- Введение
- Шифрование силами провайдера
- Риски утечки: операционный фактор
- Функциональные возможности: можно ли верить рекламе
- Объем памяти в Сети
- 2. Google Диск
- Зачем нужны наложенные средства информационной безопасности в облаке
- Может ли облачное хранилище выйти из строя?
- Как выглядят облачные атаки?
- Шифрование на сервере — вопрос доверия
- С какими облаками вендорам легче работать
- Как делится ответственность между облачным провайдером, заказчиком и вендором
- Что умеют наложенные средства облачной безопасности
- Возможно ли лицензирование наложенных ИБ-средств для облаков по модели «pay-as-you-go»
- Существуют ли безопасные облака?
- Что эффективнее — наложенные или встроенные средства защиты облачных систем
- Вопросы и ответы о безопасных облачных хранилищах
- Важно ли, в какой стране работает сервис?
- Играет ли роль страна, где непосредственно хранятся данные.
- Как лучше всего защитить данные в надёжном облачном хранилище?
- Данные в процессе передачи
- Данные при хранении
- Кто хранит ключи от ваших данных?
- Зачем платить, если существуют бесплатные облачные хранилища?
- Следует ли использовать VPN при работе с облачным хранилищем?
- По каким параметрам можно признать облачные хранилища безопасными?
- Риски утечки: недобросовестность подрядчиков
- Особенности российского рынка защиты облачных сервисов
- Какие механизмы защиты облака наиболее востребованны у заказчиков
Введение
Аналитический центр Anti-Malware.ru продолжает серию онлайн-конференций AM Live, посвященную наиболее актуальным аспектам информационной безопасности. Мы приглашаем ведущих специалистов в нашу студию для подробного и углубленного разговора в прямом эфире, вникая в ту или иную тему с разных точек зрения.
Следующий выпуск конференции был посвящен оверлейным средствам безопасности в облачных средах. Вместе с докладчиками мы поняли, почему для облака необходимо больше решений по информационной безопасности, почему они лучше (или хуже), чем интегрированные инструменты безопасности, какие функции этих систем наиболее востребованы клиентами. Отдельный блок вопросов был посвящен особенностям российского рынка средств защиты облачных оверлеев. Поскольку сфера информационной безопасности в нашей стране активно регулируется государственными органами, мы не могли не затронуть вопрос сертификации, тем более что на вопросы докладчика ответили представители отечественных и зарубежных поставщиков.
В исследовании Anti-Malware.ru он собрал:
- Михаил Кондрашин, технический директор Trend Micro в СНГ, Грузии и Монголии.
- Павел Коростелев, руководитель отдела продвижения продукции компании «Код безопасности».
- Валерий Денисов, инженер по безопасности Check Point.
Модератором беседы выступил Алексей Лукацкий, бизнес-консультант Cisco по безопасности.
Со стороны потенциальных заказчиков систем защиты информации, навязываемых в облаке, зрители прямой трансляции вмешивались и принимали участие в различных опросах, интегрируя темы, обсуждаемые экспертами. Предлагаем вашему вниманию ключевые тезисы прошедшей конференции.
Шифрование силами провайдера
Первый подход — делегировать функцию шифрования поставщику облачных услуг. И это доступно. Просто установите приложение-провайдер для синхронизации данных. Никакого стороннего программного обеспечения не требуется.
Тем, кто заботится о безопасности, лучше обратить внимание на облачное хранилище, основанное на принципе «шифрования с нулевым разглашением». Иногда его называют «шифрованием на стороне клиента», шифрованием на стороне клиента. Как сквозное шифрование в коммуникациях. Ни у кого, кроме вас, нет ключей шифрования. У облачного провайдера нет доступа к вашим файлам.
Но есть и недостатки. В частности, вам нужно будет доверять своему облачному провайдеру, что шифрование реализовано упорядоченно, без уязвимостей и «ошибок».
Риски утечки: операционный фактор
логично предположить, что при переносе коммуникаций на облачную платформу риски потери персональных данных возрастают, поскольку в процесс вовлечены как минимум два других участника: провайдер и центр обработки данных.
Однако это не совсем так. Матвей Войтов уверяет: «При продуманных организационных и технических мероприятиях, а также при наличии надежного поставщика, обеспечивающего безопасные облачные сегменты и использующего специализированные инструменты защиты облака, риски любых потерь минимальны».
