Збираєтесь в хмари? Візьміть із собою парашут

Хмарні ІТ-сервіси не такі безпечні, як здається. Три зони ризику, на які важливо звернути увагу, щоб захистити свій бізнес.

Тобі здається, що все стабільно, але це не так. Це лише ілюзія. Ти думаєш у тебе під ногами твердий ґрунт, але насправді це – хмари. А хмари можуть розтанути в будь-який момент.

Алекс Шерер, «Мисливці за хмарами»

Чому хмари? В 1994 році вперше з’явилась діаграма, на якій комп’ютерні інженери позначили у вигляді хмарки кластер послуг, які можна було б передавати за допомогою інтернету. Це був образ, яким вони окреслили все те, що відбувалось десь ще і, по суті, не було їх проблемою. Якщо така версія буде здаватись Вам дивною, та у підручнику з програмної інженерії за 2016 рік, що написав Сергій Орлов, все звучить цілком офіційно: «Віртуалізація означає приховування справжньої реалізації будь-якого процесу або об’єкта від істинного його представлення користувачеві». Таким чином, послуги по зберіганню і обробці даних, включаючи канали зв’язку, додатки та інші сервіси, надаються користувачеві в хмарі під девізом «Це не Ваша проблема». Надання обчислювальних ресурсів у вигляді інтернет-сервісу залишає за кадром їх фізичну реалізацію: користувач не знає і не контролює, за допомогою яких серверів, мереж, операційних систем все відбувається, куди йде інформація і де вона зберігається.

Всі ми в тій чи іншій мірі вже відчули на собі красу хмарних технологій: вони доступні, мобільні та можуть масштабуватись. Постраждалі користувачі хмар часто залишаються непоміченими для іншого населення земної кулі. Але ціна, яку вони заплатили, завжди несподівано висока. Один із недавніх прикладів – блог Дениса Купера. Більше 14 років щоденної роботи – блог, рецензії, книга та поштове листування – все зникло безслідно без пояснень. Тільки під двомісячним напором гнівних листівок і петицій від багаточисленних фанів, а також статей в таких виданнях, як  The New Yorker, Pen America, The Guardian, представники Google почали переговори з адвокатом Купера. В результаті в Google погодились відкрити блог письменника на новому домені, а також розміщувати на новому сайті старі пости після цензури.

Контроль

Зниклий блог Дениса Купера ілюструє головний недолік хмарних технологій – повна залежність користувачів від монопольного провайдера. І я маю на увазі не тільки постійне зростання платежів, перехід на дорожчі тарифні плани, оплату з розрахунку споживання трафіку, оновлення, що неможливо контролювати та інші речі, включаючи «дрібний шрифт». Будь-які дані, що були довірені хмарним технологіям, можуть бути видалені, обрізані чи піддані цензурі в результаті змін політики компанії.

Раз вже ми заговорили про Google, розглянемо проблему на прикладі цього домінуючого провайдера сервісів з найкращою репутацією в США. В 2011 році він без попередження заблокував доступ до служби пошуку архіву новин  (Google News Archives) з відсканованими копіями 60 млн. газет, що випустили за останні два сторіччя. В результаті ряду змін стали непридатними для дослідницької роботи Google Groups, так як втратили функцію пошуку за датою. А рік назад Google приголомшили новиною про те, що сервіс Blogger, що зберігав публікації своїх авторів з 1991 року, починає блокувати контент для дорослих, так що «особисті фотографії чи відеоролики, що зображують наготу або мають відверто сексуальний характер» будуть видалятись. В 2016 році закрились фотохостинг Picasa і Google Cloud Connect, які обслуговували мільйони користувачів більше десятка років.

Річард Столман, засновник GNU, автор Emacs, GCC та концепції копілефта, схожу, що був правий, коли в 2008-му попереджав в своєму інтерв’ю  The Guardian: «Хмарні сервіси – це пастка. Робіть власні обчислення на особистому комп’ютері зі своєю копією вільної програми. Якщо ви використовуєте пропрієтарну програму чи чужий веб-сервер, ви беззахисні. Ви потрапляєте в повне рабство до власників цієї системи».

Збереження даних

Дані в хмарах фізично зберігаються на мільйонах серверів в центрах обробки даних (ЦОД). Відповідно, у будь-якого провайдера з самим сучасним обладнанням може статись стандартний набір проблем, пов’язаних з підключенням до інтернету: перебої з електрикою, стихійні лиха, перебої з доступом, кібератаки. Враховуючи завантаженість хмарних сховищ, логічно припустити, що з ростом кількості користувачів ризики тільки зростають. Повернемося до прикладу з Google: 13 серпня 2015 року чотири блискавки підряд влучили в той самий ЦОД, що знаходиться в Берліні.

