Безопасны ли облачные хранилища данных? Какие бывают облачные хранилища. TLS - далеко не все

480 auto

Какие опасности могут подстерегать данные, в том числе, в облаке? — Во-первых, возможность их утраты . Во-вторых, возможность доступа к данным посторонних лиц , то есть потери конфиденциальности.

Разумное беспокойство по этим случаям должно присутствовать всегда, а при размещении компьютерной инфраструктуры в публичном облаке оно может усиливаться.

Потеря данных

Все привыкли к тому, что цифровые данные легко скопировать. Однако для копирования чего бы то ни было нужен оригинал. Если оригинал утрачен, данные, содержавшиеся в нём, также будут потеряны.

Компьютерные данные можно потерять либо в результате удаления соответствующих файлов, либо в результате разрушения носителя, на котором находятся эти файлов.

Резервное копирование

Чтобы не потерять все накопленные данные, нужно регулярно создавать их . При этом для сохранности резервных копий важно размещать их не на том же носителе, на котором находится оригинал, а на другом — физически (!) другом диске, на другом компьютере, в другой сети.

Надёжные носители

Сейчас для хранения данных используются носители самых разных типов. У них разный принцип хранения данных и разная надёжность хранения.

Дополнительно надёжность хранения можно повысить за счёт совместного использования нескольких носителей, объединённых в группу, например, в .

Но даже очень высокая надёжность хранения данных вовсе не отменяет необходимости их резервного копирования.

Утрата конфиденциальности

Собственно, задача сохранения конфиденциальности данных возникает не только в случае , расположенного облаке, но и в привычном мире.

Компьютерные данные, к которым получил доступ посторонний человек невозможно вернуть назад — никогда не будет 100-процентной уверенности в том, что эти данные не были скопированы. Поэтому защита данных сводится в тому, чтобы исключить саму возможность любого неразрешённого доступа к ним.

Чужие данные можно получить двумя путями: в результате доступа к их носителю или через операционную систему, обрабатывающую эти данные. Особенности этих способов доступа и определяют методы защиты данных.

К счастью, цифровая природа компьютерных данных даёт такую возможность их защиты, как шифрование. — Если постороннее лицо получит доступ к носителю с зашифрованными данными или к файлу, хранящему зашифрованные данные, оно не сможет ими воспользоваться.

Далее мы рассмотрим меры в части системного администрирования по сохранению конфиденциальности компьютерных данных, размещённых в виртуальном облаке. При этом мы не будем касаться вопросов безопасности данных внутри приложений (программ), которые используют эти данные.

Физический доступ

Диски виртуальных машин — это файлы, расположенные в больших дисковых массивах, находящихся в центрах обработки данных (ЦОДах). Соответственно, «физический» доступ к дискам виртуальной машины сводится к доступу к этим файлам.

Теоретически, доступ к дискам виртуальных машин могут иметь работники ЦОДа и работники облачного провайдера.

Центр обработки данных

Центр обработки данных обеспечивает оборудование облачного провайдера:

• стабильным и надёжным электропитанием;
• охлаждением чистым воздухом;
• охраной от посторонних лиц.

Несмотря на то, что работники ЦОДа имеют физический доступ к оборудованию облачного провайдера, опасаться того, что они смогут найти и скопировать определённый диск определённой виртуальной машины, не стоит. Для балансировки нагрузки и обеспечения отказоустойчивости виртуальные диски могут перемещаться по всему аппаратному дисковому пространству, которое в настоящее время может достигать многих сотен терабайтов или даже петабайтов.

Кроме того, работники ЦОДа, как правило, не имеют логического доступа в облако (по сети).

Провайдер

Что касается работников облачного провайдера, они (по крайней мере, уполномоченные системные администраторы) всегда имеют доступ и к файлам с «аппаратной» конфигурацией виртуальных машин, и к файлам с их виртуальными дисками. Без таких возможностей они просто не смогут управлять облаком и обеспечивать предоставление услуг своим клиентам.

Более того, нередко системные администраторы облачного провайдера имеют доступ и в операционные системы виртуальных машин своих клиентов. Этот доступ упрощает управление облаком и виртуальными машинами в нём.

