Безопасность в публичном облаке: взгляд провайдера

Безопасность в публичном облаке: взгляд провайдера

Безопасность в публичном облаке: взгляд провайдера

Кто отвечает за безопасность инфраструктуры в публичном облаке? Какие инструменты для контроля работы сервисного провайдера есть у клиента? Как понять, можно ли доверять поставщику облачных услуг? Эти и другие вопросы мы обсудили с ведущими экспертами облачного рынка, представителями отечественных сервис-провайдеров.

 

 

 

 

 

  1. Введение
  2. Безопасность в публичном облаке: ожидания и реальность
  3. Безопасное использование публичного облака
  4. Как научиться доверять облачному провайдеру
  5. Что впереди?
  6. Выводы

Введение

Очередной выпуск онлайн-конференции AM Live был посвящён безопасности инфраструктуры заказчика в облаке. Перенос вычислительных мощностей на ресурсы облачных провайдеров стал тенденцией последних лет, а пандемия COVID-19 лишь ускорила этот процесс. Сейчас клиентами публичных облачных сервисов являются государственные и коммерческие организации самых разных размеров. Однако миграция в облако породила множество вопросов связанных с безопасностью — начиная от разграничения ответственности и заканчивая опасениями клиентов по поводу сохранности их данных.

В том, как заказчикам и поставщикам облачных услуг начать разговаривать на одном языке, мы попытались разобраться вместе с представителями ведущих отечественных сервис-провайдеров.

В студии Anti-Malware.ru собрались:

  • Василий Степаненко, директор центра киберзащиты компании DataLine.
  • Иван Гузев, руководитель направления Cloud Security компании «МегаФон».
  • Константин Феоктистов, менеджер продуктов компании SberCloud.
  • Михаил Фёдоров, менеджер по развитию бизнеса информационной безопасности компании Yandex.Cloud.

Модерировал дискуссию Павел Коростелев, руководитель отдела продвижения продуктов компании «Код Безопасности».

 

 

Безопасность в публичном облаке: ожидания и реальность

Для «разминки» модератор дискуссии предложил нашим спикерам небольшой блиц-опрос. Каждый из приглашённых экспертов ответил на один вопрос о базовых понятиях облачной безопасности.

— Увидели ли вы всплеск интереса к облачным провайдерам в 2020 году?

Василий Степаненко: Мы не заметили каких-то особых изменений в динамике роста. Ряд компаний, которые сложно переживали кризис вызванный пандемией, уменьшили потребление облачных ресурсов. В то же время другие заказчики, которые ранее не были ориентированы на облака, пришли и заняли освободившееся место.

— Какие вопросы о безопасности заказчики чаще всего задают, впервые обращаясь к облачному провайдеру?

Михаил Фёдоров: Это зависит от зрелости заказчика, однако наиболее часто мы слышим вопросы относительно общей концепции безопасности в облаке, а также информации об имеющихся сертификатах, используемых процессах и стандартах. Для нас наиболее важным и правильным со стороны клиента видится вопрос о разграничении ответственности между провайдером и заказчиком.

— Чем отличается профиль риска компании с собственным ЦОД и компании эксплуатирующей информационную систему в облаке?

Константин Феоктистов: Клиент, который эксплуатирует систему самостоятельно, сам отвечает за вопросы безопасности и имеет возможность прямо или косвенно «дотянуться» до любого объекта ИБ-инфраструктуры. При переходе в облако зона ответственности начинает разделяться. Заказчик может управлять безопасностью только той части инфраструктуры, которая доступна ему в соответствии с моделью предоставления услуг. Риски также делятся между поставщиком услуг и клиентом.

— Насколько соотносится с российскими реалиями схема безопасности в облаке, предложенная Gartner?

Иван Гузев: На мой взгляд, на этой схеме не совсем точно отражены процессы облачного провайдера, поскольку его зона ответственности зависит от типа сервиса. Есть вещи, которые провайдер никогда не передаст в зону ответственности клиента, есть риски, которые всегда останутся на стороне заказчика, и есть сферы ответственности, которые разделяются в зависимости от модели работы — IaaS или SaaS.

 

Рисунок 1. Схема безопасности в облаке по Gartner

Схема безопасности в облаке по Gartner

 

Эксперты отметили влияние уровня зрелости заказчика на эффективность использования облачных сервисов. Клиент, который уже обладает опытом работы с провайдером таких услуг, лучше подготовлен для взаимодействия и понимает правила распределения ответственности. Обычно у таких заказчиков разработана политика взаимодействия с внешними облачными сервисами, существует служба контроля с опросниками и понятными метриками. В самом лучшем случае клиент чётко понимает, с чем он работает и какие механизмы защиты может применять.

Существует и противоположная ситуация, когда заказчик приходит с ожиданием, что на уровне IaaS он получит полный спектр услуг по безопасности, и в итоге сталкивается с проблемами. При этом эксперты обратили внимание, что если заказчик при переходе в облако попадает в более организованную среду, чем та, которая у него существовала ранее, то уровень его безопасности вырастет. Частным случаем такого подхода является построение информационной системы заново, с использованием более современных и безопасных инструментов, предоставляемых провайдером, вместо прямого её переноса в облако.

