Безопасность
данных в облаке

Какие технологии обеспечивают безопасность данных в облачных хранилищах? Как работает безопасность облака и чем она обусловлена, как ее можно проверить? Какое шифрование данных работает надежнее всего?

Александр Лугов,
руководитель группы по обеспечению информационной безопасности облачной платформы K2 Cloud

«Крупные облачные провайдеры обязаны соответствовать высоким стандартам информационной безопасности, предъявляемым к ним их клиентами – средним и крупным бизнесом»

Какие технологии обеспечивают безопасность данных в облачных хранилищах?

Облачные провайдеры уделяют большое внимание обеспечению безопасности данных пользователей.

Сегодня стандарты обеспечения высокого уровня отказоустойчивости и безопасности инфраструктуры, которые применяют у себя облачные провайдеры, постепенно начинают восприниматься как лучшие практики. Среди них:

• репликация данных в нескольких ЦОД;
• удобные сервисы для резервного копирования данных;
• шифрование данных при передаче и в состоянии покоя;
• современные и надежные методы аутентификации;
• разграничение прав доступа с нужным уровнем гранулярности;
• надежная изоляция ресурсов клиентов, которая подтверждается регулярными тестированиями на проникновение.

Многие компании внедряют у себя эти подходы и для защиты локальных инфраструктур.

Как работает безопасность облака и чем она обусловлена, как ее можно проверить?

Крупные облачные провайдеры обязаны соответствовать высоким стандартам информационной безопасности, предъявляемым к ним их клиентами – средним и крупным бизнесом. Поскольку такие компании имеют обязательства по исполнению различных требований безопасности, как международных, так и национальных, то и облачный провайдер должен им соответствовать, чтобы иметь возможность оказывать услуги таким клиентам.

Для этого облачные провайдеры привлекают третью, независимую сторону, эксперта в своей области, для проведения аудита информационной безопасности на соответствие каким-либо стандартам или законам. Например:

• 152-ФЗ;
• ГОСТ Р ИСО/МЭК 27001-2021;
• ГОСТ Р ИСО/МЭК 27017-2021;
• ГОСТ Р 57580.1-2017;
• PCI DSS.

Такие аудиты проводятся на регулярной основе – обычно, раз в 1-2 года. В рамках аудита проверяется выполнение организационно-технических мер в соответствии со стандартами, а также проводятся тестирования на проникновения.

Наличие актуальных заключений о соответствии таким стандартам говорит о зрелости уровня информационной безопасности облачного провайдера.

Тут можно выделить оценку соответствия требованиям ГОСТ Р 57580.1-2017, поскольку её результатом становится коэффициент соответствия. Максимальное значение – 1. Чем ближе результат к 1, тем больше мер безопасности выполняет облачный провайдер.

Также в ГОСТ Р 57580.1-2017 стоит обращать внимание на уровень защищенности. Их три. Первый – самый высокий. Крупные облачные провайдеры проходят оценку соответствия именно по первому (наивысшему) уровню защищенности.

Алексей Ровдо,
главный аналитик ИТ-интегратора AWG

«Для защиты данных в облачных сервисах используется комплексный подход, включающий управление доступом на основе прав, шифрование данных и инструменты аудита»

С целью обеспечения безопасности облака применяются локальные протоколы облачных провайдеров и механизмы обеспечения защиты на основе стандартных решений, которые многократно проверялись и тестировались.

В первую очередь защита данных в облачном хранилище зависит от соблюдения протоколов безопасности владельцем платформы. Если он построил надежную инфраструктуру, прошел сертификацию, проводит регулярные аудиты и следит за соблюдением протоколов своим персоналом, то сервис можно считать безопасным – эти решения и протоколы прошли множество проверок.

Уровень шифрования данных зависит от целей и задач, которые ставят перед собой пользователи. Например, в некоторых сферах требуется особо сложное шифрование, чтобы обеспечить высокий уровень защиты. В таком случае процесс расшифровки будет крайне трудным и долгим, а информация потеряет актуальность. В других областях, которые часто обновляют данные, необходимости такого шифрования нет – длительная расшифровка лишь усложнит процесс. Как правило, бизнес придерживается баланса между безопасностью и доступностью данных.