Можно ли обойтись без такого доступа? — Да, можно. Но с некоторыми уточнениями.

Операционная система

Для защиты данных на уровне операционной системы используются учётные записи, правами по которым можно управлять. В системе не должно быть посторонних учётных записей, а по имеющимся записям не должно быть лишних прав.

Однако для работы операционной системы на конкретном «железе» требуются драйверы. Для работы операционной системы на облачном «железе» тоже требуются драйверы, и их должен кто-то установить. То есть административного доступа в операционную системы виртуальной машины в ручном или автоматическом режиме всё-таки не избежать. Такой доступ может потребоваться и для сетевой настройки машины.

В принципе, после создания новой виртуальной машины можно изменить пароль её системного администратора и даже удалить или заблокировать соответствующую учётную запись. И после этого у облачных администраторов априори не будет доступа внутрь виртуальной машины.

Однако нужно осознавать, что все дальнейшие заботы об обеспечении работоспособности виртуальной машины лягут исключительно на системного администратора клиента.

Вопрос о возможности доступа облачных администраторов в операционную систему виртуальной машины должен обсуждаться и решаться спокойно и взвешенно.

Шифрование дисков

Как уже было сказано, доступ к данным можно получить и без входа в операционную систему виртуальной машины. Для этого будет достаточным получить доступ к её дискам напрямую.

Единственный способ полностью исключить такую возможность — зашифровать диски. Препятствие возникнет только с одним из них — системным.

Проблема в том, что пароль для подключения зашифрованного системного диска нужно вводить до загрузки операционной системы, то есть до того, когда появляется возможность удалённого подключения к виртуальной машине.

Преодолеть это препятствие можно только с помощью удалённого доступа к консоли виртуальной машины, упрощённо говоря — к её экрану, на котором можно увидеть весь процесс загрузки операционной системы.

Большинство современных облачных провайдеров имеют средства для предоставления клиентам доступа к консолям их виртуальных машин.

Заключение

Будем реалистами, в нашем мире исключить что-то на все 100% невозможно, но максимально сократить вероятность возникновения какого-то события и уменьшить размер его негативных последствий можно. Облако 1cloud даёт немало средств к тому.

P. S. Ещё немного о безопасности:

Текст
Антон Мухатаев

На прошлой неделе пользователь сайта Pastebin выложил несколько сотен аккаунтов и паролей от облачного сервиса Dropbox. По его словам, всего у него скопилось почти 7 миллионов таких пар, которые он готов опубликовать в обмен на биткоины. Как утверждали на Reddit, многие комбинации из списка действительно работали. Look At Me разобрался, стоит ли вам беспокоиться за данные, хранящиеся в облаке, и приводит 5 правил, которые позволят их обезопасить.

Раз Dropbox взломали, пора оттуда уходить и хранить
данные в другом месте?

Задавайте уникальный, надёжный пароль для каждого сервиса и включайте двухуровневую аутентификацию везде, где это возможно;

Используйте защищенное соединение (непубличный компьютер и непубличный Wi-Fi), когда хотите получить доступ к важным персональным данным в облаке, а также проверяйте ссылку, по которой вы заходите в сервис;

Делайте несколько копий одних и тех же данных: на разных облачных сервисах и на локальных носителях;

Для продвинутых пользователей: шифруйте важные персональные данные перед тем, как куда-то их закачивать.

Идея облачных хранилищ гениальна. Вместо того чтобы хранить данные локально на используемых устройствах, внешних дисках и домашних сетевых хранилищах и во­зиться с доступом, синхронизацией и резервными копиями, пользователи по Интернету переносят файлы и папки в дата-центры служб и не знают забот. Доступ обеспечивается из приложения или программы-клиента, где бы пользователь ни находился - нужно только ввести пароль. Проблем с местом для хранения нет: сервисы предлагают до 30 Тбайт, причем за начальный период пользования плата не взимается.

