Типичные вызовы ИБ-плана при развертывании ИТ-систем в облаках.

При любом переносе ИС из локальной среды в облако встает задача обеспечения защиты подключения. Требуется полный анализ всех видов доступа к cloud-инфраструктуре, от панели администрирования до виртуальных серверов.

Лучший подход – использование VPN с актуальными и криптостойкими алгоритмами шифрования с двухфакторной аутентификацией, а также с использованием «проброшенных» (специально зарезервированных для определенной задачи) портов.

Выбор VPN и сценария его применения зависит от ряда факторов. Традиционно клиент облачного провайдера может применять абсолютно любые VPN-продукты, поскольку меры безопасности он определяет самостоятельно. Однако есть несколько нюансов.

Например, если персональные данные передаются по открытым каналам связи и актуальны угрозы, связанные с перехватом, то нейтрализовать их получится, скорее всего, только средствами криптографии. VPN уже недостаточно.

Если в облачной инфраструктуре расположена государственная информсистема (ГИС) – потребуется задействовать сертифицированные средства криптографии и т.д.

Один из стандартов в сфере ИБ – модель «нулевого доверия». Подход предполагает трактовку любого контакта защищаемых ИС с внешними ИТ-ресурсами и сетями как потенциальную опасность.

От традиционных моделей периметра безопасности отрасль постепенно отходит. Сегодня в равном объеме используются и локальный, и удаленный доступ к ИТ-системам, а это размывает традиционный ИТ-периметр компании.

Но полного отказа от периметровой парадигмы не происходит. Лучшие практики здесь – совмещение стандартных средств периметровой ИБ и элементов модели «нулевого доверия».

Сегодня актуальны различные инструменты для шифрования информации, передаваемой по каналам связи, и статичных данных, которые хранятся на сервере. Подбор подобных инструментов и паттерны их использования должны определяться политикой или стандартами по применению средств шифрования.

Это позволит лучше понять потребности и подобрать оптимальные инструменты, не переплачивая за избыточную функциональность, или наоборот, не закрывая серьезную задачу решением начального уровня. Даже самые продвинутые и дорогие криптоинструменты не решают задачу ИБ сами по себе: они лишь один из элементов системы, а не панацея.

Сегодня в качестве в ИБ актуальны решения типа Unified Threat Management (UTM) и Next Generation Firewall (NGFW). Их основная характеристика – сочетание функций межсетевого экранирования, защиты от вредоносного ПО и контентной фильтрации.

Такая многофункциональность позволяет решать задачи безопасности комплексно, согласно парадигме управляемых ИБ-сервисов по модели MSSP (Management Security Service Provider), когда определенный объем ИБ-мер из вашей зоны ответственности передается облачному провайдеру. Как правило, эта услуга оформляется и тарифицируется отдельно от IaaS.

MSSP используется в случае дефицита ресурсов информационной безопасности в компании и позволяет передать весь жизненный цикл ИБ-сервиса провайдеру: от установки и настройки инструмента защиты, до его администрирования и мониторинга работы.

Как облако для ИБ-задач работает на практике – рассмотрим на примере персональных данных (ПДн). Все факторы обеспечения безопасной работы с ПДн делятся на три базовых группы:

- прямые финансовые затраты на приобретение ИТ-оборудования и софта, а также средства ИБ и сетевые компоненты;

- кадровые издержки – штат компетентных сотрудников, ответственных за выполнение всех задач, связанных с ПДн;

- временные ресурсы для достижения нужного результата. Этот компонент выражается в показателе Full Time Equivalent (FTE) – эквивалент, определяющий уровень вовлеченности работников в трудовой процесс, где 1 – полная занятость.

С точки зрения технического обеспечения защита ПДн в облаке выигрывает за явным преимуществом. Прямых затрат бизнес не несет – все необходимые средства защиты уже включены в cloud-сервис. В облаке для бизнеса нет затрат на инженерные системы жизнеобеспечения серверных компонентов: источники бесперебойного питания, системы кондиционирования воздуха.

Если спуститься еще глубже на уровень ИБ, то при миграции ПДн в облако отпадает необходимость тратиться на антивирусные средства и межсетевые экраны, хранение данных и средства анализа защищенности. Все это, как правило, реализовано в облачной услуге обработки ПД согласно закону «О персональных данных».

Для ИТ-специалистов при модели самостоятельной защиты ПДн характерен показатель FTE на уровне 0,5, но после переезда в облако он падает в среднем до 0,17. То есть, профильные специалисты тратят в три раза меньше времени на ПДн-задачи, по сравнению со схемой самостоятельного обеспечения их защиты на локальных ИТ-ресурсах компании.

Источник: VC.ru