Андрей Малов,
директор по продукту «ТТК.Облако»

«Публичные сервисы обеспечивают базовую защиту данных, но если вы хотите иметь гарантию безопасности, то вам необходимо использовать on-premise, или же выбирать облачные решения, которые обладают всем необходимым функционалом»

В публичных облачных хранилищах, которые просто предоставляют пользователям возможность для хранения данных, безопасность реализована в соответствии с типовыми требованиями регуляторов по информационной безопасности и/или перечнем рекомендаций от иностранных институтов по сертификации.

Обычно это двухфакторная аутентификация, разграничение доступа, чтобы другой пользователь без вашего не смог попасть к вашим данным, а также шифрование данных при передаче между облаком и вашим компьютером (чаще всего по протоколу HTTPS).

Также некоторые облачные провайдеры реализуют антивирусную проверку загружаемых файлов и резервное копирование, которое позволяет восстановить из корзины удаленный файл. Это – базовый набор средств защиты, который реализуется для физлиц и для малого бизнеса и вполне удовлетворяет их потребностям.

Решения для крупного бизнеса. Для крупных компаний вопрос безопасности стоит особенно остро. И в этом случае на первый план выходят решения, обеспечивающие шифрование данных таким образом, чтобы никто из посторонних, включая сотрудников облачного провайдера, не смог получить к ним доступ. Это может быть достигнуто с помощью пользовательских ключей шифрования, когда у вас есть токен с закрытым ключом, без которого никто не сможет получить доступ к данным, размещенным в облаке.

Специализированные провайдеры предоставляют подобный сервис в формате подписки. Чаще всего они предлагают решения, ориентированные на крупные компании, средний бизнес и энтерпрайз-бизнес. Они могут быть развернуты как в облаке, так и on-premise.

Еще из дополнительных средств защиты можно выделить устройства контроля доступа к физическим серверам, средства контроля недекларированных возможностей, которые необходимы для несертифицированных операционных систем и средства защиты от сетевых угроз, например IPS-IDS для предотвращения сетевых вторжений. Это исчерпывающий список мер, которые могут быть реализованы в файловом хранилище для обеспечения защиты и сохранности данных клиента.

Итак, можно резюмировать: публичные сервисы обеспечивают базовую защиту данных, но если вы хотите иметь гарантию безопасности, то вам необходимо использовать on-premise, или же выбирать облачные решения, которые обладают всем необходимым функционалом. Чаще всего они инсталлируются «в частном порядке» – под конкретного заказчика.

Алексей Оносов,
основатель компании «Юнисофт»

«С развитием квантовых компьютеров возникает необходимость в разработке новых, квантово-устойчивых алгоритмов шифрования. Некоторые облачные провайдеры уже начали работу в этом направлении, готовясь к потенциальным угрозам будущего»

Прежде всего, стоит отметить, что безопасность облачных хранилищ обеспечивается комплексом мер на различных уровнях.

На физическом уровне это защита data-центров от несанкционированного доступа, стихийных бедствий и других угроз. Крупные облачные провайдеры вкладывают огромные средства в строительство и оснащение своих дата-центров, обеспечивая многоуровневую систему контроля доступа, резервное электропитание, системы пожаротушения и климат-контроля.

На логическом уровне применяются различные методы шифрования данных, как при хранении, так и при передаче.

Одной из ключевых технологий, обеспечивающих безопасность данных в облаке, является шифрование. Современные облачные сервисы используют сложные алгоритмы шифрования, такие как AES (Advanced Encryption Standard) с ключом длиной 256 бит. Этот стандарт считается одним из самых надежных сегодня и используется даже правительственными организациями для защиты секретной информации. При передаче данных между клиентом и облаком применяется протокол SSL/TLS, который обеспечивает безопасное соединение и предотвращает перехват данных.

