Облачное хранилище белогривые лошадки или черт в табакерке

Для миграции в новое ИТ-окружение, такое как облако, следует уделять серьезное внимание безопасности этого окружения. Если неизвестно, на каком оборудовании лежат наши личные данные в данный момент времени, откуда мы знаем, что это безопасно?

Поскольку “облачная” популярность растет, проблема безопасности становится особенно серьезной . Различные организации и школы используют сервис от Google, а многие юзеры применяют в своей работе Dropbox, Amazon Drive, Microsoft OneDrive. Да тот же FaceApp: вы задумывались, на какие облака уходят ваши фото, и где могут использоваться впоследствии?

Рассмотрим слабые и потенциально небезопасные места в облачном направлении, чтобы понимать, насколько все плохо, и с какой стороны ждать “новостей”.

Кому же доверить свой ключ?

Только сервису, на котором лежит ваша информация. Большинство из них сохраняют ключ самостоятельно, позволяя своим системам просматривать, обрабатывать и индексировать пользовательские данные для облегчения поиска.

Эти сервисы получают доступ к ключу, когда пользователь логинится, чтобы расшифровать данные. Это удобнее и секьюрнее, чем доверить юзеру хранение своего ключа. Само собой, что нет абсолютно безопасного метода, но нужно максимально исключать из цепочки человеческий фактор.

Облачное хранилище: белогривые лошадки или черт в табакерке?

Фаерволы – основа технической безопасности любой сети, в том числе в облаке. Это аппаратная или программная система, которая применяет правила ко всему трафику, проходящему через сеть.

Данные, передаваемые в/из нее, проверяются и фильтруются брандмауэром на базе правил, исключающих подозрительный трафик. Это обеспечивает сетевой барьер между системами в датацентре. Правила фаервола должны быть адаптированы под актуальные угрозы и поддерживать безопасность.

Помимо брандмауэра, облака обычно защищены другими инструментами, обеспечивающими защиту от вредоносных программ, мониторинг целостности и логирование. Все это должно работать слаженно.

Облачное хранилище: белогривые лошадки или черт в табакерке?

Некоторые облачные сервисы требуют от пользователей загружать и скачивать файлы через приложения собственной разработки, включающие функции шифрования. Этот “защитный” механизм позволяет пользователям самостоятельно сохранять ключи шифрования и заставляет отказаться от некоторых функций, таких как поиск.

Механизм не идеален: есть вероятность, что приложение будет скомпрометировано или взломано, позволяя злоумышленнику читать файлы либо до их шифрования перед загрузкой, либо после загрузки и расшифровки. И, конечно же, если юзер теряет пароль, данные более не вернуть.

Новые разработки предлагают хранить фотографии с телефона в зашифрованном виде с момента их получения и до окончания передачи в облако. Могут появиться и другие похожие сервисы, но пользователи должны быть настороже в течение нескольких минут после того, как снимок сделан, и до того, как он будет зашифрован и сохранен.

Облачное хранилище: белогривые лошадки или черт в табакерке?

Distributed denial of service (DDoS) атаки – являются дорогостоящими, разрушительными и могут повлиять на любой размер бизнеса в любой отрасли. Они представляют собой поток трафика, направленного на определенный элемент в сети с целью перегрузки до такой степени, что он перестает функционировать должным образом. Защита от этих атак:

  • надежная инфраструктура сервис-провайдера с сетью географически распределенных точек присутствия;
  • перенаправление трафика от узких мест и разделение его между центрами обработки данных.

На данный момент избыточность в ЦОД-ах встроена в сеть далеко не у всех провайдеров и далеко не через максимально возможное количество поставщиков. Пограничная защита на уровне облака (сокрытие IP-адреса и местоположения истинного сервера) помогает смягчить вероятность нападения, но и это не всегда используется.

Облачное хранилище: белогривые лошадки или черт в табакерке?

Чтобы максимально повысить безопасность облачных хранилищ, лучше всего сочетать функции различных подходов. Перед загрузкой данных в облако сначала зашифруйте их с помощью любого ПО для шифрования. Затем уже грузите закодированный файл в облако. Чтобы снова получить доступ к файлу, залогиньтесь на сервисе, загрузите и расшифруйте его самостоятельно.

Лучший способ защититься – использовать подлинное шифрование. Этот метод хранит не только зашифрованный файл, но и дополнительные метаданные, позволяющие юзеру определить, был ли файл изменен с момента создания.

Если не хотите кодить свои собственные инструменты, есть два варианта:

  1. Найти облачное хранилище с надежным опенсорсным загрузчиком, проверенное независимыми безопасниками.
  2. Использовать надежное опенсорсное ПО для шифрования данных перед их загрузкой в облако.

Оба варианта доступны для всех ОС.

Исходя из вышесказанного:

  • Необходимо свести к минимуму использование облаков для хранения важных данных.
  • Защита информации – это прямая обязанность пользователя.
  • Использование облачного хранилища основано на доверии. Если доверие пропало или есть какие-либо подозрения – хранит данные в другом месте.
  • Всегда шифруйте информацию перед ее размещением на просторах сети.

Нужно тщательно взвешивать риски при рассмотрении облака в качестве “файлопомойки”. Если вы поместили в хранилище файлик с паролями, секретные фото или важные документы, а сервис взломали, то пеняйте только на себя: зачастую никаких договоров нет, оплаты услуг нет, и безопасности тоже нет.