Безопасность облачной инфраструктуры: стратегия и инструменты противодействия киберугрозам

Рост востребованности инструментов кибербезопасности среди бизнес-компаний и организаций госсектора обусловлен такими факторами, как тотальная цифровизация и геополитические конфликты. Последние, в частности, провоцируют рост количества атак со стороны так называемых хактивистов, а вслед за этим – увеличение числа низкоквалифицированных злоумышленников, пользующихся услугами специализированных хакерских маркетплейсов для приобретения готовых инструментов взлома или использующих для проведения атак инструменты на основе генеративного ИИ.

«Мы видим два тренда. Первый – облачные технологии продолжат развиваться, сервисов будет становиться больше, компании будут больше переносить свою инфраструктуру в облака. И второй – кибербезопасность выходит на более высокий, более значимый уровень. Это означает, что вероятно, средства защиты, которые будут разрабатываться крупными вендорами, будут связаны с защитой облаков. У нас недавно даже появился сервис Cloud Advisor, который позволяет защищать облако непосредственно на уровне его конфигурации», – рассказал технический менеджер сервисов кибербезопасности компании Cloud.ru Руслан Корнев.

Подходы для обеспечения безопасности облака

Для понимания особенностей защиты облаков необходимо рассмотреть особенности организации облачной инфраструктуры.

В первую очередь, это виртуализация всех элементов инфраструктуры: сетей, хостов, хранилищ, контейнеризации. В соответствии с этим для нее актуальны виртуальные и облачные средства защиты: NGFW, СКЗИ, Web Application Firewall, анти-DDoS.

Следующая особенность облака – это «размытый» периметр, то есть отсутствие физических границ сети. Здесь, в отличие от инфраструктуры on-prem (модель локального развертывания программного обеспечения на собственных серверах компании), недостаточно разместить NGFW и настроить его на фильтрацию всего трафика, но может помочь сервис Cloud Advisor, который позволяет контролировать слой конфигурации облака.

Использование IAM (Identity and Access Management, системы управления идентификацией и контролем доступа) предполагает необходимость консолидации разрозненных ИТ-инфраструктур, систем и данных с использованием федеративных моделей.

Новые облачные сервисы, среди которых контейнеризация, PaaS-сервисы, – требуют от ответственных за безопасность облачной инфраструктуры сотрудников одновременно ИТ и ИБ-компетенций, для чего в компании Cloud.ru есть бесплатные курсы, а также сертификация специалистов.

Еще одна особенность облачной инфраструктуры – это разделение зон ответственности. Необходимо понимать, за что отвечает облачный провайдер, а где остается зона ответственности самого клиента. Иначе могут оставаться так называемые «серые зоны», дающие злоумышленникам больше шансов на противоправные действия.

Наконец, особенностью облака являются широкие возможности self-service: пользовательское самообслуживание, гибкая инфраструктура, достаточно большой ассортимент различных ресурсов. Тем не менее, эти преимущества, помимо удобства, имеют и обратную сторону: требуют строгого контроля всех событий, происходящих в облачной инфраструктуре, со стороны специалистов по ИБ.

Защита от DDoS-атак

DDoS-атаки становятся все более продвинутыми, поскольку со стороны хакеров в данной сфере часто встречаются опытные специалисты, умеющие комбинировать различные меры для преодоления защиты. В случае успешной атаки  пользователь теряет доступ к части или ко всей системе, что требует дополнительного времени и значительных усилий на анализ, защиту и восстановление после сбоев.

Помимо очевидных целей хакеров в виде нанесения ущерба бренду и политических акций, такие атаки могут стать операцией по отвлечению внимания от целевых атак, взлома и кражи данных.

«В 2024 году прирост количества атак составил 103%, а Россия вошла в топ-десять пострадавших от DDoS-атак стран, в зависимости от квартала, занимая с 6 по 8 место. Появляется очень много различных ботнетов. Недавно мы обнаружили ботнет, состоящий из более, чем 100 тысяч устройств, в частности, там было очень много роутеров Asus. Этот ботнет генерировал атаку более 1 Тбит/с», – отмечает руководитель направления Pre-Sale компании StormWall Дмитрий Белянин.

Наиболее пострадавшими отраслями за предыдущий квартал стали телекоммуникации, образовательные учреждения, ритейл и госсектор.

Цели у атак могут быть различными: например, протокольные атаки направлены на то, чтобы израсходовать ресурсы серверного и сетевого оборудования, которые участвуют в обработке пакетов данных. Это происходит потому, что вредоносные пакеты данных не дают обрабатывать пакеты легитимных пользователей. Для защиты от этой угрозы необходимо выбрать сервер подходящей мощности, заложить запас по производительности, использовать сложные пароли, проанализировать и закрыть лишние порты, составить план реагирования на DDoS-атаку, назначить ответственных сотрудников.

Важно обеспечить наличие различных систем мониторинга, анализа метрик производительности приложений, логирование и бэкапирование. Это поможет при диагностике сети и в конечном итоге сократит время гипотетического простоя. Для понимания предела прочности своей системы компаниям рекомендуется также проводить нагрузочные тестирования.

При выборе средств защиты от сетевых угроз необходимо учитывать различные факторы: возможности масштабируемости решения, мониторинга и анализа активности, детализированных отчетов по трафику. Всё это позволяет оперативно реагировать на угрозы. Расширенная статистика позволяет не только эффективно защищаться и анализировать, но и извлекать полезную информацию для дальнейшей оптимизации. Помимо этого, ключевую роль в момент атаки может сыграть уровень технической поддержки: она должна быть круглосуточной, с доступом ко всем профильным специалистам, которые обеспечат минимизацию рисков и более быстрое восстановление работы в случае атаки.

В идеале защита от атак должна выбираться до инцидента, хотя часто клиенты, по словам экспертов, приходят уже тогда, когда находятся под атакой.