Автор: Алексей Алексеев, CIA, CISSP, CEH, CISA, CGEIT, CISM, MBA, CRMA, CRISC, CFE, CDPSE, PMP, PMI-ACP, член Ассоциации «Институт внутренних аудиторов»1
Последние несколько лет мир постоянно меняется. Сначала пандемия приучала нас к удаленному режиму работы, и, тем самым, развеяла миф о небезопасности облачных технологий, так как компании, ранее не использовавшие облака, убедились на своем опыте в их надежности. Теперь зарубежные вендоры и провайдеры уходят с рынка, и российский бизнес ищет альтернативные способы решения задач, стараясь сохранить тот же результат. Российские компании, в большинстве своем, уже завершили миграцию из зарубежных ЦОДов2 в отечественные облачные решения (собственные или арендуемые), инфраструктура которых усиленными темпами развивается, чтобы удовлетворить активно прогрессирующий спрос со стороны не только бизнеса, но и госсектора. С учетом данной тенденции вопрос обеспечения безопасности облачных систем как никогда актуален: в частности, в данной статье будут рассмотрены подходы к оценке рисков и внутреннему ИТ-аудиту со стороны корпоративного пользователя услуг облачных вычислений (частной компании или бюджетной организации).
Определение безопасности облачных вычислений в контексте Модели линий защиты
Безопасность облачных вычислений — это дисциплина кибер-безопасности, посвященная защите систем облачных вычислений. Это включает в себя обеспечение конфиденциальности и безопасности данных в онлайн-инфраструктуре, приложениях и платформах. Защита этих систем требует взаимных усилий облачных провайдеров и клиентов, которые их используют, независимо от того, использует ли их физическое лицо, малый и средний бизнес или предприятие. Соответственно, как провайдер облачных услуг (как 1-я линия защиты), так и непосредственно клиент-пользователь (как 1-я, 2-я и 3-я линии защиты) выступают субъектами контрольных мероприятий по обеспечению защиты данных клиента. Внешние организации, осуществляющие независимую оценку соответствия инфраструктуры облачных сервисов предъявляемым требованиям (напр., международные – Uptime Institute, PCI DSS, Cloud Security Alliance; национальные – ФСТЕК), могут выступать в качестве 4-й линии защиты элементов облачных вычислений.
Облачные провайдеры размещают вычислительные среды, предоставляющие услуги, на своих серверах через постоянное подключение к сети Интернет. Поскольку успешность и жизнеспособность их бизнеса напрямую зависит от доверия клиентов, для обеспечения конфиденциальности и безопасного хранения данных клиентов используется широкий спектр методов облачной безопасности. Однако облачная безопасность также частично находится в руках и самого клиента. Понимание особенностей распределения зон ответственности провайдера и клиента имеет решающее значение для надежного решения по обеспечению безопасности в облаке.
В качестве примера можно привести схему распределения обязанностей между провайдером и клиентом в зависимости от модели потребления облачных услуг в компании Cloud:
По своей сути облачная безопасность состоит из следующих категорий, представляющих систему внутреннего контроля (СВК):
-
Безопасность данных (Data security)
-
Управление идентификацией и доступом (Identity and access management)
-
Организационное управление (политика предотвращения, обнаружения и смягчения угроз)
-
Планирование долгосрочного хранения данных и непрерывности бизнеса (BC)
-
Соблюдение правовых норм
Приведенные аспекты облачной безопасности могут казаться очень близкими традиционной безопасности ИТ-систем, но на самом деле подходы к их аудиту существенно отличаются.
Аспекты организации систем облачных вычислений при оценке рисков для целей аудита информационной безопасности
Безопасность облачных вычислений (cloud security) — это совокупность технологий, протоколов и лучших практик, которые защищают среды облачных вычислений, приложения, работающие в облаке, и данные, хранящиеся в облаке. Защита облачных сервисов начинается с понимания того, что именно защищается, а также системных аспектов, которыми необходимо управлять.
В целом, разработка серверной части для устранения уязвимостей безопасности в значительной степени находится в руках поставщиков облачных услуг. Помимо выбора поставщика, заботящегося о безопасности, клиенты должны сосредоточиться в основном на правильной конфигурации услуг и безопасных привычках использования. Кроме того, клиенты должны быть уверены, что любое оборудование и сети конечного пользователя должным образом защищены.