У хмарних провайдерів, як і в будь-якій іншій компанії, трапляються і недобросовісні працівники, і фінансові проблеми: від цього ніхто не застрахований. Біля чотирьох провайдерів в рік просто йдуть з бізнесу – а разом з ними йдуть і наші дані.

У власників хмарних сервісів є технічні ресурси, що дозволяють забезпечити надійність не гірше, ніж у традиційного хостингу. Найбільш великі провайдери управляють величезною кількістю серверів, наприклад, у Google їх більше мільйона. Це дає можливість правильно розподіляти ресурси по безлічі серверів в різних регіонах. Однак, як правило, процедура back-up в хмарах зводиться до елементарного створення копії даних в тому ж боксі, в тій же кімнаті, що навряд чи допоможе у випадку пожежі, землетрусу чи будь-якої подібної напасті. Такі ж висновки були зроблені після скандального обвалення Amazon, коли аварія в одному ЦОД спричинила за собою відмову в роботі розміщених в ньому сервісів.

Особливу загрозу для користувачів хмар представляють кібератаки. Власне, залишаючи будь-які відомості в інтернеті, потрібно бути готовим до того, що вони можуть просочитися в чужі руки – зловмисно або випадково. Марк Цукерберг (СЕО Facebook), Джек Дорсі (CEO Twitter) та Дік Костоло (колишній глава Twitter) в числі тих, чиї облікові записи зламали в соцмережах, а таких сьогодні кожний десятий користувач. Вартість витоку даних, згідно останніх досліджень Ponemone Institute, прирівнюється $7 млн. за інцидент. Найдорожче обходиться втрата довіри клієнтів, які, як відомо, голосують ногами.

Конфіденційність

Ми не можемо гарантувати збереженість даних, також ми не можемо бути впевнені, що ці дані за нашою командою із хмарного сховища вчасно видаляться. Провайдер не дає такої гарантії. Видалення проводиться за принципом garbage collection (збір сміття). Спочатку дані відмічаються (mark) як призначені для видалення і тільки потім видаляються (sweep), і момент переходу від одного статусу до іншого може серйозно затягнутись. Facebook вказує період до 90 днів, Microsoft – до 60, Google Dropbox, Amazon таке взагалі не обмовляють. Так, в результаті найбільшого витоку даних 2016 року, із 400 млн. осоромлених користувачів мережі знайомств Friend Finder Network, 15,7 млн. акаунтів значилися видаленими, про що говорила адреса з приставкою @deleted1.com.

Ваші дані можуть не лише роками плавати в хмарах, але і використовуватися без вашого відома. Великі інтернет-компанії не раз піддавалися критиці в зв’язку з порушенням конфіденційності. Едвард Сноуден в 2013 році вперше опублікував дані про те, що американський уряд платив Google, Yahoo, Microsoft і Facebook мільйони доларів за інформацію про інтернет-користувачів (в рамках програми PRISM). В 2016 році Федеральна комісія по торгівлі виписала Google в зв’язку з порушенням конфіденційності величезний штраф на суму $25,5 млн.

Кому не можна «літати в хмарах»

Спираючись на перераховані факти хмарними технологіями не рекомендують користуватись при роботі з чутливими даними – тобто, даними, несанкціонований доступ до яких може спричинити за собою збиток. Це стосується, перш за все, медичних та фінансових закладів, силових відовств, страхових компаній, e-commerce, які працюють з особистими даними, володіють номерами рахунків, кредитних карт.

«Ви не можете ефективно захищати наші дані, якщо не знаєте, де вони зберігаються», – стверджується у звіті по дослідженню витоку даних за 2016 рік (Data Breach Investigations Report). Щоб себе убезпечити, в ідеалі слід підписати з провайдером угоду про рівень надання послуг і, по можливості, вибрати ЦОД, розташований далеко від густонаселених районів, де малоймовірні стихійні лиха і перебої з електропостачанням. При цьому провайдер має взяти на себе обов’язки по захисту і відновленню даних як від стихійних лих, так і від внутрішніх збоїв.

Необхідно передивитись політику кібербезпеки: профілактика та захист обов’язкові. Комп’ютери, як і люди: чим більше зв’язків із зовнішнім світом, тим більш вони уразливі. Що станеться, якщо зараження все ж таки відбудеться? Статистика з кібератак гнітюча: якщо 5 років назад антивірусні компанії щоденно знешкоджували біля 50-60 нових вірусів, то сьогодні воні обробляють біля 310 тис. нових шкідливих файлів кожен день.

У зв’язку з різким стрибком загальної кількості кібератак і розвитком цільових стійких атак, по відношенню до яких не вироблено абсолютних методів протидії, спеціалісти з кібербезпеки вважають, що необхідно перемкнути фокус з кількості відображених або зупинених атак на час, витрачений на виявлення та відстеження вторгнення.