Кроме того, Войтов видит повышенную ответственность всех поставщиков облачных услуг и платформ за целостность, защиту и доступ к этим данным. По его словам, для прохождения проверок Роскомнадзора необходимо хранить персональные данные в сегментах, защищенных только сертифицированными средствами защиты. Это становится все более простым процессом — многие поставщики облачной инфраструктуры уже предоставляют эти сегменты и свои консультации как услугу.
Что касается опасений, связанных с мультитенантным подходом, когда одним экземпляром приложения обслуживаются разные клиенты, эксперт не видит причин: «Несколько лет назад даже у лидеров рынка были эпизоды нарушения изоляции и доступа к данным, которые породили подозрительное отношение к мультиарендности, но сейчас такие случаи редки».
Функциональные возможности: можно ли верить рекламе
Производители, конечно же, знают, что пользователи ценят безопасность и должны соответствовать их требованиям. Беглый взгляд на предложения создает впечатление, что облачные сервисы используют самые высокие стандарты безопасности и что поставщики прилагают все усилия для защиты данных своих клиентов.
Однако при внимательном чтении становится ясно, что это не совсем так и стандарты не всегда новы. Поставщики услуг не исчерпывают полностью возможности безопасного хранения данных, а «высокая безопасность», «защита SSL» или «безопасное шифрование» — не более чем лозунги, чтобы воспользоваться тем фактом, что большинство клиентов не имеют специальных знаний по вопросам безопасности.
Объем памяти в Сети
Сервисы облачного хранения привлекают клиентов бесплатными предложениями. За отдельную плату можно увеличить объем.
2. Google Диск
Очевидным преимуществом Google Диска является его интеграция с удобными инструментами для совместной работы с документами, которыми вы можете поделиться. Есть три способа доступа: доступный только по приглашению, доступный для всех, у кого есть соединение, и доступный для всего Интернета.
Напомним, что в 2018 году режим доступа к файлу по ссылкам сыграл злую шутку с Google. Яндекс пошутил, проиндексировав таким образом все документы Google. В результате многие тысячи пользовательских файлов стали доступны бесплатно, включая списки доступа по паролю и даже сводную таблицу с информацией о проститутках в Санкт-Петербурге. Гугл быстро устранил проблему, но остаток остался. Поэтому, несмотря на все достоинства, пока нет первого места.
Google использует стандартный протокол SSL для защиты своих сервисов. Есть двухфакторная аутентификация. Какой будет второй этап, который Google предлагает на выбор: обычное SMS, специальное уведомление или электронный ключ.
Аутентификация с физическим ключом используется как часть дополнительной программы безопасности. Google предлагает его журналистам, бизнесменам, писателям, политикам, всем, чья информация представляет наибольший интерес.
Участие в программе бесплатное, но необходимо приобрести два физических ключа. Один из них работает без проводов. Оба будут стоить около 50 долларов.
Зачем нужны наложенные средства информационной безопасности в облаке
Мы решили начать с одного из основных вопросов, которые задают себе бизнес-пользователи облачных сервисов: зачем использовать сторонние решения по информационной безопасности, если большинство провайдеров предлагают свои собственные инструменты безопасности? Вам нужна дополнительная защита для клиента, использующего облачную инфраструктуру AWS, Azure, Google Cloud или Яндекс.Облака? Как облачные провайдеры борются с готовой безопасностью?
Валерий Денисов считает, что инструменты безопасности, интегрированные в облачные сервисы, очень часто реализуют только базовый уровень защиты. Разработчики специализированных систем защиты информации могут предложить более высокую степень защиты, чем услуги «по умолчанию».
Павел Коростелев выразил мнение, что через три-четыре года комплексной защиты облачных сервисов будет достаточно для обеспечения безопасной работы. Однако с развитием мультиоблачного подхода, когда компания может использовать сервисы от разных поставщиков, а также собственную облачную среду, потребность в едином решении для управления политиками безопасности возрастает. Для этого может потребоваться наложение наличных денег.
Михаил Кондрашин отметил, что заказчики выбирают средства безопасности, исходя из действий, решаемых системами, развернутыми в облаке. Для некоторых из них может быть достаточным базовый уровень защиты, обеспечиваемый интегрированными услугами, для других потребуются более продвинутые системы от специализированных поставщиков.
