Перенос информационных систем на облачные сервисы в России с каждым годом набирает обороты. Для развития своих технологических стеков компании всё чаще выбирают облачные сервисы, строя собственные частные облака или выбирая формат IaaS. Предпосылок для развития облачных инфраструктур несколько: дефицит и дороговизна оборудования, цифровизация предприятий, требующая дополнительных серверных мощностей, нехватка квалифицированных кадров. Облако позволяет быстро получить ресурсы для тестирования гипотез и развернуть решение, что сокращает срок вывода продукта на рынок.
Одним из главных вопросов при аренде инфраструктуры по модели IaaS является обеспечение информационной безопасности тех ресурсов, которые там хранятся. При этом риски можно рассматривать разные: халатность сотрудников, которая может привести к утере данных, атака злоумышленников на провайдера услуги с целью кражи информации или для развёртывания дальнейших вредоносных операций против его клиентов.
В ходе эфира, посвящённого безопасности российских облаков, только 27 % респондентов оценили защищённость облачных хранилищ как достаточную или высокую.
Также респонденты назвали сервисы безопасности, которых ожидают от облачного провайдера. К сожалению, формат эфира не позволил определить конкретный набор мер по обеспечению информационной безопасности, который был бы предпочтителен при выборе IaaS в качестве средства технологического развития компании. Тем не менее эти ответы тоже показательны.
Одним из провайдеров IaaS является МегаФон ПроБизнес. Рассмотрим, с помощью каких мер она обеспечивает информационную безопасность облачных инфраструктур.
Разделение зон ответственности
В связи с тем, что любые инциденты в ИБ, связанные с IaaS, могут повлечь за собой не только имиджевый и финансовый ущерб, но и отказ от услуги со стороны заказчиков, МегаФон применяет современные практики и технологии защиты.
Прежде всего, определяются зоны ответственности. Для провайдера это ЦОДы, физические серверы, обслуживающий персонал, сетевая и серверная инфраструктура, платформа виртуализации и рабочие места администраторов. Зона ответственности клиента — обеспечение безопасности тех ресурсов, которые он размещает на выделенных мощностях (начиная с операционной системы). На этом этапе клиент решает, может ли он сделать всё собственными силами, необходимо ли кого-то привлечь для этого (например, тот же МегаФон ПроБизнес предоставляет услуги по концепции MSSP) или вообще не защищать ресурсы.
Защита от человеческого фактора
Человеческий фактор — до сих пор один из самых рисковых в деле обеспечения безопасности информационных ресурсов. Это и социальная инженерия, и подкуп, и непреднамеренные ошибки.
Минимизация вышеупомянутых рисков обеспечивается за счёт следующих средств защиты:
- Система многофакторной аутентификации (MFA), которая не позволит использовать украденную учётную запись администратора без подтверждения с помощью одноразовых паролей, сертификатов и т. д.
- Система предотвращения утечек данных (DLP), фиксирующая и блокирующая попытки кражи информации или её преднамеренного «слива».
- Система управления привилегированными пользователями (PAM) логирует действия инженеров МегаФона ПроБизнес в рамках предоставляемых услуг IaaS.
- Система управления доступом (IDM) позволяет своевременно отзывать права уволенных сотрудников, пересматривать роли имеющихся и выявлять неправомерно выданные доступы.
На этапе приема на работу, кандидаты проходят проверку службы безопасности.
Также проводится регулярное повышение осведомлённости персонала по вопросам информационной безопасности (security awareness).
Защита сетевой инфраструктуры
Защита сетевой инфраструктуры позволяет решить несколько задач: предотвратить вторжения извне, обеспечить доступность предоставляемых ресурсов, выявить злоумышленников в сети в случае их проникновения.
Для решения обозначенных проблем используются следующие системы:
- Межсетевые экраны нового поколения (NGFW), анализирующие потоки трафика между сегментами компании и организовывающие сетевую связность с интернетом. В ходе анализа модуль IPS / IDS выявляет и предотвращает вторжения. Потоковый антивирус ищет вредоносные элементы в сетевом трафике. Нельзя забывать и о функциях самого межсетевого экрана, который фильтрует трафик в соответствии с правилами.