И все же есть в бочке меда ложка дегтя, из-за которой забывается вся прелесть использования облаков. Пользователи передают в чужие руки свои данные: фото из последнего отпуска на море, или видео со свадьбы, или личную переписку. Поэтому в этом сравнении мы сосредоточились на безопасности десяти сервисов облачного хранения данных: IT-гигантов - Apple, Google, Microsoft, Amazon, двух хостингов - Box и Dropbox, - специализирующихся на облачном хранении, а также двух поставщиков услуг из России - «Яндекс» и Mail.ru.

Плюс миллиард пользователей за пять лет

Еще в 2015 году количество пользователей облачных хранилищ составляло около 1,3 млрд. К 2020-му их станет на 1 млрд больше.

Трафик данных - в три раза больше

В 2015 году пользователи облачных хранилищ передавали в среднем всего 513 Мбайт данных в месяц. К 2020-му объем увеличится втрое.

Функциональные возможности: можно ли верить рекламе

Поставщики, разумеется, знают, что пользователи придают безопасности особое значение, и должны идти навстречу их требованиям. Если бегло просмотреть все предложения, складывается впечатление, что облачные сервисы используют высочайшие стандарты безопасности и поставщики приклады­вают все усилия, чтобы защитить данные своих клиентов.

Впрочем, при более внимательном прочтении становится ­ясно, что это не совсем соответствует действительности и стандарты не всегда новые. Поставщики услуг исчерпывают возможности безопасного хранения данных далеко не полностью, а «высокий уровень безопасности», «SSL-защита» или «безопасное шифрование» - не более чем слоганы, позволяющие воспользоваться тем, что у большинства клиентов нет специальных знаний в вопросах безопасности.

Объем памяти в Сети

Сервисы облачного хранения данных завлекают клиентов бесплатными предложениями. За некоторую плату объем можно увеличить.

TLS - далеко не все

«SSL» и «HTTPS» - популярные и всем известные аббревиатуры из области безопасности. Но бдительность терять не следует. Этот вид шифрования - необходимость, но не гарантия исключительной безопасности данных. Криптографический протокол TLS (Transport Layer Security - «протокол защиты транспортного уровня»), в 1999 году официально заменивший SSL 3.0 (Secure Sockets Layer - «уровень защищенных cокетов»), обеспечивает защищенный обмен данными между веб-сайтом облачного хранилища и программой-клиентом на вашем компьютере или приложением на вашем смартфоне.

Шифрование во время передачи данных важно в первую очередь для защиты поступающих метаданных. Без TLS любой злоумышленник может перехватить передачу и изменить данные или украсть пароль.

Мы проверили облачные хранилища с помощью комплексного инструмента для тестирований Qualys (sslabs.com/ssltest). Все поставщики используют актуальную версию стандарта TLS 1.2. Шесть из них предпочитают 128-битное шифрование AES, четыре - более мощное AES 256. И то, и другое нареканий не вызывает. Все сервисы активируют дополнительную защиту Perfect Forward Secrecy (PFS - «совершенная прямая секретность») для того, чтобы переданные зашифрованные данные даже впоследствии нельзя было расшифровать.

HSTS же (HTTP Strict Transport Security - «строгая транспортная безопасность HTTP») - еще один механизм безопасности, который защищает от операций типа downgrade attacks, - большинство поставщиков не использует. Весь список, то есть TLS 1.2 с AES 256, PFS и HSTS, есть только у Dropbox.

Двойная защита доступа

Доступ к личным данным должен быть защищен двухэтапной верификацией. Amazon помимо пароля запрашивает PIN-код, который генерируется прило­жением.

Шифрование на сервере - вопрос доверия

Еще одна стандартная функция, кроме безопасной передачи, - это шифрование данных на сервере поставщика. Amazon и Microsoft, увы, составляют исключение из правил, не шифруя данные. Apple использует AES 128, остальные - более свежий AES 256.

Шифрование в дата-центрах - не диковинка: если злоумышленникам, несмотря на все меры безопасности, все-таки удастся украсть данные пользователя, им еще понадобится ключ - если только они не прибегнут к вымогательству. И часто именно тут возникает проблема: этот вид шифрования - весьма сомнительный выход, если поставщики хранят ключи к вашим данным.

