Безопасность облачной сети — это область кибербезопасности, которая фокусируется на минимизации вероятности доступа, манипулирования или уничтожения данных злоумышленниками в общедоступной или частной облачной среде. Хотя защита облачных сетей имеет те же принципы, что и защита локальных сетей, уникальные аспекты облачных сред требуют использования других тактик.
Почему важна безопасность облачной сети?
Безопасность облачной сети важна, поскольку конфиденциальная информация перемещается в облако, где она более уязвима. Эту информацию необходимо защищать, но с появлением облака возникают новые проблемы, которые могут усложнить безопасность.
Каковы проблемы безопасности облачной сети?
Проблемы безопасности облачных сетей сильно связаны с тем, что делает внедрение облака таким эффективным. Прежде всего, развертывать новые активы в облачной сети очень просто.
В локальной сети ИТ-команды и специалисты по безопасности имеют обзор новой инфраструктуры. Расширение сети происходит медленно и сложно, но оно осуществляется с уверенностью, что новая инфраструктура будет настроена экспертами по безопасности.
В облачной сети новая инфраструктура может быть мгновенно добавлена любым человеком или системой с соответствующими правами доступа без прямого участия ИТ-специалистов или групп безопасности. Это значительно упрощает расширение сети, но также увеличивает риск того, что новая инфраструктура не настроена для обеспечения безопасности и, следовательно, будет иметь уязвимости.
Еще одна уникальная проблема сетевой безопасности в облачных вычислениях — скорость изменений в облачных средах. При использовании таких технологий, как автоматическое масштабирование и бессерверные вычисления, ресурсы постоянно появляются, а затем исчезают в облачной сети.
Традиционных мер безопасности, таких как сканирование уязвимостей, больше недостаточно, поскольку уязвимый актив может существовать всего несколько минут. Тем не менее, это дает злоумышленникам более чем достаточно времени, чтобы найти и использовать его, но недостаточно времени, чтобы его можно было обнаружить при еженедельном или даже ежедневном сканировании.
Простота развертывания и высокая скорость изменений значительно усложняют службам безопасности обеспечение полного обзора облачной среды. В гибридных средах (ИТ-средах, объединяющих локальные и облачные сети) эта ситуация ухудшается, поскольку разнообразные данные хранятся в разных системах и защищаются разными инструментами безопасности.
В таких средах команде безопасности приходится переключаться между различными системами для реализации мер безопасности. Отсутствие унифицированных данных затрудняет или даже делает невозможным получение точного представления об общем состоянии безопасности организации или отслеживание злоумышленника, перемещающегося между облаком и локальными сетями.
И последнее, но не менее важное: владелец сети вместе с поставщиком общедоступных облаков, например AWS или Azure, несет ответственность за безопасность сети вместе с поставщиком. Хотя детали этой модели совместной ответственности различаются в зависимости от поставщика, обычно поставщики сами несут ответственность за безопасность облака. Например, за физическую безопасность дата-центров, обслуживание и обновление оборудования и т. д. Владелец сети, в свою очередь, несет ответственность за безопасность всего, что он помещает в эту облачную среду.
Многие пользователи обеспокоены такой потерей контроля над безопасностью оборудования и центров обработки данных, но признанные поставщики общедоступных облачных услуг, такие как Amazon, Microsoft и Google, имеют достаточные ресурсы, например, для физической защиты.
Реальный риск этой модели совместной ответственности заключается в путанице, которую она может создать внутри организации. Немало инцидентов безопасности произошло потому, что люди ошибочно полагали, что им не нужно беспокоиться о безопасности облака, поскольку оно позаботится обо всем.
Стратегии минимизации рисков в безопасности облачных сетей
Благодаря внедрению DevSecOps и обучению сотрудников безопасному использованию облачной сети определение основы безопасности облачной среды является наиболее эффективным способом минимизировать риски в облачной сети. В идеале фундамент или базовые показатели должны быть созданы до того, как компания выпустит облачную сеть в эксплуатацию, но даже установка ее постфактум может оказаться полезной.
Этот базовый уровень определяет, как должна выглядеть облачная сеть с точки зрения безопасности. Цель состоит в том, чтобы все — сотрудники службы безопасности, ИТ, инженеры, DevOps и т. д. — знали, что делать, чтобы обеспечить безопасную работу сети в течение долгого времени. Четко определенный базовый уровень может помочь решить ряд проблем облачных сетей, включая простоту развертывания, быстрые изменения и общую ответственность.
Существуют некоторые передовые методы обеспечения безопасности облачной сети, которые организации могут применить для установления этого базового уровня. Во-первых, базовый план должен определить архитектуру облачной среды и указать, как следует настроить каждый актив.
Также необходимо определить, кто имеет доступ на чтение или запись к отдельным частям среды. Для определения базового уровня рекомендуется использовать такие руководства, как AWS Well-Architected Framework.
Убедитесь, что базовые показатели применимы к предпроизводственной и тестовой средам. Во многих случаях эти среды служили точками входа в атаку. Убедитесь, что базовый план включает в себя рекомендации и средства контроля для целей тестирования, например, какие рабочие базы данных можно использовать для тестирования или дублировать (если применимо).
Базовый уровень также должен содержать план реагирования на инциденты и четко определять, кто в компании за какие аспекты облачной безопасности несет постоянную ответственность. Кроме того, он должен постоянно пересматриваться и регулярно обновляться, чтобы быть готовым к новым угрозам и новым передовым практикам.
