Как поменялась модель рисков для облачной инфраструктуры на фоне усиления санкций и роста киберугроз? Что можно, а что категорически нельзя выносить в публичное облако? Выделим признаки облачного провайдера, который думает о безопасности своей инфраструктуры и данных клиента.
- Введение
- Защищённость облачной инфраструктуры
- Технологии безопасности облаков и выбор провайдера
- Прогнозы экспертов по развитию облачных сервисов
- Выводы
Введение
Облачные технологии переживают стремительный рост и становятся неотъемлемой частью бизнес-стратегий организаций по всему миру. По мере того как компании всё больше полагаются на облачные решения для хранения критически важных данных и рабочих нагрузок, обеспечение безопасности облачной инфраструктуры становится ключевой задачей.
В эфире AM Live обсудили степень защищённости облачной инфраструктуры, в т. ч. риски, с которыми сталкиваются организации, а также рост доверия к облачным технологиям и трудности по части обеспечения их безопасности. Были рассмотрены роль законодательства и облачных провайдеров в формировании безопасной облачной среды, технологии защиты облаков и то, как выбор правильного провайдера может повлиять на информационную безопасность в облаке. Мы, конечно, поделимся прогнозами экспертов относительно будущего развития облачных технологий.
Рисунок 1. Эксперты отрасли в студии телепроекта AM Live
Спикеры прямого эфира:
- Иван Гузев, руководитель направления облачной безопасности, «МегаФон ПроБизнес»;
- Андрей Давид, руководитель отдела продуктов клиентской безопасности, Selectel;
- Денис Бандалетов, руководитель отдела сетевых технологий, Angara Security;
- Мария Павленко, эксперт по защите виртуальных сред и публичных облаков, «Лаборатория Касперского»;
- Дмитрий Шкуропат, руководитель направления защиты информации, Nubes;
- Роман Ермаков, руководитель направления Security as a Service (SECaaS), MWS;
- Рами Мулейс, менеджер продуктов безопасности, Yandex Cloud.
Ведущий и модератор дискуссии — Илья Шабанов, генеральный директор «АМ Медиа».
Защищённость облачной инфраструктуры
Облака стали неотъемлемой частью современного цифрового мира, предлагая гибкость, масштабируемость и эффективность. Однако наряду со многочисленными преимуществами облачные технологии также несут определённые риски и проблемы по части обеспечения безопасности.
Риски в облачных инфраструктурах
Усиление санкций и растущие киберугрозы, безусловно, оказывают влияние на модели рисков и стратегии развития технологий. Иван Гузев отметил, что в последнее время у компаний вызывает трудности своевременное обновление — в связи с использованием иностранного программного обеспечения в облачных инфраструктурах. Опасения также вызывают атаки, которые постоянно совершенствуются и становятся труднодетектируемыми; кроме того, растёт их число.
Иван Гузев, руководитель направления облачной безопасности, «МегаФон ПроБизнес»
Эксперт Андрей Давид отметил, что сейчас цепочки поставок стали более понятными и прогнозируемыми; несмотря на долгие сроки доставки, компании заблаговременно получают необходимое оборудование и комплектующие. Несомненное преимущество облаков заключается в скорости получения заказчиком нужных ресурсов, так как российские компании могут похвастаться собственной сборкой.
Согласно исследованию, добавил Рами Мулейс, проблемными вопросами при переходе в облако для специалистов по информационной безопасности являются отсутствие экспертизы, трудности при выполнении требований законодательства, отсутствие контроля и прозрачности работы облака. По словам спикера, необходимо делать ставку на собственную разработку продуктов и уделять больше внимания развитию открытого кода (Open Source).
Рами Мулейс, менеджер продуктов безопасности, Yandex Cloud
Роман Ермаков предложил рассмотреть отдельно риски недоступности для облачного провайдера и для его клиентов. В первом случае решения уже найдены, компании научились получать правильные обновления и комплектующие при использовании зарубежных средств, плюс большинство компаний активно применяют отечественные решения. Для клиентов же риски сохраняются, модели угроз остаются прежними.
Дмитрий Шкуропат отметил, что многие компании уделяют большое внимание безопасности своего продукта. Отечественные вендоры стараются сделать средства защиты более доступными как для облачных провайдеров, так и для конечных клиентов.
Дмитрий Шкуропат, руководитель направления защиты информации, Nubes
Рост доверия к облачным технологиям
Доверие к облакам значительно выросло, поделился своим мнением Денис Бандалетов. Это связано с увеличением спроса и заинтересованностью заказчиков получить в аренду ресурсы без затрат на монтаж оборудования и содержание штата сотрудников.
