За внедрением облачных технологий — будущее, однако они также обладают некоторыми недостатками, что грозит рисками во время их практического применения. Операционный директор Chetu Гаурав Шарма приводит на портале InformationWeek советы, которые подскажут, как смягчить последствия от хакерских атак, инсайдерских угроз, защитить облачные данные и др.
Узнав обо всех преимуществах облака, многие компании сразу же приступают к реализации плана миграции. Спешка связана с тем, что в последнее десятилетие облачные сервисы стремительно набирают популярность и те фирмы, которые не могут предложить свои программные услуги «из облака», часто рассматриваются как аутсайдеры. Тем не менее в погоне за внедрением новых технологий из виду часто упускается облачная безопасность. Следует помнить, что разработка облачных приложений предполагает модель совместной ответственности поставщика облачных услуг и вашей организации. При работе с облачными сервисами нужно учитывать ряд важных аспектов. К примеру, увеличивается площадь атаки, поскольку, в отличие от традиционных настольных пользовательских приложений, она включает инфраструктуру поставщика, службу API, источники входящего/исходящего контента, базовый код приложения и, конечно, компьютер конечного пользователя. Ниже приводятся слабые стороны облака и риски, которые могут поджидать мигрирующую в облако компанию:
- снижение контроля со стороны потребителей. Конечный пользователь лишен полного контроля за работой облачных приложений. Большая часть логики и обработки выполняется на отдельном сервере. Атака на этот сервер в одночасье может скомпрометировать данные всех пользователей, а также уничтожить успешную программу;
- создание неавторизованного экземпляра. Известно, что запуск нового экземпляра (инстанса) виртуальной машины или контейнера в облачной инфраструктуре любого крупного облачного провайдера не составляет проблем. Однако теоретически вполне допустимо, что если учетные данные администратора будут скомпрометированы, злоумышленник сможет создавать новые инстансы, которые обойдутся реальному владельцу учетной записи в астрономические суммы. Неавторизованные экземпляры могут также подключаться к другим экземплярам и похищать у них данные;
- потенциальные уязвимости в API. Чтобы сделать общие вызовы проще и интуитивно понятнее, разработка облачных приложений в основном связана с API. Однако любой пользователь приложения может применить один из множества инструментов, который визуализирует как URL-адрес для каждого вызова API, так и параметры, которые он ожидает. Если учетные данные не проверяются при каждом вызове API, это может привести к проблемам;
- эксплойты в совместных облачных сервисах. Обслуживающие облако серверы по своей природе общедоступные для нескольких компаний. Хотя провайдеры пытаются логически разделить данные клиентов, злоумышленник, имеющий доступ к серверу, может взломать его и украсть их;
- проблемы с безопасным удалением. Время от времени данные приходится удалять, и делать это нужно безопасно. Для настольных приложений это не составляет никакого труда, но процедура усложняется, если компания является клиентом сразу нескольких облачных поставщиков, то есть данные хранятся на нескольких серверах и включают кэшированные данные конечного пользователя;
- неправильно выставленные права пользователя. Потенциально хакеры могут украсть облачные учетные данные любой компании. Крупные облачные провайдеры предлагает внутренние механизмы для управления пользователями, в которых прописываются их функции и выставляются привилегии. Наличие единого аккаунта для всех пользователей увеличивает шансы, что часть прав доступа или привилегий будет выставлена неверно;
- моновендорная привязка. Облачные поставщики всегда пытаются привлечь новых клиентов привлекательными стартовыми приложениями. Со временем они могут показаться не такими привлекательными и клиент захочет сменить провайдера, что может оказаться длительной и непростой процедурой. Более того, она связана с повышенным расходом средств;
- перегруженный ИТ-персонал. Осуществляя переход в облако, компании часто упускают из виду тот факт, что план миграции повышает нагрузку на их ИТ-персонал. В случае, если у него и так хватает работы, дополнительная ноша приведет к снижению работоспособности людей и возможным грубым ошибкам;
- угроза инсайда. Работая с облаком, компанию может поджидать угроза не только извне, но и изнутри. В отличие от традиционного ПО, инсайдер с правами администратора и облачным доступом может за считанные секунды полностью разрушить приложение, а заодно и репутацию компании;
- потеря данных. Если компания работает с несколькими провайдерами, она тем самым повышает риски внезапной потери данных. Их может вызвать или хакерская атака, или неожиданное отключение электроэнергии в одном из ЦОДов. На случай подобных происшествий ей обязательно нужно иметь план аварийного восстановления, чтобы привести приложение в работоспособный вид;
- переизбыток облачных поставщиков. Если компания по каким-то причинам выбрала несколько поставщиков, ей нужно быть готовой к тому, что все ее данные так или иначе будут проходить через всех них. Если один из провайдеров станет жертвой хакерской атаки, целостность картины данных может быть нарушена или потерян контроль над ними;
- необдуманный переход в облако. О преимуществах облака так много говорится, что некоторые организации воспринимают их на веру, не проводя досконального анализа по поводу того, на самом ли деле оно им нужно. Учитывая, насколько сложной бывает облачная миграция, необдуманное решение может привести к фатальным ошибкам.
Снижение облачных рисков
Ниже приводится несколько советов, которые помогут обезопасить облачную деятельность:
- не торопитесь с настройкой облачной учетной записи. Убедитесь, что у пользователей есть соответствующие привилегии. Никогда не разрешайте применять общие учетные записи и помните, что каждому пользователю необходимо предоставить как можно меньше привилегий;
- автоматизируйте выполнение ручных процессов. Создание резервных копий, копий БД — это те процессы, которые лучше всего выполняет автоматика. Не оставляйте места для человеческой ошибки;
- регистрируйте и просматривайте поступающие и исходящие данные. Убедитесь, что вы можете должным образом контролировать входящие и выходящие данные. Инвестируйте в набор инструментов, который позволяет «детализировать» сеансы для выявления пользователей, злоупотребляющих своими доверенными привилегиями;
- ИТ-команда должна иметь четкое представление о количестве задействованных провайдеров. Назначьте отдельных членов команды, которые бы следили за тем, чтобы каждый облачный провайдер оперативно исправлял уязвимости.
Как и другие технологии, облачные вычисления не лишены недостатков, однако ни у кого нет сомнений, что за ними будущее корпоративных инфраструктур. Важно понимать, что они дают не только преимущества, но и могут привести к рискам. Это не значит, что от облака нужно отказаться, просто нужно выбрать лучших поставщиков и вооружиться инструментами, которые помогут снизить риски.