Журнал "Системы Безопасности" № 5‘2021

S E C U R I T Y A N D I T M A N A G E M E N T 42 Облачные сервисы позволяют: l существенно увеличить скорость выделения ресурсов, необходимых для развития сервиса или добавления нового функционала; l повысить эффективность использования ресурсов, спрогнозировать необходимые затраты и учесть их в стоимости услуги; l решить проблемы забытых активов и устарев- шего оборудования, которое часто задейству- ется злоумышленниками при проведении атак. Однако преимущества оборачиваются новыми рисками, которые нужно иметь в виду при при- нятии решения о миграции в облако. Риск№1. Конфиденциальность данных Первоочередным риском, о котором задумыва- ется большинство компаний, является несанк- ционированный доступ к конфиденциальной информации со стороны провайдера услуг. это обусловлено тем, что фактически обработка будет осуществляться на оборудовании провай- дера, без возможности физически контролиро- вать его действия. При оценке данного риска основную угрозу представляет собой несанкционированный доступ к таким объектам, как: l база данных как сервис; l виртуальный сервер; l данные, передаваемые в незащищенном виде; l иные объекты арендованного облака, уча- ствующие в обработке информации (балан- серы, хранилища данных, исходного кода или секретов). необходимо отметить, что простота в созда- нии и настройке некоторых сервисов приво- дит к возникновению угрозы несанкциониро- ванного доступа к опубликованным базам данных и иным сервисам для хранения информации (например, S3 или Object Stora- ge). наиболее частой ошибкой является пуб- ликация баз данных в интернете, что в боль- шинстве случаев приводит к утечке хранимой информации. Еще одна – публичный доступ к консоли управ- ления арендованным облаком. это означает, что административный доступ может получить практически любой человек из любой точки мира. Следовательно, крайне важно уделить особое внимание обеспечению безопасности учетных записей. Для минимизации данного риска рекоменду- ется применить следующие меры. 1. Шифровать конфиденциальные данные, хранимые в базе данных Если невозможно гарантировать безопасность хранимых данных на физическом уровне, то нужно сделать бессмысленным такой доступ. эта мера также позволит минимизировать риск несанкционированного доступа к опубликован- ной базе данных. При этом шифрование можно реализовать как на уровне приложения, так и встроенными средствами базы данных. 2. Шифровать данные при передаче вероятность этого риска мала ввиду высокой сложности осуществления атаки. Однако если стоимость данных высокая, то разумным будет использование шифрования на уровне приложения, цена такой меры сравнительно небольшая. Такая мера предъявляет повы- шенные требования к процессам управления ключами и сертификатами шифрования, так как при внезапном окончании срока действия сертификата работа сервиса может быть нарушена. 3. Удалять системных пользователей и/или пакеты, созданные провайдером, с виртуальных серверов Очень часто провайдер добавляет в виртуаль- ные серверы и другие сервисы дополнитель- ные учетные записи или программы для обес- печения возможности удобного администри- рования всех сервисов прямо из консоли управления облачной инфраструктурой. Поэтому использование этой меры необходи- мо только в случае, когда обеспечение конфи- денциальности является главным приоритетом (например, в сегменте обработки данных бан- ковских карт). 4. Запретить на уровне сетевых сегментов публичный доступ к базам данных Для исключения возможности случайной пуб- ликации базы данных в интернете рекоменду- ется использовать архитектурные ограничения. например, когда доступ из интернета возможен только к одному сетевому сегменту, в котором запрещено размещать базы данных и другие подобные сервисы. 5. Мониторить управленческие события на уровне облака Для своевременного выявления нарушений тре- бований по публикации баз данных или при- знаков компрометации учетных записей необходимо контролировать все, что происхо- СПЕЦПРОЕКТ БЕзОПаСнОСТь БанКОв в эПОху ЦифРОвизаЦии октябрь – ноябрь 2021 www.secuteck.ru Игорь Беляков Начальник аналитического отдела противодействия современным киберугрозам ПАО "Банк "Санкт-Петербург" www.itprotoday.com О блачные сервисы позволяют существенно увеличить скорость выделения ресурсов, необходимых для развития сервиса или добав- ления нового функционала, повысить эффективность использования ресурсов, спрогнозировать необходимые затраты и учесть их в стои- мости услуги и решить проблемы забытых активов и устаревшего обо- рудования, которое часто задействуется злоумышленниками при про- ведении атак 4 риска при использовании облачных сервисов В современном динамично развивающемся мире наиболее важное конкурентное преимущество компаний – их эффективность, которая определяется скоростью реакции на изменения условий ведения бизнеса и добавление нового функционала. Для многих использование облачных сервисов становится наиболее оправданным выбором