Ошибки конфигурации в облаке, ставящие под угрозу корпоративные данные, не являются чем-то новым – скорее, наоборот. Тем хуже, что компании до сих пор не обеспечивают сквозную защиту своих облачных ресурсов. По крайней мере, об этом свидетельствует недавний отчет. Для его подготовки поставщик облачных решений безопасности Qualys опросил 101 специалиста по кибербезопасности и ИТ, в чьи задачи входит защита облачных сред. Согласно отчету:

• 28 процентов опрошенных сообщили об утечке данных, связанной с облачными или SaaS-приложениями, в прошлом году.
• 24 процента считают неправильно настроенные сервисы самым большим риском для своей облачной среды.

Qualys также изучила около 44 миллионов виртуальных машин (VM), размещенных в публичных облаках. Эксперты обнаружили, что 45 процентов AWS-VM, 63 процента GCP-VM и 70 процентов Azure-VM имеют неправильно настроенные ресурсы.

Наиболее распространенные ошибки конфигурации облака

По словам Аяна Роя, руководителя отдела кибербезопасности в EY Americas, компании часто активируют определенные функции облачной безопасности, но не все. Так, ведение журналов, мониторинг и многофакторная аутентификация (MFA) во многих случаях остаются без внимания: “Компании хотят быстро продвигаться вперед, и время до получения прибыли имеет решающее значение. Однако, если команды кибербезопасности не участвуют в этих решениях, начинаются проблемы. В результате специалисты по безопасности часто могут принимать меры только постфактум”.

Рой видит еще одно слепое пятно в облачной безопасности во время слияний и поглощений. Он призывает компании проявлять инициативу в таких случаях: “Проведите due diligence, примите это во внимание и убедитесь, что у вас есть правильный план инвестиций в кибербезопасность”.

По словам Скотта Уилера, руководителя облачной практики в Asperitas, с увеличением размера компании возникает меньше ошибок конфигурации облака. По мнению эксперта, это связано прежде всего с надзором со стороны регулирующих органов. Небольшие фирмы, напротив, испытывают огромные проблемы, поскольку у них нет ни персонала, ни необходимых инструментов для управления рисками, связанными с конфигурацией облака, такими как открытые хранилища или веб-сервисы.

“Вся концепция Zero Trust основана на том, что можно ограничить доступ до необходимого минимума. Но на практике это трудно осуществить”, – объясняет Уилер. Часто во время разработки расширяются права доступа, которые не сбрасываются после ввода в эксплуатацию. Самой распространенной ошибкой, которую наблюдает Уилер, являются базы данных или другие облачные активы, которые взаимодействуют через небезопасные частные сети. “Многие из этих сервисов не поддерживают это “из коробки”. Требуется немало усилий, чтобы настроить их таким образом, чтобы исключительно частный сетевой трафик поступал в частные облачные или локальные среды. Это большая проблема, которой часто пользуются киберпреступники”.

И даже если многие поставщики обещают, что ИИ сделает облачную безопасность проще, дешевле и эффективнее: не стоит рассчитывать, что проблемы с конфигурацией облака останутся в прошлом уже завтра. Пройдет еще немало времени, прежде чем агенты ИИ смогут надежно взять это на себя.

9 советов для более безопасной конфигурации облака

Тем не менее, вы можете что-то предпринять против неправильных конфигураций облака. Например:

1. Внедрите многофакторную аутентификацию

MFA следует применять для любой формы облачного доступа, а не только для определенных пользователей.

2. Используйте частные сети для всех сервисов

Настройте базы данных и облачные сервисы так, чтобы они взаимодействовали только через частные сети, а не через общедоступный Интернет.

3. Шифруйте данные

Шифрование данных должно быть включено по умолчанию для всех новых и существующих ресурсов. Ввиду приближающейся квантовой эры компаниям рекомендуется уже сейчас использовать квантово-устойчивые алгоритмы шифрования, чтобы защититься от так называемых атак “Harvest now, decrypt later”.

4. Применяйте контроль доступа с минимальными привилегиями

Предоставление пользователям и системам доступа к как можно меньшему количеству ресурсов является краеугольным камнем современных принципов безопасности Zero Trust. Учетные записи с чрезмерными привилегиями могут быстро привести к потере данных, если ими злоупотребляют.

5. Используйте Infrastructure as Code

Если администраторы или пользователи вносят изменения в конфигурации облака в консолях управления облаком, часто бывает трудно отследить эти изменения – и отменить их, если что-то пойдет не так. Принцип Infrastructure as Code помогает в этом: используйте соответствующие инструменты управления конфигурациями, чтобы проверять, отслеживать и проверять все изменения на основе политик.

6. Непрерывно сканируйте

Недостаточно проверить конфигурации только один раз при первоначальной настройке облачных ресурсов. Компании должны убедиться, что ничего не меняется. Для этого некоторые поставщики облачных услуг предлагают собственные инструменты. Решения из области Cloud Security Posture Management (CSPM) также могут помочь в устранении пробелов или мониторинге мультиоблачных сред.

7. Блокируйте хранилища

Небезопасные Amazon S3-Buckets были очень популярны среди киберпреступников несколько лет назад – и до сих пор являются распространенной проблемой для компаний. Чтобы обеспечить конфиденциальность хранилища по умолчанию, рекомендуется использовать политики Bucket и контроль доступа.

8. Включите ведение журналов и мониторинг

Многие компании отслеживают основные облачные сервисы, однако теневые ИТ часто остаются за бортом. Это скорее не технологическая, а управленческая проблема, которую можно решить за счет улучшения коммуникации с бизнес-подразделениями и более дисциплинированного подхода к развертыванию технологий.

9. Усвойте Security by Design

Интегрируйте безопасность в свою облачную архитектуру с самого начала – всегда намного сложнее модернизировать ее впоследствии. (fm)

Хотите читать другие интересные статьи об ИТ-безопасности? Наша бесплатная рассылка доставит вам все, что нужно знать лицам, принимающим решения в области безопасности, и экспертам, прямо в ваш почтовый ящик.