«Теневые» облака угрожают безопасности

B2BSecurity
Вопросы облачной безопасности в крупных корпорациях теперь на повестке дня совета директоров. Главный источник потенциальных рисков — любые приложения и облачные сервисы, установленные сотрудниками или целыми бизнес-подразделениями в обход отдела информационной безопасности, а единственный выход — внедрение общих правил и образовательные программы для персонала.

Обеспечение безопасности хранения данных в облаках — важный вопрос, заслуживающий внимания непосредственно топ-менеджмента компаний, говорится в исследовании «Внедрение облачных технологий: лучшие практики и приоритетные направления», выпущенном Cloud Security Alliance (CSA) 9 января 2015 г. Авторы исследования отмечают, что обеспечение информационной безопасности все больше беспокоит первые лица организаций и перестает быть зоной ответственности исключительно ИТ-департаментов. 61% респондентов признает, что безопасность размещения данных в облаке стала заботой высшего руководства компаний. В азиатско-тихоокеанском регионе возросшую важность облачной безопасности для руководства констатирует 82% участников исследования, в то время как в американском регионе этот показатель составляет 54%.

Обеспечение безопасного хранения корпоративных данных в облаках было признано приоритетной ИТ-задачей для компаний в 2014 г., говорится в исследовании: почти 75% респондентов охарактеризовали ее как «важную» или «очень важную». 74% назвали системы предотвращения проникновений «важными» или «очень важными», и 67% так же охарактеризовали файерволлы и прокси-системы.

Руководство крупных российских компаний относится к обеспечению облачной безопасности не менее внимательно, чем представители других стран, принявшие участие в опросе Cloud Security Alliance, считает менеджер по развитию бизнеса Kaspersky Labs Кирилл Керценбаум. «Безопасность облачных сред действительно беспокоит российские компании все больше и больше, и связано это напрямую с увеличением уровня проникновения технологий виртуализации и построения облаков в ИТ-инфраструктуру компаний», — комментирует он. «Если же говорить о проценте таких компаний, то тут некоторое отставание все же есть, но связано оно по традиции с небольшим отставанием в адаптации определенных технологий в российских компаниях, — говорит эксперт Kaspersky Labs. — Однако отставание это относительно небольшое, а в некоторых случаях — даже перерастающее в лидерство».

По данным совместного исследования, проведенного Kaspersky Labs с B2B International, в российских компаниях виртуализация даже более популярна, чем в среднем в мире: 56% российских компаний уже используют серверную виртуализацию, и еще 8% планируют ее внедрение в течение ближайшего года. Виртуальные рабочие станции (VDI) уже внедрили в четверти компаний, и 14% планируют сделать это в ближайшее время.

«Но вот с вопросами защиты дела обстоят чуть хуже: лишь 18% российских компаний приняли все меры по обеспечению информационной безопасности облачных сред, в то время как в 65% организаций защита внедрена частично, а 14% компаний вообще пока об этом не задумывалось», — рассуждает Кирилл Керценбаум.

Говоря о том, что останавливает внедрение облачных технологий в компании, 73% участников исследования CSA констатировали, что их беспокоит информационная безопасность, 38% — утрата контроля над ИТ-службами и соблюдением нормативных требований и 30% отметили, что их беспокоит возможность компрометации отдельных аккаунтов и возникновение внутренних угроз.

По словам старшего менеджера компании Skyhigh и соавтора исследования «Внедрение облачных технологий: лучшие практики и приоритетные направления», выпущенном Cloud Security Alliance (CSA), Кемерона Коулза (Cameron Coles), отказ от использования облачных сервисов может поставить компанию в конкурентно невыгодное положение. «Лучший подход — это понять, какие облачные сервисы используют ваши сотрудники, а потом ввести правила безопасного использования облаков. Согласно результатам исследования, 22% опрошенных организаций ввели у себя тренинговые программы, обучающие сотрудников азам облачной безопасности», — говорит Кемерон Коулз.

