Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Управление на риска
бр. 9, 2014

Рискове в “облака” – предизвикателства и решения

Облачните услуги носят предимства, но са свързани с непознати и непредвидени рискове. Използването на cloud решения не освобождава потребителите от необходимостта да оценяват рисковете и да вземат решения във връзка с тяхната минимизация

от , 03 октомври 2014 0 2476 прочитания,

Преходът към cloud технологии носи ползи, но и нови опасности, свързани с информационната сигурност. Затова всяка компания, която обмисля въвеждането на облачни технологии трябва да отдели специално внимание на анализа на потенциалните рискове и да вземе мерки за тяхното минимизиране.

В тази статия ще се спрем на няколко категории рискове, които възникват особени често, както и на мерките, с помощта на които те могат да бъдат редуцирани.

Кражба на данни за автентификация

Внедряването на облачни технологии в много случаи е свързано с доста работа по интеграцията на много различни услуги в единна платформа. Освен различна функционалност, всяка тези услуги може да има уникална система за идентификация и автентификация. При това, ако доставчикът не се погрижи за внедряване на решение от клас Single Sign-On, клиентът ще трябва да помни пароли за всяка услуга по отделно. Такава ситуация често възниква при изграждане на облак с използване на технологии от различни производители, които трудно се интегрират по между си.

И все пак в много случаи клиентът се нуждае от услуги на различни доставчици. Например, той може да интегрира в рамките на своите web ресурси облачни услуги на Salesforce за организация на CRM система, Google Apps за работа с офис пакет и WebEx за организация на web конференции.

Използването на облачни услуги с различни механизми за идентификация и авторизация води до необходимостта сътрудниците в компанията да помнят данните за вход към всяка отделна система. Това не е по силите на всеки, затова служителите или се регистрират с еднакви имена и пароли навсякъде, или избират възможно най-прости и лесни за запомняне имена и пароли, или правят и двете.

На този фон, евентуална кражба на данни за автентификация, води до до големи щети. Но това не е всичко. Освен клиентските данни за автентификация, обект на атака могат да бъдат административните акаунти, които имат разширени права за достъп до платформата на облака. Кражбата на такива акаунти дава възможност на злонамереното лице да се намеси в работата на облачната система и да компроментира клиентски данни.

Сред рисковете, свързани с данните за автентификация е и кражбата на сервизни акаунти, с използването на които се реализира взаимодействие между системите, осигуряващи работата на облака.

По принцип, кражбата на потребителски, административни или сервизни данни за автентификация обикновено е първи етап в развитието на атака към платформа, осигуряваща функционирането на облака. Затова и за доставчика, и за клиента е важно да минимизира тази категория рискове. За целта експертите отправят няколко съвета:

  • да разработят, внедрят и контролират изпълнението на политики за паролите за сервизните и административни акаунти;

  • да внедрят средства за многофакторна автентификация за административния персонал;

  • да осигурят съхранението на автентификационните данни на клиентите само във вид на хеш, генериран с прилагането на стабилни криптиращи алгоритми и с добавяне на модификатори.

На свой ред, компанията клиент може да минимизира риска от кражба на данни за автентификация като разработи и внедри политика за паролите и контролира спазването и, с прилагане на средства за многофакторна автентификация, с осигуряване на съхранението на автентификационни данни в шифриран вид.

Достъпът за привилегировани потребители

Осигуряването на работата на “облака” е свързано със сложен комплекс от мерки и прилагане на голам брой технологични процеси, контролирани както от специализирани системи за мониторинг, така и от административния персонал на провайдера. В общия случай администраторите имат разширен достъп до платформата, осигуряваща предоставянето на облачните услуги, както и до циркулиращите в нея клиентски данни. В тази връзка при планиране на прехода към облака би трябвало да бъдат откроени рисковете, свързани с неправомерни действия на администраторите, в резултат на които те могат да получат достъп до клиентски данни. За минимизация на тези рискове експертите препоръчват следните стъпки:

  • доставчикът на услуги осигурява внедряването и експлоатацията на средства за разграничаване на достъпа, а също за контрол и водене на журнал за действията на администраторите;

  • на свой ред, в рамките на SLA клиентът получава възможност да се запознава с журналите със записи за действията на специалистите на провайдера, които са свързани с предоставяните му услуги;

  • разработване и внедряване на регламент за работата на администраторите и контрол за спазването му;

  • свеждане до минимум на намесата на персонала в процеса на функциониране на облачната платформа;

  • целесъобразно реализиране на разделението на задълженията на специалистите, отговарящи за администриране на приложения, съхранение на данни, резервно копиране, виртуална и физическа мрежа, виртуална инфраструктура.

Уязвимости в софтуера за оркестрация и предоставяне на услуги

Процесът на предоставяне на cloud услуги се контролира от разнообразен софтуер. Реализирайки своя облак, доставчикът може да използва решения от един производител или множество продукти на различни вендори, функциониращи в рамките на една платформа. Също така може да се ползват самостоятелно написани програми и скриптове, осигуряващи функционирането на отделни услуги или интегриращи решения от различни производители.

Всяко програмно осигуряване съдържа грешки – софтуерът за оркестрация и софтуерът за предоставяне на услуги не са изключение от това правило. Използвайки грешки в програмния код, злосторници могат да получат достъп до системата за управление на cloud услугите на отделен клиент или на облака като цяло. Минимизирането на този риск е отговорност изцяло на доставчика. Като най-важни мерки в тази връзка експертите посочват:

  • внедряване на процедури за контрол на качеството на разработваните от провайдера скриптове за автоматизация, софтуер и програмни интерфейси;

  • поддръжка на процедурите за инсталиране на обновявания на системата за защита на платформата, предоставяща облачни услуги;

  • внедряване на firewall и криптографска защита на комуникационните канали;

  • въвеждане на IDS/IPS системи, реализиращи анализ на протоколи на мрежово ниво;

  • въвеждане на специализирани IDS/IPS, осигуряващи контрол на протоколите, в рамките на които се извикват API функции на софтуера за оркестрация и предоставяне на услуги.

