Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност
бр. 6, 2014

Управляваните услуги за сигурност в облака – как, кога и защо да се ползват

Могат ли мерките в областта на облачната сигурност да бъдат толкова добри, колкото тези, предприемани на място в собствения дейта център

от , 20 юни 2014 0 2677 прочитания,

Все повече компании от всякакви размери преместват своите инфраструктури към облака, но какво се случва с техните системи за сигурност? Ако поддържате свой собствен център за данни, тогава вероятно ползвате няколко системи за сигурност за вашите сървъри. Вероятно също така извършвате гейтуей сканиране, събиране и проследяване на логовете, откриване и предотвратяване на прониквания, разполагате с няколко вида защитни стени. Но как да гарантирате сигурността, когато вашата инфраструктура вече не е под вашия непосредствен контрол? Как да копирате точно функционалността на всички ваши съществуващи на място в организацията системи за сигурност в облака?

Опции за сигурност в облака

Можете да подходите към проблема по два основни начина. Ако вашата инфраструктура ползва AWS услугата на Amazon например, тогава можете да достъпите AWS API и да я наблюдавате отдалечено, или пък да наемете доставчик на управлявани услуги за сигурност (MSSP - managed security service provider) да прави това вместо вас. Ако сте пренесли вашата инфраструктура към облака, може да се окаже доста удачно да пренесете и по-голямата част от вашата дейност по сигурността към доставчик на управлявани услуги.

За Azure на Microsoft ситуацията е подобна. Вие (или един доставчик на управлявани услуги за сигурност) може да наблюдавате вашата инфраструктура отдалечено или чрез Azure, използвайки решенията за сигурност на Azure. Същото се отнася и за други облачни доставчици.

Алтернативен, или може би по-очевиден, подход е да копирате колкото е възможно по-точно настройките за сигурност, които имате във вашия център за данни. Можете да направите това чрез разполагане на еквивалентни виртуални секюрити аплайънси в софтуера на подходящи места във вашата облачна инфраструктура. Съществуват множество доставчици на решения за сигурност, които предлагат подобни виртуални устройства (security appliance), включително Fortinet, Dell SonicWALL и Cisco.

Това, което не можете да получите обаче е достъп до слоевете на абстракция на доставчика на облака. Не можете също да се разхождате около оборудването на доставчика и да проверявате сигурността по начина, по който можете да го правите в своя собствен дейта център.

Това означава, че трябва да се доверите на доставчика и да подкрепите това доверие с доказателства. Трябва да се убедите, че вашият доставчик на облачни услуги, че ще защитава вашите сървъри от външни лица, както и от останалите клиенти на облачните му услуги. Можете да се уверите, че доставчикът на облачни услуги изпълнява правилните неща, като поискате да видите неговите сертификати, като например ISO 27001, PCI-DSS и резултатите от годишните SOC 1 одити (виж. таблица 1).

Таблица 1. Сравнение на видовете SOC-доклади

Колко добре работи облачната сигурност на практика

Една компания, наскоро пренесла своята инфраструктура към облака, е Retirement Clearinghouse, базирана в Северна Каролина и специализарана в предоставяне на пенсионни услуги и притежаваща активи на стойност над $380 млн.

Имайки предвид извършените кражби на чувствителна информация, от които са пострадали други компании, главният ИТ директор на компанията Майк Гуд определено не иска да влезе в новините с информация за подобно неприятно събитие. Неговото решение е да използва управлявана услуга за сигурност, предоставяна от Alert Logic, която включва наблюдение на облачната инфраструктура на Retirement Clearinghouse.

Екипът на Гуд е трябвало да наблюдава логовете, направени в собствения дейта център на компанията с цел гарантиране на сигурността, но както самият той признава, това изглежда не е било много ефективно. "Не бяхме толкова прилежни, колкото би трябвало", споделя той.

След преминаване към облака логовете на Retirement Clearinghouse все още се наблюдават от екипа на място в компанията, но и от Alert Logic. "На наше разположение е SOC 2 сертифициран специалист от Alert Logic, който наблюдава сега нашите логове", обяснява Гуд.

Допълнителна полза от преместването на инфраструктурата на компанията към облака е, че вече не е необходимо да се заделя част от бюджета на компанията за сигурност за наемане на външни консултанти. "Преди ни се налагаше да наемаме консултанти за извършване на тестове за прониквания, което е доста скъпо", коментира той.

Сега, след като Alert Logic наблюдават нашите логове и ни предоставят своята облачно базирана система за откриване на прониквания в мрежата Threat Manager, вече разполагаме с един ефективен начин за откриване на подозрителна мрежова активност и имаме възможност да предприемем действия, преди тази активност да се е превърнала в нещо по-сериозно, споделя Гуд. Например Alert Logic е сигнализирала, когато е открила активност по мрежата от сървър от Флорида. "Бяхме предупредени, че има сериозен опит за връзка към нашата мрежа, така че блокирахме този опит навреме чрез нашата защитна стена", обяснява Гуд.

Ед Ферара, анализатор “Сигурност” във Forrester Research, смята, че сигурността в облака е добра идея и далече не е предизвикателство, ако се предоставя от доставчик на управлявани услуги за сигурност. Причината за това е фактът, че голяма част от сигурността опира до уменията и до честотната лента и много компании – особено по-малките – не разполагат с достатъчно ресурс и от двете. "На практика е типично за компании от всякакви размери да не се справят добре с мониторинга на логовете - коментира той. – Много компании преглеждат своите логове на 30 дни, което е напълно безполезно, що се отнася до защитата от криминални нарушения."