Еще одним важным аспектом безопасности облачных хранилищ является аутентификация и авторизация пользователей. Многие облачные сервисы предлагают двухфакторную аутентификацию, которая значительно повышает уровень защиты от несанкционированного доступа.

Кроме того, применяются системы управления доступом (IAM – Identity and Access Management), позволяющие гибко настраивать права пользователей и групп на доступ к различным ресурсам и данным в облаке.

Важную роль в обеспечении безопасности играет также мониторинг и аудит. Облачные провайдеры используют сложные системы мониторинга, которые отслеживают все действия пользователей и системные события в режиме реального времени. Это позволяет оперативно выявлять и реагировать на потенциальные угрозы безопасности. Регулярный аудит безопасности помогает выявлять уязвимости и совершенствовать систему защиты.

Одним из преимуществ облачных хранилищ является возможность автоматического резервного копирования данных. Это обеспечивает дополнительный уровень защиты от потери информации в случае технических сбоев или атак. Многие облачные провайдеры предлагают функцию георепликации, при которой данные автоматически копируются в несколько географически разнесенных data-центров. Это гарантирует сохранность информации даже в случае серьезных аварий или природных катастроф.

Важно отметить, что безопасность облачных хранилищ – это совместная ответственность провайдера и клиента. Провайдер обеспечивает базовую инфраструктуру и инструменты безопасности, но клиент также должен соблюдать определенные правила и настраивать параметры безопасности в соответствии со своими требованиями. Это включает в себя использование сложных паролей, регулярное обновление программного обеспечения, правильную настройку прав доступа и обучение сотрудников основам информационной безопасности.

Для проверки безопасности облачного хранилища можно воспользоваться несколькими методами.

Во-первых, стоит изучить политику безопасности и сертификаты соответствия облачного провайдера. Надежные провайдеры обычно имеют сертификаты ISO 27001, SOC 2 и другие, подтверждающие соответствие международным стандартам безопасности.

Во-вторых, можно провести независимый аудит безопасности, включающий тестирование на проникновение и анализ уязвимостей. Многие облачные провайдеры предоставляют клиентам возможность проведения таких проверок.

Говоря о надежности шифрования, стоит отметить, что сегодня наиболее устойчивым к взлому считается шифрование AES-256. Однако с развитием квантовых компьютеров возникает необходимость в разработке новых, квантово-устойчивых алгоритмов шифрования. Некоторые облачные провайдеры уже начали работу в этом направлении, готовясь к потенциальным угрозам будущего.

Денис Бандалетов,
руководитель отдела сетевых технологий Angara Security

«Если говорить о конкретных протоколах шифрования передачи данных – то одними из самых криптостойких среди доступных сегодня являются алгоритмы AES и ГОСТ. При выборе решений и настройке оборудования, желательно отнести предпочтения именно этим двум»

Какие технологии обеспечивают безопасность данных в облачных хранилищах? Самые большие риски – доступность персональных данных третьим лицам и вывод из строя полностью или части инфраструктуры в облаке в результате успешной атаки (DDoS, шифровальщики, пр.). При переходе в «облако» этот вопрос стоит всегда, поэтому нужен определенный уровень доверия к «облачному» провайдеру. Должны быть предусмотрены несколько уровней резервирования, параметры SLA и скорости реагирования на инциденты, дополнительная защита данных от утечек в силу человеческого фактора или внешних кибератак на облачную инфраструктуру, отказоустойчивость виртуальных хранилищ в комплексе.

Как работает безопасность облака и чем она обусловлена, как ее можно проверить? Обеспечение безопасности облачной инфраструктуры во многом не отличается от того же процесса для физической (on-premise): используются такие же межсетевые экраны и файерволы, такие же анти-DDoS и DLP-системы, системы мониторинга и аналогичный контроль доступа и т. д.

Разница в том, что, ввиду отсутствия у заказчика возможности контроля самой облачной инфраструктуры, к облакам в вопросе безопасности предъявляются комплексные требования, включая требования регуляторов. Требования эти относятся к определенному типу заказчика: например, для объектов критической информационной инфраструктуры (банки, промышленные предприятия, госсектор). Таким образом, заказчик, зная предъявляемые ему регулятором требования, должен найти для себя облако, которое этим требованиям соответствует.