После создания или обновления базового уровня его необходимо распространить среди всех, кто использует облачную сеть. Кроме того, группа безопасности должна работать с DevOps и реализовывать способы обеспечения соблюдения базовых показателей.
Это включает в себя настройку шаблонов облачной инфраструктуры (где инфраструктура выступает в качестве кодового решения от облачного провайдера или поставщика), чтобы все было настроено правильно.
Сюда также входит реализация непрерывного мониторинга для обнаружения случаев, когда элемент устарел или был изменен после развертывания и больше не соответствует базовому состоянию. Шаблоны виртуальных машин должны включать встроенный агент, обеспечивающий непрерывный мониторинг и обнаружение уязвимостей с момента развертывания.
Минимизируйте риски в гибридной или мультиоблачной среде
Когда дело доходит до проблем с видимостью в облачных сетях, командам безопасности следует начать с обеспечения (по крайней мере) доступа только для чтения ко всем облачным учетным записям компании. Организациям, стремящимся обеспечить безопасность и поддержание прозрачности в гибридной или мультиоблачной среде, рекомендуется поручить одной команде надзор за всеми частями всей ИТ-среды.
Наличие одной команды, отвечающей за локальную безопасность, а другой — за облачную безопасность, часто создает разрозненность, слепые зоны и трудности с отслеживанием злоумышленников, перемещающихся между сетями.
Команды, управляющие безопасностью в гибридных или мультиоблачных средах, также должны пересмотреть используемые ими инструменты. Многие устаревшие решения безопасности не были оптимизированы для поддержки облачных сетей.
Это приводит к тому, что команды используют разные инструменты для защиты своих локальных и облачных сред. Вместо этого команде следует выбрать инструменты, которые позволят ей централизованно управлять безопасностью всей ИТ-среды компании.
Большинству команд выгодны такие инструменты:
Решение по управлению уязвимостями
Это решение может непрерывно отслеживать и обнаруживать уязвимости в облачных сетях и распространять эту возможность на локальные сети, контейнеры и удаленные конечные точки. Решение также должно быть способно немедленно обнаруживать неправильно настроенные облачные ресурсы.
Современное решение SIEM или решение для обнаружения и реагирования на угрозы
Данное решение может объединять данные из всех облачных и локальных сетей/систем компании. Решение также должно автоматически обнаруживать угрозы и помогать команде безопасности немедленно реагировать на инцидент с помощью таких функций, как визуальная временная шкала инцидентов и автоматический карантин потенциально скомпрометированных учетных записей/активов.
Роль автоматизации в безопасности облачных сетей
Командам безопасности также следует рассмотреть возможность использования инструмента автоматизации безопасности, который поможет им защитить облачные сети. Автоматизация может помочь команде идти в ногу с быстрыми изменениями в облачных сетях, улучшить видимость за счет обмена данными между системами, работать более эффективно за счет исключения бессмысленных рабочих шагов и минимизировать ущерб от инцидента за счет немедленного реагирования на обнаруженные угрозы.
Один из способов использования автоматизации — автоматизировать развертывание шаблонов облачной инфраструктуры (из вашей базовой линии безопасности) с помощью надежных инструментов. Это может упростить создание сложной архитектуры и снизить вероятность человеческой ошибки. Еще одно применение автоматизации — развертывание решения для оркестровки, автоматизации и реагирования безопасности (SOAR).
Такой инструмент позволяет команде легко обмениваться данными между системами, не тратя время на интеграцию через API. Решение SOAR может даже автоматизировать многие ручные процессы, которые являются частью повседневной жизни аналитика безопасности или требуют расследование проблемы.
Например, группа безопасности может построить рабочие процессы в инструменте SOAR, которые автоматически исследуют подозрительные фишинговые электронные письма, помещают вредоносное ПО в карантин сразу после его обнаружения, назначают или останавливают пользователей, ускоряют процесс установки исправлений и многое другое.
Принцип сдвига влево для веб-приложений в облачных сетях
В дополнение ко всему, что мы уже рассмотрели, существует ряд других передовых методов для компаний, желающих разрабатывать и развертывать веб-приложения в своей облачной сети. Этим компаниям следует смотреть вперед и как можно раньше интегрировать безопасность в свой цикл разработки программного обеспечения (SDLC). Другими словами, проблемы безопасности следует оценивать в рамках предварительного тестирования кода и рассматривать как любую другую ошибку.
Это не только гарантирует, что реализованный код не содержит уязвимостей безопасности, но и выявляет уязвимости во время тестирования, давая разработчикам возможность узнать, какие уязвимости существуют в коде и как их избежать в будущем. Типы современных веб-приложений, развернутых в настоящее время в облачных сетях, как правило, довольно сложны. Поэтому компании, которые ищут способы тестирования приложений такого типа, должны убедиться, что рассматриваемые ими решения SAST, DAST или IAST могут обрабатывать кодовую базу их приложений.
Лучший способ определить это — протестировать инструмент в течение бесплатного пробного периода. Хотя это касается не только облачных сетей, стоит отметить, что организациям, развертывающим веб-приложения, следует также рассмотреть дополнительные меры защиты, такие как брандмауэр веб-приложений (WAF). Защита безопасности приложений во время выполнения (RASP) также полезна для реагирования на живую атаку, которой удается обойти WAF.
Компания Mainton - разработка и тестирование программного обеспечения под заказ, DevOps и SRE, SEO и реклама в интернете с 2004 года.