Обеспечение облачной безопасности как комплекс мероприятий направлено на защиту следующих элементов, независимо от конфигурации распределения обязанностей между провайдером и клиентом:
-
Физические сети и инженерные системы — маршрутизаторы, электроэнергия, кабели, климат-контроль и т. д.
-
Емкости для хранения данных — жесткие диски и т. д.
-
Серверы данных — основное сетевое вычислительное оборудование и программное обеспечение.
-
Среды компьютерной виртуализации — программное обеспечение виртуальных машин, хост-компьютер (host machine) и компьютеры, подключенные к нему (guest machines).
-
Операционные системы (ОС) — ПО, обеспечивающее работу сервиса на инфраструктурном уровне.
-
Межплатформенное ПО (middleware) — управление интерфейсом прикладного программирования (API).
-
Среды выполнения (runtime environments) — выполнение и поддержка работающей программы.
-
Данные — вся информация, которую возможно хранить, изменять и к которой можно обеспечивать доступ в пределах облачной среды
-
Приложения — традиционные программные сервисы (например, электронная почта, ПО для бухгалтерского учета, пакеты для повышения производительности и т. д.)
-
Аппаратное обеспечение конечного пользователя (end-user hardware) — компьютеры, мобильные устройства, устройства, работающие по технологии «Интернет вещей» (Internet of Things, IoT) и т. д.
В средах облачных вычислений распределение прав собственности между провайдером и клиентом на вышеуказанные компоненты может сильно различаться. Это может привести к неясности сферы ответственности клиента за безопасность. Поскольку защита облака может выглядеть по-разному в зависимости от того, кто имеет полномочия в отношении каждого компонента, ИТ-аудитору важно понимать сложившиеся подходы к распределению ответственности на рынках облачных решений.
Для упрощения компоненты облачных вычислений защищены с двух основных направлений: способов предоставления облачных сервисов и моделей развертывания облачных сред.
1. Типы облачных сервисов предлагаются сторонними поставщиками в виде модулей, используемых для создания облачной среды. Вы можете управлять различными компонентами внутри сервиса в зависимости от его типа:
-
Ядром любой сторонней облачной услуги является поставщик, управляющий физической сетью, хранилищем данных, серверами данных и платформами виртуализации компьютеров. Услуга хранится на серверах провайдера и виртуализируется через их внутреннюю управляемую сеть для доставки клиентам для удаленного доступа. Это разгружает оборудование и другие затраты на инфраструктуру, чтобы предоставить клиентам доступ к своим вычислительным мощностям из любого места через подключение к Интернету.
-
Облачные сервисы типа «Программное обеспечение как услуга» (Software-as-a-Service, SaaS) предоставляют клиентам доступ к приложениям, которые размещаются исключительно на серверах провайдера. В данном случае провайдер управляет приложениями, данными, средой выполнения, межплатформенным ПО и операционной системой. Клиент, в свою очередь, отвечает только за пользование приложениями. В качестве примеров SaaS-сервисов можно выделить: Yandex Cloud, 1С в облаке, Google Drive, Slack, Salesforce, Microsoft 365, Cisco WebEx, Evernote.
-
Облачные сервисы типа «Платформа как услуга» (Platform-as-a-Service, PaaS) предоставляют клиентам среду для разработки собственных приложений, которые запускаются в собственной виртуализированном пространстве («песочнице») клиента на серверах провайдера. Провайдеры управляют средой выполнения, межплатформенным ПО, операционной системой. Клиентам поручено управлять своими приложениями, данными, доступом пользователей, устройствами конечных пользователей и сетями конечных пользователей. В качестве примеров российских компаний, которые предоставляют PaaS-сервисы, можно выделить: Т1 Интеграция, VK Цифровые Технологии, Cloud, СофтЛайн и пр.
