Защита и безопасность хранения данных в облаке

Защита и безопасность данных в облаке

Все больше данных переходят с традиционных IT-ресурсов на облачные системы. Именно поэтому эксперты по информационной безопасности (как и киберпреступники) в последнее время стали уделять особое внимание этой сфере.
В результате последних исследований нескольких облачных сервисов по типу IaaS, эксперты Symantec выявили основные проблемы безопасности в данной модели обслуживания:

• недостаточная защищенность API
• наличие открытых ресурсов, что может привести к утечке данных
• уязвимости, вызванные несвоевременным проведением работ провайдером по устранению ошибок, сбоев оборудования или внешних атак
• ошибки в конфигурации программного обеспечения
• наличие вредоносных материалов внутри облака

Исследование показало следующее:

• Большинство атак против IaaS стали возможными из-за ошибок конфигурации, допущенных администраторами.
• Одна из наиболее частых проблем облачных сервисов - некорректно настроенные разрешения прав доступа. При использовании IaaS модели пользователи получают отдельные ресурсы хранения данных на индивидуальных доменах. Если в префиксе URL домена есть стандартные термины (Archive, Logs, Database и т.д.), их легко может подобрать мошенник путем перебора слов.
  Так, во время исследования простым подбором префиксов домена было выявлено около 16 000 облачных доменов. Из них 0,3% имели легко угадываемую структуру папок, в которых содержалось 11 000 незащищенных файлов. При этом в некоторых файлах содержалась конфиденциальная информация (имя пользователей, пароли и т.д.).
• Еще одна распространенная проблема - утечка персональных данных. По вине администраторов слишком простые учетные данные были сохранены в приложениях или недостаточно защищены и являлись потенциально доступными для атак мошенников.
  Ответственность за безопасность данных, находящихся в облаке, в большей степени лежит на пользователях. Программы, запущенные там, могут быть уязвимы к внедрению SQL-кодов, межсайтовому скриптингу и другим широко известным видам атак. Поэтому клиенты облачных систем должны вести разработку своих продуктов с использованием защитного кодирования, стараться всеми возможными методами обеспечить максимальную защиту данных.

Рекомендации по защите данных в облаке

Для защиты облачной среды и хранящихся там данных, компания Symantec рекомендует выполнять следующие правила:

• Авторизация. Используйте двухфакторную авторизацию, регулируйте права пользователей, немедленно аннулируйте утерянные учетные данные
• Шифрование. Шифруйте данные всегда, когда это возможно; убедитесь, что используется надежное решение для управления ключами
• Журнал событий. Подробный журнал событий и мониторинг - ключ к быстрому выявлению и анализу причин появления уязвимостей в системе.
• Надежный провайдер услуг. При выборе провайдера, внимательно изучайте пункты договора, касающиеся обязанностей провайдера по защите данных своих пользователей.
• Проверки. Добавьте свои облачные IP-адреса в список уязвимых объектов и постоянно производите проверку по каждому сервису, который вы используете в виде облака.

Статью подготовили www.symbuy.ru
e-mail: sales@symbuy.ru