Облако под защитой: основные уязвимости

Поделиться в vk
Поделиться в telegram
Поделиться в whatsapp
Любой хостинг так или иначе использует облачную инфраструктуру: даже если компания напрямую управляет собственными серверами в стойке дата-центра. Но помимо традиционных угроз безопасности существует также отдельная группа уязвимостей облачной инфраструктуры. На основе собственного опыта внедрения облачных технологий хостинг компания ArtofClouds подготовила обзор таких уязвимостей и базовых рекомендаций по их устранению.   Мы выделяем шесть основных видов угроз, специфичных именно для облачных серверов и приложений. Чтобы их нивелировать достаточно следовать простым советам и рекомендациям, а также включить описанные ниже принципы в политику безопасности. 

Охота за конфиденциальными данными

Первая угроза связана с возможными нарушениями конфиденциальности данных, которые могут быть украдены и/или опубликованы злоумышленниками. Специфика облачных решений заключается в наличии большого числа распределенных сервисов и общих ресурсов, а значит у возможной атаки может быть большое число направлений, ее общая поверхность велика. 

Кроме того, облачные сервисы часто становятся целями злоумышленников из-за огромного количества хранимых данных (в том числе – чувствительных и конфиденциальных). Также, нужно учитывать, что клиентские соглашения предполагают разделение ответственности, при котором провайдер услуг отвечает только за доступность и работоспособность сетевой инфраструктуры, а все проблемы безопасности в полной мере ложатся на плечи клиента. Список причин нарушения конфиденциальности очень широк — от преднамеренной атаки и уязвимостях в приложениях, до человеческой ошибки и полного отсутствия каких-либо мер безопасности. 

Первый шаг в предотвращении подобных угроз — создание внутреннего слоя защиты непосредственно вокруг запущенных сервисов и внедрение принципа наименьших привилегий, явной установки разрешений и параметров. Разумеется, это не панацея, поэтому наличие выверенного плана реагирования на инциденты будет явным преимуществом, равно как и заранее внедренные сервисы мониторинга и журналирования. Кардинальная мера — использование шифрования для чувствительных и связанных с ними данных, но в этом случае платой за безопасность будет значительное снижение производительности. 

Ошибки конфигурирования и отсутствие контроля

В подавляющем большинстве случаев клиенты облачных сервисов сами оставляют “открытые двери” для злоумышленников. 9 из 10 успешных атак связаны с ошибками конфигурирования или полным отсутствием даже минимальной защиты. 

 

Специфика именно облачных решений и самые частые ошибки:

  1. Общедоступные сервера и дисковые хранилища с не лимитированным доступом.
  2. Полное отсутствие или неправильно настроенная защита резервных копий.
  3. Незащищенные базы данных, либо передача параметров доступа к ним в незашифрованном виде.

 

Рекомендации по устранению

  1. Необходим единый центр управление для всех используемых сервисов и ресурсов в облаке, а также стратегия управления.
  2. Обязательное использование шифрования подключений и конфиденциальных данных.
  3. Журналирование изменений конфигурации. 

Проблемы архитектуры системы безопасности и используемой стратегии защиты

При всех достоинствах облачных решений, создание архитектуры системы безопасности и выработка стратегии управления для них — заведомо более сложный процесс. Требуется изучение новых технологий и внедрение новых инструментов, что выражается в повышенных требованиях к квалификации персонала для эффективного использования имеющихся возможностей защиты. Кроме того, отсутствие (и невозможность создания) эталонной технической документации усложняет процесс и без того требующий учета максимально возможного числа индивидуальных особенностей инфраструктуры. 

Недостаточное разделение прав и низкий уровень защиты идентификации

Сложность архитектуры безопасности облачных решений  часто приводит к нарушениям из-за ошибок при настройке разграничения доступа. Часто именно ключи безопасности становятся первоначальной целью злоумышленников, а если права для пользователей настроены неправильно, то злоумышленник легко получит доступ к ресурсам и данным. Специфика облачных решений делает возможной не только доступ к конфиденциальной информации, но и подмену используемого ПО на вредоносное. 

 

Чтобы снизить уровень угрозы желательно использовать временные ключи вместо постоянных и не вставлять их непосредственно в код разрабатываемых приложений. Для наиболее критичных задач необходимо использование двухфакторной авторизации.

Взлом аккаунтов

Недостатки настройки идентификации приводят к взлому аккаунтов с обширными правами, что часто ведет к взлому всей инфраструктуры. В облаке под угрозой оказываются не только данные пользователей, но и учетные записи облачных сервисов и приложений. Итог взлома – не только потеря данных, но и вероятные компрометирующие или нежелательные операции, вплоть до уничтожения критически важной информации (баз данных, например). 

 

Меры противодействия:

 

  • строгое разделение прав на учетных записях. Например, та, которая имеет права на создание резервных копий не имеет права их удалять;
  • использование надежных методов авторизации; 
  • ограничение IP-адресов. имеющих доступ к приложениям или настройке их компонентов;
  • создание автономных бэкапов для критически важных данных и приложений.

 

В результате даже взлом одного аккаунта не приведет к критическому повреждению облачной инфраструктуры, а устранение последствий окажется на порядок проще. 

Внутренние угрозы 

Деятельность инсайдеров (внутри компании) может нанести не меньший ущерб, чем внешняя атака. Нивелирование данных угроз также лежит в плоскости тонкой настройки прав доступа к различным приложениям и информации. В конечном итоге, указанная уязвимость может быть устранена только при наличии выстроенной архитектуры системы безопасности и подготовки подробной схемы бизнес-процессов от авторизации до сохранения любой информации в облако. 

Подпишитесь на нашу рассылку

Подпишитесь чтобы не пропустить ни одной статьи от нас!

Поделитесь этим постом с друзьями

Поделиться в odnoklassniki
Поделиться в email
Поделиться в telegram
Поделиться в whatsapp

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

ТОП