По мнению экспертов, наибольшее количество инцидентов в облачных средах совершают пользователи. Изменение ландшафта угроз создает необходимость использования дополнительных решений, которые позволяют контролировать, например, правильную конфигурацию прав доступа в нескольких средах одновременно. При этом важен масштаб задач, решаемых с помощью облачных систем: чем больше виртуальных машин у заказчика, чем больше сервисов он использует и чем больше учетных записей создает, тем острее становится потребность в усиленной защите.
Другая возможная проблема — фрагментация интегрированных средств безопасности, решающих различные проблемы в рамках единой службы. Внешняя система поможет правильно настроить все компоненты средств облачной безопасности, а перенос инфраструктуры на другой сервис ускорит процесс настройки, так как специалисты по информационной безопасности останутся в прежнем интерфейсе.
Три критерия необходимости дублирования инструментов облачной безопасности:
- работать в мультиоблачной среде,
- высокая критическая важность облачных нагрузок,
- зрелость бизнеса (уровень проникновения облачных технологий в бизнес-процессы организации).
Еще один вопрос, на который нет однозначного ответа: можно ли доверять инструментам безопасности облачного оверлея? Поскольку вся инфраструктура, используемая заказчиком в облачной службе, контролируется ее разработчиками, возникает вопрос: какие данные используются сторонними системами защиты информации и передает ли поставщик достаточно точные данные телеметрии? Если вы предположите, что встроенная система безопасности получает больше данных, чем передает в API, разработка оверлеев оказывается в невыгодном положении. Еще одна проблема во взаимоотношениях между поставщиком и поставщиком — это регулярное изменение спецификаций API.
Может ли облачное хранилище выйти из строя?
Пользователи все больше обеспокоены тем, что облачное хранилище может быть не самой безопасной услугой, и что вам следует искать?
Рассмотрим преимущества облачного хранилища.
- Обнаружение вторжений — если бы ваше облачное хранилище не обеспечивало его, возникли бы серьезные проблемы. Система позволяет вам определить, когда кто-то пытается взломать ваши данные и потенциальные облачные атаки. Если система имеет разные уровни «облачной» безопасности, они могут даже предотвратить проникновение злоумышленников, вышедших за пределы первого уровня.
- Расширенные брандмауэры — ограничьте доступ к облаку тем, у кого нет разрешения.
- Журнал событий — предназначен для регистрации сетевой активности и помощи аналитикам в понимании угроз.
- Шифрование — зашифрованные данные недоступны никому, кроме владельца. Шифрование шифрует данные, поэтому, даже если они попадут в чужие руки, информация не может быть прочитана без секретного ключа.
Видео: безопасно ли хранить данные в облаке?
Как выглядят облачные атаки?
Существует множество различных типов облачных атак, которые действуют различными злонамеренными способами.
- Атака изнутри происходит, когда пользователь намеренно нарушает политику безопасности службы изнутри, часто самим системным администратором.
- Взлом учетной записи: киберпреступники могут использовать фишинг или шпионское ПО для доступа к учетным записям пользователей и кражи конфиденциальной информации.
- APT-атаки — это атаки, которые позволяют хакерам постоянно красть данные, не будучи обнаруженными пользователями.
- Spectre и Meltdown — это недавно обнаруженные новые кибератаки. Используя вредоносный код JavaScript, злоумышленники могут расшифровать конфиденциальные данные. Они могут поставить под угрозу безопасность между приложением и операционной системой, что позволяет им читать данные из ядра.
Шифрование на сервере — вопрос доверия
Помимо безопасной передачи, еще одной стандартной функцией является шифрование данных на сервере провайдера. Amazon и Microsoft, увы, являются исключением из правил, поскольку не шифруют данные. Apple использует AES 128, другие используют более новый AES 256.
Шифрование в дата-центрах — не диковинка: если злоумышленникам, несмотря на все меры безопасности, все же удается украсть пользовательские данные, им все равно понадобится ключ, если только они не прибегнут к вымогательству. И здесь часто возникает проблема: этот тип шифрования — очень сомнительное решение, если поставщики хранят ключи к вашим данным.
То есть некоторые администраторы облачных сервисов могут легко просмотреть все ваши фотографии в любое время. Если в это трудно поверить, возможно, вариант доступа к данным со стороны органов прокуратуры будет более убедительным. Конечно, вендоры стремятся серьезно относиться к своему бизнесу, но клиентам нужно подавить себя и показать уверенность, поскольку их данные не полностью защищены таким образом.
Dropbox защищен 256-битным шифрованием AES при хранении и SSL / TLS при передаче
С какими облаками вендорам легче работать
Какой облачный провайдер предпочитают разработчики наложений безопасности? Мы задали спикерам этот вопрос, чтобы понять, как продавцы видят этот рынок и в каких сегментах представлена их продукция.
Наиболее многообещающие облачные сервисы с точки зрения разработчиков систем усиленной информационной безопасности — это те, которые имеют значительную долю рынка, понятную документацию и многофункциональные API-интерфейсы. По словам Валерия Денисова, это в основном AWS, Azure и Google Cloud.
Павел Коростелев утверждал, что «большая тройка» зарубежных облачных провайдеров занимает лишь 5% российского рынка общедоступных облачных услуг, а остальную часть составляют отечественные услуги. Решения с кодом безопасности используются в некоторых российских облачных средах для обеспечения соответствия средств защиты нормативным требованиям.
Максим Кондрашин высказал неожиданную мысль о том, что для провайдера очень важна зрелость поставщика облачных услуг. По словам спикера, отечественные сервисы, возможно, еще недостаточно развиты, чтобы активно сотрудничать с разработчиками сторонних решений для защиты информации. В то же время их западные коллеги активно предлагают своим клиентам оверлейные системы.
Подводя итог первой части обсуждения, мы провели опрос зрителей и спросили их, используют ли их компании облака для критически важных бизнес-процессов. Выяснилось, что около половины респондентов (49%) не готовы отдать на аутсорсинг критически важные процессы облачным сервисам. Сторонников переноса ключевых бизнесов в облако стало меньше — 29%. Еще 22% респондентов не имеют информации по этому поводу.
Рисунок 1. Использует ли ваша компания облака для критически важных бизнес-процессов?
Как делится ответственность между облачным провайдером, заказчиком и вендором
Оживленную дискуссию вызвал вопрос модератора конференции о разделении ответственности между поставщиком средств принудительной безопасности, поставщиком облачных услуг и пользователем. Первоначальный тезис экспертов сводился к постулату о том, что продавец может гарантировать качество предоставляемых товаров и услуг только в соответствии с документацией, но в ходе обсуждения были выявлены новые взгляды на этот вопрос.
Затем спикеры высказали мнение, что покупатель, покупая товар или услугу, платит в первую очередь за привлечение продавца, его готовность быстро решать проблемы. Разработчик не может гарантировать, что его решение защитит от всех возможных угроз, но может гарантировать, что решит возникшую проблему со всей ответственностью.
Перенося свои бизнес-процессы в облако, пользователь разделяет ответственность за безопасность данных и доступ к данным с поставщиком. В зависимости от модели взаимодействия (IaaS, PaaS или SaaS) уровень ответственности клиента может варьироваться. Оверлейные решения помогут вам лучше контролировать свою зону ответственности.
Что умеют наложенные средства облачной безопасности
По нашему запросу эксперты перечислили основные виды оверлеев облачной безопасности, представленных на отечественном рынке:
- Безопасность рабочей нагрузки: защита операционной системы, проверка ее целостности, антивирусный мониторинг и другие средства обеспечения безопасности виртуальных машин пользователей.
- Сетевая безопасность — системы предотвращения вторжений, отслеживающие каждый входящий пакет.
- Системы управления облачным хранилищем.
- Интегрированные технологии безопасности в стандартные (Office 365 и другие) и пользовательские приложения.
- Со стороны провайдера: инструменты защиты персональных данных от внешнего поставщика, системы защиты инфраструктуры VMware, решения, гарантирующие доверие к платформе и создание безопасного канала связи с облаком.
- Проверяет правильность настроек в публичных облаках.
Возможно ли лицензирование наложенных ИБ-средств для облаков по модели «pay-as-you-go»
Работа с облачными сервисами предполагает варианты периодического использования предоставленной инфраструктуры. Например, заказчик может разместить свои системы в облаке только в периоды высокого спроса и несезонных расходов с собственным оборудованием. Насколько подготовлены поставщики на внутреннем рынке облачной безопасности к удовлетворению этих потребностей клиентов? Могу ли я приобрести лицензию на один день, один месяц, один час?
Валерий Денисов отметил, что в продуктах облачной безопасности Check Point есть опция «поминутной тарификации», когда пользователь платит только за фактическое время использования системы.
Павел Коростелев выразил мнение, что годовые контракты на аренду сертифицированных облачных инфраструктур более востребованы на отечественном рынке. Российские заказчики еще не готовы использовать модель оплаты по факту.
Михаил Кондрашин сказал, что для различных продуктов Trend Micro используются разные модели лицензирования, включая поминутную, почасовую и ежемесячную оплату.
Спикеры обсудили и другие кейсы, предложенные модератором. Выяснилось, что на рынке практически нет решений по информационной безопасности для защиты публичных репозиториев, специализирующихся на хранении кода (GitHub и др.). Рынок безопасности облачных CRM также относительно неразвит. Примечательно, что ни один из вендоров не поддерживает безопасность в популярных домашних облачных сервисах amoCRM и Битрикс24.CRM».
По словам Павла Коростелева, спрос на продукты, лицензируемые по модели SaaS, зависит от уровня зрелости рынка. На данный момент интерес покупателей к этому классу решений в России недостаточен. Объемы продаж, сопоставимые с выручкой от систем защиты ЦОД, ожидаются в России через 5-7 лет.
Существуют ли безопасные облака?
Слово «сейф» давно приобрело важное маркетинговое значение. Интерес пользователей требует обратной связи. Таким образом, любой поставщик облачных услуг гарантирует, что безопасность является отличительной чертой их услуг. Например, ветеран рынка Dropbox пишет: «Безопасность — наш главный приоритет. Мы используем многоуровневую безопасность в нашей распределенной и надежной облачной инфраструктуре. Неважно, кто вы: человек или команда. Наши облачные меры безопасности обеспечивают одинаковый стандарт защиты для всех ваших онлайн-данных ». И все в этом духе. Под видом« исключительной защиты »впечатлительному пользователю может быть представлен широкий спектр функций. Например, cross -Платформа.
Вот некоторые критерии, которые могут оказаться полезными при выборе облака, если вы цените безопасность.
- Есть двухфакторная аутентификация.
- Разработчик регулярно обновляет свои программы и сервисы.
- Работать с облаком можно не только через установленное приложение, но и через обычный браузер (оставлять меньше следов на диске).
- Существует возможность создавать резервные копии данных и архивировать предыдущие версии (однако для некоторых это, вероятно, будет означать меньшую безопасность).
- Вы можете ограничить права в общих документах. Например, коллеги могут читать и комментировать, но не могут редактировать документ.
- Относительно безопасная юрисдикция поставщика.
- В пользовательском соглашении провайдера четко и недвусмысленно прописаны гарантии конфиденциальности. В частности, провайдеру не нужно просматривать ваши данные.
У каждого своя модель угроз, поэтому у каждого свой набор значимых критериев.
А как же шифрование, спросите вы? Здесь есть два основных подхода.
Что эффективнее — наложенные или встроенные средства защиты облачных систем
Зрители прямой трансляции также поделились с нами своим мнением о том, как обезопасить облачные системы. Наш опрос показал, что 11% опрошенных считают инструменты информационной безопасности, встроенные в облачные сервисы, достаточно эффективными. Чуть больше респондентов (13%) доверяют навязанным системам безопасности. Максимальное количество голосов нашей аудитории получила компромиссная версия — гибридная модель. Его выбрали 76% респондентов.
Рисунок 2. Какие механизмы облачной защиты вы считаете наиболее эффективными?
Вопросы и ответы о безопасных облачных хранилищах
При выборе лучшего облачного хранилища, когда вам нужна защита и конфиденциальность, может возникнуть несколько вопросов. Эта статья дает ответы на них.
Важно ли, в какой стране работает сервис?
Страна, в которой расположен сервис, может сыграть важную роль. В разных странах действуют разные законы относительно передачи и хранения данных в Интернете. Законы некоторых стран уважают конфиденциальность пользователей больше, чем законы других стран. В таких странах, как Швейцария, действуют законы, строго защищающие личные данные. Такие страны, как США или Великобритания, имеют более низкий уровень конфиденциальности.
Для облачного хранилища страна размещения не так важна, как для других сервисов. Причина в том, что облачное хранилище не всегда может расшифровать ваши данные. Если у вас есть ключи шифрования, ваши данные защищены. Даже если от службы потребуется передать ваши данные полиции или если хакеры войдут в хранилище, они не смогут прочитать ваши данные.
Это не всегда означает, что сервис ничего не знает о данных, которые вы храните в нем. В зависимости от принципов безопасного облачного хранилища сервис может иметь доступ к следующей информации:
- Платежная информация. Имя и другие данные, указанные при регистрации.
- Метаданные. Когда вы входите в систему и выходите из нее, ваш IP-адрес и другая информация.
- Кому вы даете доступ к зашифрованным файлам.
- Имена файлов и папок, в которых хранятся зашифрованные данные.
Пользователь должен подумать о защите от угроз, чтобы данные не попали в чужие руки. Необходимо учитывать, как страна, в которой находится сервис, влияет на эти угрозы, и только потом выбирать сервис.
Играет ли роль страна, где непосредственно хранятся данные.
Сервис может быть зарегистрирован в одной стране, а данные физически расположены в другой. Например, для Sync.com в обоих случаях это Канада. MEGA находится в Новой Зеландии и может хранить там данные. Или он хранит их в неуказанных европейских странах, где предполагается, что существует адекватный уровень защиты в соответствии со статьей 45 GDPR. Решение о том, где хранятся данные, зависит от вашего местоположения.
Почему важно, в какой стране хранятся данные? Местные законы регулируют работу серверов, расположенных в стране. Представьте, что какая-то служба облачного хранения находится в Швейцарии, но хранит данные в Китае. Китай считается одной из самых опасных стран с точки зрения конфиденциальности. Серверы с вашими данными будут регулироваться местными законами, и компания должна будет подчиняться им, а не безопасным швейцарским законам.
Как лучше всего защитить данные в надёжном облачном хранилище?
Существует несколько подходов к защите данных в облачном хранилище. Следует учитывать три фактора: данные в пути, данные в облаке и данные на вашем устройстве. Во время передачи данные отправляются с вашего компьютера, смартфона или ноутбука на сервер и наоборот. В противном случае данные хранятся на сервере или на вашем устройстве.
Данные в процессе передачи
Чтобы системе можно было доверять, данные во время передачи должны быть защищены одним из протоколов, чтобы никто не мог их прочитать при перехвате. Шифрование TLS / SSL обычно используется для передачи данных через Интернет. Он применяется перед отправкой данных в Интернет и удаляется, когда данные поступают в облачное хранилище. То же самое происходит при передаче данных в обратном направлении.
Шифрование TLS / SSL обеспечивает достаточно безопасную передачу данных, но не работает, когда данные прибывают в место назначения. Если данные, которые вы отправляете в облачное хранилище, не были зашифрованы до применения шифрования TLS / SSL, данные не зашифровываются после прибытия и могут быть прочитаны.
Примечание. Данные можно передавать в двух средах. Это могут быть общедоступные сети, такие как Интернет, и частные сети, такие как локальная домашняя или рабочая сеть. Обычно частные сети более безопасны, чем публичные. Некоторые службы безопасного облачного хранения позволяют хранить файлы на собственном оборудовании в частной сети, что может повысить их безопасность.
Данные при хранении
Когда информация не передается, она где-то хранится. Когда вы храните свои файлы в облачном хранилище, они находятся где-то на серверах. Для защиты данных необходимо закрыть несанкционированный доступ к ним. Защита может быть физической или процедурной. Серверы должны находиться в безопасном месте, и посторонние не должны иметь к ним доступа. Такую защиту обеспечивают многие службы облачного хранения.
Проблема с этим типом безопасности заключается в том, что вы должны доверить защиту своих данных службе. Если их процедуры безопасности не сработают или кто-то войдет в место хранения файлов, ваши данные могут попасть в чужие руки.
Более безопасный вариант хранения данных — зашифровать их перед отправкой на серверы. Эти данные могут прочитать только те, кто может их расшифровать. Алгоритм шифрования обычно AES-256.
Он использует шифрование TLS / SSL для передачи данных и AES-256 или аналогичный современный и безопасный алгоритм шифрования для неактивных данных. Это будет почти максимально возможная защита.
Кто хранит ключи от ваших данных?
Только те, у кого есть ключи шифрования, могут зашифровать и расшифровать данные. Во многих случаях ключи шифрования находятся в облачном хранилище. Сервис использует протоколы TLS / SSL для передачи данных, затем использует ключ шифрования и сохраняет данные на своих серверах. Это удобно, но вы должны доверять этому сервису, чтобы ваши данные были в безопасности.
Более безопасный подход — хранить ключи шифрования самостоятельно. Большинство безопасных систем не знают ключей шифрования. Приложение на вашем устройстве использует ключи для шифрования данных перед их отправкой на сервер и для их расшифровки при получении данных с сервера. На самом сервере ключей нет.
Таким образом, вам не нужно доверять кому-то другому хранить ваши ключи шифрования. Вам просто нужно доверять сервисному приложению, чтобы оно не отправляло в сервис ключи шифрования. Если он с открытым исходным кодом и достаточно популярен, можете быть уверены, что проблем не возникнет. Энтузиасты программирования проверяют исходный код таких приложений и анализируют все их возможности.
Также нужно подумать о безопасности хранения данных на устройстве. Большинство сервисов облачного хранения, даже самые надежные, защищают данные только тогда, когда они покидают ваше устройство. Если кто-то получит доступ к вашему устройству, он также получит доступ к вашим данным, если они не зашифрованы.
В NordLocker данные в облачном хранилище также шифруются на устройствах пользователей. Чтобы их расшифровать, вам необходимо войти в свою учетную запись NordLocker. Шифрование данных на устройстве пользователя обеспечивает дополнительный уровень защиты.
Такие системы, в которых только пользователь может шифровать и расшифровывать свои данные, называются сквозным шифрованием. Если вы не используете службу, которая хранит данные в собственной защищенной частной сети, для обеспечения максимальной безопасности требуется некоторая форма сквозного шифрования.
Зачем платить, если существуют бесплатные облачные хранилища?
Если у вас нет денег, чтобы их тратить, использование бесплатного облачного хранилища кажется лучшим вариантом. Несмотря на привлекательность, есть несколько причин купить платную подписку вместо бесплатного плана.
- Ограничения дискового пространства. В бесплатных тарифах почти всегда чего-то не хватает. Во-первых, доступное дисковое пространство ограничено. Обычно предоставляется несколько гигабайт, тогда как в платных тарифах объем дискового пространства может быть в сотни и тысячи раз больше. Иногда бывают и безлимитные тарифы. Могут быть ограничения на размер файлов, которые вы можете поместить в репозиторий. Могут быть ограничения на количество данных, которые можно передать в хранилище за день или за месяц. В некоторых репозиториях полный функционал предоставляется на короткое время, это так называемый пробный период.
- Ограниченная поддержка. Техническая поддержка стоит денег. На платных планах поддержка обычно предоставляется по электронной почте или в чате. В случае бесплатных планов вы должны полагаться на раздел вопросов и ответов на веб-сайте службы или искать решение на форумах, где пользователи пытаются помочь друг другу.
- Ограниченная функциональность. На платных тарифах большинства услуг есть дополнительные опции. Например, история файлов или более длинная история, чем бесплатные планы, двухфакторная аутентификация, бизнес-ориентированные функции. Последний может включать инструменты совместной работы, централизованное управление пользователями и расширенную отчетность.
Перед принятием решения о покупке всегда рекомендуется попробовать бесплатный план обслуживания. Если у вас достаточно важных данных, которые необходимо защитить наилучшим образом, вам следует приобрести платный план.
Следует ли использовать VPN при работе с облачным хранилищем?
Безопасное облачное хранилище предназначено для защиты пользовательских данных, но это не значит, что они не собирают никакой информации о пользователях. Многие ведут журналы активности пользователей на сервисе. Вы можете записать дату и время, когда вы вошли в свою учетную запись, как долго вы там оставались, ваш IP-адрес и т.д.
Сбор личных данных и их привязка к адресу могут быть полезны самим сервисам. Для пользователей это представляет потенциальную угрозу. Чтобы избежать этой угрозы, вы можете использовать службу VPN при подключении к облачному хранилищу. В этом случае в хранилище будет записываться не ваш реальный IP-адрес, а IP-адрес VPN-сервера. Поскольку каждый IP-адрес VPN раздается десяткам и сотням разных людей, практически невозможно определить, кто скрывается за этим адресом.
По каким параметрам можно признать облачные хранилища безопасными?
Секрет надежности облачного хранилища — это шифрование. В основном у тех, кто контролирует ключи шифрования и дешифрования данных.
В примерах, приведенных в этой статье, поставщик облачного хранилища отвечает за шифрование и дешифрование данных. Следовательно, именно он хранит ключи шифрования.
Сервисы облачного хранения используют несколько методов безопасности. Данные могут храниться в защищенных помещениях с вооруженной охраной и биометрическими замками, как в фильме о Джеймсе Бонде. Их можно зашифровать с помощью новейших алгоритмов, с которыми не справятся даже суперкомпьютеры.
Риски утечки: недобросовестность подрядчиков
Машинное обучение для распознавания речи — основная технологическая тенденция — основано на анализе миллионов записей голоса. Какие риски есть? Оба эксперта согласны с тем, что теоретически процесс разработан таким образом, чтобы быть безопасным для конечных пользователей. Алексей Айларов отмечает, что обучение робота должно происходить обезличенными голосами, другой вопрос, сколько соблюдается. Генеральный директор Voximplant считает, что основная ответственность здесь лежит даже не на том, кто прослушивает записи разговоров и готовит их к обработке на машине, а на отправителе данных для анализа. От последнего зависит, как будут нарезаны записи и сможет ли человек, прослушав их, получить какую-то конфиденциальную информацию.
Матвей Войтов подтверждает: «Хотя анализ выполняется полностью автоматически, без привлечения операторов (например, для настройки), интересы пользователей не нарушаются. Однако регулярно появляются истории о том, что сотрудники по тем или иным причинам мешают работе машинного обучения и аналитики. Так, недавно стало известно, что производитель умных замков и камер привлек операторов для просмотра и анализа частного видеопотока для поиска и выявления в нем инцидентов, хотя утверждалось, что видеоаналитика в этом сервисе была полностью автоматизирована».
Особенности российского рынка защиты облачных сервисов
Внутренний рынок дублирующих инструментов безопасности для облака имеет ряд характеристик, в основном из-за активной позиции регулирующих органов. Два приглашенных спикера в студию представляли зарубежных поставщиков и один — российского разработчика, поэтому мы смогли взглянуть на рынок с разных сторон.
Поэтому компания защитного кода активно создает и предлагает решения, сертифицированные контролирующими органами. Одной из характеристик продажи таких облачных систем является необходимость сертификации не только самого продукта, но и среды, в которой он будет работать, то есть определенного сертифицированного сегмента поставщика облачных услуг. Еще одна проблема связана с внедрением средств криптографической защиты информации из облака, что должно быть четко указано в форме аттестации.
Check Point и Trend Micro, в свою очередь, отметили, что они больше ориентированы на работу с другой категорией клиентов и не получают запросов на сертификацию облачной безопасности.
Что касается зрителей прямых трансляций, наш опрос показал, что 51% из них заинтересованы в сертификации инструмента облачной безопасности, а 49% не видят в этом необходимости.
Рисунок 3. Актуальна ли для вас сертификация облачной безопасности?
Эксперты также сформулировали характеристики, присущие российскому рынку решений для защиты информации облачных сервисов:
- Очень высокий уровень локализации: 95% всех денег, потраченных на облачные сервисы в России, остается в стране.
- Домашние клиенты менее зрелые, очень немногие компании реализуют стратегию Cloud First.
- Значительное количество сертифицированных сегментов, например, системы хранения персональных данных.
- Использование российских алгоритмов шифрования данных.
- Высокий спрос на средства защиты трафика и недоверие служб безопасности клиентов к поставщикам облачных услуг.
- Использование клиентами мультиоблачной стратегии для снижения риска блокирования западных сервисов регулирующими органами.
- Тенденция отказа от продуктов VMware как основы облачных виртуальных машин и поиск домашнего решения в условиях импортозамещения.
- Взрывной рост рынка, который продолжится в течение следующих нескольких лет.
Какие механизмы защиты облака наиболее востребованны у заказчиков
Чтобы составить своего рода оценку наиболее популярных функций облачных систем защиты информации, мы спросили аудиторию прямого эфира, какой механизм защиты в облаке они будут внедрять (или уже внедрили) в первую очередь. Наибольшее количество голосов респондентов — 39% — получил вариант «Идентификация / аутентификация / авторизация». Как отметили эксперты исследования, сами облачные сервисы хорошо справляются с этой задачей, и нет необходимости в дублирующих решениях в этой области.
Более четверти респондентов (26%) будут первыми внедрять охрану периметра. Сегментация сети получила 14% голосов наших зрителей, функции защиты от потерь и управление уязвимостями — по 4%. Остальные респонденты (13%) выбрали вариант «Другое».
Рисунок 4. Какие механизмы облачной безопасности вы внедрите первым (или уже внедрили?