Обеспечение безопасности инфраструктуры IaaS

227

В этой статье вы убедитесь, что инфраструктура которую вы перенесете в облако будет защищена. Безопасность по сей день остается одним из важнейших критериев выбора облака для переноса инфраструктуры. Даже в случае выбора хорошего облачного сервиса, IaaS не освобождает Вас от рисков безопасности, которые могут возникать изнутри и за пределами организации. Экономия на этой является привлекательной моделью для бизнеса, но это может привести к очень дорогостоящим последствиям.

Даже в качестве облачной технологии IaaS по-прежнему уязвим для угроз, существующих в традиционной IT сфере, работая по модели, где клиентские приложения запускаются на виртуальном сервере который принадлежит провайдеру. Это означает, что ответственность за обеспечение безопасности операционной системы, приложений и баз данных по-прежнему лежит на клиенте.

Угрозы безопасности IaaS

Если IaaS провайдер недостаточно защищен, то он может стать настоящим сокровищем для хакеров, которые с легкостью будут пользоваться его вычислительными ресурсами, а возможно и данными. Неверные настройки сервиса, неправильные ключи доступа и украденные учетные данные являются общими векторами, который хакеры могут использовать в своих целях.

Распределенная атака типа “отказ обслуживания” - DDoS. DDoS - это кибер-атака, направленная на то, чтобы сделать те или иные ресурсы недоступными. Часто это происходит так: используется несколько машин, которые направлены на конкретный объект в вычислительной системе дабы прервать или вообще остановить выполнение каких либо функций/услуг. Это приводит к замедлению работ либо к полному отказу функционала.

Потеря данных. Хотя провайдеры постоянно находя новые способы для защиты своей инфраструктуры, все же возможно, что некоторые данные могут быть потеряна или их целостность будет нарушена. Подобные атаки обычно организованы веб-приложениями или выполняются при помощи настроенных разрешений. Потеря данных или их конфиденциальности также может произойти из-за неадекватного мониторинга и ответов на аппаратные сбои, а также воздействие на любую ненормальную активность среди пользователей.

Атака хранилища. Поставщики IaaS позволяют клиентам получать доступ к ресурсам хранилища с отдельными доменами, называемыми контейнерами или блоками, которые обычно обозначаются простым разграничением. Простое знание доменного имени от хранилище не дает доступа к контейнеру, но когда администратор забывает установить корректные права доступа, злоумышленники могут легко догадаться о файлах, которые находятся в папках с общепринятыми именами, такими как: “backup” , “logs” , “archive”, “database” и многие другие.

Сокращение рисков

Проблемы безопасности несколько отличаются в публичных и частных облачных средах, но обе модели могут быть защищены путем внедрения одних и тех же лучших практик в области безопасности.

Аутентификация и авторизация. Для эффективной политики предотвращения потери данных (DLP) требуются надежные процедуры проверки подлинности и авторизации. В дополнение к сильным паролям, по возможности, используйте двухфакторную или многофакторную аутентификацию, особенно для всех ресурсов, которые необходимо ограничить от любого стороннего доступа. Вы можете использовать политику на основе так называемых слоев - это дополнительная мера безопасности, которая ограничивает доступ к ресурсам в зависимости от уровня полномочий пользователя или степени критичности ресурсов.

Ключевой менеджмент. Клиенты должны знать, как их поставщики создают, управляют, обновляют и уничтожают ключи, а также должны знать о том как происходит поддержание и распространение каждого ключа. Предприятия с более крупной инфраструктурой также должны использовать решения для управления идентификацией и доступом (IAM) для создания и отслеживания различных групп доступа. Это обеспечит корректное хранение прав на учетные записи, а возможность утечки данных минимизирована.

Сквозное шифрование. Компании должны использовать сквозное шифрование для обеспечения того, чтобы данные на жестком диске и других контейнерах для хранения, а также другие файлы были зашифрованы, дабы предотвратить как автономные, так и онлайн атаки. Системные администраторы также должны убедиться в том, что связь с виртуальными машинами и хост-операционными системами в инфраструктуре IaaS зашифрована. Гомоморфное шифрование - относительно новый инструмент, который мы советуем изучить.

Надежная регистрация и отчетность. Комплексная система ведение журналов и отчетов помогает администраторам отслеживать информацию, такую как доступ к данным, какие машины используются и где они хранятся. Такой системный подход играет важную роль в случае нарушения безопасности для более эффективного реагирования на инциденты.

Вывод: обмен ответственностью между поставщиком и клиентом для обеспечения безопасности инфраструктуры IaaS - это отличная практика.

К списку публикаций