Облачная безопасность: самое интересное из опубликованого отчета компании Crowd Research Partners  за 2018 год, в который включены следующие основные положения:

  • Проблемы безопасности облаков – К трем основных вызовам безопасности, с которыми имеют дело центры управления безопасности (SOC), относятся визуальный контроль инфраструктуры (43%), соблюдение норм и правил (28%) и установка последовательной политики безопасности в облаке и окружающей среде (35%).
  • Эффективные решения безопасности облаков – Наиболее эффективными технологиями защиты облаков являются шифрование хранимых данных (64%) и шифрование передаваемых данных (54%). Следом идут платформы управления информационной безопасностью и управления событиями безопасности (SIEM) (52%).
  • Наиболее крупные угрозы безопасности – В отчете этого года на первое место угроз облачной безопасности вышли ошибки конфигурации облачных платформ (62%). Затем идет неавторизованный доступ, связанный с неправильным использованием полномочий сотрудников и недостаточный контроль доступа (55%), а также незащищенный интерфейс / API (50%).

Энтони Джеймс (Anthony James), руководитель маркетинга в компании CipherCloud (ссылка) (Сан-Хосе, штат Калифорния), лидера в области защиты данных и облачной безопасности, говорит:

Самые крупные угрозы облачной безопасности

«Ошибки конфигурации облачных платформ, неправильное использование полномочий сотрудников, неподходящий контроль и незащищенные интерфейсы (API), являются известными и очевидными вопросами. Это серьезная проблема, когда используется любой крупный облачный провайдер, такой как Amazon, Google или Microsoft Azure. Совсем недавно мы наблюдали утечку данных у Walmart и Fedex, которая в обоих случаях была основана на неправильной конфигурации платформы. Эти проблемы могут быть решены путем применения всеобъемлющего шифрования, что является основным инструментом облачной безопасности. Если бы эти данные были зашифрованы, то они стали бы фактически бесполезными для потенциальных кибер-преступников. Несмотря на известный факт, что сквозное шифрование способно решить эти проблемы, многие коммерческие предприятия и государственные организации все еще не используют его».

Эффективные облачные решения

«Данные представляют собой самую большую ценность каждой компании, и, конечно, они являются основной целью кибер-взломщиков. Когда бизнес обращается к услугам облачных сервисов, крайне важным становится обеспечение защищенного доступа к таким сервисам. Основная проблема, как и при любом подходе к безопасности, здесь заключается в том, что когда инструменты и процедуры доступа оказываются взломанными, то данные становятся уязвимыми. По этой причине, первостепенную важность приобретает защита данных средствами, независящими от дополнительного управления защитой, предлагаемой провайдерами.

Исторически доказано, что абсолютно надежным и единственным самым эффективным методом, который можно применить для обеспечения абсолютной защиты данных, является технология шифрования. С появляющимися новыми решениями, возможность шифровать данные до того, как они будут переданы облачным сервисам, становится не только доступной, но и полностью прозрачной для пользователей, что делает ее элементарной. Это часть стратегии, связанной с моделью «нулевого доверия» (Zero Trust), которая должна быть задействована при использовании облачных сервисов. В 2009 году компания Forrester Research использовала формулировку Zero Trust для описания стратегии, при которой доступ к сети не является доверительным, пока не пройдет тщательную проверку. «Никому не верь — все проверяй». Данные должны быть защищены не только в месте хранения, их нужно защищать «на лету», до самого последнего возможного момента их использования. Такое решение может предоставить прозрачное шифрование. Никакой обходной путь в сеть не сможет дать доступ к данным приложения».

Забота облачной безопасности — соблюдение правил

«Мы согласны с тем, что среди профессионалов кибербезопасности растет обеспокоенность, связанная с безопасностью облачных сервисов. Мы общались и с профессионалами безопасности, и с высшим руководством IT-компаний, и с управляющими кибернетической безопасностью корпораций. Для корпоративного менеджмента, соблюдение норм и правил является основным вопросом, как для облачных данных, так и для информации, находящейся в самой компании. Например, в случае транснациональных корпораций влияние регламента Европейского Союза по защите персональных данных (GDPR) является превалирующим. Но многие корпорации не соблюдают этот регламент, несмотря на приближение установленного срока его введения — 25 мая. Проблемы, связанные с соблюдением правил, включают использование специальных приложений, разработанных этим транснациональными компаниями для собственных нужд, наряду с предоставляемыми на коммерческой основе облачными приложениями такого рода.

Большинство поставщиков облачного прикладного программного обеспечения говорят своим клиентам о том, что для каждой страны должен быть установлен отдельный экземпляр их приложения — что снижает функциональность, которую можно использовать на верхнем уровне для управления и отчетности. Кроме того, это может увеличить затраты и административные накладные расходы. Уменьшая область доступности итоговых данных в рамках приложения, вы уменьшаете функциональность и полезность самого приложения. Более того, такое решение во многих случаях не работает для проверки соблюдения правил, если только ключи шифрования не хранятся у клиента, чего, многие из таких поставщиков программ не могут обеспечить».

Отчет об облачной безопасности за 2018 год
Оценка