В общей сложности только 8% респондентов признались, что знают, какое количество «теневых» облачных приложений используется в их компании, а 20% констатировали, что не знают об использовании «теневых» приложений ничего, и их это мало интересует. Тем временем, растущая тенденция подписки бизнес-подразделений на облачные сервисы без ведома ИТ-службы увеличивает число потенциальных рисков для безопасности всей компании.

72% представителей опрошенных компаний признались, что не знают, сколько «теневых» сервисов установлено у них в компании, но эта информация представляет для них огромных интерес. Среди опрошенных компаний с более чем 5 тыс. сотрудников этот показатель возрастает до 80%. В общем, 71% респондентов так или иначе выражает озабоченность «теневыми» ИТ. При этом, респонденты из азиатско-тихоокеанского региона демонстрируют гораздо большую озабоченность (85%) этим вопросов, чем их коллеги из американского региона (66%) и Европы (68%).

Авторы исследования определяют «теневые» информационные технологии внутри компаний как «внедрение и использование технологий и ПО без ведома ИТ-департамента отдельными сотрудниками, командами или бизнес-подразделениями». Основные риски, связанные с использованием «теневых» ИТ, по мнению респондентов CSA, это: безопасность корпоративных данных в облаке (49%), возможные нарушения нормативных требований (25%), трудность проведения единой политики по ИБ (19%), «лишние» сервисы и приложения, снижающие эффективность работы (8%).

Половина опрошенных констатировала, что в их компании существуют правила использования облачных сервисов, но только 16% уточнили, что эти правила полностью работают. Из 50% опрошенных, подтвердивших, что в их компании не существует правил использования облаков, только 27% отметили, что их компания планирует такой свод правил создать. 21% респондентов отметил, что в их компании уже сегодня существует «облачный» комитет, регламентирующий использование облаков для всей компании на уровне топ-менеджмента.

В исследовании приняли участие более 200 специалистов из 17 стран. Большинство респондентов работают в сфере информационных технологий, ИБ, аудита и локализованы в США и странах Южной Америки. Они работают в крупных организациях, занимающихся высокими технологиями, оказанием финансовых услуг, телекоммуникациями, производством.

Еще одна распространенная ошибка ИБ-специалистов — использование стандартного инструментария средств защиты физической инфраструктуры для облачных сред, считает Кирилл Керценбаум. «Ошибочно это совсем не потому, что в виртуальных средах угрозы носят совершенно другой характер или вредоносный файлы как-то очень специфически создаются для среды виртуализации, — поясняет эксперт. — Мы как раз говорим о том, что виртуальные среды подвержены современным киберугрозам не больше и не меньше, чем физическая ИТ-среда, и поэтому нуждается в такой же комплексной защите. Однако использование «классических» средств защиты, даже визуально адаптированных к работе в облачной среде, приводит к снижению ее производительности — и как следствие эффективности и значительно увеличивает ее TCO».

«Стандартные «тяжелые» агенты для защиты рабочих станций и серверов показывают свою максимальную эффективность на системах, где ресурсы фактически принадлежат эксклюзивно конкретной системе, — продолжает эксперт. — Основная идея облачных сред, как мы знаем, это гибкое и эффективное перераспределение ресурсов между системами, которым они действительно нужны в данный конкретный момент времени, и стандартные инструменты средств защиты, как правило, с этим работать не могут».

«Поэтому для облачных сред сейчас получил наибольшее распространение так называемого «легкого» агента, когда средство защиты фактически повторяет архитектуру гипервизора: все высокопроизводительные операции выводятся в единый центр, а на каждом конкретном виртуальном хосте присутствует только небольшой программный модуль, отвечающий за расширенную защиту, а базовые операции, как правило, требующие наибольшего количество памяти и процессорного времени — дедуплицируются и выполняются вне самой системы в едином вычислительном модуле для всего гипервизора», — подытоживает Кирилл Керценбаум.