Каждое облако рассматривается как единая система и проходит сертификацию. Исходя из набора сертификатов, заказчик может определить, соответствует ли то или иное облако требованиям, которые предъявляет к нему регулятор. Но и это не панацея, так как после прохождения сертификации разработчик может что-то изменить, и сертификат будет недействительным.

Какое шифрование данных работает надежнее всего? В корпоративных мессенджерах используется сквозное шифрование, что защищает информацию от расшифровки третьими лицами, также данные пользователей хранятся на защищенных серверах. К тому же, чтобы войти в корпоративный мессенджер недостаточно знать номер телефона и пароль, нужно знать домен и другие данные для подключения.

Также при скачивании подозрительных файлов с корпоративного мессенджера сработает система защиты и аналитикам компании придет информация об инциденте. Это поможет предотвратить кражу информации и заражение устройства.

Прошли сертификацию и тестируются СКЗИ с квантовым шифрованием. Такой метод шифрования позволяет практически свести на нет атаку на каналы связи.

Вопрос о надежности шифрования данных является крайне актуальным в сфере кибербезопасности, особенно в контексте передачи резервных копий баз данных. Передача резервных копий может представлять собой «опасную историю», что подчеркивает важность выбора надежного метода шифрования.

Надежность шифрования данных в значительной степени зависит от соблюдения строгих стандартов безопасности и от того, насколько эффективно подрядчик может обеспечить защиту информации.

Важно отметить, что при передаче данных возникают обязательства по обеспечению информационной безопасности, которые должны соответствовать требованиям, аналогичным тем, что предъявляются к компании-заказчику. Таким образом, ответственность за защиту данных остается на операторе, и в случае инцидента именно компания-владелец будет нести основную ответственность.

Если говорить о конкретных протоколах шифрования передачи данных – то одними из самых криптостойких среди доступных сегодня являются алгоритмы AES и ГОСТ. При выборе решений и настройке оборудования, желательно отнести предпочтения именно этим двум.

Следовательно, наиболее надежное шифрование данных должно быть реализовано с учетом всех этих факторов, а также с применением современных криптографических стандартов, которые способны обеспечить высокий уровень защиты информации.

Евгений Свидерский,
директор облачного бизнеса ITGLOBAL.COM, корпорация ITG

«В контексте облачной инфраструктуры шифрование может быть реализовано как на уровне инфраструктуры, так и на уровне операционных систем и приложений»

Безопасность данных в облачных хранилищах обеспечивается благодаря целому ряду технологий. Основные из них включают в себя шифрование данных, управление доступом и мониторинг аномальной активности. Важно комплексно подходить к защите: от предотвращения угроз до быстрого реагирования на инциденты. Так создается надежная среда для хранения данных, где клиенты могут быть уверены в их сохранности. У ряда вендоров есть встроенные средства защиты от шифрования.

Например, в ITGLOBAL.COM мы используем решение NetApp Ransomware Protection, которое помогает защитить данные от атак вымогателей.

Безопасность облака – это многоуровневый процесс, который начинается с аутентификации пользователей и заканчивается контролем доступа. Она обеспечивается благодаря комбинации программных и аппаратных решений для защиты данных и предотвращения несанкционированного доступа. Проверить уровень безопасности можно с помощью регулярных аудитов и тестирования на проникновение. Эти меры позволяют выявить слабые места и своевременно их устранить, поддерживая высокий стандарт безопасности. Мониторинг событий безопасности для пользовательских систем может быть реализован в рамках услуги Security Operation Center (SOC).

Самым надежным методом шифрования данных сегодня считается AES (Advanced Encryption Standard) с ключами длиной 256 бит. Этот стандарт признан международным сообществом и используется де-факто для защиты конфиденциальной информации.

Шифрование данных – это второй слой обороны, который защищает информацию даже в случае компрометации пользовательских учетных записей или инфраструктуры. Важно, чтобы шифрование было интегрировано в систему безопасности и использовалось наряду с другими мерами защиты. В контексте облачной инфраструктуры шифрование может быть реализовано как на уровне инфраструктуры, так и на уровне операционных систем и приложений.

