Главная » Блоги Экспертов И ИТ-Компаний » Облачный (IaaS/SaaS) сервис-провайдер и проблемы безопасности: три шага на пути предотвращения угроз

Облачный (IaaS/SaaS) сервис-провайдер и проблемы безопасности: три шага на пути предотвращения угроз

sss1

Перевод текста подготовлен по материалам сообщества CloudTech. Оригинал статьи можно посмотреть по ссылке.

Сегодня ИТ-компании всего мира сталкиваются с огромным количеством угроз в области безопасности, вне зависимости от используемой инфраструктуры — будь то традиционное окружение, инфраструктура NextGen или облачные технологии. Эксперты приводят весьма неутешительную статистику:

  • Ежедневно фиксируется около 400 000 новых вредоносных объектов.
  • Приобретают известность новые виды вредоносных программ, к ним можно отнести Ransomware, Scareware и многие другие, нацеленные в основном на банковский сектор.
  • Зачастую вектор атак направлен на публичные облака, инфраструктуру SaaS- и IaaS-провайдеров, мобильные устройства.
  • Увеличивается использование злоумышленниками так называемых ботнетов и других решений автоматизации атак.
  • Возрождаются давно забытые атаки типа Heartbleed, ShellShock и Poodle.
  • Вектор атак становится более масштабным, они влекут огромные финансовые потери. Страдают как небольшие, так и крупные, именитые компании (Sony, Target, E-bay).

Остается открытым вопрос: как сегодня облачный сервис-провайдер защищает себя и своих клиентов от всевозможных видов угроз и атак в пору использования инновационных технологий, решений удаленного доступа, а также постоянно растущих требований к производительности, масштабируемости, гибкости и эластичности?

Провайдеры облачных услуг должны помнить, что они являются потенциальной мишенью, и контролировать сетевой трафик, следить за активностью приложений, перемещением данных на всех уровнях облачной инфраструктуры, оказывая минимум воздействия на клиента. Согласитесь, в любом окружении — и физическом, и виртуальном — существует необходимость корректного функционирования как операционных систем, так и различных сервисов, приложений, при этом не исключена потребность в обеспечении сохранности критически важных типов данных.

Еще одним значимым аспектом является скорость реакции. Если сравнивать с традиционными ИТ-средами, в облачном окружении этот показатель куда более критичен.

Определение уровней инфраструктуры, требующих защиты

Первым шагом в реализации облачной безопасности является идентификация уровней окружения, нуждающихся в защите. Приведенная ниже схема иллюстрирует обобщенные уровни облачного окружения.

s1

Эти уровни в большинстве своем представляют собой многослойную составляющую, содержимое и компоненты которой на каждом из них отличаются друг от друга. При этом некоторые приведенные примеры свойственны только для облачных сред.

  • Гипервизор.
  • Виртуальная сеть.
  • Виртуальное хранилище.
  • Инструменты и автоматизация управления.
  • Компоненты SDN(программно конфигурируемая сеть).
  • Портал самообслуживания.

Выбор методологии защиты и инструментов

Следующий шаг сводится к определению методов защиты для каждого уровня. В качестве общей рекомендации советуем рассматривать экземпляр облака как некую зону безопасности, в которой определены границы безопасности с присутствующими там прокси и файрволами (как в виртуальных, так и в физических средах). После того как определены границы безопасности, стоит обратить внимание на методы, направленные на выполнение мониторинга, коррекцию подозрительной активности и защиту от вредоносных программ.

Важно отметить, что поставщик облачных услуг не может использовать инструменты или механизмы доступа к виртуальным машинам заказчика. Пример тому — защита от вредоносных программ. Такая защита на уровне гипервизора является крайне необходимой, но в действительности затрагивает виртуальные машины клиента, что нарушает границу между провайдером и заказчиком. В этом помогают инструменты или конфигурационные опции, перечисленные ниже.

s2


  • VIP: предоставление виртуальных IP-адресов позволяет разделять сети на внутренние и внешние.
  • SSL: обеспечивает шифрование HTTP-трафика.
  • Периметры безопасности (межсетевые экраны, средства балансировки нагрузки, прокси): определяют границы зон безопасности и позволяют управлять потоком трафика, проходящим между внутренними и внешними сетями. Межсетевые экраны, балансировщики нагрузки и прокси-серверы могут быть представлены в виде аппаратных или программных решений. Последние зачастую устанавливаются на виртуальные машины в облаке провайдера.
  • Виртуальные сервисы: «аплайнсы» безопасности или виртуальные машины, отвечающие за обновления, патчи и сервисы внутри зон безопасности.
  • Мониторинг сетевой активности / IDS: мониторинг проходящего трафика с целью обнаружения вторжений. В облачном окружении должны присутствовать специализированные инструменты, позволяющие анализировать сетевой трафик виртуальных машин.
  • Отслеживание изменений файлов: касается важных конфигурационных файлов управляемой инфраструктуры, включая уровень гипервизора.
  • Отслеживание логов и их анализ: централизованное отслеживание событий посредством лог-файлов (например, Syslog, журналы компонентов управляемого облака и т. д.) и анализ событий для оценки тенденций и обнаружения вредоносной активности.
  • Защита от вредоносных программ на уровне гипервизора: специализированное программное обеспечение (имеется достаточно большое количество на рынке) для обнаружения и удаления вредоносного ПО с гипервизора и физических устройств.