То есть какой-нибудь администратор облачного сервиса легко может в любой момент просмотреть все ваши фотографии. Если верится с трудом, может, вариант доступа следственных органов к данным будет более убедительным. Конечно, поставщики всячески демонстрируют серьезное отношение к делу, но клиентам приходится пересиливать себя и проявить доверие, поскольку таким образом их данные защищены не полностью.

Dropbox обеспечивает безопасность с помощью 256-битного шифрования AES во время хранения и SSL/TLS во время передачи

Без шифрования end-to-end

Итак, большинство сервисов обеспечивает безопасность данных пользователей путем защиты передачи и шифрования на сервере, причем все участники нашего сравнения, которые шифруют данные пользователей, имеют ключи. Ни один из сервисов не использует шифрование end-to-end. Его принципиальное отличие от шифрования во время передачи и на сервере - шифрование с самого начала.

End-to-end подразумевает шифрование локально на устройствах пользователя и передачу уже в этом виде в дата-центры. При обращении к данным они возвращаются обратно к пользователю в том же зашифрованном виде и расшифровываются на его устройствах. Смысл в том, что пользователь, во-первых, отправляет данные исключительно в зашифрованном виде, а во-вторых, не выдает поставщику никаких ключей.

То есть даже если админ сгорает от любопытства, злоумышленник похищает данные или следственным органам нужно их раскрыть, ничего у них не получится.
С постоянным шифрованием тесно связана реализация так называемого «принципа нулевого разглашения» (Zero know­ledge).

В переводе на простой язык суть его в следующем: никто, кроме вас, не знает, как расшифровать ваши данные. Ни один поставщик услуг облачного хранения данных не получает информацию, которую можно использовать для расшифровки зашифрованных данных, - вы ему ничего не сообщали, у него «ноль знаний». Осуществить это на практике затруднительно и довольно неудобно, и участники нашего сравнения по этому критерию ничего представить нам не могут.

Без двухфакторной аутентификации

Очевидно, что поставщики занимаются вопросами безопасности данных своих клиентов, но почему-то не до конца продумывают план действий. Доступ к данным, хранящимся в об­лаке, эффективно защищает двухфакторная аутентификация. Суть его заключается в следующем.

Для успешного завершения процесса входа недостаточно только имени пользователя и пароля - нужен еще PIN-код, причем не постоянный, как, например, для банковской карточки, а генерируемый приложением на смартфоне или отправляемый по SMS на телефон. Обычно такие коды действительны в течение 30 секунд.

Пользователю нужно держать под рукой смартфон, привязанный к учетной записи, и во время выполнения входа после пароля ввести полученный код. Отечественные поставщики этот простой и эффективный метод защиты не предлагают, в отличие от интернет-гигантов, а также «узкопрофильных» Box и Dropbox.

Фактическая скорость облачных хранилищ

Мы измерили скорость облачных хранилищ по кабелю (до 212 Мбит/с), DSL (18 Мбит/с) и LTE (40 Мбит/с). На диаграмме представлена средняя скорость по всем способам соединения.

Сам себе шифровальщик. Boxcryptor шифрует файлы на устройстве и обеспечивает удобное управление аккаунтами в облачных хранилищах в одном окне. Пользователи могут выбрать, нужно ли им самим управлять ключом или нет

Местонахождение - тоже важный аспект

Несмотря на все старания, в домашних условиях невозможно достигнуть того уровня безопасности, который предлагает сервис облачного хранения данных в дата-центре, и это мощный аргумент в пользу облачного хранилища. В этом можно убедиться, взглянув на их оборудование. Все поставщики, кроме Drop­box, даже для бесплатных предложений сертифицированы по международному стандарту ISO 27001.

Немаловажную роль играет также местонахождение дата-центров. Серверы Amazon, Google и других компаний находятся в США и подпадают под действие американских законов. На серверы, которые находятся только в России, например, «Яндекс» и Mail.ru, соответственно, распространяются российские законы.