-
Облачные сервисы типа «Инфраструктура как услуга» (Infrastructure-as-a-Service, IaaS) предлагают клиентам оборудование и платформы удаленного подключения для размещения основной части их вычислительных сред, вплоть до операционной системы. Провайдеры управляют только основными облачными сервисами. Перед клиентами стоит задача защитить все, что находится поверх ОС, включая приложения, данные, среды выполнения, межплатформенную ПО и непосредственно саму ОС. Кроме того, клиентам необходимо управлять доступом пользователей, устройствами конечных пользователей и сетями конечных пользователей. В качестве примеров российских провайдеров IaaS-сервисов можно выделить: Ростелеком-ЦОД, DataFort (Билайн), Yandex Cloud и пр.
2. Облачные среды — это модели развертывания, в которых один или несколько облачных сервисов создают систему для конечных пользователей и организаций. Эти сегменты управленческих обязанностей, включая безопасность, распределяются между клиентами и поставщиками.
К настоящему времени сформировались следующие модели облачных сред:
-
Общедоступные облачные среды (Public cloud environments) состоят из облачных сервисов с несколькими арендаторами, в которых клиент совместно использует серверы поставщика с другими клиентами, например, офисное здание или коворкинг. Это сторонние службы, управляемые провайдером для предоставления клиентам доступа через сеть Интернет.
-
Частные сторонние облачные среды (Private third-party cloud environments) основаны на использовании облачной службы, которая предоставляет клиенту эксклюзивное использование собственного облака. Эти среды с одним клиентом-арендатором обычно управляются внешним провайдером.
-
Частные внутренние облачные среды (Private in-house cloud environments) также состоят из серверов облачных служб с одним клиентом-арендатором, но работают из собственного частного ЦОДа. В этом случае эта облачная среда управляется самим бизнесом, чтобы обеспечить надлежащую управляемость и наблюдаемость каждого элемента инфраструктуры.
-
Мультиоблачные среды (Multi-cloud environments) предполагают использование двух или более облачных служб от разных поставщиков. Это может быть любое сочетание общедоступных и/или частных облачных сервисов.
-
Гибридные облачные среды (Hybrid cloud environments) представляют собой сочетание частного стороннего облака и/или локального частного облачного центра обработки данных с одним или несколькими общедоступными облаками.
Исходя из вышеизложенного ИТ-аудитору следует понимать различия в конфигурации обеспечения безопасности облачных вычислений в зависимости от типа облачного пространства, и, исходя из этого, осуществлять оценку присущих рисков и рисков контрольных процедур.
Задачи СВК в обеспечении безопасности облачных вычислений
Каждый элемент СВК работает для выполнения одного или нескольких из следующих действий:
-
активация восстановления данных в случае их потери;
-
защита хранилища и сетей от злонамеренной кражи данных;
-
снижение до допустимого уровня риска человеческой ошибки или халатности, которые вызывают утечку данных;
-
снижение ущерба в результате компрометации данных или системы.
Безопасность данных — это аспект облачной безопасности, который включает техническую сторону предотвращения угроз. Инструменты и технологии позволяют поставщикам и клиентам устанавливать барьеры между доступом и видимостью конфиденциальных данных, и аудитору необходимо оценить, насколько данные возможности используются. В частности, одним из самых распространенных инструментов защиты данных является шифрование (encryption). С помощью данного инструмента ваши данные кодируются по предопределенному алгоритму (протоколу шифрования), и их может прочитать только тот, у кого есть ключ-дешифратор. Если ваши данные потеряны или украдены, они будут практически нечитаемы и бессмысленны. Вместе с тем, внутреннему аудитору важно убедиться, что используемый протокол шифрования достаточно надежен и соответствует требованиям безопасности. Кроме этого, важно отметить организацию защиты передачи данных в рамках облачной инфраструктуры через виртуальные частные сети (VPN).
Управление доступом (Identity and access management, IAM) относится к организации дифференцированного уровня доступа, предлагаемого для учетных записей пользователей. Здесь также применяется управление аутентификацией и авторизацией учетных записей пользователей. Контроль доступа имеет решающее значение для ограничения пользователей — как законных, так и злонамеренных — от ввода и компрометации конфиденциальных данных и систем. Управление паролями, многофакторная аутентификация и другие методы входят в сферу управления процессом IAM.
Организационное управление (governance) сосредоточено на разработке, внедрении и контроле соблюдения политик предотвращения, обнаружения и митигации кибер-угроз в облачных средах. Для малого и среднего бизнеса, а также для крупных корпоративных игроков такие аспекты, как информация об угрозах, могут помочь в отслеживании и приоритизации угроз для обеспечения тщательной защиты основных систем.
