Безпека у хмарі: поради та кращі практики

Попит бізнесу на хмарні сервіси продовжує зростати. Gartner прогнозує, що в 2023 році витрати компаній на публічні хмари збільшаться на 20.7% порівняно з 2022 і сягнуть майже 600 мільярдів доларів. І це гарна інвестиція, враховуючи отримувані переваги.

Аналітики McKinsey & Company підрахували, що до 2030 року сукупний дохід компаній зі списку Fortune 500 може зрости на 1 трильйон доларів лише завдяки активному використанню можливостей хмарних рішень.

Але крім переваг робота у хмарах пов’язана й з новими викликами для IT-безпеки. Ці ризики особливо важливо враховувати з огляду на високу швидкість, із якою сьогодні компанії переходять в хмарне середовище.

У цій статті ми розповімо, на що слід звернути увагу та яких практик дотримуватись, мігруючи у хмару, а також чому Microsoft Azure є найбільш безпечним вибором для міграції.

У чому особливість хмарної безпеки?

Хмарна інфраструктура більш складна та динамічна, ніж традиційна локальна. Бізнес давно вийшов за межі офісів. Співробітники компаній отримують віддалені доступи до корпоративної інформації, працюючи з різних локацій та країн через публічні мережі Wi-Fi та особисті пристрої, виконують завдання за допомогою хмарних додатків та програм.

Через відсутність чіткого периметра таке розмите робоче середовище потребує особливих методів захисту. Хмарна безпека обіймає весь комплекс таких методів. Це політики, процедури й технології, направлені на захист усіх хмарних активів організації, зокрема ідентифікаційні дані, корпоративні та особисті пристрої, конфіденційну інформацію, додатки, інфраструктуру та мережу.

Забезпечення надійного захисту у хмарі ускладнюється ще й тим, що сьогодні компанії здебільшого використовують одночасно декілька хмар від різних провайдерів (багатохмарне середовище), а також поєднання хмарних та традиційних локальних систем (гібридне хмарне середовище). Хмарна безпека має охоплювати всю екосистему організації та захищати її ресурси незалежно від їхнього розташування.

Які ризики виникають під час міграції у хмару?

Загрози для IT-безпеки випливають із самої розподіленої та рухливої природи хмарних обчислень. Хмари розширюють операційні можливості бізнесу, виводячи їх за межі локальних корпоративних мереж, але тим самим збільшують площину вразливостей і можливих атак.

Примітно, що 45% інцидентів сталися саме в хмарному середовищі. У тому числі через те, що традиційні підходи кіберзахисту там неефективні. З якими ж викликами безпеки доводиться мати справу під час міграції у хмару?

Помилки конфігурації

Переважна більшість інцидентів безпеки у хмарах трапляється саме через недогляди у конфігурації. Особливо у комплексних середовищах, де поєднуються кілька хмар від різних постачальників із різними елементами керування захистом.

Контроль над доступами

У хмарах доступи до корпоративної мережі, офісних програм, робочої пошти надаються динамічно. Різні користувачі отримують їх з різних розташувань, часто через власні пристрої. Через це набагато складніше керувати процесом надання доступу та відстежувати, хто і до яких ресурсів його отримує.

Видимість даних

Через розгалуженість хмарних середовищ та динамічне надання доступів до корпоративних ресурсів технічним командам компаній буває важко відстежувати, як дані рухаються у хмарі, слідкувати за тим, щоб вони не були використані неавторизованими особами або переміщені до менш безпечних розташувань.

Відповідність нормам

Зберігання конфіденційної інформації регулюється міжнародними стандартами, такими як ISO 9001, ISO 27001, PCI DSS, GDPR та ін. Порушення цих стандартів може призвести не тільки до витоку даних, а й до юридичних проблем. Але у дотриманні норм може виникнути плутанина через використання гібридних чи мультихмарних середовищ.

У Microsoft Azure передбачені всі необхідні можливості, щоб звести ці та інші ризики до мінімуму. Проте слід пам’ятати, що безпека у хмарі – це спільна відповідальність провайдера та користувача.

Тому компаніям важливо, з одного боку, обрати надійного хмарного провайдера, а з іншого – впроваджувати у себе кращі практики безпеки. Спершу розглянемо, які можливості захисту надають бізнесу хмарні рішення. Після зупинимось на практиках безпеки, які слід застосовувати організаціям.

Наскільки безпечні хмари?

Коли конфіденційні дані компанії полишають периметр корпоративної мережі, щоб опинитися в публічній хмарі, це викликає закономірні побоювання щодо їхньої безпеки.

Проте постачальники хмарних рішень зазвичай мають набагато більше експертизи і ресурсів для захисту даних, ніж переважна більшість компаній. Вони багато інвестують у кібербезпеку, використовують найсучасніші технології та наймають великі команди інженерів.

Отже, такі хмари досить надійно захищені. Опишемо деякі з вбудованих функцій безпеки, передбачених в Microsoft Azure.

Аналітика загроз

Аналітика на основі ШІ дозоляє завчасно виявляти вразливості у хмарних середовищах будь-якої складності. Машинне навчання та поведінковий аналіз, застосовані в такому рішенні, як Azure Sentinel, допомагають знаходити приховані шаблони загроз у хмарах та враховувати мінливі фактори ризику. У разі виявлення небезпеки система надає покрокові рекомендації для її якнайшвидшого усунення.

Шифрування даних

В Azure передбачені різні механізми автоматичного шифрування даних організації – як під час їх зберігання, так і під час їх передачі з одного розташування до іншого. Таким чином, даними неможливо скористатися, навіть якщо вони потраплять у руки зловмисників.

