Облачные технологии давно перестали быть чем-то экзотическим. Сегодня компании хранят в облаке бухгалтерию, CRM, резервные копии, переписку сотрудников, базы клиентов, документы, фотографии, корпоративные секреты и даже инфраструктуру целиком. Для обычного пользователя облако — это удобный способ не потерять файлы и получить к ним доступ из любой точки мира. Для бизнеса — возможность быстро масштабироваться и экономить на собственной инфраструктуре. Но вместе с этим возникает главный вопрос: насколько вообще безопасно хранить информацию в облаке?
На самом деле облако само по себе не является ни «небезопасным», ни «абсолютно защищенным». Безопасность зависит от того, как именно построена защита, кто отвечает за инфраструктуру, какие данные туда загружаются и насколько грамотно настроен доступ. Многие люди ошибочно думают, что если данные находятся «где-то в интернете», значит их обязательно украдут. Другие, наоборот, считают, что крупный облачный провайдер автоматически решает вообще все вопросы безопасности. И обе крайности опасны, как в общем-то и любые крайности в любом вопросе.
Крупные облачные платформы действительно вкладывают огромные деньги в защиту своих дата-центров. Уровень физической безопасности, резервирования каналов связи, систем пожаротушения, контроля доступа и отказоустойчивости там зачастую выше, чем может позволить себе средняя компания. Облака используют шифрование, распределенное хранение, резервное копирование, системы обнаружения атак и постоянный мониторинг инфраструктуры. Но проблема в том, что большинство утечек происходит не из-за «взлома облака», а из-за ошибок самих пользователей и администраторов, о чем я говорил уже не раз в предыдущих материалах.
Очень часто компрометация начинается с банального слабого пароля. Сотрудник использует удобный, но несложный пароль, либо аналогичный пароль утекает из другого сервиса, злоумышленник получает доступ к облачному аккаунту и начинает скачивать данные, удалять резервные копии или шифровать информацию вымогателем. Иногда проблема еще проще: администратор случайно открывает публичный доступ к облачному хранилищу, и документы становятся доступны всему интернету. Такие случаи происходят регулярно даже у крупных организаций.
Еще одна опасность присущая любой крупной инфраструктуре — отсутствие разделения прав доступа. В некоторых компаниях все сотрудники имеют доступ ко всему подряд: общим папкам, резервным копиям, внутренним документам. В итоге достаточно компрометации одной учетной записи, чтобы злоумышленник получил почти полный контроль над корпоративной информацией. Поэтому принцип минимальных привилегий — одна из базовых мер безопасности в корпоративном облаке. Сотрудник должен иметь доступ только к тому, что действительно необходимо для его работы.
Отдельно стоит понимать, что облако — это не резервная копия само по себе. Многие уверены: «Файлы лежат в облаке — значит они защищены». Но если данные удалит сам пользователь, если аккаунт будет взломан или если вредонос зашифрует синхронизированные файлы, облако может автоматически распространить изменения на все устройства. Поэтому нормальная стратегия безопасности всегда включает отдельные резервные копии, желательно в изолированном виде и с версионностью.
Ключевую роль играет многофакторная аутентификация. И да, про нее я также говорил в предыдущих материалах неоднократно. Это одна из самых эффективных мер защиты облачных сервисов. Даже если пароль утечет, злоумышленнику потребуется второй фактор — например код из приложения или аппаратный токен. На практике MFA предотвращает огромное количество атак, связанных с кражей учетных данных. И удивительно, сколько компаний до сих пор либо не используют MFA вообще, либо включают его только для администраторов.
Очень важен и контроль устройств, с которых осуществляется доступ к облаку. Если сотрудник заходит в корпоративное облако с зараженного домашнего компьютера, никакая защита дата-центра уже не спасет. Поэтому серьезные организации используют EDR/XDR-решения, контроль соответствия устройств политикам безопасности, сегментацию доступа, проверку комплаенс и мониторинг подозрительной активности. Современная безопасность давно строится не вокруг «доверенной сети», а вокруг постоянной проверки каждого подключения и каждого пользователя.
Нельзя забывать и про шифрование данных. Причем желательно не только при передаче, но и при хранении. Хорошие облачные сервисы используют encryption at rest и TLS для передачи данных. Но для особо чувствительной информации иногда дополнительно применяют клиентское шифрование, когда ключи находятся только у самой компании, а не у провайдера. В таком случае даже компрометация облачного сервиса не даст злоумышленнику доступа к содержимому файлов без ключей.
Еще один важный момент заключается в понимании модели разделенной ответственности в облачной безопасности (Shared Responsibility Model). Облачный провайдер отвечает за безопасность самой инфраструктуры: серверов, сетей, гипервизоров, дата-центров. Но безопасность учетных записей, настройка доступа, защита приложений и корректная конфигурация сервисов — это уже ответственность клиента. Многие компании этого не понимают и считают, что «облако само все защитит». Именно из-за этого появляются открытые хранилища, утечки баз данных и компрометации корпоративных аккаунтов.
Для бизнеса также критически важен аудит безопасности облачной инфраструктуры. Необходимо регулярно проверять журналы событий, анализировать попытки входа, контролировать аномальную активность, отслеживать подозрительные геолокации и использование привилегированных учетных записей. Облако дает очень мощные инструменты мониторинга, но, если ими не пользоваться, риск инцидента резко возрастает.
При этом полностью отказываться от облаков сегодня практически бессмысленно. Мир уже давно движется в сторону cloud-инфраструктур, SaaS-сервисов и удаленной работы. Вопрос не в том, использовать ли облако вообще, а в том, насколько грамотно выстроена безопасность вокруг него. Хорошо настроенное облако с MFA, резервным копированием, сегментацией доступа, шифрованием и мониторингом зачастую оказывается безопаснее, чем старый локальный сервер где-нибудь в офисной кладовке без обновлений и нормальной защиты.
Главная ошибка — воспринимать облако как магическую систему, которая автоматически решает все проблемы безопасности. Технологии могут дать очень высокий уровень защиты, но человеческий фактор, ошибки конфигурации и халатность по-прежнему остаются основной причиной большинства инцидентов. Поэтому безопасность облака — это всегда сочетание технологий, процессов и дисциплины пользователей.
Соответствует редакционной политике
