту, как вы дочитаете этот пост. Пора признать, что у всех нас большие проблемы и с этим надо что-то делать. Как минимум не игнорировать необходимость надежной защиты на своих устройствах и не забывать о том, что эта защита работает особенно эффективно в связке с вашей бдительностью и образованностью.

Облако Определение безопасности 2020

ОПРЕДЕЛЕНИЕ «Облачной безопасности»

Облачная безопасность — это защита данных, хранящихся в сети от кражи, утечки и удаления. Методы обеспечения облачной безопасности включают брандмауэры, тестирование проникновения, обфускацию, токенизацию, виртуальные частные сети (VPN) и избегание общедоступных интернет-подключений. Основные угрозы безопасности облака включают в себя нарушения данных, потерю данных, захват аккаунтов, захват трафика службы, небезопасные интерфейсы прикладных программ (API), плохой выбор поставщиков облачных хранилищ и общие технологии, которые могут поставить под угрозу безопасность облачных вычислений. Атаки распределенного отказа в обслуживании (DDoS) — еще одна угроза безопасности облаков. Эти атаки закрывают службу, подавляя ее данными, чтобы пользователи не могли получить доступ к своим учетным записям, таким как банковские счета или учетные записи электронной почты.

BREAKING DOWN ‘Cloud Security’

Многие пользователи обеспокоены безопасностью хранящихся в облаке данных. Они считают, что их данные более безопасны на своих локальных серверах, где они чувствуют, что имеют больше контроля над данными. Но данные, хранящиеся в облаке, на самом деле могут быть более безопасными, поскольку поставщики облачных услуг имеют более высокие меры безопасности, а их сотрудники — эксперты по безопасности. Данные на местах могут быть более уязвимыми для нарушений безопасности, в зависимости от типа атаки. Социальная инженерия и вредоносное ПО могут сделать любую систему хранения данных уязвимой, но данные на месте могут быть более уязвимыми, поскольку ее опекуны менее опытные в обнаружении угроз безопасности.

Облачная безопасность — ключевая проблема для поставщиков облачных хранилищ. Они не только должны удовлетворять своих клиентов; они также должны соблюдать определенные нормативные требования для хранения конфиденциальных данных, таких как номера кредитных карт и информацию о здоровье. Сторонние аудиты систем и процедур безопасности облачного провайдера помогают обеспечить безопасность данных пользователей.

Поддержание безопасности данных в облаке выходит за рамки обеспечения самого облака. Облачные пользователи должны защищать доступ к облаку, который можно получить из данных, хранящихся на мобильных устройствах, или небрежность с учетными данными для входа. Еще одна проблема с облачной безопасностью заключается в том, что данные, хранящиеся в облаке, размещенном в другой стране, могут подвергаться различным правилам и мерам конфиденциальности.

При выборе поставщика облачных вычислений важно выбрать компанию, которая пытается защитить от вредоносных инсайдеров с помощью фоновых проверок и разрешений безопасности. Большинство людей думают, что за пределами хакеров самый большой поток облачной безопасности, но сотрудники представляют такой же большой риск. Эти сотрудники не являются злонамеренными инсайдерами; они часто являются сотрудниками, которые неосознанно совершают ошибки, такие как использование персонального смартфона для доступа к конфиденциальным данным компании без защиты собственной сети компании.

Понравилась статья? Поделиться с друзьями:
Все языки программирования для начинающих