Резервне копіювання та відновлення

Завдяки рішенню Azure Site Recovery резервне копіювання в хмарах може відбуватися автоматично і на різних рівнях – наприклад, на рівні додатків чи операційних систем – що дозволяє їх оперативно відновити у разі збоїв або атаки програм-шантажистів.

Керування доступами

У хмарах також передбачені інструменти для ідентифікації користувачів та надання їм доступу до ресурсів компанії. В Azure це рішення Azure AD, яке підтримує такі заходи безпеки як багатофакторна автентифікація, єдиний вхід, доступ на основі ролей та принцип умовного доступу.

Таким чином, Azure – надійне робоче середовище, яке відповідає найсуворішим вимогам безпеки та має всі необхідні функції захисту. Проте помилкою буде вважати, що безпечне хмарне рішення автоматично знімає всі загрози. Безпека у хмарі, як ми вже зазначали, досягається спільними зусиллями. Компанії зі свого боку мають взяти на себе свою частину відповідальності.

Кращі практики безпеки у хмарі

Яким би надійним не було хмарне рішення, для безпечної роботи у хмарі компаніям важливо послідовно впроваджувати відповідні політики та вживати усіх можливих заходів для захисту своїх даних, програм, доступів, облікових записів. В Azure вже передбачені всі необхідні можливості й інструменти для цього. Але щоби впровадження заходів безпеки було системним та комплексним, ми рекомендуємо використовувати модель Zero Trust.

Модель Zero Trust на захисті вашої інфраструктури

Сьогодні бізнес потребує нової моделі ІТ-безпеки, більш пристосованої до сучасних складних робочих середовищ. Такою моделлю є Zero Trust. Вона дозволяє компаніям вибудувати всебічний захист, охоплюючи всі платформи, мережі та хмарні середовища організації, та уберегти її від кіберзагроз на всіх рівнях.

В основі моделі лежить принцип тотальної недовіри. Кожен запит на доступ до будь-яких ресурсів компанії розглядається як порушення безпеки. Незалежно від того, звідки і від кого він надійшов. Відповідно він підлягає обов’язковій і повній перевірці.

Для повного захисту модель Zero Trust має застосовуватися послідовно в усіх наведених нижче компонентах.

Ідентифікація

Ідентифікація користувачів та наданням їм доступів до даних і програм компанії – надважливий компонент безпеки в хмарі. Для керування цими процесами в Azure AD є, зокрема, такі функції як налаштування багатофакторної аутентифікації та умовного доступу. Перша передбачає кілька етапів звірення за допомогою паролів або біометричних даних. Друга виконує аналіз всіх сигналів безпеки стосовно користувача та генерує відповідне рішення: надати доступ, обмежити його, блокувати чи провести додаткову перевірку. Вже тільки це допомагає захиститися від 99,9 % кібератак.

Контроль кінцевих точок

Інший важливий вектор хмарної ІТ-безпеки – це управління, захист та відстежування кінцевих точок, адже у теперішніх бізнес-реаліях таких точок в організації може бути неймовірна кількість і розмаїття.

Сюди входить контроль як особистих пристроїв, так і пристроїв компанії, які звертаються до корпоративної інфраструктури. Перед наданням доступу всі кінцеві точки мають бути перевірені на відповідність усім необхідним вимогам.

Дані

З міграцією в хмару захист корпоративного периметра втрачає актуальність. Йому на зміну має прийти захист на рівні даних. Принцип “нульової довіри” тут реалізується через впровадження політики доступу з мінімальними правами, наскрізного шифрування, а також у аналітиці та класифікації даних з ціллю визначити, яка інформація потребує захисту.

Додатки

Додатки теж можуть стати слабкою ланкою у захисті. Особливо якщо це тіньові ІТ. Використання несанкціонованих програм часто є причиною витоку даних, не кажучи вже про те, що вони ускладнюють і без того складну хмарну інфраструктуру організації. Взяти під контроль ситуацію можна за допомогою Microsoft Endpoint Management.

Інфраструктура

На рівні інфраструктури захист відбувається за допомогою засобів телеметрії, представлених у Microsoft Defender for Cloud. Рішення виконує моніторинг у режимі реального часу, виявляє, маркує та автоматично блокує підозрілі дії, відстежує будь-які аномалії у системі. У тому числі, знаходить та виправляє помилки в конфігурації, які є найпоширенішою вразливістю для складних хмарних середовищ.

Мережа

Нульова довіра має розповсюджуватися на пристрої та користувачів, навіть якщо вони знаходяться в корпоративній мережі. Тому всі внутрішні канали обміну даними мають бути зашифровані, саму ж мережу варто розподілити на мікросегменти, доступи до кожного з яких мають бути обмеженими. Ці завдання входять у функціонал Microsoft Network Security.

Висновок

Світовий бізнес продовжує активно мігрувати в хмару, адже це економічно вигідно й надає розширені можливості, дозволяючи компаніям прискорити інновації та оптимізувати робочі процеси. Скористатися цими перевагами повною мірою можна лише обравши надійне хмарне рішення та мінімізувавши ризики безпеки.

У цьому сенсі хмара Azure – вдалий вибір, адже має найкращі у галузі функції захисту, відмінну репутацію на ринку та експертизу Microsoft.

Microsoft разом зі SMART business продовжують підтримувати розвиток українського бізнесу та пропонують своїм клієнтам пільгові умови: знижку 80% на вартість рішень Microsoft Azure. За умови, що тенант клієнта зареєстрований в Україні. Пропозиція діє до 30.11.2023* 

*за умови погодження знижки зі сторони Microsoft для конкретного кейса.

Отримати знижку