Чтобы не мешать работе других программ, Dropbox использует автоматическое ограничение в клиенте

Вывод: есть куда расти

Сервисы облачного хранения данных, которые мы рассмотрели, по безопасности предлагают только стандартный набор. Искать шифрование End-to-end или Zero knowledge не имеет смысла. Защиту передачи данных обеспечивают все сервисы, однако шифрованием на серверах Amazon и Microsoft не занимаются.

Зато дата-центры отвечают высоким требованиям информационной безопасности. Вместе с тем, облачного хранилища с идеальной защитой сравнение не выявило.

Преимущества поставщиков России - в местонахождении, однако самые простые методы защиты, например двухфакторную ­аутентификацию, они игнорируют. Вы должны сами позаботиться о постоянной защите данных, даже если это означает большие расходы и сложное управление.

Как и где хранить свои данные? Кто-то использует флешки, кто-то покупает пачками жёсткие диски и обустраивает собственные домашние хранилища, но есть мнение, что самое безопасное место для хранения данных – облако. И это мнение вполне аргументировано.

На данный момент поставщики облачных хранилищ предлагают вам самые совершенные решения в плане безопасности ваших данных и управления. Конечно, можно сколько угодно делать такие громкие заявления, но вот аргументы:

Данные в надёжных “лапах”

О чём переживает пользователь? О личных данных: номерах карт и телефонов, сведениях о действиях и так далее. Облако — это как Администрация Президента: куча охраны, камер видеонаблюдения и замков.

Как бы далеко не находился ноутбук босса с данными всех сотрудников, до него всё равно легко добраться, взломав сеть, к которой тот подключён. Теперь сделайте вывод почему охраняемое и круглосуточно сканируемое различными средствами безопасности облако надёжнее, чем ваш физический носитель.

Все данные в облаке тщательно шифруются, поэтому, даже получив к нему доступ, злоумышленнику придётся иметь дело с этим:

Резервное копирование в облаке — автоматическое и постоянное, поэтому даже разъяренная “барышня”, с которой вы вчера расстались, не способна уничтожить вашу коллекцию немецкого кино, которую вы каталогизировать с далеких 90-х.

Безопасность под рукой

Если вы, к примеру, разработчик ПО и разрабатываете собственное приложение, то наверняка часто его обновляете, ведь без апдейтов оно становится мёртвым грузом. Каждая новая версия связана с отладкой кода, и во время этого очень важного процесса появляются уязвимости, которые могут дать злоумышленнику доступ к личным данным ваших пользователей. Облако может решить эту проблему благодаря своим фишкам:

• Администратор может определить права и роли каждого пользователя, который работает над проектом
• Автоматизация некоторых процессов исключает человеческий фактор: случайную или умышленную порчу релизного кода
• Различные утилиты наподобие Amazon Inspector круглосуточно сканируют систему в поиске брешей
• Любые действия скрыто записываются в лог-файл — тотальный контроль обеспечен

Google читает мои письма!

Многочисленные слухи о том, что сотрудники Google и Amazon каждый день собираются за круглым столом и начинают читать личные сообщения пользователей — не более чем слухи. Компании не для этого тратят миллионы долларов на поддержание облачной инфраструктуры.

Все файлы хранятся на нескольких жёстких дисках, которые восстанавливаются самостоятельно. Причём один файл может быть разбит по частям на разных дисках.

В конце концов, преимущество облака сводится к минимальному воздействию человеческого фактора, что уже гарантирует безупречную безопасность. Подумайте сами, у кого больше шансов выйти из строя, у вашего жёсткого диска или у целой облачной системы, в которой такие диски используются как расходный материал и постоянно обновляются?

В этой связи мы решили обратиться к экспертам в сфере ИБ и облачных технологий, чтобы разобраться в том, смогут ли облачные хранилища стать заменой физических носителей, насколько такие сервисы безопасны и как пользователи могут защитить свою информацию, помещенную в «облако».

«За облачными хранилищами - будущее?» Заменят ли полностью облачные хранилища физические носители информации?

