Могат ли доставчиците на облачни услуги да защитят данните ви?

Сюзън Брадли, CSO

Поне част от нашите данни са в облака, но повечето от нас все още имаме сървъри, разположени локално, или може би локален център за данни, или в различни региони по света. Твърде често процесите, които сме използвали, когато сървърите ни са били локални, са същите, които използваме в облака, но рисковете и отговорностите там вече са различни.

Често цитираната фраза, че облакът е просто нечий чужд сървър, е частично вярна, но в действителност облакът е повече от един сървър. Той предлага физическа защита като контрол на достъпа и наблюдение на това кой и какво внася в центъра за данни. Това ниво на физическа защита често е повече от това, което се осигурява при локалното съхранение. Можем да минем и с по-малка защита, когато се намираме близо до данните, но нашите облачни доставчици не могат да направят същото. Множество клиенти споделят едно и също пространство и могат да имат различни рискове и нужди.

Сигурността на локалните сървъри и сигурността на центъра за данни

Моите локални сървъри нямат същите нива на резервни генератори или дублирани електрически мрежи, които повечето центрове за данни приемат като стандарт. Ето един пример за това - онзи ден местната електрическа компания трябваше да извърши ремонтни дейности в нашия район, а това изискваше изключване на електрозахранването за целия ден. Ние изключихме всички локални компютри и сървъри в сградата, тъй като нашите резервни батерии и захранващи устройства нямаше да издържат очакваната липса на ток за 12 часа.

Това ми напомни, че услугите в облака все пак ни позволиха да удовлетворим повечето от нашите нужди, дори когато нашият главен офис беше офлайн. Вече нямаше сериозен удар върху нашите дейности, когато нямахме електрозахранване в сградата.

Облачните центрове за данни също така следят въздействието на производителността на дисковете, паметта и други фактори върху хранилището ви за данни. Освен това те гарантират, че физическото съхранение е защитено с криптиране и други най-добри практики за съхранение. С услугите в облака можете да закупите подходящите, модерни ресурси, които имат повече защити, за да удовлетворят нуждите на вашите данни.

Едно нещо, което облачните доставчици не могат да направят, е, да гарантират, че ние сме направили всичко необходимо, за да защитим нашите данни в облака. Лесно можете да поставите база данни в облака, но ако не можете да защитите подходящо тази база данни, всичките най-добри практики за сигурност на центъра за данни излитат направо през прозореца. Скорошно проучване на Censys установява повече от 1.93 милиона изложени на риск бази данни на облачни сървъри. Почти 60% от изложените на риск сървъри са били MySQL бази данни, което прави 1.15 милиона бази данни от общо 1.93 милиона изложени на риск бази данни.

Моделът на споделена отговорност

Microsoft нарича това модел на споделената отговорност. Те могат да осигурят защитена инфраструктура, защитен хардуер и възможността за защитени изчисления, но ако не успеете да следвате най-добрите практики за сигурност, киберхигиена и подходяща защита на софтуера, най-добрите практики на центъра за данни няма да ви защитят.

Имайки предвид този модел на споделена отговорност, колкото повече се отдалечавате от локалните инсталации и се насочвате към софтуера като услуга (SaaS), толкова повече се увеличава отговорността на облачния доставчик. Ако всичките ви данни са в локални решения, вие сте отговорни за всички аспекти на сигурност и операции. Освен това носите отговорността да гарантирате, че данните са класифицирани правилно, и да управлявате потребители и крайни устройства.

С решения от тип инфраструктура като услуга (IaaS) сградите, сървърите, мрежовият хардуер и хипервизорът се управляват от доставчика на платформата. Вие имате отговорност за защита и управление на операционната система, мрежовата конфигурация, приложенията, идентичността и данните. Решения от тип платформа като услуга (PaaS) прехвърлят отговорността за управлението и защитата на мрежата към доставчика.

Какво трябва да направите за сигурността в облака

Когато предлага облачни услуги, доставчикът често предоставя инфраструктурата, но не контролира инсталирането на пачове. Прегледайте своите отговорности по отношение на обслужването и поддръжката. Прегледайте какви опции предоставя доставчикът за автоматично актуализиране.

Microsoft например пуска повече инструменти, основани на нейните облачни услуги за по-добър контрол на актуализирането не само на облачните услуги, но също и на отдалечените работни станции. Стига да имате подходящия лиценз (E3 или по-висок), за публичен преглед вече са достъпни новите интерфейси Microsoft Graph API, които се поддържат от Windows Update for Business. Те позволяват на ИТ специалисти и разработчици на приложения да одобряват и планират актуализации на конкретни функции, които да бъдат доставени от Windows Update, етапни разполагания за период от дни или седмици с помощта на сложни изрази, и да заобикалят предварително конфигурирани политики на Windows Update for Business за незабавно разполагане на актуализации на сигурността в организацията ви.

Дистанционният достъп също е ключова слабост. Тъй като сме толкова свикнали с Remote Desktop Protocol (RDP), ние често настройваме облачните услуги по същия начин. Това отваря RDP достъпа без възможност за ограничаването му с помощта на двуфакторно удостоверяване. Затова по-добре е да не се използва изобщо RDP за достъп до облачни активи. Компрометираните RDP идентификационни данни са толкова широко разпространени, че вече се продават на отворения пазар.

Извод: само защото вашите данни вече не са физически в непосредствена близост до вас, не означава, че вашите отговорности за тяхната сигурност сега са на доставчика. Не настройвайте облака със същите рискове и уязвимости, които откриваме в нашите локални инсталации.

Превод и редакция Мариана Апостолова

Материалът е публикуван в бр. 5 на сп. CIO България, който може да откриете тук.