Тем не менее, даже отдельные облачные клиенты могут извлечь выгоду из политики безопасного поведения пользователей и обучения.
Планирование хранения данных и обеспечения непрерывности облачных сервисов включает технические меры аварийного восстановления в случае потери данных. Центральное место в любом плане аварийного восстановления занимают методы обеспечения резервного копирования данных. Кроме технических систем, для обеспечения бесперебойной работы могут помочь платформы для проверки работоспособности резервных копий и подробные инструкции по восстановлению рабочего режима для сотрудников, которые также важны для BCM3-планов облачных сред.
Соблюдение законодательства сконцентрировано вокруг защиты конфиденциальности данных пользователей, как это установлено соответствующими международными или национальными нормативными документами (152-ФЗ, GDPR, HIPAA и др.). Государственные органы подчеркивают важность защиты частной информации пользователей от ее несанкционированного использования в целях получения прибыли. Таким образом, компании, в зависимости от своей юрисдикции и регионов операционного присутствия, должны следовать тем или иным правилам, чтобы соблюдать эти политики. Одним из подходов является использование маскирования данных, которое исключает возможность идентификации данных по отношению к конкретному физическому лицу с помощью методов шифрования.
Специфические аспекты безопасности облачных вычислений, которые важно понимать ИТ-аудитору
Традиционные средства обеспечения безопасности информационных систем претерпели огромные изменения из-за перехода к облачным вычислениям. В то время как облачные модели обеспечивают большее удобство, наличие постоянного онлайн-подключения требует новых соображений для обеспечения их безопасности. Облачная безопасность как модернизированное решение для кибер-безопасности систем отличается от устаревших подходов в следующих аспектах:
-
Хранение данных. Самым большим отличием является то, что старые модели ИТ в значительной степени полагались на локальное (on premise) хранилище данных. Компании уже давно убедились, что создание собственной ИТ-инфраструктуры для гранулярно настраиваемых элементов управления безопасностью является чрезвычайно дорогостоящим мероприятием. Облачные преднастроенные фреймворки помогли снизить затраты на разработку и обслуживание системы, но также лишили клиентов-пользователей некоторого контроля, наличие которого для ряда компаний может оказаться критичным.
-
Скорость масштабирования. Точно так же облачная безопасность требует особого внимания при масштабировании ИТ-систем организации. Облачная инфраструктура и приложения очень модульны и быстро мобилизуются для расширения. Несмотря на то, что эта возможность обеспечивает однородную адаптацию систем к организационным изменениям, она может вызывать опасения, когда потребности организации в обновлениях и улучшении пользовательского опыта начинают конфликтовать с требованиями к информационной безопасности.
-
Интерфейс системы конечного пользователя. Как для организаций, так и для отдельных пользователей облачные системы также взаимодействуют со многими другими системами и службами, которые должны быть защищены. Разрешения на доступ должны поддерживаться от уровня устройства конечного пользователя (end-user) до уровня программного обеспечения и даже уровня сети, небезопасная настройка которых может привести к критичным уязвимостям во всей архитектуре доступа.
-
Близость к другим сетевым данным и системам. Поскольку облачные системы представляют собой постоянное соединение между облачными провайдерами и всеми их пользователями, эта обширная сеть может поставить под угрозу даже самого провайдера. В сетевых ландшафтах одно уязвимое устройство или компонент может быть использовано для заражения остальных. Поставщики облачных услуг подвергают себя угрозам со стороны многих конечных пользователей, с которыми они взаимодействуют, независимо от того, предоставляют ли они хранилище данных или другие услуги. Вследствие чего, дополнительные обязанности по сетевой безопасности ложатся на провайдеров.
Решение большинства проблем кибер-безопасности облачных услуг предполагает, что пользователи и провайдеры облачных услуг должны проявлять инициативу в отношении своей роли. Этот двусторонний подход означает, что обе стороны должны совместно решать такие вопросы как: безопасная конфигурация и обслуживание системы; повышение осведомленности (как поведенческой, так и технической) пользователей в вопросах безопасности облачных вычислительных сред.