Андрей Давид отметил, что десятки тысяч компаний получают выгоду от использования облачных технологий. Однако есть предприятия, которые в силу технических или регуляторных ограничений не могут внедрить у себя такие инструменты. Именно поэтому им трудно доверять облакам. В то же время уже существуют технологии, которые позволяют применять частное облако. Такие решения находят отклик и постепенно повышают уровень доверия заказчиков.
Рами Мулейс подчеркнул важность обучения в работе с облачными провайдерами. Недостаток базовых знаний может вызывать разрыв между традиционными и облачными подходами.
Рисунок 2. Как вы оцениваете безопасность российских облаков?
Илья Шабанов продемонстрировал результаты опроса, согласно которым в 2024 году стало немного больше тех, кто оценивает безопасность российских облаков как очень высокую либо необходимую и достаточную. Это может указывать на растущее доверие к мерам защиты, принимаемым провайдерами облачных услуг в России.
С другой стороны, доля скептически настроенных респондентов, считающих, что в российских облаках нет никакой безопасности, также выросла — с 9 % до 16 %. Это может отражать растущее понимание важности защиты данных и систем, а также более критическое отношение к существующим практикам обеспечения безопасности. Значительная часть респондентов — 21 % в 2024 году и 34 % в 2023 году — затруднилась оценить уровень безопасности российских облаков.
Илья Шабанов, ведущий и модератор дискуссии, генеральный директор «АМ Медиа»
Сложности при обеспечении безопасности облака
Спикер Денис Бандалетов отметил, что сложности связаны с отсутствием специализированных инструментов и процессов безопасности, а также прозрачности и контроля над облачными ресурсами.
Денис Бандалетов, руководитель отдела сетевых технологий, Angara Security
Облако — это сложная система, которая берёт на себя управление и предоставляет удобные интерфейсы, добавил Андрей Давид. Большие компании могут позволить себе вырастить штат специалистов или нанять их для построения облака внутри компании.
Роман Ермаков обратил внимание на то, что не все отечественные решения способны поддерживать работу с большими объёмами информации. Сложности также связаны с рисками, которые провайдер берёт на себя, и с тем, что в случае падения облака могут пострадать десятки и сотни клиентов.
Роман Ермаков, руководитель направления Security as a Service (SECaaS), MWS
Иван Гузев напомнил, что хотя облачные технологии дают прозрачность и ощущение контроля, это не означает, что данные находятся в каком-то конкретном месте. В целом, доверие к облаку и его безопасности зависит от профессионализма специалистов, которые развёртывают его и управляют им.
Законодательство и облачные провайдеры
На сегодняшний день существует большое количество регуляторных требований по информационной безопасности, отметил Иван Гузев, и провайдеры уже научились грамотно их применять. Законодательных норм для работы облаков пока не разработано; спикер выразил надежду на урегулирование вопросов связанных с разрешением использовать сервисы третьей стороны. Регуляторы должны адаптировать свои требования к использованию сервисов третьих сторон, чтобы доверие к облакам возросло.
Денис Бандалетов добавил, что в настоящее время нет доверенной среды аудиторов или ассоциаций, которые занимаются облачными технологиями. Отсутствие стандартов и требований может привести к проблемам при регуляторных проверках и к сомнениям клиентов в безопасности облаков. В будущем, возможно, появятся ассоциации или стандарты, которые будут создавать доверие к облачным сервисам.
Рисунок 3. Как в идеале должна быть организована безопасность вашей инфраструктуры в публичном облаке?
По данным опроса зрителей телеэфира AM Live, значительная часть опрошенных (38 %) предпочитают комбинированный подход, используя средства безопасности от провайдера облака в сочетании с собственными наложенными средствами защиты. Ещё 32 % респондентов выбрали вариант, при котором безопасность инфраструктуры облака обеспечивается провайдером, а при необходимости используются дополнительные сервисы от него же. 15 % полагаются на провайдера облака, считая, что он должен нести полную ответственность за безопасность облака и размещённых в нём систем.
Технологии безопасности облаков и выбор провайдера
Обеспечение безопасности облачной инфраструктуры является критически важной задачей. (Сборник советов и практических рекомендаций по актуальным задачам и проблемам вы можете найти в нашей подборке о существующих решениях по обеспечению ИБ.) Какова роль облачного провайдера в обеспечении информационной безопасности? Какие ключевые технологии и методы защиты данных в облаке существуют?
