Отмечается резкий рост масштабов использования облачных технологий, который отчасти связан с пандемией Covid-19. Опрошенные порталом Information Age эксперты рассказали, как организациям и провайдерам обеспечить безопасность облаков.
Облака широко использовались и до начала пандемии. Независимо от своего размера и отраслевой принадлежности компании видели преимущества модели виртуальных ресурсов для своих сервисов. Но безопасность облаков часто рассматривалась как нечто второстепенное.
После введения всемирного карантина переход в облака ускорился, т. к. организации стремились расширить возможности своих работников и сохранить высокий уровень обслуживания клиентов.
Недавнее исследование компании Aptum показало, что после начала пандемии свыше трети (38%) компаний используют облачную технологию для масштабирования инфраструктуры с целью удовлетворения спроса и контроля за расходами. А почти половина (48%) применяют облачные решения для предоставления важнейших сервисов конечным пользователям.
Кроме того, 76% опрошенных сообщили, что используют облачные сервисы для организации удаленной работы, и 92% выразили уверенность в непрерывности бизнеса своих компаний благодаря управляемым облачным сервисам.
Организации все быстрее осваивают облака, значение которых для их выживания растет. В этой связи компаниям следует задаться вопросом о способах обеспечения безопасности облаков. Как провайдеры облаков, так и конечные пользователи должны сейчас отнестись к этой проблеме более серьезно.
Ниже приводятся мнения пяти экспертов об обеспечении безопасности облаков при удаленной работе.
Безопасность облаков в эпоху удаленной работы
Ник Макгуайр, старший вице-президент и руководитель корпоративных исследований CCS Insight, считает, что самой долговременной тенденцией, порожденной кризисом Covid-19, станет придание клиентами растущего значения безопасности облаков.
«Для большинства компаний переход на удаленную работу по большому счету означал переход к облакам, особенно в том, что касается производительности и сотрудничества, — сказал он. — Кризис показал, в частности, ограниченность унаследованной технологии обеспечения безопасности вроде VPN, которую компании больше не будут всерьез использовать в связи с переходом на облачные инструменты. Что мы сейчас наблюдаем, так это более четкая ориентация на безопасность, изначально встроенную в платформу, будь то устройства, приложения или облачная инфраструктура, вместо привязки к определенному решению, как это было в прошлом».
Это означает, что за последние несколько лет облачные компании незаметно превратились в охранные.
«Глубина предлагаемых решений в области безопасности неразрывно связана с доверием, которое испытывают клиенты к облачным провайдерам. Другим долгосрочным следствием пандемии является то, что клиенты придают больше значения доверию к облачным провайдерам. Поэтому в последние пять месяцев мы наблюдали резкий рост инвестиций в облачную безопасность», — добавил Макгуайр.
Полное представление
Для организации «надежная защита в стиле лондонского Тауэра», когда речь идет об облачной безопасности, предполагает отказ от выстраивания защиты по периметру, сказал директор Orange Cyberdefense по Великобритании Стюарт Рид.
«Вместо этого им следует в первую очередь получить полное представление о сетевой инфраструктуре, представляющей поле деятельности злоумышленников, и использовать это в качестве отправной точки любой новой стратегии защиты», — считает он.
По его словам, значительная доля проникновений злоумышленников в облака была связана со слабыми или украденными паролями либо с злоупотреблениями полномочиями. Поэтому важно иметь надлежащую стратегию идентификации и регулирования доступа, основанную на многофакторной аутентификации. Кроме того, организации должны вести постоянный мониторинг облаков на предмет аномалий. «Обеспечьте наглядное представление, кто к каким приложениям получает доступ, и наблюдайте, какие данные направляются приложениям или загружаются. Вы можете осуществлять мониторинг своего облака с помощью технологии SIEM, платформы обнаружения облачных угроз и анализа поведения, а также управляемых сервисов», — добавил Рид.
Автоматизированная наглядность
Риду вторит Чарака Гунатилейк, главный технолог компании Panaseer. Он тоже считает, что безопасность облаков обеспечивается наглядностью, и согласен, что расширяющееся использование многочисленных облачных платформ и сервисов порождает массу проблем, главная из которых связана с наглядностью представления.
«Специалистам по безопасности трудно идентифицировать активы, контролировать пробелы покрытия и предотвращать неавторизованный доступ к облаку. Поскольку стало очень легко приступить к использованию крупной инфраструктуры, масса организаций невиданными темпами увеличивают поверхность атаки из-за использования механизмов автоматизации. Это усугубляется отсутствием единообразия: большинство использует уникальные сочетания облаков, гибридных облаков, многооблачности и собственных ЦОДов, которые непрерывно развиваются», — сказал Гунатилейк.
Для преодоления проблем с наглядностью многие организации добывают данные через API и формируют инвентарные списки для каждого из трех наиболее часто используемых уровней облачной инфраструктуры: IaaS, PaaS и SaaS.
Тем не менее, Гунатилейк подчеркивает, что ручные процессы не только чреваты ошибками, но требуют значительных ресурсов и времени. «Это означает также, — добавил он, — что некоторые вещи могут упускаться из виду. Это показал отчет компании McAfee, в котором утверждается, что 99% облачных инцидентов остаются незамеченными. Тот факт, что почти все облачные инциденты не идентифицируются, свидетельствует о достигшем критического уровня отсутствии наглядности защиты облачных систем и знания распределения обязанностей. Лучший способ исправить положение состоит в инвестировании в системы, автоматически обеспечивающие наглядность всех вычислительных сред».
Обучение и осведомленность
С расширением перехода организаций в облака «потенциальная поверхность атаки увеличивается там, где облачные продукты создавались без учета необходимости защиты», — сказала Аманда Грант, директор по продуктам компании Advanced.
Однако она полагает, что не все облака одинаковы. Некоторые, по ее словам, защищены более надежно. Лучшие облачные провайдеры создают ПО с учетом требований безопасности. «Это означает, что ответственность в меньшей степени возлагается на заказчиков и в большей на производителей ПО», — сказала Грант.
Согласно новейшему исследованию Digital Business Report компании Advanced, только 35% опрошенных признались, что достигнутое благодаря облакам повышение уровня защиты соответствовало их ожиданиям.
«Организациям следует больше чем когда-либо работать со своими провайдерами, чтобы знать, что те предпринимают, чтобы помочь им более надежно защитить свои активы», — считает Грант.
Она подчеркнула, что это «не отрицает необходимости повышать уровень осведомленности членов правления и всех сотрудников. Безопасность — образ мышления и культура. Любая стратегия кибербезопасности должна начинаться с объяснения персоналу, что корпоративные данные являются конфиденциальными, а дальнейшее обучение должно быть непрерывным».
Резервное копирование
Флориан Малецки, старший директор по международному маркетингу продуктов компании StorageCraft, согласен с Грант в том, что важнейшее значение имеют четкие политики, регулирующие, кто может получать доступ к данным и затем иметь возможность отчитываться об этом.
Он подчеркнул также, что «при оптимизации облачной безопасности применительно к системам хранения организации следует рассмотреть несколько вопросов. Прежде всего необходимо позаботиться о создании резервной копии данных в другом ЦОДе или их репликации за пределы собственной площадки для защиты от неожиданных событий, например, пожаров или отключений электроэнергии».
Проведенное StorageCraft исследование показало, что 47% респондентов предвидят невозможность достаточно быстрого восстановления данных в случае аварии, что иллюстрирует необходимость в надежном плане резервного копирования в рамках любой стратегии защиты облаков.