22 мая на AM Live прошел эфир «Как обеспечить максимальную безопасность облаков». В нем приняли участие представители облачных провайдеров, компаний-разработчиков в области информационной безопасности (ИБ) и поставщиков ИБ-решений.
Эксперты из Selectel, Yandex Cloud, Angara Security, Nubes, «Лаборатория Касперского», MWS и МегаФон ПроБизнес обсуждали вопросы обеспечения безопасности облачных сред на уровнях инфраструктуры, разработки и администрирования. Также поделились подходами к выбору сервис-провайдера и рассказали о ИБ-функциях, на которые следует обратить внимание заказчикам. Собрали конспект с главными тезисами, советами и наблюдениями спикеров.
Используйте навигацию, если не хотите читать текст полностью:
→ Защищенность облачной инфраструктуры
→ Технические ограничения и альтернативы
→ Законодательство и облачные провайдеры
→ Как оценить уровень безопасности облачного провайдера
→ Прогнозы и тенденции
Защищенность облачной инфраструктуры
Согласно наблюдениям экспертов, с каждым годом клиенты активнее переходят в облако. Все еще встречаются опасения, однако провайдеры прилагают все возможные усилия, чтобы их развеять. Бдительность в вопросах безопасности действительно важна, но следует помнить: кибератаки и сбои — это общее явление, применимое к практически любому сценарию использования IT-инфраструктуры. При переходе в облако уровень кибербезопасности либо остается неизменным, либо растет.
Среди частых причин недоверия заказчиков, связанных с переходом в облако:
- отсутствие экспертизы в облачной безопасности,
- сложности с соблюдением законодательных требований,
- невозможность контроля некоторых процессов, которые делегируются облачному провайдеру.
Касательно последнего пункта стоит отметить одну из ключевых задач провайдера — предоставление и развитие инструментов контроля. Это поможет максимально приблизить клиентский опыт взаимодействия с облаком к работе на локальном уровне. Сегодня облачные сервисы активно развиваются в этом направлении.
Участники эфира отметили, что многие заказчики привыкли обращаться по вопросам кибербезопасности только к вендорам или интеграторам. Но сегодня облачные провайдеры, включая Selectel, предлагают решения и услуги для защиты данных, а также обладают подтвержденными компетенциями. Участники рынка стремсятся сделать опыт работы в облаке и on-premise идентичным. По этой причине многие заказчики переходят на облачные решения как раз исходя из соображений безопасности.
Selectel предоставляет IT-инфраструктуру для проектов с повышенными требованиями безопасности и готовые сервисы для защиты сетей, ОС и приложений. Все это поможет безопасно перенести часть своей инфраструктуры на площадку провайдера и сохранить полный контроль безопасности.
Помимо прочего, вы можете использовать IaaS- и PaaS-сервисы, а также инструменты DevOps и безопасности CI/CD. С их помощью вы создадите в облаке собственную безопасную среду для разработки, чтобы ваши приложения были доступными, а данные пользователей — защищенными.
При этом большинство компаний сегодня управляют IT-инфраструктурой по гибридной модели, о чем говорят результаты исследований. Гибридная инфраструктура позволяет объединить железо on-premise или в дата-центрах с облачными серверами провайдера. Клиенты могут масштабировать свои ресурсы по вычислительной мощности и числу доступных машин.
Еще одно преимущество гибридной инфраструктуры — использование аппаратных ресурсов. Так, например, криптография класса КС3 предполагает их наличие. Использование облачных решений в данном случае будет невозможно.
Технические ограничения и альтернативы
Одна из актуальных тенденций — увеличение проблем с технической поддержкой и обновлением ПО продуктов от иностранных компаний-разработчиков. Возможное решение — использовать и развивать open source-продукты. С их помощью можно не только избежать ограничений со стороны производителя, но и минимизировать другие ИБ-риски.
Эксперты отметили, что по возможности стоит вкладываться в разработку собственных решений, в том числе на основе проектов с открытым исходным кодом. Это особенно важно условиях ограниченной поддержки иностранного ПО. Компании, которые ориентировались на разработку своего ПО, сейчас находятся в более выигрышном положении. В их числе и Selectel, уже более 10 лет развивающая свою облачную платформу.
Отечественные решения
Андрей Давид, руководитель отдела продуктов клиентской безопасности Selectel, отметил важность использования программных и аппаратных продуктов отечественного производства. Это касается не только СЗИ, но и прочих компонентов и оборудования дата-центров.
Андрей, руководитель отдела продуктов клиентской безопасности Selectel
В 2024 году цепочки поставок отечественного оборудования налажены и прогнозируемы. Длительное ожидание некоторых компонентов крупными провайдерами нивелируется заблаговременными закупками. Для заказчика использование облачных решений позволяет сэкономить время на ожидании нужных ресурсов, так как у провайдеров они чаще всего доступны «по клику».
Законодательство и облачные провайдеры
В настоящее время есть много законодательных требований, которые относятся к различным типам данных и информационным системам. При этом стандартов, заточенных под облачные сервисы, становится больше с каждым годом. Эксперты отметили, что облачные провайдеры научились их применять в рамках своих платформ.