Зрители прямого эфира онлайн-конференции также высказали свои мнения относительно планов использования IaaS-сервисов публичных облачных провайдеров. По результатам опроса 33 % респондентов используют такие службы, в том числе и для «боевых» систем. Развернули в облаке только тестовые среды 10 % опрошенных, а 25 % не используют облачную инфраструктуру, но намерены это делать в будущем. Не используют и не планируют использовать IaaS-сервисы 32 % наших зрителей.

 

Рисунок 2. Каковы ваши планы по использованию IaaS-сервисов публичных облачных провайдеров?

Каковы ваши планы по использованию IaaS-сервисов публичных облачных провайдеров?

 

В процессе дискуссии «из зала» поступила реплика потенциального клиента, который упрекнул облачных провайдеров в том, что они по-прежнему мыслят категориями ресурсов (диски, ядра, каналы), а не категориями сервисов, необходимых клиенту. По мнению зрителя прямого эфира, заказчику не интересно разбираться с особенностями технической реализации той или иной облачной службы, но важно, чтобы нужные ему функции предоставлялись — быстро, бесперебойно и с должным уровнем безопасности.

Наши спикеры ответили, что такие заказчики — это один из небольших сегментов облачных клиентов, чаще всего — малый или средний бизнес. Если же речь идёт о крупных клиентах, то в большинстве случаев запрос звучит как «дайте мне ресурсы, а я на их базе буду строить то, что мне необходимо».

Рассуждая о построении защищённых облачных сегментов и влиянии регуляторов на этот рынок, эксперты отметили, что любое регламентирование со стороны государства ведёт к удорожанию услуги. При этом часть заказчиков при переходе в облако неправильно или неточно трактуют требования регуляторов, выставляя сервис-провайдеру избыточные запросы. В этом случае поставщик облачных услуг может выступать также и в роли консультанта, посредника в диалоге клиента и регулятора.

Мы узнали у зрителей прямого эфира, являются ли для них вопросы безопасности ограничивающим фактором при переходе в облако. Большинство опрошенных — 71 % — ответили утвердительно. Не видят в этом препятствий 18 %, а ещё 11 % не определились со своей позицией по этому вопросу.

 

Рисунок 3. Являются ли для вас вопросы безопасности ограничивающим фактором для перехода в публичное облако?

Являются ли для вас вопросы безопасности ограничивающим фактором для перехода в публичное облако?

 

Безопасное использование публичного облака

Переходя к вопросам безопасной эксплуатации облачного сервиса, спикеры AM Live отметили, что для специалиста по информационной безопасности важно принять тот факт, что у него не будет прямого доступа ко многим привычным ему механизмам контроля безопасности, поскольку они находятся в зоне ответственности провайдера. Подразделению ИБ заказчика необходимо использовать средства аудита и контроля соответствия требованиям нормативных документов, а также стандартов, принятых между клиентом и провайдером.

Говоря о навыках, необходимых ИБ-специалисту для эффективного контроля безопасности в публичном облаке, эксперты обратили внимание на важность умения выстраивать процессную работу. По сути, для организации работы в облаке «безопасник» должен обладать организационными навыками, быть хорошим менеджером, а также уметь пользоваться доступными ему метриками и средствами контроля.

Зрители, наблюдавшие за прямым эфиром, в большинстве своём готовы разделить ответственность с провайдером и использовать сервисы PaaS и SaaS. За такой вариант высказались 53 % опрошенных в ходе онлайн-конференции. Ещё 27 % не готовы работать на таких условиях, а 20 % не знают ответа на этот вопрос.

 

Рисунок 4. Готовы ли вы пользоваться сервисами PaaS и SaaS, отдав тем самым часть ответственности за безопасность провайдеру?

Готовы ли вы пользоваться сервисами PaaS и SaaS, отдав тем самым часть ответственности за безопасность провайдеру?

 

Гости студии рассказали о поэтапном росте зрелости заказчика в процессе использования облачных сервисов. По мере того как компания получает опыт работы с облачной инфраструктурой, её вопросы к провайдеру усложняются и становятся более осмысленными. Клиент начинает интересоваться сетевой безопасностью, защитой веб-ресурсов, задаёт вопросы относительно тех инструментов мониторинга, которые может предложить провайдер. Для заказчика становится важным то, как у поставщика облачных услуг организован контроль событий безопасности, как он на них реагирует, а также как информирует клиента об инцидентах.

Мы затронули тему рекомендуемой последовательности действий для безопасного переноса инфраструктуры в облако. На какие механизмы безопасности следует обратить внимание, какие действия совершить? Эксперты предложили следующий план:

  • Обеспечить непрерывность, продумать модель отката к изначальному состоянию или план перехода к другому провайдеру.
  • Определить цели перехода в облако, установить нужные метрики и понять, насколько им соответствует выбранный провайдер.
  • С точки зрения конкретных инструментов безопасности следует использовать комплексный подход, подбирая те из них, которые соответствуют поставленным задачам.