Разработка стратегии безопасности

Важнейшим аспектом работы любой среды, не только облачной, является постоянно развивающийся план поддержания безопасности инфраструктуры. Он включает в себя:

  • Регулярное обновление программного обеспечения (программное обеспечение вендоров, облачный гипервизор, компоненты систем безопасности — все это должно обновляться постоянно). Любые изменения необходимо фиксировать и анализировать, а все обновления применять должным образом.
  • Регулярное внесение исправлений: применение патчей и устранение ошибок.Этот пункт является высокоприоритетным для облачной среды.
  • Централизованная активность и мониторинг компонентов безопасности: наличие сплоченной команды специалистов, использование инструментов мониторинга, выполнение оценки существующей активности, применение алертов безопасности виртуального окружения. Все перечисленное позволяет быстро распознавать возникающую активность и в случае необходимости вносить корректировку.
  • Задачи по расписанию и проведение тестов на определение уязвимостей: необходимость всегда быть начеку. Инфраструктура, которая кажется надежной сегодня, может подвергнуться угрозам и атакам нового формата завтра. Поэтому регулярно выполняемые тесты на определение уязвимостей и тесты после примененных обновлений помогут минимизировать риски и сохранить инфраструктуру в безопасности.
  • Корректировка процедур управления и отслеживание изменений: одним из шагов определения «вредоносных» обновлений является отслеживание изменений и сравнение их с результатами сканирования измененных файлов. Такие процедуры могут помочь в общем разрешении проблем и исправлении положений безопасности.
  • Правильное управление средой в целом требует, чтобы процессы и процедуры, особенно касающиеся безопасности, регулярно пересматривались и корректировались, а в случае необходимости вносились изменения.

Выводы

Подводя итог всему вышесказанному, можно выделить три основных шага на пути предотвращения уязвимости безопасности в облачной среде:

  • Определение потенциально уязвимых уровней облачной инфраструктуры.
  • Выбор методик и инструментов мониторинга, управления и реализации защиты каждого уровня облачной инфраструктуры.
  • Разработка стратегии безопасности и формирование управляемой инфраструктуры с целью поддержания безопасной реализации облачного окружения.

При этом нужно помнить, что ни одна инфраструктура не может оставаться навсегда полностью защищенной. Целью любого облачного IaaSпровайдера должно быть достижение высокого уровня безопасности путем применения рассмотренных методов и внедрения новых стратегий. Вопрос безопасности не должен решаться однократно и одноразово, это регулярная работа, требующая идти в ногу с постоянно меняющейся тенденцией угроз.

Источник: http://iaas-blog.it-grad.ru/


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Санкт-Петербург
http://www.it-grad.ru, Директор по маркетингу
+7 (812) 386-00-99
Информационные технологии

Более 10 лет на рынке IaaS России и СНГ

«ИТ-ГРАД» – крупнейший облачный провайдер в России и СНГ по версии CNews Analytics. Облачные услуги предоставляются на базе собственного оборудования, размещённого в дата-центрах уровня TIER III в Москве, Санкт-Петербурге и Алматы (Казахстан). Помимо базовых сервисов (виртуальные дата-центры, гибридные облака и резервное копирование), крупным корпоративным клиентам доступны услуги по аренде виртуальной системы хранения данных NetApp, созданию виртуальных дата-центров для размещения сертифицированных систем по стандарту PCI DSS, хранению и обработке персональных данных в соответствии с требованиями законодательства, а также ряд востребованных SaaS, PaaS и DaaS-сервисов, включая решения для корпоративной разработки ПО.

В конце 2018 года состоялась сделка, в результате которой облачные активы компании «ИТ-ГРАД» перешли в собственность ПАО МТС. В январе 2019 года крупнейший телекоммуникационный оператор и провайдер цифровых услуг представил концепцию «Объединенного облачного провайдера», в структуру которого вошли бренды #CloudМТС, «ИТ-ГРАД», 1Cloud.




Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>