Андрей Сергеев,
технический директор, итроКлиник

«Шифрование должно производиться по криптостойким алгоритмам, для которых имеются публично доступные реализации, отчёты об их стойкости, найденным и устранённым уязвимостям, как в самих алгоритмах, так и шифровальных решениях»

Какие технологии обеспечивают безопасность данных в облачных хранилищах? Следует прежде всего отметить защиту данных на транспортном уровне – это практически всем известный протокол HTTPS (Hypertext Transport Protocol Secure), слой SSL при использовании других протоколов (например, почтовый протокол IMAP4S).

Облако может быть построено на решениях, предполагающих и прозрачное (на уровне файловой системы) шифрование информации на её физических носителях в хранилищах.

Нелишним будет упомянуть и обеспечение надлежащей безопасности при аутентификации пользователей на облачных сервисах – с помощью пары «логин-пароль» либо других методов (например, с помощью сертификата), двухфакторной аутентификации (2FA) и т.п., а также контроля авторизации пользователей облака, аудита происходящих в системе операций, снапшотов данных и (на последнем уровне) обеспечение физической безопасности облачной инфраструктуры.

Как работает безопасность облака и чем она обусловлена, как ее можно проверить? Пользователю условного облачного сервиса технические подробности его функционирования «под капотом» обычно недоступны, но он может и должен полагаться на заявленные договорные обязательства компании-оператора облака, на наличие сертификатов вида PCI DSS и др. подобные.

Какое шифрование данных работает надежнее всего? Прежде всего необходимо понять, что мы защищаем, каким бюджетом и ресурсами, каковы риски непреднамеренного либо злонамеренного хищения или раскрытия защищаемой информации, каков срок потенциального стороннего (неавторизованного) расшифровывания информации нас устроит. Необходима конкретика. Но для некоего случая типа «сферический конь в вакууме» подойдёт и слишком упрощённый и выхолощенный ответ: шифрование должно производиться по криптостойким алгоритмам, для которых имеются публично доступные реализации, отчёты об их стойкости, найденным (и устранённым – sic!) уязвимостям (как в самих алгоритмах, так и шифровальных решениях).

Алексей Гришин,
технический директор BPMSoft (входит в ИТ-холдинг LANSOFT)

«Комплексный подход к защите облачных данных, охватывающий все уровни инфраструктуры, позволяет не только предотвратить потенциальные угрозы, но и выстроить надежную систему реагирования на инциденты»

Защита данных в облачной инфраструктуре требует комплексного подхода, основанного на соблюдении международных и национальных стандартов информационной безопасности. Хорошая практики защиты данных должна включать следующие подходы и шаги:

• Использовать шифрование данных. Применять надёжные стандарты шифрования, такие как AES-256 для хранения данных, а также TLS/SSL для защиты данных при передаче.
• Выстроить процессы управление доступом. Необходимо применять принцип наименьших привилегий. Нужно разработать и поддерживать ролевую матрицу доступов, использовать многофакторную аутентификацию для защиты учетных данных пользователей.
• Уделить внимание сегментации сети. Разделить облачную инфраструктуру на отдельные части для ограничения возможных точек уязвимости и минимизации риска.
• Выстроить защиту от сетевых атак. Внедрить WAF-защиту, позволяющую противодействовать сложных сетевым атакам на веб-приложения, противодействовать уязвимостям нулевого дня. Для мониторинга и анализа трафика с целью выявления подозрительных (аномальных) действий и предотвращения атак необходимо внедрить системы обнаружения вторжение (IPS/IDS).
• Выстроить организованные процессы управления безопасностью API, которые обеспечат постоянную защиту, мониторинг и реагирование на угрозы. Забытые (неиспользуемые) API представляют уязвимость для безопасности, поскольку они могут быть использованы злоумышленниками для доступа к данным или функциональности систем.
• Выстроить процессы управления уязвимостями. Внедрить технологии и процессы позволяющие оперативно вести инвентаризацию ИТ-активов службами ИТ, а службам ИБ своевременно получать информацию о новых активах и с использованием специализированных инструментов производить проверку и закрытие уязвимостей.
• Выстроить процессы мониторинга и реагирования на события безопасности. Внедрить системы мониторинга событий ИБ или подключить услугу внешнего SOC для своевременного реагирования на инциденты в инфраструктуре.
• Организовать резервное копирование. Резервные копии данных должны храниться в средах, которые изолированы от основной инфраструктуры. Хорошая практика – применение холодного хранения для резервных копий, которые не должны часто изменяться.