Так, например, госдума готовится принять законопроект о внесении изменений в отдельные законодательные акты РФ «в части совершенствования правовых основ для аутсорсинга информационных технологий и использования облачных услуг финансовыми организациями». Он позволит банкам передавать разработку IT-решений на аутсорсинг и хранить в облаке данные, которые относятся к банковской тайне.
Однако клиенты сталкиваются с большим количеством нюансов в части законодательства. Можно ли им пользоваться услугами провайдера и как это отразится на соблюдении требований регуляторов? В этом случае могла бы помочь адаптация некоторых нормативных документов. Например, реализация рекомендаций для заказчиков. В них могли бы содержаться сценарии, в которых можно использовать облачные услуги. Подобный шаг увеличит доверие к сервисам.
Как использовать сервисы Selectel для выполнения требований 152-ФЗ — в обзоре.
Еще одна проблема, которую обсудили в рамках эфира, — отсутствие доверенной среды аудиторов и ассоциации. Они могли бы заниматься разработкой рекомендаций и требований для облачных сервисов. Примеры подобных проектов — Cloud Security Alliance, Payment Card Industry Security Standards Council.
Эксперты отметили, что рынку облачных решений помогла бы площадка для обсуждения основных вопросов. В этом заинтересованы регуляторы, облачные провайдеры и пользователи. Пример такой платформы из другой отрасли — АФТ (ассоциация ФинТех).
Как оценить уровень безопасности облачного провайдера
Как определить, что провайдер действительно занимается безопасностью? На какие метрики и формальные признаки обратить внимание? Эксперты отметили, что проверка сертификатов и лицензий — оптимальный первый шаг. Это могут быть как и отечественные, так и зарубежные документы. Так клиент сузит круг поиска среди множества провайдеров.
Во-первых, наличие подобной документации говорит о том, что компания хочет быть конкурентной на рынке ИБ и вовлечена в вопросы безопасности. Во-вторых, аудитор заключил, что она соответствует предъявленному перечню требований.
Однако далее следует дополнительно проверить информацию о выполнении требований стандартов безопасности. Например, запросить выписку из модели угроз. Можно запросить отчет о пентесте. По ответу и реакции вы поймете, насколько провайдер готов идти на контакт в части информационной безопасности.
Помимо прочего, у исполнителя должен быть набор внутренних регламентов, о которых вы можете спросить. Выясните, как осуществлено реагирование на атаки, аварии, жалобы и т. д. Например,
Что еще нужно клиентам? Пользователю важно видеть, что у него есть контроль. Здесь помогут понятные механизмы реагирования на инциденты, возможность проведения аудитов провайдера, наличие доступа к его Security Operations Center.
Помимо прочего, хороший показатель «зрелости» провайдера — наличие релевантных кейсов. Заказчику будет проще выбрать того провайдера, который уже сотрудничает с представителями его сферы.
Также со стороны провайдера важно регулярно делиться с IT-специалистами и руководителями эффективными методами защиты информации. Согласно оценке Минцифры России, 70% киберугроз вызваны человеческим фактором: сотрудники переходят по фишинговым ссылкам и передают данные третьим лицам.
Для этой цели мы в Selectel подготовили Security Center — проект, в котором наши эксперты делятся лучшими практиками, решениями и событиями на рынке ИБ. Пригодится разработчикам, сисадминам, руководителям и всем, кто хочет построить надежную и безопасную инфраструктуру.
Прогнозы и тенденции
Рынок облачных решений стремительно развивается. Большинство зрелых провайдеров обеспокоены вопросами кибербезопасности и делают все для повышения ее уровня. Появляются новые облачные ИБ-решения, а уровень безопасности отечественных облаков соответствует ожидаемому уровню клиентов.
Результаты опроса, проведенного среди зрителей эфира.
Облака становятся более доступными и понятными для конечного пользователя. Заказчики активно интересуются вопросами информационной безопасности в облаках. А вместе с повышением их осведомленности, растет запрос на специализированные средства защиты информации в облачной инфраструктуре.
Андрей, руководитель отдела продуктов клиентской безопасности Selectel
Мы продолжим развивать безопасность своего облака и будем рассказывать об этом, а также инвестировать в обучение пользователей. В 2024 году запустили Security Center, где каждый может изучить как используя облачные технологии создавать надежную и безопасную ИТ-инфраструктуру и приложения. Мы активно предлагаем различные сервисы безопасности, развиваем существующие и создаем новые.
Говоря о трендах, сейчас в России большое количество команд разработчиков, которые создают приложения для импортозамещения по заказу крупных компаний и даже целых отраслей. Им нужно оперативно выйти на рынок, так что очень важен time-to-market. Есть и другие нюансы: во-первых — особенности регуляторики, во-вторых — высокие требования к безопасности от самих заказчиков таких приложений.
Сегодня безопасность — это один из драйверов миграции в облако. Провайдеры помогают справиться с трудностями на всех этапах и предоставить клиентам инфраструктуру для безопасной разработки и запуска в публичном (частном) облаке или на полностью изолированном оборудовании.
Подробнее ознакомиться со всеми тезисами можно в записи эфира:
А что думаете по поводу безопасности облаков вы? Пишите мнение в комментариях.
Автор: DimDimDimDimDim