Ведущий онлайн-конференции заметил, что в процессе адаптации облачных услуг наблюдается процесс, который называется инверсией безопасности: в центре внимания ИБ-специалистов оказываются пользователи, а не центры обработки данных, как раньше.

 

Рисунок 5. Инверсия безопасности

Инверсия безопасности

 

Как пояснили эксперты, такое положение дел представляется разумным, поскольку все информационные системы работают для человека, а человек в свою очередь является «слабым звеном» в контуре безопасности. Инверсия приводит к тому, что подход к обеспечению безопасности становится более многогранным, учитывающим все аспекты деятельности заказчика.

Как научиться доверять облачному провайдеру

Одним из ключевых факторов успешного взаимодействия между клиентом и поставщиком облачных услуг является доверие заказчика. Мы попросили наших экспертов пояснить, какие факторы в этой сфере являются определяющими, а какими, на их взгляд, можно пренебречь.

Как отметили гости студии, вопрос недоверия к провайдеру — это вопрос недоверия к его сотрудникам, а единственный способ убедить заказчика в безопасности его инфраструктуры — это показать, как работает безопасность в публичном облачном сервисе. В процессе аудита клиент может убедиться, что провайдер внедрил и использует все необходимые процедуры безопасности, в том числе и в работе с подрядчиками, а также контролирует работу администраторов. При этом наличие различных сертификатов и аттестаций, по мнению наших экспертов, не является фактором увеличивающим доверие к провайдеру. С другой стороны, сертификация — это не только маркетинговый инструмент, но и способ наведения порядка в работе поставщика облачных услуг.

Возвращаясь к вопросу доверия к сотрудникам сервис-провайдера, наши спикеры напомнили, что от инсайдера внутри компании не застрахован никто. Эффективным способом противодействия «сливу» конфиденциальной информации является процесс регистрации, хранения и анализа событий в информационной системе поставщика облачных услуг. Кроме того, учитывая необходимую квалификацию специалиста способного украсть данные клиента на стороне провайдера, риск такого инцидента соизмерим с потерей ценной информации на стороне заказчика.

Со своей стороны зрители онлайн-конференции высказали мнения относительно способов, которыми можно оценивать уровень безопасности облачного провайдера. Как выяснилось, большинство опрошенных (24 %) доверяют только аттестации по требованиям регулятора сегмента. Почти столько же — 22 % — ставят на собственный аудит и анализ внутренней документации провайдера. Ещё 18 % доверяют результатам внешнего аудита, а 8 % — заполнению опросников, таких как CSA CAIQ. Прислушиваются к советам коллег по рынку и обращают внимание на сертификаты в области ИБ по 14 % респондентов.

 

Рисунок 6. Какой оценке уровня безопасности облачного провайдера вы доверяете больше всего?

Какой оценке уровня безопасности облачного провайдера вы доверяете больше всего?

 

Что впереди?

В финальной части беседы мы попросили наших спикеров поделиться своим видением тех перспектив, которые ждут рынок публичных облачных сервисов.

Как заметили эксперты, перенос вычислительных ресурсов под контроль провайдера, у которого риски стандартизированы, а ресурсы более надёжны, — это правильный подход. Поэтому компании продолжат перенос своей инфраструктуры в облако и совместно с поставщиками услуг будут искать механизмы контроля и стандартизации такого взаимодействия. Одним из вариантов, который наши спикеры считают перспективным, является привлечение страховых компаний для хеджирования рисков заказчика. Страховщики будут заинтересованы в качественной и всесторонней оценке системы безопасности облачного провайдера и смогут выступать независимым аудитором и гарантом в отношениях двух сторон.

В качестве итога беседы мы спросили наших зрителей, изменилось ли их мнение относительно безопасности публичных облаков после эфира. Почти половина опрошенных (48 %) сообщила нам, что безопасность и облака по-прежнему несовместимы. Ещё 28 % ответили, что провайдеры делают всё возможное в рамках законодательства, а 14 % сказали, что их устраивает текущее положение дел с безопасностью публичных облаков. Считают, что провайдеры прилагают недостаточно усилий для обеспечения безопасности, 6 % респондентов, а ещё 4 % оценили уровень облачной безопасности как недостаточный для их компании.

 

Рисунок 7. Каково ваше мнение относительно безопасности публичных облаков после эфира?

Каково ваше мнение относительно безопасности публичных облаков после эфира?

 

Выводы

Безопасность публичных облачных систем вызывает опасения у потенциальных заказчиков. И несмотря на то что сервис-провайдеры вполне обоснованно доказывают беспочвенность подобных страхов, им необходимо учиться находить правильные аргументы, беседуя с клиентами на эту тему. Как показала онлайн-конференция AM Live, диалог возможен, понимание достижимо, а перспективы развития этого сегмента рынка более чем реальны.

Мы продолжаем цикл прямых эфиров, посвящённых наиболее актуальным вопросам информационной безопасности применительно к отечественным реалиям. Для того чтобы не пропускать новые выпуски онлайн-конференции AM Live и иметь возможность задать вопросы экспертам, подпишитесь на YouTube-канал Anti-Malware.ru. До встречи в эфире!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru