Для миграции в новое ИТ-окружение, такое как облако, следует уделять серьезное внимание безопасности этого окружения. Если неизвестно, на каком оборудовании лежат наши личные данные в данный момент времени, откуда мы знаем, что это безопасно?
Поскольку “облачная” популярность растет, проблема безопасности становится особенно серьезной . Различные организации и школы используют сервис от Google, а многие юзеры применяют в своей работе Dropbox, Amazon Drive, Microsoft OneDrive. Да тот же FaceApp: вы задумывались, на какие облака уходят ваши фото, и где могут использоваться впоследствии?
Рассмотрим слабые и потенциально небезопасные места в облачном направлении, чтобы понимать, насколько все плохо, и с какой стороны ждать “новостей”.
Кому же доверить свой ключ?
Только сервису, на котором лежит ваша информация. Большинство из них сохраняют ключ самостоятельно, позволяя своим системам просматривать, обрабатывать и индексировать пользовательские данные для облегчения поиска.
Эти сервисы получают доступ к ключу, когда пользователь логинится, чтобы расшифровать данные. Это удобнее и секьюрнее, чем доверить юзеру хранение своего ключа. Само собой, что нет абсолютно безопасного метода, но нужно максимально исключать из цепочки человеческий фактор.
Фаерволы – основа технической безопасности любой сети, в том числе в облаке. Это аппаратная или программная система, которая применяет правила ко всему трафику, проходящему через сеть.
Данные, передаваемые в/из нее, проверяются и фильтруются брандмауэром на базе правил, исключающих подозрительный трафик. Это обеспечивает сетевой барьер между системами в датацентре. Правила фаервола должны быть адаптированы под актуальные угрозы и поддерживать безопасность.
Помимо брандмауэра, облака обычно защищены другими инструментами, обеспечивающими защиту от вредоносных программ, мониторинг целостности и логирование. Все это должно работать слаженно.
Некоторые облачные сервисы требуют от пользователей загружать и скачивать файлы через приложения собственной разработки, включающие функции шифрования. Этот “защитный” механизм позволяет пользователям самостоятельно сохранять ключи шифрования и заставляет отказаться от некоторых функций, таких как поиск.
Механизм не идеален: есть вероятность, что приложение будет скомпрометировано или взломано, позволяя злоумышленнику читать файлы либо до их шифрования перед загрузкой, либо после загрузки и расшифровки. И, конечно же, если юзер теряет пароль, данные более не вернуть.
Новые разработки предлагают хранить фотографии с телефона в зашифрованном виде с момента их получения и до окончания передачи в облако. Могут появиться и другие похожие сервисы, но пользователи должны быть настороже в течение нескольких минут после того, как снимок сделан, и до того, как он будет зашифрован и сохранен.
Distributed denial of service (DDoS) атаки – являются дорогостоящими, разрушительными и могут повлиять на любой размер бизнеса в любой отрасли. Они представляют собой поток трафика, направленного на определенный элемент в сети с целью перегрузки до такой степени, что он перестает функционировать должным образом. Защита от этих атак:
- надежная инфраструктура сервис-провайдера с сетью географически распределенных точек присутствия;
- перенаправление трафика от узких мест и разделение его между центрами обработки данных.
На данный момент избыточность в ЦОД-ах встроена в сеть далеко не у всех провайдеров и далеко не через максимально возможное количество поставщиков. Пограничная защита на уровне облака (сокрытие IP-адреса и местоположения истинного сервера) помогает смягчить вероятность нападения, но и это не всегда используется.
Чтобы максимально повысить безопасность облачных хранилищ, лучше всего сочетать функции различных подходов. Перед загрузкой данных в облако сначала зашифруйте их с помощью любого ПО для шифрования. Затем уже грузите закодированный файл в облако. Чтобы снова получить доступ к файлу, залогиньтесь на сервисе, загрузите и расшифруйте его самостоятельно.
Лучший способ защититься – использовать подлинное шифрование. Этот метод хранит не только зашифрованный файл, но и дополнительные метаданные, позволяющие юзеру определить, был ли файл изменен с момента создания.
Если не хотите кодить свои собственные инструменты, есть два варианта:
- Найти облачное хранилище с надежным опенсорсным загрузчиком, проверенное независимыми безопасниками.
- Использовать надежное опенсорсное ПО для шифрования данных перед их загрузкой в облако.
Оба варианта доступны для всех ОС.
Исходя из вышесказанного:
- Необходимо свести к минимуму использование облаков для хранения важных данных.
- Защита информации – это прямая обязанность пользователя.
- Использование облачного хранилища основано на доверии. Если доверие пропало или есть какие-либо подозрения – хранит данные в другом месте.
- Всегда шифруйте информацию перед ее размещением на просторах сети.
Нужно тщательно взвешивать риски при рассмотрении облака в качестве “файлопомойки”. Если вы поместили в хранилище файлик с паролями, секретные фото или важные документы, а сервис взломали, то пеняйте только на себя: зачастую никаких договоров нет, оплаты услуг нет, и безопасности тоже нет.