Алексей Федоров , директор рекомендательной системы по облачным сервисам Startpack :
«В прикладных задачах, вроде работы с документами, облачные хранилища действительно заменят физические носители. Такую модель используют Google и Microsoft в сервисах Google Диск и OneDrive соответственно. Облачные хранилища Dropbox, Яндекс Диск, Облако Mail.Ru изначально не имели возможности работы с документами, но ввели такую возможность. Совмещение работы с документами и их хранения настолько естественно, что еще в 2005 году хранилище Box позиционировало себя «как SharePoint, только лучше». Шесть лет существования Chromebook - ноутбука, где нет ничего кроме браузера, также показывает, что модель имеет право на существование. Вместе с тем, существуют прикладные задачи, для которых хранение файлов в «облаке» нецелесообразно: обработка видео, работа со звуком, инженерное проектирование. Большинство игр подразумевают наличие у пользователя компьютера с объемным жестким диском. Даже для запуска удаленного рабочего стола, тонкий клиент должен обладать какие-то базовыми функциями «на месте».

Алексей Шипов, руководитель по развитию облачной платформы ICL Cloud в компании ICL Services

Алексей Шипов , руководитель по развитию облачной платформы ICL Cloud в компании ICL Services :
«Сейчас мы наблюдаем взрывной рост использования облачных хранилищ для данных, генерируемых в социальных сетях. Ведь многие фото и видео, снятые на смартфоне, автоматом уходят в «облако». Использование «облака» для коммерческих данных растет чуть медленнее, но стабильно на 30-50% каждый год. Посмотрите, как Microsoft встраивает в Windows Server возможности быстрого переноса данных в публичное «облако» Azure. Такие же тренды просматриваются и у остальных вендоров. Вероятно, уже через 5-10 лет больше половины данных будет храниться в «облаке». Однако, для особо ценной и важной информации не потеряет актуальности локальное хранение с использованием самых современных средств защиты, например, квантового шифрования».

Денис Полянский, руководитель направления защиты виртуализации и облачных платформ компании «Код безопасности»

Денис Полянский , руководитель направления защиты виртуализации и облачных платформ компании «Код безопасности» :
«У облачных хранилищ много преимуществ: высокая доступность, масштабируемость и так далее. И они продолжат набирать популярность в ближайшей перспективе. Но есть ряд аспектов, делающих облачную модель сложно применимой в некоторых кейсах. Например, невозможность получить согласие субъектов на передачу персональных данных на сторону провайдера или нежелание заказчика передавать определенный тип данных на сторону (клиентские базы, финансовые системы). Затруднение также может возникнуть, если есть проблемы с подключением к сети на стороне клиента, но продолжить работу надо (локально). Поэтому в ближайшее время стопроцентного вытеснения облачными сервисами локальной обработки данных не произойдет. Наиболее популярная и перспективная модель на сегодня – так называемые «гибридные облака», сочетающие в себе преимущества облачных сервисов и локального хранения и обработки данных. «Облака» хорошо зарекомендовали себя для резервного хранения информации на случай проблем в локальной инфраструктуре».

Рустэм Хайретдинов «Атак Киллер»

Рустэм Хайретдинов , генеральный директор компании «Атак Киллер» :

«Полной замены, конечно, не будет, во всяком случае – в обозримом будущем. За сотню лет человечество не научилось обеспечивать людей электричеством со стопроцентной гарантией, то и дело происходят обрывы и «блекауты» из-за природных явлений и техногенных катастроф, то что же говорить про облачные сервисы. Есть информация, которую уже сегодня удобнее хранить в «облаках» – это «тяжелые», не часто нужные и при этом редко меняющиеся файлы, например – фильмы, музыку, фотографии. Но и для них хорошо бы пока иметь резервную физическую копию, особенно, если такая информация сделана вами и существует в единственном экземпляре. Для данных же, которые нужны постоянно и при этом они постоянно меняются, пока лучше использовать он-сайт или хотя бы гибридную архитектуру – хранить данные и в «облаке», и у себя».

Насколько безопасны облачные сервисы?