В конечном счете аудитору важно убедиться, что взаимодействие компании с облачным провайдером основано на прозрачных условиях взаимодействия (сформулированных в терминах SLA, закрепленных в договоре) и предполагает регулярную подотчетность.
Риски безопасности облачных вычислений
Для оценки достаточности общих ИТ (ITGC) и прикладных (ITAC) контрольных процедур ИТ-аудитору важно понимать характер угроз кибер-безопасности, присущих используемым компанией облачным средам. Так, например, наиболее распространенные угрозы облачной безопасности включают в себя:
-
риски облачной инфраструктуры, включая несовместимые устаревшие ИТ-фреймворки и сбои в работе сторонних служб хранения данных.
-
внутренние угрозы, возникающие вследствие человеческого фактора, как, например, некорректная настройка контроля доступа пользователей.
-
внешние угрозы, возникающие вследствие действий злоумышленников и реализуемые через вредоносное ПО, фишинговые и DDoS-атаки.
Самый большой риск при работе с облаком заключается в том, что у него нет периметра. Традиционная кибер-безопасность сосредоточена на защите периметра, но облачные среды тесно взаимосвязаны, что, зачастую, предполагает использование небезопасных API (интерфейсов прикладного программирования) и взлом учетных записей, которые могут создавать реальные проблемы. Столкнувшись с рисками безопасности облачных вычислений, ИТ-аудиторы и специалисты по ИТ-контролям должны обращать внимание, чтобы дизайн контрольных процедур был основан на концепции «данные превыше всего» (data-centric).
Взаимосвязанность элементов облачной инфраструктуры также создает проблемы для сетей. Злоумышленники часто взламывают сети, используя скомпрометированные или слабо защищенные учетные данные. Как только хакеру удается создать устойчивое соединение, он может легко расширяться через эскалацию привилегий и использовать плохо защищенные интерфейсы в облаке для поиска данных в разных базах данных или узлах. Они даже могут использовать свои собственные облачные серверы в качестве места назначения, куда они могут экспортировать и хранить любые украденные данные. Таким образом, ИТ-аудитору важно удостовериться, что средства контроля обеспечения безопасности интегрированы в архитектуру облачного решения на различных логических уровнях системы (приложения, сеанса, базы данных, сети и пр.) и не ограничиваются лишь контролями доступа к данным.
Хранение данных за пределами информационной инфраструктуры компании и доступ к ним через сеть Интернет также представляют свои собственные угрозы. Если по какой-либо причине эти услуги будут прерваны, ваш доступ к данным может быть потерян. Например, отключение телефонной сети может означать, что вы не сможете получить доступ к облаку в нужное время. Кроме того, отключение электроэнергии может повлиять на центр обработки данных, в котором хранятся ваши данные, что может привести к необратимой потере данных.
Такие перерывы могут иметь долгосрочные последствия. Так, к примеру, отключение электроэнергии в облачной службе данных Amazon привело к потере данных для некоторых клиентов, когда серверы получили повреждения оборудования. Это хороший пример того, почему у вас должны быть локальные резервные копии хотя бы некоторых ваших данных и приложений.
Внедрение облачных технологий заставило всех переоценить риски кибер-безопасности. Ваши данные и приложения могут перемещаться между локальными и удаленными системами и всегда доступны через Интернет. Если вы получаете доступ к Google Docs на своем смартфоне или используете программное обеспечение 1C Облако для работы с клиентами, эти данные могут храниться где угодно.
Поэтому защитить его становится сложнее, чем, когда речь шла только о том, чтобы не дать нежелательным пользователям получить доступ к вашей сети. Облачная безопасность требует корректировки некоторых предыдущих ИТ-методов, но она стала более важной по двум ключевым причинам:
-
Удобство превыше безопасности. Облачные вычисления экспоненциально развиваются как основной метод как для рабочего места, так и для индивидуального использования. Инновации позволили внедрять новые технологии быстрее, чем могут соответствовать отраслевые стандарты безопасности, что возлагает на пользователей и поставщиков больше ответственности за рассмотрение рисков, связанных с доступностью.
-
Централизация и многопользовательское хранилище. Каждый компонент — от базовой инфраструктуры до небольших данных, таких как электронная почта и документы, — теперь можно найти и получить к ним удаленный доступ через веб-соединения, работающие круглосуточно и без выходных. Весь этот сбор данных на серверах нескольких крупных поставщиков услуг может быть очень опасным. Злоумышленники теперь могут нацеливаться на большие мультиорганизационные центры обработки данных и вызывать огромные утечки данных.
К сожалению, злоумышленники осознают ценность облачных целей и используют имеющиеся в инфраструктуре уязвимости для совершения кибер-атак при помощи эксплойтов4. Несмотря на то, что облачные провайдеры забирают у клиентов многие роли безопасности, они не контролируют все. Это обязывает даже «нетехнических» пользователей заниматься самообразованием в области облачной безопасности.
Тем не менее, отдельные пользователи не одиноки в своих обязанностях по обеспечению безопасности в облаке. Понимание объема ваших обязанностей по обеспечению безопасности поможет всей системе оставаться в большей безопасности.
Инструменты защиты облачных решений
1. Шифрование — один из лучших способов защитить ваши системы облачных вычислений. Существует несколько различных способов использования шифрования, и они могут предлагаться облачным провайдером или отдельным поставщиком облачных решений для обеспечения безопасности:
-
Шифрование коммуникаций с облаком в полном объеме.
-
Шифрование особо конфиденциальных данных, таких как учетные данные учетной записи.
-
Сквозное шифрование всех данных, загружаемых в облако.
В облаке данные больше подвержены риску перехвата, когда они находятся в пути. Когда данные перемещаются из одного места хранения в другое или передаются в ваше локальное приложение, они становятся уязвимыми. Таким образом, ИТ-аудитору важно удостовериться в наличии возможности сквозного шифрования, поскольку оно лучшее решение для облачной безопасности критически важных данных.
Компания может зашифровать свои данные самостоятельно, прежде чем хранить их в облаке, либо воспользоваться услугами облачного провайдера, который зашифрует ваши данные как часть услуги. Однако если вы используете облако только для хранения не конфиденциальных данных, таких как корпоративная графика или видео, сквозное шифрование может оказаться излишним. С другой стороны, для финансовой, конфиденциальной или коммерческой информации это может представляться жизненно важным.
Если компания использует шифрование, ИТ-аудитору очень важно оценить безопасность и надежность управления ключами шифрования (key management). В частности, важно проверить, сохраняет ли менеджмент резервную копию ключа и, в идеале, не хранит ее в облаке. Также важно оценить практику регулярной смены ключей шифрования, чтобы, если кто-то получит к ним доступ, они были заблокированы из системы, когда компания осуществит выпуск новых ключей.
2. Конфигурация — еще одна ценная практика в облачной безопасности, которая должна быть оценена ИТ-аудитором. Многие утечки облачных данных происходят из-за основных уязвимостей, вызванных ошибками в неправильной конфигурации. Предотвращая их, компания значительно снижает риск безопасности в облаке. Если компания не располагает достаточными компетенциями, чтобы самостоятельно обеспечить надежную конфигурацию облачного решения, целесообразно рассмотреть возможность использования отдельного поставщика решений для облачной безопасности.
В данном случае ИТ-аудитору важно подтвердить соблюдение следующих принципов – «золотых правил» конфигурирования:
-
Никогда не оставлять настройки по умолчанию без изменений. Использование настроек по умолчанию дает хакеру доступ через «парадный вход».
-
Никогда не оставлять корзину облачного хранилища (cloud storage bucket) открытой. Открытая корзина может позволить хакерам увидеть содержимое, просто открыв URL-адрес корзины хранилища.
-
Если поставщик облачных услуг предоставляет компании элементы управления безопасностью, которые можно включить, очень важно использовать эту возможность. Неправильный выбор параметров безопасности, в свою очередь, может подвергнуть компанию риску.
3. Базовые советы по обеспечению кибер-безопасности также должны быть оценены ИТ-аудитором на предмет их встраивания в используемое компанией облачное решение. В том числе:
-
Использование надежных паролей. Сочетание букв, цифр и специальных символов затруднит взлом пароля. Важно также оценить, насколько парольная политика исключает использование очевидных вариантов, таких как замена буквы ‘S’ на символ ‘$’. Чем более случайным будет набор символов, тем лучше.
