Так ли легко обеспечить безопасность облачного хранилища?
План статьи
Безопасность облачных хранилищ
это совокупность организационных и технических мер, обеспечивающих защиту данных при их хранении и обработке у внешнего провайдера: от шифрования и контроля доступа до аудита, резервного копирования и соблюдения регуляторных требований.
Облачные технологии развиваются максимально быстро, многие приложения для хранения данных уже имеют облачную альтернативу, не говоря уже о почтовых сервисах, которые предлагают облачное хранилище по умолчанию, как только создаётся учётная запись. По результатам большого опроса касательно защиты информации среди многомиллионных корпораций, более 83% опрошенных компаний пользуются облачными сервисами для хранения документации, операционных архивов и других данных. В соответствии с прогнозами аналитиков, количество инцидентов утечек данных из облака уменьшится на более, чем 50%, в то время, как те же утечки из традиционных центров хранения данных будут только расти. Уже давно известно, что более 95% утечек конфиденциальной информации происходит из-за человеческой ошибки и, к сожалению, облачные сервисы пока не застрахованы от этого, поэтому в настоящее время огромная часть разработок программ для информационной безопасности ориентирована на защиту данных в облаке.
Более 95% утечек конфиденциальной информации происходит из-за человеческой ошибки — облако не исключение.
В таком случае, как лучше всего защитить свои данные в облаке? Не проще ли хранить их на переносных носителях, давать доступ ограниченному количеству доверенных лиц, оставлять на защищённом сервере компании? Читайте дальше, здесь мы разбираемся во многих аспектах безопасности облачных хранилищ.
| Риск / область | Что делать (по статье) |
|---|---|
| Безопасность сети | Шифровать трафик (SSL/TLS), проектировать периметр у провайдера, мониторить нарушения. |
| Идентификация и доступ | Файрволы, MFA/2FA, детектирование несанкционированных входов, строгие роли и права. |
| Утечки через каналы коммуникаций | Внедрить DLP (например, SecureTower) для контроля почты, мессенджеров, веб-каналов и облачных сервисов. |
| Неизвестные уязвимости | Проводить регулярные пентесты, обновлять системы по результатам, повторять цикл. |
| Потеря данных | Настроить автоматическое резервное копирование с заданной периодичностью. |
| Несоблюдение законов | Выбирать провайдера с нужными соответствиями; учитывать текущие и будущие регуляторные требования в договоре. |
Риски хранения информации в облаке
Безопасность сети
Одной из самых больших задач и ответственностей поставщика облачного сервиса является обеспечение безопасности сети. В отличие от локальной сети, все данные хранятся на стороне облачного провайдера, поэтому именно в его компетенции предусмотреть возможные нарушения. Очень популярно шифрование сетевого трафика с помощью SSL и TSL-сертификатов, эти виды шифрования между браузером и сервером считаются одними из наиболее надёжных.
Идентификация и управление доступом
Критически важно озаботиться вопросом безопасного доступа к облачному хранилищу, особенно если это большая компания, где ошибка доступа буквально может стоить утечки данных. Стандартные меры защиты включают в себя файрвол, многофакторную аутентификацию пользователя, расширения для обнаружения несанкционированных попыток входа в систему. С помощью этих элементов можно существенно уменьшить риск компрометации информации.
Помимо вышеописанного, компаниям очень рекомендуется установить хорошую DLP-систему. Такой сервис как раз и нацелен на защиту организации от утечек данных путём контроля максимального количества каналов коммуникации, включая, конечно же, облачные хранилища. Одна из самых надёжных DLP на рынке – SecureTower от Falcongaze – DLP-система 2 в 1: защита от утечек информации + контроль лояльности персонала.
SecureTower отслеживает все файлы, загружаемые пользователем в интернет через браузер. Система контролирует все облачные сервисы Dropbox, OneDrive и Яндекс.Диск, Google Drive, iCloud, Mail.ru и другие (контролируются десктоп и веб версии хранилищ). Система анализирует сведения о файловых операциях на сетевых ресурсах, перехватывает записываемые файлы, контролирует доступ к сетевым ресурсам, а также позволяет гибко настраивать исключения, чтобы контролировать операции только с важными файлами и папками и не мешать остальными бизнес-процессам.
Анализ возможных уязвимостей
Должный уровень защиты облачного хранилища достигается и периодическим пентестингом в том числе. Пентерстер (penetration tester) – специальный человек, который как бы становится на место злоумышленника и, думая, как он, пытается проникнуть в систему и найти возможные уязвимые места. Если пентестеру не удалось пробить хранилище и найти брешь, значит, защита от взломов обеспечивается на хорошем уровне и пользователи могут быть спокойны за свои данные по крайней мере до следующего обновления (которые также рекомендуется проводить регулярно).
Резервное копирование файлов
Да, облачные хранилища, как и мессенджеры, и другие приложения тоже создают резервную копию всех файлов и периодически загружают на свой же предусмотренный специально для этого сервер. Не все хранилища имеют такую функцию, но вы можете проверить, предусмотрена ли она. Если нет – всегда есть вариант загрузить те же данные на третий сервис или носитель вручную. В идеале, резервное копирование данные должно быть настроено и проводиться автоматически, раз в выбранный промежуток времени (неделя, две недели, месяц), в зависимости от частоты пополнения и обновления данных.
Соблюдение законов о защите информации
При создании облачного хранилища, особенно с большим количеством секретных данных, следует учесть правила хранения информации в соответствии с законами вашей страны. Если ваша компания – создатель самого программного решения, который поставляет услуги хранения данных, нужно уделить особое внимание нормативным актам и требованиям в соответствующей отрасли. Если вы не строите всю свою систему с нуля, вам нужно выбрать правильного поставщика инфраструктуры. При выборе важно подумать о том, какие стандарты и правила жизненно важны для вас сейчас и какие стандарты вам, возможно, придется соблюдать в будущем. В противном случае, вы рискуете потратить лишнее время и деньги при переходе к другому поставщику из-за проблем с соблюдением требований.
Почему некоторые всё ещё предпочитают локальные методы хранения облачным?
- Законы и правила страны. В некоторых странах использование облачных сервисов ограничено. Например, физическому лицу можно пользоваться облаком, а вот компании, ввиду больших рисков потери данных или сложного юридического оформления процесса – нельзя.
- Задержка при выгрузке и обработки данных. Представьте, огромная многомиллионная корпорация покупает себе место в облаке и ежедневно выгружает туда всю необходимую документацию, практически не храня ничего локально. Такие массивы данных требуют большой мощности для обработки, и при малейшем перебое в связи это время обработки и предоставления данных тоже увеличивается. А если информация нужна срочно..?
- Неполное удаление данных. Хоть облачные сервисы и создают резервные копии для каждой части данных, всё равно есть вероятность, что резервная копия данных или части данных останется в облаке даже после удаления.
- Разграничение обязанностей. Говоря о больших компаниях, между поставщиком облачных услуг и корпорацией обычно заключается договор оказания услуг, где прописываются права и обязанности каждой стороны. Несоблюдение условий договора является нарушением, которое чревато не только юридической стороной проблем, но и напрямую касается безопасности хранящейся информации.
- Доступ к данным. В облаке может храниться (и хранится) информация разного уровня секретности. Как мы уже упоминали, 95% нарушений связаны с человеческой ошибкой, поэтому нужно тщательно утверждать, кто из сотрудников имеет право доступа и к какой конкретно информации. Напоминаем про многофакторную аутентификацию для каждого человека, который имеет доступ к секретным данным.
Вывод
Облачные технологии – неотъемлемый инструмент защиты информации в 2022 году. При выборе облачного сервиса для хранения данных компании нужно ориентироваться на множество факторов, которые, если проигнорировать, приведут не только потере конфиденциальной информации компании, но и, возможно, финансов и репутации. Так что мы однозначно рекомендуем пользоваться облаком, но обязательно контролировать все аспекты, которые мы описали в этой статье: от установки надёжной DLP-системы до тщательной проверки договора на оказание услуг облачного хранения данных.
- Что критичнее для облака: шифрование или 2FA?
И то и другое обязательно: TLS/SSL защищает канал, а MFA снижает риск компрометации учётных записей. Эти меры дополняют друг друга.
- Как часто проводить пентест облачной инфраструктуры?
Минимум раз в год и после значимых изменений архитектуры или провайдера; результаты фиксировать и сопровождать корректирующими мерами.
- Можно ли контролировать облачные загрузки средствами DLP?
Да. SecureTower контролирует веб-и десктоп-клиенты популярных облаков (Dropbox, OneDrive, Google Drive, Яндекс.Диск и др.), фиксирует операции и может блокировать нежелательные действия.
- Как организовать резервное копирование для облака?
Настроить автоматические бэкапы по расписанию, хранить копии в независимом сегменте/сервисе, периодически выполнять тестовое восстановление.
- Что предусмотреть в договоре с провайдером?
SLA, локацию и юрисдикцию данных, порядок инцидент-респонса, экспорт/удаление данных, соответствие регуляторам, ответственность сторон.
Важно! DLP-система Falcongaze SecureTower доступна в бесплатном тестовом режиме на протяжении 30-ти дней. Исследуйте возможности применения программного комплекса для защиты вашего бизнеса.
.jpg)