- Защита от атак по провоцированию отказов в обслуживании (anti-DDoS) решает задачу по обеспечению доступности ресурсов.
- Средства анализа сетевого трафика (NTA) выявляют подозрительные сетевые соединения как внутри инфраструктуры, так и со внешними адресами.
- Брандмауэр веб-приложений (WAF) предназначен для обеспечения доступности опубликованных МегаФоном ресурсов и защиты от использования веб-приложений как точки взлома и входа в сетевую инфраструктуру.
Защита инфраструктуры
Задача обеспечения безопасности инфраструктуры включает в себя защиту серверов и рабочих мест администраторов. Для этого применяются следующие системы и организационные меры:
- Управление уязвимостями за счёт использования систем по их выявлению (сканеров) и своевременного обновления программного обеспечения.
- Анализ защищённости (тестирование на проникновение) собственными силами и с привлечением независимых экспертов.
- Защита хостов с использованием стандартных антивирусов и средств борьбы с угрозами на конечных точках (EDR).
Управление инцидентами
Для управления инцидентами в МегаФоне построен собственный центр мониторинга (SOC), определены требования соглашений о качестве (SLA) для реагирования на события в информационной безопасности и разработаны соответствующие сценарии (плейбуки). Технологический стек SOC — системы управления событиями (SIEM) и оркестровки / автоматизации / реагирования (SOAR), к которым подключены все необходимые источники событий.
Физическая безопасность
Физическая безопасность обеспечивается за счёт применения СКУД, ведения видеонаблюдения и реализации внутриобъектового режима силами охранных предприятий, а также организацией выгородок для оборудования, используемого для оказания сервиса.
ЦОДы провайдера, расположенные в Москве, Новосибирске и Хабаровске, соответствуют требованиям стандарта надёжности инфраструктуры и оборудования «Tier 3». Коэффициент работоспособности оборудования в ЦОД составляет 99,98 %. Для поддержания этого показателя развёрнуты несколько источников энергоснабжения, системы пожаротушения и современные средства кондиционирования.
Обеспечение сохранности данных
Провайдер обеспечивает хранение резервных копий на отдельных площадках, осуществляет ежедневное резервное копирование, реплицирование виртуальных машин, а также предоставляет программное обеспечение для самостоятельного резервного копирования с любой периодичностью.
Сертификация
Провайдер подтверждает высокий уровень зрелости информационной безопасности, проходя сертификацию. Наличие сертификатов, аттестатов и лицензий является обязательным для клиентов, которые работают в финансовой сфере, подпадают под требования о защите персональных данных или критической информационной инфраструктуры.
МегаФон имеет следующие сертификаты и лицензии:
- аттестаты соответствия требованиям по информационной безопасности предъявляемых к государственным информационным системам (ФСТЭК России, ФСБ России) по классу К1 (согласно приказу ФСТЭК России № 17);
- 1Г (по требованиям ФСТЭК России к автоматизированным системам);
- УЗ-1 (в соответствии с № 152-ФЗ);
- оценка соответствия по требованиям информационной безопасности к значимым объектам КИИ (№ 187-ФЗ);
- ISO 9001, 20000, 27001, 27017, 27018;
- ГОСТ Р 57580;
- PCI DSS.
Выводы
Возможность использования облачных ресурсов для развития ИТ-сегмента компании необходимо определять с учётом потенциальных рисков, доступных человеческих ресурсов и экономической целесообразности.
Политика МегаФона ПроБизнес как провайдера IaaS направлена на обеспечение безопасности оказываемой услуги, прежде всего за счёт эшелонированного подхода к защите своих активов, как человеческих, так и технологических. Таким образом, достигается надежность предоставляемого сервиса и гарантии его работоспособности. Высокий уровень ИБ провайдера подтверждается наличием соответствующих лицензий и сертификатов, а также техническими и организационными мерами, которые были описаны выше. Также, что немаловажно, распределенная сеть ЦОДов гарантирует доступность и быстрый отклик для клиентов по всей территории РФ.