Обеспечение безопасности данных в облаке – это многоуровневая задача, включающая защиту физической, хостинговой и виртуальной сред. Каждая из них имеет свои особенности и требует отдельного подхода.

Физическая среда является основой любой облачной инфраструктуры. Чтобы минимизировать риски на этом уровне, необходимо:

• Регулярно проводить аудит инфраструктуры центров обработки данных (ЦОД).
• Проверять защиту оборудования от несанкционированного доступа.
• Уделять внимание пожарной безопасности и климатическим условиям, которые могут повлиять на работоспособность оборудования.
• Обеспечивать надежное электроснабжение, включая план реагирования на перебои.

Любые инциденты в физической среде способны напрямую повлиять на хостинговую и виртуальную инфраструктуру, делая эти меры критически важными.

Защита хостинговой и виртуальной сред сосредоточена на выявлении и устранении уязвимостей. Для этого применяются:

• Регулярные тестирования на проникновение, которые позволяют моделировать потенциальные атаки и находить слабые места.
• Аудиты конфигураций серверных операционных систем и установленного программного обеспечения, направленные на выявление устаревших или небезопасных настроек.
• Проверки сетевого оборудования, таких как маршрутизаторы и коммутаторы, с целью выявления открытых портов или других точек возможного проникновения.

Эти действия помогают выявить угрозы несанкционированного доступа, а также оценить возможности горизонтального и вертикального перемещения злоумышленников в инфраструктуре.

Комплексный подход к защите облачных данных, охватывающий все уровни инфраструктуры, позволяет не только предотвратить потенциальные угрозы, но и выстроить надежную систему реагирования на инциденты.

Отличным вариантом обеспечения безопасности данных облака в случае компрометации является шифрование чувствительных данных:

• Шифрование чувствительных данных, обрабатываемых в виртуальной среде (например, шифрование данных на СУБД).
• Шифрование данных при передаче по сети с использованием TLS/SSL. Использование незащищенного протокола HTTP не рекомендуется.
• Для взаимодействия site-to-site рекомендуется использовать VPN.

Александр Фролов,
начальник отдела информационных технологий, МГУ им. адм. Г.И. Невельского, Владивосток

«Безопасность облака строится на нескольких уровнях: физическом, сетевом, приложенческом и уровне данных»

Какие технологии обеспечивают безопасность данных в облачных хранилищах?

1. Шифрование данных как в покое, так и при передаче.
2. Аутентификация с многофакторной аутентификацией (MFA).
3. Мониторинг и аудит активности пользователей.
4. Решения для управления доступом на основе ролей (RBAC).

Безопасность облака строится на нескольких уровнях: физическом, сетевом, приложенческом и уровне данных. Облачные провайдеры обязаны следовать строгим стандартам безопасности, что положительно влияет на защиту данных.

Как ее можно проверить?

Проверка безопасности может осуществляться с помощью:

• Аудитов и тестов на проникновение.
• Проверки наличия сертификатов соответствия (ISO, SOC 2).
• Мониторинга инцидентов и защиты от угроз.

Какое шифрование данных работает надежнее всего?

AES (Advanced Encryption Standard) с 256-битным ключом считается надежным стандартом шифрования и широко используется в облачных сервисах.

Ключевые слова: безопасность данных, облачные хранилища, шифрование, криптография

Подпишитесь на журнал

Комментарии могут оставлять только зарегистрированные пользователи