-
Использование менеджера паролей. Компания может назначить каждому приложению, базе данных и службе отдельные пароли, не заставляя своих сотрудников запоминать их все. Однако ИТ-аудитор должен убедиться, что менеджер паролей защищен надежным основным паролем.
-
Защита всех устройств, которые персонал компании использует для доступа к облачным данным, включая смартфоны и планшеты. Если данные синхронизируются на нескольких устройствах, любое из них может оказаться слабым звеном, подвергая риску весь цифровой след.
-
Регулярное создание резервных копий своих данных, чтобы в случае сбоя в работе облака или потери данных у облачного провайдера компания могла бы полностью восстановить свои данные. Эта резервная копия может быть на локальной инфраструктуре компании, на внешнем жестком диске или даже быть передана из облака в облако (только если менеджмент компании уверен, что два облачных провайдера не используют общую инфраструктуру).
-
Изменение разрешений, чтобы запретить любому лицу или устройству доступ ко всем данным компании, если в этом нет необходимости. Например, это возможно сделать с помощью настроек разрешений базы данных. В отношении внутренней (домашней) сети целесообразно использовать гостевые сети для внешних посетителей, для устройств IoT и для систем ВКС. Важно сохранить пропуск уровня «доступ ко всем областям» для служебного использования.
-
Защита с помощью антивирусного и антивредоносного программного обеспечения. Хакеры могут легко получить доступ к вашей учетной записи, если вредоносное ПО проникнет в вашу систему.
-
Ограничение доступа к данным через общедоступные сети Wi-Fi, особенно если они не используют строгую аутентификацию. В то же время важно использовать виртуальную частную сеть (VPN) для защиты подключения своего шлюза в облако.
Риски сервисов облачного хранилища и обмена файлами
Риски безопасности облачных вычислений могут затронуть всех – от крупных предприятий до отдельных потребителей. Например, потребители могут использовать общедоступное облако для хранения и резервного копирования файлов (с помощью сервисов SaaS, таких как Dropbox), для таких сервисов, как электронная почта и офисные приложения, или для заполнения налоговых форм и счетов.
Если компания пользуется облачными сервисами, ИТ-аудитору важно оценить риски того, каким образом осуществляется передача облачных данных в адрес третьих лиц (особенно, если последние оказываются фрилансерами-консультантами). Хотя общий доступ к файлам на Google Диске или другом сервисе может быть простым способом поделиться своей работой с клиентами/ партнерами/ подрядчиками, ИТ-аудитору важно проверить, осуществляет ли менеджмент компании адекватное управление разрешениями. В конце концов, важно убедиться, что разные клиенты не могут видеть имена или каталоги друг друга или изменять файлы друг друга.
ИТ-аудитору важно помнить, что многие из общедоступных облачных хранилищ не шифруют данные. Если компания хочет защитить свои данные с помощью шифрования, нужно будет использовать соответствующее программное обеспечение для шифрования, чтобы сделать это самостоятельно, прежде чем загружать данные. Затем нужно будет предоставить своим клиентам ключ, иначе они не смогут читать файлы.
Аудит безопасности провайдера облачных услуг
Безопасность должна быть одним из основных аспектов, которые следует учитывать при выборе поставщика облачных услуг. Это связано с тем, что ваша кибер-безопасность больше не является исключительно единоличной ответственностью компании: современные провайдеры, занимающиеся облачной безопасностью, вносят свой вклад в создание безопасной облачной среды и разделяют ответственность за безопасность данных.
Вместе с тем важно понимать, что провайдеры облачных услуг не собираются предоставлять компании-клиенту чертежи своей сетевой безопасности для проведения аудита. Это было бы эквивалентно тому, что банк предоставил бы информацию о своем хранилище вместе с номерами комбинаций сейфа.
Однако получение правильных ответов на некоторые основные вопросы сможет дать компании-клиенту больше уверенности в том, что ее облачные ресурсы будут в безопасности. Кроме того, менеджмент будет лучше осведомлен о том, правильно ли ваш провайдер устранил очевидные риски облачной безопасности. ИТ-аудитору следует рассмотреть следующие вопросы, чтобы задать их облачному провайдеру своей компании:
-
Аудиты безопасности: «Проводите ли вы регулярные внешние аудиты своей безопасности?»
