Ранее в одном из посты , мы рассказали о том, как обеспечиваем безопасность данных наших клиентов в облаке.
Сегодня мы предлагаем рассмотреть мировой опыт в этой области.
Ведь количество киберугроз во всем мире не просто увеличивается, но и повышается их качество.
/Pixabay/ PublicDomainPictures / CC0
В соответствии с результатами исследовать Gartner, к 2020 году 80% всех утечек информации из облака будут вызваны неправильной конфигурацией или внутренними проблемами компании, а не уязвимостью провайдера.
Поэтому ИТ-организациям необходимо будет уделять внимание внутренним бизнес-процессам и обучению персонала безопасности.
Сегодня 64% компаний считают облачную инфраструктуру более безопасной, но при этом 75% принимают дополнительные меры защиты.
меры .
Например, 61% клиентов используют шифрование данных, 52% имеют политики управления идентификацией и доступом к информационным системам, а 48% проводят регулярные системные аудиты.
Однако злоумышленникам не так важно, где именно находятся данные: на виртуальных или реальных машинах; их цель — получить доступ любой ценой.
Поэтому для защиты данных в облаке можно использовать те же инструменты, что и в дата-центре компании.
Эксперты выделяют три основных направления безопасности: шифрование данных, ограничение доступа к данным и возможность их восстановления в случае чрезвычайной ситуации.
Кроме того, эксперты советуют уделять больше внимания API. Открытые и незащищенные интерфейсы могут стать слабым звеном защиты данных и основной причиной уязвимости облачных платформ.
Аналитика и машинное обучение
В качестве решения проблемы можно обратить внимание на инструменты ИИ.Использование систем искусственного интеллекта и машинного обучения для автоматизации защиты данных означает упрощение рутинных задач.
Однако вскоре они будут использоваться для обеспечения безопасности в публичных и частных облачных инфраструктурах.
Примером такого подхода сегодня является проект с открытым исходным кодом MineMeld, который позволяет использовать данные об угрозах, полученные из внешних источников, для формирования политик безопасности с автоматическим изменением конфигурации.
Данное решение позволяет учесть конкретные потребности конкретной компании.
Другой пример - продукт Платформа Gurucul Cloud Analytics, которая использует поведенческий анализ и машинное обучение для выявления внешних и внутренних угроз.
Шифрование
Вице-президент Forrester Research Андраш Чер конечно , что шифровать абсолютно все данные не имеет смысла.Для обеспечения безопасности должна быть введена определенная политика, разработкой которой могут заниматься специалисты.
Вам нужно узнать, какие данные находятся в облаке, куда идет трафик, и только потом решать, какую информацию следует зашифровать.
Прежде чем усиливать меры безопасности, было бы полезно просчитать их целесообразность: например, сравнить стоимость введения таких мер и возможные потери от утечки информации.
Вам также следует учитывать, как шифрование или доступ пользователей и управление идентификацией повлияют на производительность системы.
Защита данных может осуществляться на нескольких уровни .
Например, все данные, которые пользователи отправляют в облако, могут быть зашифрованы с помощью алгоритма AES, обеспечивая анонимность и безопасность.
Следующий уровень защиты — шифрование данных на сервере облачного хранилища.
Облачные провайдеры также часто используют несколько дата-центров для хранения данных, что положительно влияет на целостность информации.
Вы можете найти несколько рекомендаций по шифрованию данных в облаке.
Здесь И в этот тема на Stack Exchange.
Мониторинг инфраструктуры
Мы уже говорили о том, какое оборудование использовал в наших центрах.При миграции в облако многие клиенты сталкиваются с необходимостью внедрения новой стратегии безопасности из-за необходимости изменения настроек брандмауэра и виртуальной сети.
Согласно исследованию, проведенному аналитической компанией SANS, клиенты причина Проблемы включают уязвимости системы безопасности (68%), уязвимости приложений (64%), заражение вредоносным ПО (61%), социальную инженерию и нарушения безопасности (59%), а также внутренние угрозы (53%).
В то же время Чандра Секар, старший директор по маркетингу Illumio, верит что злоумышленники почти всегда смогут найти способ взломать систему.
Поэтому основная задача — обеспечить, чтобы атака не распространилась на другие уязвимые звенья цепочки.
Это возможно, если система безопасности блокирует несанкционированный обмен данными между рабочими нагрузками и предотвращает незаконные запросы на подключение.
На рынке существует множество продуктов для мониторинга инфраструктуры центров обработки данных, например.
линейка Cisco дает ИТ-менеджерам возможность получить полную информацию о сетевой активности.
Вы можете не только видеть, кто подключается к сети, но и устанавливать правила для пользователей: что могут делать конкретные люди и какие у них права доступа.
Автоматизация
Другой подход, который может повысить надежность центров обработки данных, — это интеграция систем безопасности с практиками DevOps. Это позволяет ускорить темпы развертывания приложений и внесения изменений.Адаптивная архитектура безопасности обеспечивает интеграцию со средствами автоматизации и управления, делая изменения настроек безопасности частью непрерывного процесса развертывания.
Безопасность больше не является приоритетом в облачной инфраструктуре в отдельности от разработки до развертывания и становится неотъемлемой частью непрерывной интеграции и непрерывного развертывания (CI/CD).
Такие инструменты, как плагин Jenkins, могут обеспечить это, делая проверку кода и безопасности стандартным шагом для обеспечения качества.
Другие поставщики предлагают инструменты DevOps для тестирования и мониторинга безопасности: например, SAST используется для анализа исходного кода приложения в статическом состоянии и выявления уязвимостей безопасности, а DAST используется для обнаружения возможных уязвимостей безопасности во время работы приложения.
Несколько решений для DAST и SAST можно найти в этот тема на Stack Exchange. Главное – не откладывать вопросы безопасности на второй план.
Раньше безопасностью продуктов часто занималась отдельная команда.
Но такой подход увеличивал время работы над продуктом и не мог гарантировать устранение всех уязвимостей.
Сегодня интеграция безопасности происходит не только на практике; появились специальные термины — DevOpsSec, DevSecOps или SecDevOPs. По словам Джейми Тишарта, технического директора по облачным технологиям и SaaS компании Intel, между этими терминами существует значительная разница.
разница — расположение части «Sec» отражает важность безопасности.
И правильный вариант, с точки зрения практического применения, — SecDevSecOpsSec. О безопасности нужно думать на всех этапах создания любого продукта, включая облачную инфраструктуру.
P.S. Еще один пост в нашем блоге на сегодня - VPS-дайджест .
П.
П.
С.
Еще несколько материалов на тему безопасности и эксплуатации дата-центров:
- Как это работает: Несколько слов о DNS
- ОК, Гугл! Зачем переходить на HTTPS в 2017 году?
- Как защитить систему Linux: 10 советов
- «Быстрее, выше, сильнее»: новые технологии центров обработки данных
- Работа с микроскопом: революция в хранении данных
-
Поддержка Офлайн-Сообщений В Skype
19 Oct, 24 -
Чистая Архитектура. Часть I. Введение
19 Oct, 24