Информационная безопасность в облаке
Обеспечение высокого уровня безопасности провайдером извне никак не может быть сравнимо по стоимости с простым предоставлением ресурсов, отметил Денис Бандалетов. В связи с этим заказчику, который хочет получить качественную и максимально безопасную услугу, нужно быть готовым вкладывать больше средств или брать в аренду мощности, которые не так хорошо защищены.
Андрей Давид не согласился с этим и сказал, что у провайдера есть большое преимущество — масштабность. Благодаря этому появляется возможность один раз нанять лучших специалистов и построить качественную систему защиты.
Андрей Давид, руководитель отдела продуктов клиентской безопасности, Selectel
Илья Шабанов задал вопрос: а как определить, насколько серьезно облачный провайдер занимается обеспечением информационной безопасности?
Со стороны клиента предложил взглянуть на эту тему Дмитрий Шкуропат: в первую очередь потребителю необходимо убедиться в наличии сертификатов и аттестатов на предоставляемые услуги. Подтверждающие документы могут быть как отечественными, так и зарубежными. Они показывают, что компания заботится о безопасности, работает в этом направлении и хочет обладать конкурентным преимуществом перед другими.
Роман Ермаков отметил, что построение системы не всегда может начинаться с «бумажной» безопасности. На практике хорошо применим подход, при котором архитектура сначала полностью выстраивается, а потом проверяется на соответствие всем необходимым стандартам и нормам.
Своим опытом общения с заказчиками поделился Рами Мулейс. Он отметил, что клиенты в последнее время всё чаще обращают внимание на автоматизированный контроль действий сотрудников, чтобы видеть, кто и когда получил доступ к информации. Кроме того, необходимы правильно выстроенные и понятные механизмы реагирования на инциденты (о самых громких российских ИБ-инцидентах 2023 года читайте на нашей платформе) и проведения аудитов.
Клиенты хотят видеть кейсы из смежной отрасли, отметил Андрей Давид. Важно, чтобы у поставщика был опыт работы в запрашиваемой сфере.
Рисунок 4. Какую роль в вашей компании играет департамент ИБ при выборе поставщика облачной ИТ-инфраструктуры?
По данным опроса, большинство респондентов (46 %) сообщают, что департамент ИБ играет важную роль в процессе принятия решений, помогая в выборе поставщика, но последнее слово остаётся за департаментом ИТ. Это указывает на сотрудничество и взаимное влияние двух департаментов, где экспертиза ИБ ценится при выборе безопасных и надёжных решений.
В 13 % случаев департамент ИБ сам принимает окончательное решение при выборе поставщика облачной ИТ-инфраструктуры. Ещё 8 % респондентов сообщили, что в их компаниях функции департаментов ИТ и ИБ объединены и решение принимает директор по ИТ, учитывая как технические, так и связанные с безопасностью аспекты. Это интегрированный подход, обеспечивающий эффективную координацию между двумя критически важными областями.
В то же время почти треть опрошенных заявили, что затрудняются ответить на вопрос, поскольку их компании не используют облачных технологий.
Роль облачного провайдера
Наличие собственного центра мониторинга (SOC) у облачного провайдера очень важно для клиента, отметил Роман Ермаков. Оно является одним из главных показателей зрелости компании в области информационной безопасности.
Что же необходимо узнать у провайдера, чтобы убедиться в зрелости платформы? Отчёт по пентесту и возможность проведения аудита, по мнению Рами Мулейса, являются важными для дальнейшей работы с поставщиком.
Андрей Давид отметил, что для многих компаний необходимостью является резервное копирование, так же как и контроль изменений в целях обеспечения информационной безопасности. Однако важно помнить о том, что резервное копирование не является средством защиты информации, а скорее служит частью процесса по обеспечению сохранности важных данных. Эксперт добавил также, что клиенты ожидают от провайдеров бесплатных сервисов по безопасности, таких как межсетевое экранирование, мониторинг открытых портов и защита от DDoS-атак.
Рами Мулейс добавил, что провайдеры предлагают услуги аудита и контроля доступа, но не всегда хватает сервисов учитывающих специфику облака.
Для обеспечения физической безопасности облаков и минимизации рисков утечки информации необходимо проводить занятия, тренинги с сотрудниками в целях повышения их общей осведомлённости, подчеркнула Мария Павленко. Также стоит учитывать риски связанные с работой соседних компаний и их влиянием на безопасность облака.
Рисунок 5. Какого сервиса по безопасности вы ожидаете от облачного провайдера в первую очередь?
Результаты опроса выявили интересные тенденции и предпочтения пользователей в отношении сервисов по безопасности. Значительная часть респондентов (27 %) ожидают, что провайдер предоставит им всю инфраструктурную безопасность «под ключ». Также многие считают приоритетными услуги по сетевому экранированию веб-приложений и защите от DDoS-атак, что подчёркивает значимость непрерывности работы в условиях потенциальных киберугроз.
