Облачный хостинг и защита данных

caa0b6e14fd3576dc9793d1cc0f33965

За последние годы тема информационной безопасности перестала быть уделом специалистов и отныне интересует практически всех.

После громких разоблачений Сноудена пользователи различных онлайн-сервисов начали думать о безопасности своей информации. Теперь компании, которые такую безопасность не обеспечивают, вполне могут столкнуться с большими финансовыми и имиджевыми потерями в случае атаки хакеров. Учетные данные пользователей часто похищают через разные сторонние сервисы, однако даже в этой ситуации на фирму падает тень, ее клиенты остаются очень недовольными.

caa0b6e14fd3576dc9793d1cc0f33965 800x542 Облачный хостинг и защита данных

Облачный хостинг в Европе и безопасность данных

Причем далеко не все создатели новых веб-проектов уделяют защите информации должное внимание (в итоге возникают скандалы, типа ситуации с анонимной программой Whisper, данные пользователей которой оказалась не такой анонимной, как предполагалось).

Главный евангелист по безопасности компании Alert Logic, Стивен Коти, написал материал, как стартапам подходить к организации их информационной безопасности при применении облачных сервисов.

Рассказ Стивена Коти

Когда я создавал свой собственный бизнес в сфере разработки и безопасности, у меня были большие планы, а также маленький стартовый капитал. Я начал работать над нужной инфраструктурой и площадками для разработки и быстро осознал реальную цену создания бизнеса. Это было еще на заре 2000-х, облачный хостинг был еще недоступен. Если ты работал с чем-либо, то платил по полной стоимости.

Кроме того, что мне нужно было нанимать сотрудников, работать по проекту, разбираться в финансовых вопросах, продавать, быть маркетологом, я был вынужден также создавать инфраструктуру, которая была просто необходима моей команде для нормальной работы.

В том случае если вы создаете какой-то стартап в облаке, у вас, наверное, есть собственный перечень очень важных бизнес-задач. Облачные услуги довольно разнообразны. Начать ими пользоваться можно в виде «самообслуживания» – это все упрощает выполнение многих дел. Однако даже в таком случае безопасность часто уходит на второй план.

Правда, важно понимать то, что облако – это продолжение ваших бизнес-сетей. Независимо от того, знаете вы о существовании каких-то из них или же нет. Дыра в безопасности не просто подвергает риску ваши внутренние сети, она может угрожать данным клиентов.

Угрозы безопасности в сегодняшних публичных облаках

Хотя применение публичного облака сопряжено с существенными финансовыми выгодами, оно обладает собственным набором угроз. На протяжении нескольких последних лет наблюдается рост частоты атак публичного облака, разнообразия применяемого для этого вредоносного программного обеспечения.

С увеличением инцидентов, которые связаны с отслеживанием уязвимостей и атаками при помощи грубой силы, становится крайне важно сформировать понимание видов угроз, характерных именно для облака. За счет этого вы сможете создать полноценную всестороннюю стратегию безопасности для того, чтобы защитить систему от атак хакеров.

Модель разграничения обязанностей по обеспечению безопасности

Ключ к обеспечению безопасности в любом публичном облаке – это понимание существования специальной модели разделения обязанностей по обеспечению полной безопасности между клиентом и провайдером услуг. Без такого понимания вы будете пребывать в заблуждении касательно того, что провайдер защищает вас, тогда как ответственность за конкретные функции безопасности в действительности будет лежать на вас.

К примеру, ваш сервис-провайдер ответственность несет за 100% основополагающих услуг. Сюда входят: вычислительные мощности, базы данных, хранение данных, сетевые услуги. Ваш сервис-провайдер на уровне сетей несет ответственность за сегментирование сетей, защиту от атак DDOS, услуги защиты периметра.

Однако вы, как конечный пользователь, несете полную ответственность за обнаружение любых угроз сети, своевременное оповещение о них сервис-провайдера, а также любых иных инцидентах, связанных с безопасностью. На уровне хоста вы полностью ответственны за управление обновлениями, доступом, мониторинг и укрепление систем безопасности, а также анализ лог-файлов.

Элементы вашего веб-приложения – полностью ваша ответственность. Для того, чтобы понять разграничение ответственности между вашим провайдером и вами, смотрите на график:

c3e61ccd591c832aea20e6a02010b2bc Облачный хостинг и защита данных

Понимание роли вашего облачного провайдера и вашей роли не только поможет принять самое адекватное решение касательно облачной инфраструктуры. Благодаря ему ваша специальная стратегия кибербезопасности будет экономично и эффективно защищать вашу информацию от угроз в облаке.

Действенные практики обеспечения полной безопасности и облачный хостинг в Украине

Обеспечьте полную безопасность вашего кода

Безопасность кода – это абсолютно ваша ответственность. Убедитесь в том, что безопасность – это часть вашего жизненного цикла создания программного обеспечения. Для этого сформулируйте перечень задач вроде этого:

  • Убедитесь в том, что ваш код регулярно обновляется, что вы применяете последние версии расширений.
  • Применяйте программный контроль за скоростью осуществления операций для того, чтобы не стать жертвой какого-то ботнета.
  • Применяйте шифрование везде, где можно.
  • Обязательно тестируйте все решения и библиотеки, где задействованы какие-то сторонние разработки.
  • Будьте в курсе разнообразных уязвимостей тех продуктов, которыми вы пользуетесь.
  • Регулярно проверяйте код после добавления любых обновлений.

Создайте специальные политики управления доступом

В первую очередь, определите, что именно входит в ваши активы. Когда вы составите свой перечень, определите обязанности и роли, которые необходимы для доступа к активам. Кроме того, централизуйте по возможности аутентификацию. Для внедрения аутентификации можно начать с модели назначения привилегий.

Применяйте методику управления обновлениями

Сформулируйте перечень важных процедур:

  • Составьте список своих ресурсов.
  • Разработайте по возможности план по их стандартизации.
  • Выполните исследование на предмет любых уязвимостей, которые могут на вас оказать влияние. Классифицируйте все риски на основе видов уязвимостей, а также вероятности их появления.
  • По возможности также тестируйте все обновления до их релиза.
  • Установите специальное расписание регулярных обновлений, не забудьте в него включить сторонние продукты, требующие установки обновлений в ручном режиме.

Управление логами

На сегодняшний день логи оказываются полезными не только лишь для контроля различных расходов, они становятся надежным средством обеспечения безопасности. Вы можете применять информацию из лог-файлов для отслеживания любой вредоносной активности, для выполнения расследований. Суть процесса превращения обычных логов в эффективное средство обеспечения безопасности заключается в регулярном мониторинге, который нужен для поиска любого необычного поведения.

Создайте свой собственный набор инструментов для обеспечения полной безопасности. Вы должны к облаку относиться как к бизнес-сети. Вам необходимо внедрить полноценную стратегию обеспечения нормальной безопасности, которая бы охватывала все зоны вашей ответственности.

Применяйте файерволы веб-приложений, IP-таблицы, антивирус, шифрование, управление логами, систему обнаружения вторжений. Изучайте новые способы обеспечения безопасности. Убедитесь, что решения, которые вы применяете, для вашего бизнеса являются оптимальными.

Знайте кто ваш сервис-провайдер

Выясните, как распределяется вся ответственность за безопасность между провайдером и вами. Узнайте, что провайдер может предложить относительно обеспечения вашей безопасности. Кроме того, следует регулярно тестировать систему для того, чтобы убедиться в поддержании нормального уровня защищенности.


Поделитесь с друзьями



Оставить комментарий

apteka mujchine for man ukonkemerovo woditely driver.