Журнал "Information Security/ Информационная безопасность" #2, 2024

Сервисы облачных вычислений как часть большой удаленной среды стали неотъемлемой составляющей цифровой трансформации. Широкое распростра- нение сейчас получила концепция пре- доставления информационных услуг внешним подрядчикам. Облачные плат- формы предлагают гибкость и удобство как для отдельных пользователей, так и для целых компаний, перенося часть ответственности за сервис на постав- щиков ИТ-услуг. Это приводит к повы- шению качества этих услуг и снижению нагрузки на внутренние ресурсы. Вместе с экспертами компании "АйТи Бастион" разберемся, что представляют из себя мультиоблачные среды, возник- шие на основе облачных сервисов, како- вы принципы безопасного построения мультиоблака и как обеспечить без- опасный доступ к его ресурсам. Выбор в пользу мультиоблака Бизнес делает выбор в пользу облач- ных сервисов преимущественно из-за их гибкости, простоты использования и возможностей масштабирования. Однако часто один провайдер не может удовлетворить все целевые потребности компании по всем необходимым серви- сам. Это приводит к концепции муль- тиоблака, объединяющего различные облачные сервисы и предоставляющего единый интерфейс для пользователей. Важным аспектом здесь является сокра- щение зависимости от одного провай- дера и обеспечение отказоустойчивости и доступности сервисов. Одна из основных проблем мультиоб- лака – обеспечение интеграции и аутен- тификации между различными облака- ми, а также обеспечение безопасного доступа к сервисам. При построении мультиоблака следует опираться на сле- дующие принципы. 1. Автономность облачных сервисов. Несмотря на объединение в мультиоб- лако, каждый сервис остается автоном- ным. Это важно учитывать при управле- нии данными, миграции и перемещении рабочих нагрузок. 2. Ответственность за безопасность. Физическая безопасность и функциони- рование среды ЦОД в основном лежат на провайдерах облачных услуг, но защита данных и другие аспекты без- опасности чаще всего зависят от сотруд- ников компании. 3. Средства защиты. Необходимо использовать системы анализа угроз, мониторинга, предотвращения вторже- ний, средства шифрования, а также стандартные методы обеспечения без- опасности – микросегментацию и прин- ципы минимальных прав доступа. 4. Риски безопасности. Они включают потерю видимости между сервисами, нарушение требований регуляторов, угрозы изнутри, неправильную конфи- гурацию, программные проблемы и недо- статочную стратегию безопасности. 5. Выбор подхода. Он зависит от мно- жества факторов, в том числе от воз- можностей компании и формата раз- граничения ответственности между ней и провайдером, также выбора между разными моделями предоставления облачных услуг: SaaS, PaaS, IaaS или же локальным ЦОД. Чем защищать мультиоблако? Проблема защищенного доступа к мультиоблаку и аутентификации также является ключевой при построении муль- тиоблачной системы. В этом смысле необходимо учитывать следующие нема- ловажные моменты: 1. Защищенные каналы связи. Для обеспечения безопасного доступа к ресурсам мультиоблака рекомендуется использовать шифрованные туннели к каждому облаку, позволяющие объ- единить различные среды в единое про- странство. 2. Аутентификация пользователя. Важно учитывать расположение поль- зователя относительно защищенного периметра компании и применять мно- гофакторную аутентификацию для обес- печения безопасного доступа. 3. Криптостойкие алгоритмы. Аутен- тификация пользователей должна осу- ществляться с использованием крипто- стойких алгоритмов шифрования для обеспечения безопасности данных. 4. Системы класса IdM (Identity Mana- gement). Системы управления иденти- фикацией и ролями пользователей поз- воляют автоматизировать процессы получения доступа, управления правами и контролировать доступ пользователей к ресурсам. 5. Системы IAM и PAM. Системы управ- ления идентификацией и доступом IAM (Identity and Access Management) сосре- дотачиваются на централизованной аутентификации и управлении учетными данными, в то время как системы управ- ления привилегированным доступом PAM (Privileged Access Management) обес- печивают контроль пользователей с осо- быми правами и фиксируют их действия в системе. Таким образом, выбор подходящих систем зависит от потребностей бизнеса и требований безопасности. Но очевидно то, что все эти инструменты позволяют эффективно управлять доступом поль- зователей к ресурсам мультиоблака. Заключение Внедрение мультиоблачной инфра- структуры представляет собой логичный и эффективный шаг для быстрого мас- штабирования и снижения затрат на ресурсы. Однако чем сложнее архитек- тура решения, тем больше требуется ресурсов на обеспечение ее безопасно- сти, поскольку речь все же идет про возможности удаленной работы. Важно уделить внимание не только общей без- опасности мультиоблачной среды, но и выстраиванию процессов аутентифи- кации внутри нее. Применение суще- ствующих практик и продуктов для аутен- тификации пользователей, их управле- ния и контроля, а также использование дополнительных средств контроля и мониторинга являются важными шага- ми для обеспечения безопасности кри- тически важных элементов информа- ционной системы. l 18 • СПЕЦПРОЕКТ Мультиоблако и его безопасность Ваше мнение и вопросы присылайте по адресу is@groteck.ru Основная задача мультиоблака – предоставить каче- ственное решение для пользователей при повышенном уровне резервирования и отказоустойчивости, минимизируя при этом зависимость от одного провайдера и финансовую нагрузку на компанию. Однако полный отказ от внутренней инфраструктуры редко возможен, поэтому частные облака включаются в состав мультиоблака. Важно учитывать также обеспечение интеграции ИТ-систем между разными облаками и создание единых механизмов аутентификации для обеспечения информационной безопасности мультиоблачных сред. Переход бизнеса на мультиоблачную инфраструктуру является эффективным решением для масштабирования и снижения затрат на ресурсы, разумеется, при должном внимании в сторону правильных ИБ-инструментов для поддержания и обеспечения безопасности усложнившейся архитектуры. Константин Родин, руководитель отдела развития продуктов компании “АйТи Бастион” Комментарий эксперта На правах рекламы