Необхідно визначити пріоритети і побудувати багаторівневу систему безпеки за мірою важливості даних, що у вас зберігаються. Більшість компаній, як правило, акумулюють занадто багато непотрібних даних. Найпростіший і часто недооцінений спосіб уникнути наслідків хакерських атак – визначити дані, які можуть викликати негативний громадський резонанс, і скоротити їх об’єм, регулярно видаляти неактуальні файли з системи.

Як лідери ринків боряться за безпеку

Заради справедливості слід поділитись історіями успіху. Місяць назад стався мега-витік на Weebly – одному з найпопулярніших сервісів з безкоштовного створення веб-сайтів. Хакери отримали доступ до імен, email-адресів та паролям практично всієї бази даних підписників, а це більше сорока мільйонів користувачів. Однак зловмисників чекало розчарування: паролі були зашифровані за допомогою стійкої на сьогодні хеш-функцією bcrypt з додаванням унікальної солі. Так що у керівництва Weebly було вдосталь часу, щоб на всякий випадок провести обнуління паролів. Крім того Weebly не зберігала на серверах платіжну інформацію своїх клієнтів. Я, як говориться, в ході експерименту ніхто не постраждав.

Datadog, провайдер хмарного сервісу аналізу даних, що належить ІТ-структурам таких компаній, як Facebook, Adobe, Samsung, Airbnb, Warner Bro, також піддався атаці у липні 2016 року. Але вкрадені паролі стали безкорисною здобиччю для хакерів, так як теж були зашифровані з хешем bcrypt з додаванням унікальної солі. Агенти Datadog – програмне забезпечення – що збирає інформацію для Datadog з хостів клієнтів – не були порушені атакою. Директор по безпеці Datadog, Ендрю Бечерер пояснив: «Агенти ізольовані від нашої власної інфраструктури, а вся комунікація з інфстанціями бази даних здійснюється за захищеним протоколом HTPPS. Наші агенти не відправляють на сервери Datadog на зберігання облікові дані, що локально зберігаються».

Що робити всім іншим

Публічна хмара не відповідає вимогам  контролю, конфіденційності та збереженості даних жорстко регульованих галузей. Довгий час існувала думка, що майбутнє за публічними хмарами, куди збиралися переїхати 98% додатків. Цим літом засновник та СЕО Dropbox Дрю Хьюстон заявив про те, що Dropbox буде рухатися назад до гібридної хмарної моделі, так як вона більш «ефективна, гнучка і найголовніше – більш безпечна». Згідно останньому дослідженню IDG, 40% організацій з досвідом роботи в публічній хмарі переїхали на власне обладнання. У доступному для огляду майбутньому, згідно з дослідженнями HPE, компанії будуть йти з публічної хмари.

За надійністю популярні хмарні технології поступаються автономним рішенням. Якщо прибуток Вашого бізнесу залежить від швидкості та безпеки роботи серверів, краще користуватись традиційним хостингом, а для розміщення чуттєвих даних зупинитись на виборі виділеного сервера, collocation,, а то й автономного рішення. Для скорочення витрат на ІТ-інфраструктуру роботу з системного адміністрування модна віддати на аутсорс команді професійних системних адміністраторів. Крім вигоди за вартістю, перевага таких команд – стратегічний підхід. Вони спочатку вибудовують систему, що можна масштабувати, яку легко можна змінювати з мінімальними затратами і в короткі терміни. Системні адміністратори на аутсорсі використовують системи моніторингу, які дозволяють проактивно реагувати на проблеми, а також автоматизовані системи резервного копіювання з повідомленням про успішне або неуспішному його виконанні.

Якщо Google все одно, що провідні західні ЗМІ підняти шум з приводу видаленого блогу відомого письменника, команда системних адміністраторів завжди буде мати у своєму розпорядженні план реагування та відновлення і навіть буде готова піти на поступки заради збереження клієнта і своєї репутації.

Підготовлена висококваліфікована команда з інформаційної безпеки компанії MO Group  (постачальника №1 в Україні для малого та середньго бінесу) завжди напоготові допомогти і врятувати критичні дані, що вкрай важливі для Вас. Це може статися щосекунди, а тому Ви маєте бути готові до кібератак, витоку даних, інсайдерів та вірусів, що можуть зашкодити Вашій компанії. Наші фахівці мають великий досвід в захисті інформації, роботі на аутсорсі, впровадженні та інтегруванні автономних рішень, проведенні пілотних проектів та навчанні безпечної роботи з даними.

Замовити консультацію

Отримати  додаткову інформацію, що Вас цікавить Ви можете за номером  +380 50 705 82 24 та +380 67 589 42 70 або по електронній пошті sales@mogroup.com.ua

 

Даний матеріал підготовлений спеціалістами MO Group на базі публікацій закордонної преси.

Об авторе: Alyona

оставьте ответ

Ваш электронный адрес не будет опубликован.