Разбира се, има още много неща, които да се правят за сигурността, освен мониторинг на логовете, и MSSP доставчиците предлагат набор от услуги в областта на сигурността.

Може би най-важният въпрос, на който трябва да се отговори, е дали мерките в областта на облачната сигурност могат да бъдат толкова добри, колкото тези, предприемани на място в собствения ви дейта център. "Реалният проблем с облака е, че не притежавате слоя на абстракция – хипервайзорите и т.н.", посочва Ферара. Това означава, че трябва да се доверите на доставчика на облака и да вземете предвид както неговата репутация, така и неговите сертификати.

“Ако са с правилната архитектура, дейта центровете, проектирани и изградени за облака, не са непременно по-малко сигурни, отколкото тези, изградени от тухли и хоросан”, коментира Ферара и продължава. "Дори имате по-добра възможност да изградите сигурна архитектура в облака, защото в облака е много по-лесно да се извършва преконфигуриране – уточнява той. – Не забравяйте: Target не беше в облака, Sony също не беше в облака."

Доколко комфортно се чувстват компаниите с облачна сигурност?

Според спонсорирано от Microsoft проучване, проведено от групата 451 Research, Yankee Group и Uptime Institute, темите за облачната сигурност са с най-голям приоритет за вземащите ИТ решения. Респондентите извеждат напред 2 добри практики, свързани със сигурността като най-важните условия за успех в облака, а именно:

  • добре дефинираната архитектура с цел сигурност

  • и обучението на потребителите, така че те да подхождат към достъпа и сигурността с особено внимание.

Друго проучване, проведено от RightScale, открива, че близо една трета от организациите, които нямат опит с облака, посочват сигурността като най-голямото тяхно притеснение. В същото време този процент намалява до 13% сред онези, които имат по-голям опит в облачните услуги.

Облакът оглавява също така двата списъка с технологии, които, според проучване на Trustwave, професионалистите в областта на сигурността са под натиск да ползват и които респондентите смятат, че представляват най-голям риск за сигурността.

Single Sign-on в облака

Въпреки тези проблеми обаче, проучване на доставчика на решения за сигурност Bitglass показва, че някои компании са имплементирали single sign-on (SSO) с цел да защитят данните си в облака. Според Bitglass, едва 9% от клиентите на Salesforce.com и 5,5% от клиентите на Box ползват SSO, което от компанията определят като най-основната мярка за сигурност при възприемане на SaaS.

Използването на SSO за облачни услуги е една от препоръчваните от експертите стратегии за подобряване на сигурността в облака. Отбелязвайки че SSO предоставя един-единствен логин за всички приложения на компанията, те посочват, че когато служителите достъпват облачни приложения, те автоматично биват пренасочвани към логин страницата за автентификация на компанията. Така ИТ организацията може да контролира изискванията за паролите и може да разрешава или забранява достъпа на даден служител към всички приложения на компанията наведнъж.

Освен че това несъмнено улеснява живота на ИТ специалистите, потребителите също се възползват от факта, че не трябва да запомнят множество пароли за различни услуги.

Според доклад на Alert Logic пък определени типове атаки са все по-често срещани в облака. Това показва, че компаниите трябва да бъдат по-агресивни относно облачната сигурност, твърди Стивън Коти, директор в компанията.

"Компаниите традиционно изразходват пари, време и работни часове на служители за имплементиране на решения за сигурност в дълбочина в корпоративното пространство, използвайки множество различни инструменти, като антивирусни решения, проследяване на мрежовия трафик, рутери и защитни стени – отбелязва Коти. – Нашите данни сочат, че е необходим същият подход и в облака. И като ИТ мениджър вие трябва да сте двигател на този процес. Трябва да разглеждате всички различни слоеве на сигурността, които могат да бъдат приложени в облака.” 

Мнозинството от европейските ИТ мениджъри не вярват на щатските облаци
Според проучване, проведено сред 117 професионалисти в областта на ИТ сигурността от Европа, 51% не се доверяват изцяло на базираните в САЩ облаци, а 62% използват базирани в Европа облаци, защото е по-лесно от гледна точка на спазване на регулациите и постигане на съответствие.
Проучване, проведено от Perspecsys по време на Infosecurity Europe 2014, също открива, че 47% от запитаните вярват, че техните данни са по-защитени в базирани в Европа облаци, отколкото в такива, базирани в САЩ.
В допълнение 62% от запитаните споделят, че негативизмът им към щатските облаци се дължи на докладите, че NSA следи данните в тези облаци, а 59% не вярват, че европейските правителства нямат подобни силно развити практики, както NSA. "Всеобщото мнение, изразено при разговорите ни по време на InfoSec Europe, беше, че съществува по-скоро безпокойство във връзка със законовите изисквания относно базираните в САЩ облаци - коментира Дейвид Канелос, CEO на Perspecsys. – Данните от нашето проучване потвърждават, че организациите гледат сериозно на техните политики относно облака и си задават въпроси за това къде техните регулирани данни ще бъдат по-сигурни и ще има съвместимост с регулациите. И това не е временна тенденция, а факт, който ще се налага все повече и повече."




КОМЕНТАРИ ОТ  

КОМЕНТАРИ

Трябва да сте регистриран потребител, за да коментирате статията
"Управляваните услуги за сигурност в облака – как, кога и защо да се ползват"



    

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов