Денисов Юрий, руководитель дизайн центра, Прищенко Андрей, руководитель центра киберзащиты, дирекция по облачным сервисам компании «Систематика» (входит в ГКС).
Мультиоблачная безопасность
Во время пандемии компании распробовали облачные сервисы — видеоконференций, VDI, CRM и множество других решений. Спешность, с которой был совершен переход в облака под давлением обстоятельств, оставила у руководства многих компаний опасения, что данные, которые обрабатываются в облаках, будут украдены. Никто не хочет попасть на первые полосы СМИ из-за утечек своих данных, поэтому сейчас, после массовой миграции в облака, компании заинтересованы в наведении порядка в обеспечении безопасности своих облачных сервисов и мультиоблачных сред.
Модель угроз мультиоблака
Проблема облака в том, что пользователь его не контролирует. Изначально это преподносилось как преимущество: «зачем вам знать где обрабатываются ваши данные?». Однако для обеспечения безопасности отсутствие контроля — проблема. За большую часть инструментов защиты отвечает провайдер облака, а клиент может только надеяться на добросовестное исполнение контракта с его стороны. Часто клиент подписывает договор даже не с облачным провайдером, а с интегратором мультиоблачного решения. Естественно, что в таком контракте необходимо максимально подробно описать все средства защиты, которые должны быть задействованы в обеспечении безопасности. Особенно это касается случаев, когда контракт относится к информационной системе, которая должна соответствовать требованиям законов №152-ФЗ «О персональных данных» или №187-ФЗ «О безопасности КИИ».
Основной элемент мультиоблака — среда взаимодействия, — которая обеспечивает соединение всех элементов различных облаков в единое целое. За это отвечает контроллер программно-определяемой сети (software-defined networking – SDN или software-defined networking in a wide area network — SD-WAN). Он реализует сетевое взаимодействие облаков, и на него же возлагаются некоторые функции по обеспечению их защиты. В частности, он может выявлять аномалии в работе облачных сред, приложений, систем контроля доступа и других, поэтому контроллер сети — основной элемент защиты мультиоблачной среды. Решения этого типа предлагают несколько компаний, таких как Cisco, VMware и другие. Защиту контроллера сети необходимо предусмотреть в контракте, однако в большинстве случаев управление им злоумышленники могут перехватить с помощью учётных данных корпоративного администратора. Понятно, что в этом случае операторы ничего не смогут сделать, поскольку будут считать злоумышленника легитимным пользователем. В механизм защиты от этой угрозы должен быть вовлечен клиент, хотя бы с помощью многофакторной аутентификации и системы управления правами доступа.
Следующим важным элементом мультиоблачной среды является единая точка входа или система однократной идентификации (Single sign-on — SSO). Сейчас она обычно базируется на технологии федеративной аутентификации, такой как OpenID и OAuth. Компания может создать или арендовать в облаке собственный центр web-аутентификации, который станет точкой доверия для всех остальных его облаков. Данный центр web-аутентификации будет проверять идентичность сотрудников компании, а все остальные сервисы будут доверять его вердикту. Такие Web-SSO продукты предлагают различные компании, причем как международные, так и российские.
Важным элементом мультиоблачной среды также является система виртуализации — она позволяет распределять вычислительные ресурсы внутри облака отдельного оператора. Объектом управления этой системы является полностью скомпонованная виртуальная машина, которая содержит как пользовательские данные, таки и обрабатывающие их приложения. Управление этими виртуальными машинами занимается система виртуализации, которая обеспечивает их всем необходимым для работы — процессорным временем, оперативной и дисковой памятью, внешними соединениями и процедурами управления жизненным циклом виртуальной машины. Атака на этот элемент мультиоблачной среды позволит злоумышленнику получить доступ к чужим вычислительным ресурсам, за которые будет расплачиваться атакованная компания. «Ворованные» виртуальные машины, например, можно использовать для майнинга криптовалюты. Поэтому система виртуализации должна иметь механизмы выявления аномалий в проведении виртуальных машин и защиты от паразитного расходования вычислительных ресурсов.
Практика защиты
Данные, которые хранятся в облаках, также необходимо защищать, и облачные провайдеры должны предложить клиентам системы защиты их данных с помощью шифрования. Требование шифрования данных, которые передаются операторы облака, есть, в частности, в нормативных документах. Шифрование должно быть таким, чтобы с одной стороны защищать данные во время их хранения в СХД оператора, а с другой — позволят расшифровать их для обработки в виртуальных машинах. Различными производителями предлагаются решения, которые позволяли бы защищать данные, загружаемые в облака, с помощью шифрования — выбор среди подобных решений есть.
Соответствие облачных провайдеров нормативным требованиям — один из важных элементов создания мультиоблачных конфигураций. В соответствии с законом, персональные данные необходимо обрабатывать по особым правилам и в особых условиях. Поэтому часто обработка персональных данных выполняется в отдельных, спроектированных с учетом требований 152ФЗ о защите персональных данных, аттестованных облаках, где на уровне инфраструктуры выполнены все требования регуляторов. Аналогично, в отдельные приложения должны быть выделены и системы, являющиеся частью объектов критической информационной инфраструктуры (КИИ), атаки на которые должны фиксироваться, а сведения о них направляться в специальную государственную систему защиты ГосСОПКА. Впрочем, за соблюдение всех законодательных требований отвечает всегда владелец информационной системы, обрабатывающей конфиденциальные данные, а операторы, с готовы взять на себя часть ответственности за выполнение требований регуляторов. Такие специализированные облачные решения есть у многих российских облачных операторов, и они могут быть включены как часть в единое мультиоблачное решение.
Кроме того, все облачные компоненты должны быть защищены специальными защитными сервисами, которые сейчас получили наименование «сетевой доступ с нулевым доверием» (Zero Trust Network Access — ZTNA). Это концепция комплексной защиты, которая включает в себя и межсетевой экран нового поколения, и систему обнаружения/предотвращения вторжений, и аутентификацию каждой операции, и множество других механизмов, которые как раз и призваны обеспечить комплексную защиту облачных и мультиоблачных сервисов. Сейчас уже появились провайдеры, которые предлагают ZTNA из облака, что и позволяет создать своеобразный облачный периметр — все взаимодействие с мультиоблачным сервисом выполняется через системы облачного защитника.
Ещё более общая защита — это системы анти-DDoS, которые сейчас является распределенными и децентрализованными. Простой мультиоблачной системы может привести к серьезным последствиям для компании, поэтому анти-DDoS необходимо добавить к приобретаемым сервисами. Причем сделать это нужно не во время атаки, а в штатном режиме функционирования, чтобы механизмы средства защиты смогли изучить нормальный профиль трафика вашего приложения.
Кроме того, для проверки качества работы всех защитных механизмов компания может нанять внешних специалистов для проведения аудита безопасности реализованного облачного или мультиоблачного решения. Такие аудиты стоит проводить регулярно, чтобы понять насколько реально защищена ваша облачная инфраструктура. Проведение таких проверок, в частности, требуется в том числе и для соблюдения требований законодательства для высоких классов защиты персональных данных и значимых объектов КИИ, однако для проведения проверок объектов КИИ строго обязательно четко указывать все аспекты при заключении договор на данные виды работ, так как уже есть преценденты, когда по запросам ФСБ возбуждаются уголовные дела за сканирование IP-адресов объектов КИИ. Перед началом проведения проверок какого-либо устройства или сервиса проверяют, что устройство/сервис входит в область работ и что владелец разрешает проводить его исследование.
Регулярная проверка хороша и для контроля уровня сервиса оператора облачных услуг, который проконтролировать достаточно сложно. К счастью, услуги внешнего аудита защищённости доступны для российских пользователей — их предлагает целый ряд компаний.
Заключение
Следует отметить, что пока нет полностью готового облачного сервиса, который решил бы все проблемы обеспечения информационной безопасности мультиоблачных сред и конфигураций. Хотя все необходимые элементы для обеспечения защиты уже есть и предоставляются в том числе и на российском рынке. Интеграторы, которые занимаются созданием мультиоблачных приложений могут собрать весь необходимый комплект сервисов защиты. Важно все эти механизмы предусмотреть в самом начале проекта по созданию мультиоблачного решения.
Статья опубликована в журнале Connect-WIT за июль–август 2021.