-
Сегментация данных: «Являются ли данные клиентов логически сегментированными и хранятся отдельно?»
-
Шифрование: «Зашифрованы ли наши данные? Какие их части зашифрованы?»
-
Хранение данных клиентов: «Какие политики хранения данных клиентов соблюдаются?»
-
Хранение пользовательских данных: «Правильно ли удаляются данные пользователей, если компания более не пользуется вашим облачным сервисом?»
-
Управление доступом: «Как контролируются права доступа?»
ИТ-аудитору также важно досконально изучить условия обслуживания провайдера (terms of service, TOS). Чтение TOS необходимо для понимания того, получаете ли компания именно то, что хочет, в чем нуждается и за что осуществляет оплату.
Гибридные облачные решения для обеспечения безопасности
Гибридные облачные службы безопасности могут быть очень разумным выбором для клиентов из малого и среднего бизнеса и корпоративных пространств. Они наиболее жизнеспособны для корпоративных приложений, поскольку обычно слишком сложны для личного использования. Но именно эти организации могут использовать сочетание масштаба и доступности облака с контролем конкретных данных на местах.
Вот несколько преимуществ безопасности гибридных облачных систем безопасности, которые ИТ-аудитору нужно иметь в виду:
-
Сегментация сервисов может помочь организации контролировать доступ к своим данным и их хранение. Например, размещение более конфиденциальных данных на месте при выгрузке других данных, приложений и процессов в облако может помочь вам соответствующим образом повысить уровень безопасности. Кроме того, разделение данных может улучшить способность вашей организации соблюдать комплаенс-требования в отношении данных.
-
Возможность технологического резервирования данных (redundancy) также может быть достигнута с помощью гибридных облачных сред. Используя ежедневные операции с общедоступных облачных серверов и резервное копирование систем на локальные серверы данных, организации могут продолжать свои операции в случае, если один центр обработки данных отключен или заражен программой-вымогателем.
Подходы к ИТ-аудиту решений корпоративной облачной безопасности гибридных сред
Для крупномасштабного корпоративного использования облачная безопасность может быть гораздо более гибкой, если вы сделаете некоторые инвестиции в свою инфраструктуру.
Есть несколько ключевых моментов, на которые ИТ-аудитору нужно обращать внимание:
-
Насколько менеджмент активно управляет своими учетными записями и администрирующими службами: в частности, если компания больше не использует соответствующую службу или программное обеспечение, насколько корректно она деактивировала их. Хакеры могут получить легкий доступ ко всей облачной сети через старые, бездействующие учетные записи через незакрытые уязвимости.
-
Используется ли многофакторная аутентификация (MFA): это могут быть биометрические данные, такие как отпечатки пальцев или пароль и отдельный код, отправленные на ваше мобильное устройство. Это отнимает много времени, но полезно для ваших наиболее конфиденциальных данных.
-
Осуществил ли менеджмент оценку экономической эффективности от использования гибридного облака в сопоставлении с рисками ИБ. Сегментация данных гораздо важнее для корпоративного использования, поскольку вы будете обрабатывать гораздо большие объемы данных. Вы должны убедиться, что ваши данные отделены от данных других клиентов, независимо от того, зашифрованы ли они отдельно или логически сегментированы для отдельного хранения. Гибридные облачные сервисы могут помочь в этом.
-
Оценены ли риски использования неавторизованного ПО (shadow IT). Важно научить своих сотрудников избегать использования несанкционированных облачных сервисов в сетях компании или для работы в компании. Если конфиденциальные данные передаются по незащищенным каналам, ваша организация может быть подвержена действиям злоумышленников или юридическим проблемам.
1. Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением более чем 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru
2. Центр (хранения и) обработки данных (ЦОД / ЦХОД) (ср. англ. data center) — специализированное здание для размещения (хостинга) серверного и сетевого оборудования и подключения абонентов к каналам сети Интернет.
4. Экспло́йт (англ. exploit, эксплуатировать) — компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение ее функционирования (DoS-атака). Вирус для уничтожения программ, игр, приложений.