Интересно отметить, что 18 % опрошенных выбрали вариант «Мониторинг и обнаружение кибератак», демонстрируя, что осознают необходимость раннего выявления потенциальных угроз. Ещё столько же выбрали вариант «Другое», что указывает на разнообразие потребностей и ожиданий в области безопасности среди пользователей.
Прогнозы экспертов по развитию облачных сервисов
Эксперты отмечают следующие основные тенденции развития облачных сервисов.
Иван Гузев уверен, что облачный рынок активно развивается несмотря на страхи потребителей, санкции и другие проблемы. Потенциальным заказчикам следует обратить внимание на новую функциональность российских сервисов, которые обеспечивают хороший уровень защищённости.
В последнее время наблюдаются и будут только расти популярность направления по защите приложений (Application Security) и его влияние на облачные сервисы. Кроме того, клиенты будут всё чаще запрашивать специализированные средства защиты информации в облачной инфраструктуре, считает эксперт Роман Ермаков.
Мария Павленко отметила, что облака становятся более доступными и понятными для пользователей. В ближайшем будущем облачные технологии должны стать более востребованными, что значительно снизит их стоимость.
Мария Павленко, эксперт по защите виртуальных сред и публичных облаков, «Лаборатория Касперского»
Эксперт Дмитрий Шкуропат прогнозирует, что будет и дальше развиваться импортозамещение, облако станет ещё более доступным широкому кругу пользователей. Облачные технологии будут более понятными, простыми и прозрачными в работе с точки зрения потребителя.
Андрей Давид выступает за популяризацию облака как безопасной инфраструктуры, развитие существующих сервисов и создание новых. В ближайшее время инвестиции будут направлены на обучение пользователей, создание порталов, где можно узнать об обеспечении информационной безопасности облака. (Не так давно одна из статей на нашем сайте была посвящена важной теме обучения информационной безопасности.) Сотням и даже тысячам команд, разрабатывающим продукты для импортозамещения, будут необходимы провайдеры, которые смогут предоставить инфраструктуру для безопасной разработки такого рода приложений и дальнейшего их запуска в публичном или частном облаке.
Денис Бандалетов отметил, что зачастую переход в облако затрудняется несовместимостью с решениями по безопасности. Однако провайдеры уже работают в этом направлении и скоро на рынке будут универсальные решения. Стоит также учитывать, что промышленные компании могут не согласиться на переход в облака из-за их специфики и требований к скорости взаимодействия.
Рами Мулейс добавил, что промышленный сектор уже внедряет облачные технологии, но с некоторыми ограничениями. Велик потенциал использования искусственного интеллекта в облаках для обнаружения угроз и принятия решений.
Рисунок 6. Каково ваше мнение о безопасности российских облаков после эфира?
В 2024 году после просмотра эфира очень многие отметили, что убедились в безопасности облачных технологий, в то время как среди зрителей прошлогоднего эфира таких было всего 17 %. Как следствие, 44 % респондентов в 2023 году и всего 15 % сейчас заявили, что спикеры не смогли их убедить в безопасности облаков.
Выводы
Облачные технологии продолжают набирать популярность, организации всё чаще доверяют им свои критически важные данные и рабочие нагрузки. По мере роста облачных сервисов обеспечение безопасности облачной инфраструктуры становится всё более важной задачей.
Безусловно, существуют риски, с которыми сталкиваются облачные среды, включая угрозы конфиденциальности данных и потенциальные сбои. Однако нельзя не отметить рост доверия к облачным технологиям, несмотря на некоторые сложности, связанные с обеспечением их безопасности. Организации должны тщательно выбирать облачного провайдера, учитывая его возможности в области информационной безопасности.
Эксперты прогнозируют дальнейший рост и развитие облачных сервисов, подчёркивая необходимость проактивного подхода к безопасности в облаке. Защита данных и инфраструктуры в облаке зависит от многих факторов, включая надёжность облачного провайдера, использование передовых технологий безопасности, соответствие нормативным требованиям и постоянное обновление систем.
Организации должны инвестировать в технологии безопасности облаков, следовать передовым практикам и тесно сотрудничать с облачными провайдерами, чтобы защитить свои данные и приложения. Только тогда они смогут в полной мере воспользоваться преимуществами облачных технологий, не жертвуя при этом безопасностью.
Телепроект AM Live еженедельно собирает экспертов отрасли в студии для обсуждения актуальных тем российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