Облаци “в сянка” …

Напоследък все по-често най-различни бизнес подразделения и работни групи се абонират за облачни услуги без да съгласуват това със своите ИТ отдели. Според експерти на PricewaterhouseCoopers (PwC), които са изследвали този проблем, облачните услуги “в сянка” пораждат сериозни рискове във връзка със защитеността на данните, целостта на трансакциите, непрекъснатостта на бизнеса и съответствието с нормативните изисквания

“Отдели и индивидуални потребители все по-често се включват самостоятелно към облачни услуги за целите на своята работа, тъй като това е лесно и сравнително евтино”, коментира Кара Бестон, мениджър по защита от облачни рискове в PwC.

Според експертите на консултантската компания напоследък се появяват нови форми на “ИТ в сянка” и като се отчита достъпността на облачните услуги, най-вероятно и във вашата компания те се прилагат много повече отколкото си представяте. “Не е лесно да установите действителното състояние на нещата, тъй като облачните услуги се купуват на ниска цена и работят извън стените на самата компания”, казват от PwC.

Най-често, “в сянка” се използва облачен софтуер за съвместна работа, услуги за съхранение, приложения за управление на взаимоотношенията с клиенти и системи за управление на човешките ресурси.

Моделът SaaS позволява на отдели от всякакъв мащаб бързо да въвеждат промени в своите бизнес процеси, без да е необходимо да чакат помощ от страна на ИТ подразделението. Още едно предимство е това, че използването на подобни услуги е свързано само с оперативни разходи.

Но неконтролираното прилагане на облачни приложения “в сянка” е свързано със сериозни заплахи към защитеността на данните и с рисковете, които носи появата на дублиращи се технологии и услуги, предупреждава Кара Бестон.

Сред рисковете, които пораждат облачните услуги “в сянка” са:

  • непреднамерено разкриване на данни, които по закон са секретни;

  • несанкциониран достъп до поверителни данни и интелектуална собственост;

  • нарушаване на правила за използване на информация.

Компаниите от регулирани индустрии рискуват да нарушат нормативни изисквания, свързани със защитата на данните. При това, въпреки че много бизнес потребители се абонират за облачни услуги заради ниската им цена, на практика липсата на контрол върху използването им често води до дублиране и като следствие от това – до ръст на текущите разходи.

Облачни услуги за работни групи от 5-10 потребителя могат да струват от стотина долара на месец до няколко хиляди. Разходите обаче бързо могат да се изплъзнат от контрол, ако няколко отдела в организацията започнат да ползват подобни, но различни услуги.

“Облачните услуги в сянка са изпълнени с нови, непредвидени рискове. Те могат да доведат до ръст на оперативните разходи и дублиране на информация”, подчертават експертите на PwC в своя доклад.

Проблемите във връзка с използването на облаци “в сянка” трябва да бъдат под контрола на финансовия директор и ИТ директора, считат експертите. Като първа стъпка за справяне с тях те препоръчват да бъдат идентифицирани всички облачни услуги, които работят без да са съгласувани с ИТ отдела.

При решаването на тази задача могат да бъдат приложени автоматизирани и ръчни методи, даващи възможност да се изясни, в кои отдели се използват облачни услуги и какви данни са се оказали у техните оператори.

След идентифицирането на “сенчестите” услуги трябва да се подготви списък, в който да се опишат услугите, които по някакви причини трябва да бъдат забранени или ограничени, както и тези които са одобрени и тези, които трябва да бъдат управлявани централизирано с цел да се минимизира риска.

В заключение казано накратко, прилагането на cloud технологии не освобождава потребителите от необходимостта да оценяват рисковете и да вземат решения във връзка с тяхната минимизация.

3 важни въпроса към вашия доставчик на облачни услуги:
 >> Данните при трансфер: криптирани ли са по подразбиране данните при прехвърлянето им към и от сървърите в облака?
>> Данните в покой: криптирани ли са по подразбиране данните във файлове, томове, ленти, които се съхраняват в сървърите, сторидж системите и хранилищата за архиви на доставчика на услуги от облака?
>> Опазване на данните: ако файловете и данните са криптирани и се получи искане за прилагането на закон за декриптиране на данни, тогава какво прави доставчика на услуги от облака?
Източник: CIO 3/2013

Внимание - приложения "зад кадър"!
През последната година бяха публикувани няколко аналитични доклада, отбелязващи все по-честото прилагане на ИТ услуги “в сянка”, в следствие на консумеризацията и свободния достъп до облачни услуги.
В края на 2013 г. например, компанията Frost & Sullivan проведе проучване сред 300 ИТ специалисти и 300 бизнес мениджъри, в което 80% от запитаните съобщиха, че използват SaaS приложения без знанието на ИТ отдела. Интересен (и все пак очакван) резултат от това проучване е, че ИТ специалистите, работещи с неодобрени облачни услуги се оказаха повече.
Анализаторите от Frost & Sullivan установиха още, че компаниите, участвали в проучването използват средно по 20 SaaS, а 35% от тях не са одобрени от ИТ отдела. “При мащабите, в които се ползват неодобрени приложения едва ли е уместно да се казва, че те са "в сянка". Те се ползват най-открито”, казват експертите от Frost & Sullivan в своя доклад.

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов