Что такое безопасность облачной инфраструктуры?

Под безопасностью облачной инфраструктуры понимаются технологии, средства управления и политики, призванные повысить уровень безопасности базовой облачной инфраструктуры. Надежная защита облачной инфраструктуры помогает оградиться от таких угроз, как события DDoS, потеря данных и неправильные конфигурации, которые могут привести к непредвиденным событиям безопасности. Безопасность облачной инфраструктуры является ключевым компонентом облачной безопасности.

Модель общей ответственности – это система, которая определяет, кто отвечает за различные меры кибербезопасности в отношениях поставщика облачных услуг и клиента. Ответственность может лежать либо на клиенте, либо на поставщике облачных услуг, либо на обеих сторонах.

Ниже приведены основные обязанности каждой из сторон в модели общей ответственности.

Обязанности поставщика облачных услуг

Поставщик облачных услуг отвечает за защиту физической инфраструктуры, на которой работают его облачные сервисы. За оборудование, программное обеспечение, сети и любые мощности, подключенные к сервисам, отвечает поставщик облачных услуг.

Обязанности клиента

Обязанности клиента в модели общей ответственности определяются выбранными облачными сервисами. В совокупности эти сервисы определяют объем работы по настройке, которую клиент должен выполнить в рамках своих обязанностей по обеспечению безопасности. Клиент отвечает за такие задачи, как управление данными, включая выбор вариантов шифрования, классификацию активов и использование инструментов управления идентификацией и доступом (IAM) для применения соответствующих разрешений.

Общая ответственность

Некоторые средства контроля применяются как на уровне инфраструктуры поставщика, так и на уровне клиента, однако это происходит в различных контекстах или перспективах. В тех случаях, когда ответственность распределяется, поставщик облачных услуг придерживается требований к инфраструктуре, а клиент обеспечивает внедрение средств контроля при использовании облачных сервисов. К таким средствам могут относиться управление конфигурацией, повышение осведомленности и обучение.

Облачная инфраструктура лежит в основе всех облачных сервисов, поэтому ее безопасность жизненно важна для всех рабочих нагрузок в облаке.

Ниже приведено несколько причин, по которым безопасность облачной инфраструктуры важна для бизнеса.

Помощь в предотвращении несанкционированного доступа в облачных средах

Злоумышленники выполняют атаки на облачные среды из-за огромных объемов содержащихся в них данных. Неправильные конфигурации, слабые средства управления или базовые уязвимости облачной инфраструктуры могут стать точками входа для неавторизованных сторонних групп. Средства обеспечения безопасности облачной инфраструктуры должны выявлять и контролировать эти точки входа, помогая обеспечить безопасность данных компании и конфиденциальность данных.

Уменьшение количества нарушений устойчивости бизнеса

Отдельные киберугрозы, такие как события распределенных атак типа «отказ в обслуживании» (DDoS), направлены на снижение способности организации функционировать должным образом. Средства обеспечения безопасности облачной инфраструктуры, такие как сегментация сети, помогают заблаговременно защищаться от внутренних и внешних угроз и обеспечивают бесперебойное время непрерывной работы.

Сохранение доверия

Если у организации возникают инциденты в сфере кибербезопасности, особенно в случаях, которые касаются хранящихся в облаке данных клиентов, такая компания может понести репутационный ущерб. Средства безопасности облачной инфраструктуры лучше защищают работающие в облаке виртуализированные сервисы, помогая сохранить конфиденциальные данные компании.

Решения по обеспечению безопасности облачной инфраструктуры обычно оптимизированы для облака.

Ниже перечислены ключевые компоненты безопасности облачной инфраструктуры.

Управление идентификацией и доступом

Организации выполняют хостинг конфиденциальных данных и информации в облаке, а также помогают авторизованным пользователям получить доступ к этим облачным ресурсам. Управление идентификацией и доступом (IAM) определяет, какие роли пользователей могут взаимодействовать с данными или находить их расположение. Наряду с системами разрешений IAM может подтверждать владение облачными аккаунтами с помощью многофакторной аутентификации, что помогает предотвратить проникновение неавторизованных пользователей.

Ведение журнала и телеметрия

Службы регистрации и телеметрии предназначены для документирования определенных действий и событий в облачной системе. Тщательно регистрируя события доступа, перемещение информации и действия по кибербезопасности, организации получают дополнительную информацию о своей облачной инфраструктуре. Эксплуатационная телеметрия, передаваемая критически важными системами, может создавать данные, часто используемые в аудитах.

Аналитика

Решения для аналитики могут использовать операционную телеметрию и существующие журнальные данные для выявления несоответствий, аномалий или неожиданных событий, требующих дальнейшего изучения. Аналитические системы, такие как управление информацией и событиями безопасности (SIEM), объединяют точки данных для оповещения и отслеживания потенциальных событий безопасности, а также помогают обеспечить нормальную работу систем мониторинга безопасности облачной инфраструктуры.

Безопасность сетей и устройств

Сотрудники получают доступ к вашей облачной среде и хранящимся в ней облачным ресурсам из самых разных мест и устройств. Для того чтобы защитить настолько обширную площадь от потенциальных угроз, можно развернуть целый ряд решений. Такие решения включают защиту сети и устройств, позволяющую контролировать входящий и исходящий трафик, отфильтровывать вредоносный трафик и изолировать рабочие нагрузки для обеспечения разделения сетей.

Шифрование данных

Безопасность данных – это общий процесс обеспечения защиты от несанкционированного доступа всех данных, как передаваемых, так и хранящихся. Безопасность облачной инфраструктуры может использовать политики классификации данных для маркировки данных на основе их конфиденциальности и применять различные методы безопасности для обеспечения защиты данных. Можно шифровать как данные в местах хранения, так и данные в движении, чтобы обеспечить доступ к конфиденциальным данным только авторизованным лицам. Безопасность данных также включает разработку и внедрение стратегий предотвращения потери данных для повышения информационной безопасности.

Ниже приведены некоторые из передовых практик, которые помогут улучшить стратегию облачной безопасности и защитить базовую инфраструктуру облачных вычислений.

Создание сетевых уровней

Создание сетевых уровней предполагает организацию компонентов рабочей нагрузки в логические группы в зависимости от их функций и чувствительности, например веб-серверы с выходом в Интернет или внутренние базы данных. При размещении компонентов в отдельных подсетях можно установить четкие границы и создать возможности для управления потоком трафика между ними.

Такой многоуровневый подход обеспечивает стратегию углубленной защиты, в которой каждый уровень выполняет роль контрольного пункта для проверки безопасности. Например, доступ к Интернету должен иметься только у ресурсов на самом внешнем уровне, тогда как более чувствительные системы, такие как базы данных, остаются изолированными и доступными только через внутренние сети.

Виртуальные частные облака и частная облачная инфраструктура помогают создавать логически изолированные сети и инфраструктуру в облаке. Создание последовательных политик безопасности, определяющих облачные сети и их использование, способствует созданию безопасной облачной среды.

Управление потоком трафика

Управление потоком трафика может включать сегментацию среды с целью обеспечения исключительно необходимой связи между рабочими нагрузками, пользователями и внешними системами. Такой контроль трафика включает управление трафиком между внутренней сетью и Интернетом (трафик с севера на юг) и между внутренней сетью и Интернетом (трафик с востока на запад).

Распространенная ошибка заключается в том, что мы полагаемся исключительно на периферийную защиту или на доверие на сетевых уровнях. Вместо этого передовые практики делают упор на подход с наименьшими привилегиями, при котором доступ предоставляется по принципу «точка-точка» между пользователями и облачными ресурсами, включая облачные серверы. Таким образом, управление входящим и исходящим трафиком помогает ограничить влияние несанкционированного доступа и сократить время обнаружения событий безопасности и реагирования на них.

Внедрение защиты на основе проверок

Внедрение защиты на основе проверок означает детальное изучение трафика при его перемещении между сетевыми уровнями. Например, анализ фактического содержимого, метаданных и поведения данных в движении. Защита на основе проверок позволяет выявлять аномалии или потенциальный несанкционированный доступ на основе аналитики угроз в реальном времени. Можно создавать правила на основе контекста приложения, личности пользователя или известных угроз и ужесточать требования к конфиденциальным рабочим нагрузкам.

Автоматизация защиты сети

Автоматизация защиты сети с помощью методов DevOps, таких как «инфраструктура как код (IaC)» и конвейеры непрерывной интеграции и непрерывной доставки (CI/CD), помогает организациям развертывать более безопасные, согласованные и воспроизводимые сетевые конфигурации. В случае изменений автоматизированные конвейеры запускают рабочие процессы тестирования и развертывания. Изменения сначала размещаются в промежуточной среде для проверки, где можно проверить, работают ли они должным образом, прежде чем они вступят в силу.

Концепция платформы AWS Well‑Architected

Платформа AWS Well-Architected предлагает набор передовых практик и методов проектирования облачной безопасности для защиты рабочих нагрузок AWS. Основой безопасности этой платформы являются подробные рекомендации по улучшению защиты систем, данных и информации с помощью надежной многоуровневой системой облачной безопасности и упреждающих мер защиты.

Регулярно пересматривая рекомендации Well-Architected, организации могут улучшить состояние облачной безопасности и обеспечить эффективность стратегий безопасности облачной инфраструктуры.

Облачная безопасность является главным приоритетом AWS, а устройство нашей глобальной инфраструктуры призвано обеспечивать непрерывную работу. Мы сохраняем доверие клиентов и партнеров, предоставляя инструменты и услуги, необходимые для защиты приложений, данных и рабочих нагрузок в любом масштабе. Инфраструктура AWS охватывает несколько географических регионов и зон доступности, в каждой из которых предусмотрены многочисленные уровни физических и логических средств управления. Эти меры безопасности учитывают непрерывное моделирование угроз и тщательное тестирование на протяжении всего их жизненного цикла.

AWS предлагает ряд сервисов безопасности облачной инфраструктуры, которые помогут защитить организационную инфраструктуру на AWS.

• Amazon GuardDuty помогает защитить аккаунты пользователей AWS, рабочие нагрузки и данные с помощью интеллектуального обнаружения угроз.
• Управление идентификацией и доступом AWS (IAM) безопасно управляет доступом сотрудников к рабочим нагрузкам и масштабирует его, поддерживая гибкость и инновации клиентов в AWS.
• Amazon Inspector автоматически обнаруживает рабочие нагрузки, такие как инстансы Amazon Elastic Compute Cloud (Amazon EC2), образы контейнеров и функции AWS Lambda, а также репозитории кода, и сканирует их на наличие уязвимостей в программном обеспечении и непреднамеренного сетевого доступа.
• Amazon Macie c помощью машинного обучения и сопоставления шаблонов обнаруживает конфиденциальные данные, визуализирует риски для безопасности данных и автоматизирует защиту от этих рисков.
• AWS Security Hub приоритизирует критические проблемы безопасности и реагировать на них в требуемом масштабе для защиты среды. Это решение выявляет критические проблемы, сопоставляя сигналы и превращая их в полезную информацию, что позволяет эффективно реагировать на них. AWS Security Hub включает управление состоянием облачной безопасности (CSPM), позволяющее оценить текущее состояние безопасности.

Создайте бесплатный аккаунт и начните повышать безопасность облачной инфраструктуры с помощью AWS уже сегодня.