В рубрику "Видеонаблюдение (CCTV)" | К списку рубрик | К списку авторов | К списку публикаций
Безопасность облакаС поправкой на человеческий фактор |
К настоящему времени был накоплен довольно большой арсенал средств обеспечения безопасности, которым могут воспользоваться разработчики облачных сред. Cущественно изменился и был пересмотрен ландшафт угроз, стал применяться другой подход для системы оценки репутации файлов и сертификатов безопасности. В то же время появилась возможность по-другому спланировать архитектуру решений по управлению учетными записями, системой идентификации и средствами предотвращения утечек информации.
Рассмотрим основные элементы эффективного повышения безопасности технологического стека.
Одновременное использование кластера хостов для размещения виртуальных машин с применением виртуализации сети (обеспечивается технологиями VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service) позволяет ограничить доступ к самой инфраструктуре. После окончания развертывания виртуальной среды управление ею даже с административными правами осуществляется без прямого доступа к аппаратным средствам. Особое внимание необходимо обратить на формирование прав и ролей, а также на ограничение привилегированного доступа к управлению ресурсами виртуальных сред.
Жизненный цикл любого приложения предусматривает периодическое внесение изменений, что может повлечь за собой риски в существующей архитектуре. В связи с этим проведение плановых изменений кода приложений должно проходить обязательный цикл тестирования, а также мониториться на предмет соответствия требованиям идентификации пользователей и предоставления им адекватных прав доступа к ресурсам.
Жизненно важной необходимостью в обеспечении безопасности облачной среды является постоянный мониторинг ее производительности и изменяемости. Такой мониторинг может выполняться несколькими независимыми специализированными приложениями, которые должны содержать аналитические модули, позволяющие выявлять события, несущие в себе угрозы целостности либо риск снижения доступности основных сервисов.
Устройства конечного доступа должны быть оснащены специальными средствами защиты от утечки конфиденциальных данных даже в случае утери или хищения устройств. Наиболее распространенным средством является применение VPN, наряду с системой двойной идентификации для контроля доступа к конфиденциальным данным.
В дополнение к перечисленным мерам повышения безопасности необходимо осуществлять мониторинг всего поступающего внешнего трафика на предмет анализа поведения и обнаружения аномальной активности, требующей немедленного реагирования.
Следует рассмотреть основные виды угроз, с которыми повсеместно можно столкнуться при построении облачной среды.
Уязвимости операционных систем, модульных компонентов, сетевых протоколов – традиционные угрозы. Соответственно, занимаясь защитой от таких угроз, важно иметь инструментарий, который эффективно работает в условиях виртуальных средств.
Этот тип атак использует многослойность облака для поиска уязвимостей в одном из физических или программных компонентов. Например такие, как DDoS-атаки, либо другие типы атак, направленные на отказ в обслуживании одного из взаимосвязанных компонентов. Эти атаки могут быть одной из составляющих частей более широкого вторжения или являться отвлекающим маневром.
Данный тип атаки нацелен как на хищение конфиденциальной информации, так и на поиск ключей для проникновения (например, хищение паролей, перехват трафика и т.д.). Наиболее эффективной защитой от такого типа атак является шифрование трафика, двойная идентификация, а также применение решений BYOD для мобильных устройств.
Целью таких атак является, как правило, получение доступа к ресурсам других виртуальных машин для перехвата данных или вытеснение для организации отказа в обслуживании.
Получение контроля над системой управления может привести к появлению виртуальных машин-невидимок, способных блокировать одни виртуальные ресурсы либо подменять их другими.
В связи с высокой сложностью облачного ландшафта традиционные системы защиты не успевают в своем развитии за вредоносными программами, охватывающими все больше платформ, включая атаки и на мобильные устройства. Стандартным средствам сложно работать с подобными уязвимостями – выявление вредоносного кода, подготовка сигнатур и алгоритмов по удалению вирусов, а также профилактические мероприятия чрезвычайно трудоемки. Как следствие, на рынке появилась и набирает популярность концепция SecaaS (Security as a Service), которая через некоторое время займет свое достойное место в облачном стеке, прикрыв щитом многослойность других сервисов.
Тем не менее, несмотря на все технические и методологические успехи в выработке решений по безопасности облачной среды, самым большим риском был и остается человеческий фактор. Именно вопросы безопасности чаще всего тормозят решения по оптимизации корпоративной инфраструктуры в пользу облачных сервисов.
Американский исследовательский институт Ponemon Institute провел анализ причин, по которым в организациях различных отраслей происходили инциденты нарушений общих правил безопасности, несущих риск утечки конфиденциальной информации. Вот десять наиболее часто встречающихся инцидентов:
Это стандартные риски, которые относятся к безопасности информационных систем, без коррекции на облачность. Но для подразделений ИТ, имеющих непосредственное отношение к созданию и поддержке частного облака, влияние человеческого фактора начинается еще на этапе обсуждения и проектирования перехода в облачную среду. В работу оказываются вовлечены руководители подразделений, бизнес-процессы которых затрагивает изменение технологии обслуживания средствами ИТ.
Безопасность облачной среды требует комплексного подхода с использованием разнообразных технологических средств обеспечения безопасности, мониторинга, а также средств идентификации и управления. При этом комплексный аудит всех систем на предмет безопасности и/или соответствия определенным стандартам является чрезвычайно сложной организационной задачей. Одним из аспектов риска безопасности систем, помещаемых в облако, является автоматизация управления такой инфраструктурой, которая приводит к опасениям персонала потерять место работы в рамках улучшенной архитектуры, что может повлечь саботаж либо деструктивные действия по отношению к создаваемой инфраструктуре. Данные опасения необходимо пресекать, направив потенциал персонала в творческое русло.
Эффективность эксплуатации и большая гибкость облачной инфраструктуры позволяет сосредоточиться на новых сервисах для обслуживания бизнес-задач. Использование облачных компонентов позволяет делать бизнес-сервисы более динамичными и изменяемыми под конкретные потребности клиентов; сокращать время создания инфраструктуры под такие сервисы; существенно экономить время на тестирование новых продуктов и услуг, выводимых на рынок. Таким образом, персонал может быть вовлечен в формирование новых конкурентных преимуществ собственного бизнеса. Это существенно снижает озвученные риски и делает ИТ-службу союзником службы безопасности, полноценным участником целостности информационной среды предприятия не только в технологической, но и процедурно-регламентной ее части.
Опубликовано: Спец.приложение "Video & Vision"-2014
Посещений: 5750
Автор
| |||
В рубрику "Видеонаблюдение (CCTV)" | К списку рубрик | К списку авторов | К списку публикаций