Алексей Федоров :
«Опасность использования облачных хранилищ можно поделить на два типа: потеря информации и утечка информации. Потеря информации сейчас невозможна почти в любом облачном хранилище, поскольку информация многократно копируется и хранится на разных серверах и в разных дата-центрах. Например, чтобы Google потерял файлы пользователя, нужно чтобы в одночасье исчезли два континента. Однако, отечественные облачные хранилища на заре появления имели прецеденты с потерей данных пользователей. Некоторые хранилища, по условиям пользовательского соглашения, удаляют данные, если пользователь не пользовался ими несколько месяцев. Обычно для входа в облачное хранилище нужен логин и пароль, если злоумышленник узнал эти данные, он может получить доступ к хранящимся файлам. Так происходили утечки личных фотографий из iCloud знаменитостей».

Андрей Рыбин, заведующий сектором информационной безопасности Департамента информационных технологий (ДИТ) города Москвы

Андрей Рыбин , заведующий сектором информационной безопасности Департамента информационных технологий (ДИТ) города Москвы :

«Использование облачных сервисов не является безопасным. Основными угрозами информационной безопасности при использовании облачных технологий являются: хищение и потеря данных, взлом аккаунтов, уязвимости в интерфейсах и API, DDoS-атаки, действия инсайдеров, возможность проникновения хакеров, а также простая халатность провайдера. Кроме того, дополнительно появляются угрозы, связанные с использованием виртуальной инфраструктуры - динамичность виртуальных машин, атаки на гипервизор, как на ключевой элемент системы виртуализации, атаки на системы управления».

Чаба Краснаи, ИТ-евангелист компании Balabit

Чаба Краснаи , ИТ-евангелист компании Balabit :

«Для многих компаний, в основном МСБ-сектора, «облако» более безопасно, чем их собственная инфраструктура. У облачных провайдеров есть необходимая экспертиза и рабочая сила для обеспечения безопасности. В крупных компаниях, это зависит от информации, которой нужно управлять. Организации движутся в сторону гибридных «облаков», некоторые бизнес-процессы используют публичные «облака», а остальные - остаются в рамках внутренней инфраструктуры. Для определения уровня безопасности облачных сервисов нужна оценка рисков. Многие решения помогают защитить гибридную инфраструктуру, например, PAM-инструменты, которые контролируют и отслеживают активность администраторов в сетевом окружении».

Владимир Фоменко, руководитель хостинг компании King Servers

Владимир Фоменко , руководитель хостинг-компании King Servers :

«От технических сбоев облачные сервисы защищены явно лучше за счет нескольких факторов:

• Для хранения применяется специализированное «железо», вероятность выхода из строя которого значительно ниже, чем у обычной домашней техники.
• Оборудование таких сервисов расположено в специализированных ЦОД, где оно защищено от перепадов напряжения и перегрева.
• Естественно, что для хранения данных применяются технологии резервирования, которые сохранят данные в случае выхода из строя оборудования.

С точки зрения информационной безопасности такие сервисы достаточно надежны, чтобы получить доступ к данным мог только авторизованный владелец аккаунта.

Уязвимым местом будет только недостаточная забота о безопасности со стороны самого пользователя вроде установки простого пароля или подключение к хранилищу с недоверенных устройств. С точки зрения надежности самих сервисов – если пользователя интересует сохранность данных, то крайне рекомендую пользоваться крупными сервисами и не надеяться на стартапы, которые предоставляют больше места на бесплатных аккаунтах. Вполне возможно , что для небольших компаний предоставление таких сервисов окажется невыгодным, и они через некоторое время закроются, как это было с сервисами vSeife и Copy. В подобном случае можно не успеть скачать свои данные обратно, и они будут потеряны».

Артем Марусов, эксперт Центра информационной безопасности компании «Инфосистемы Джет»

Артем Марусов , эксперт Центра информационной безопасности компании «Инфосистемы Джет» :

«Насколько безопасны облачные сервисы? К сожалению, однозначного ответа на этот вопрос нет. И даже профессиональное сообщество не может прийти к единому мнению на этот счет. Достаточно полистать профильные сайты и форумы, чтобы понять, что по теме уже было высказано (и продолжает высказываться) множество амбивалентных мнений, причем достаточно неплохо аргументированных. Сторонники облачных сервисов считают, что поскольку такие услуги предоставляют, как правило, крупные корпорации с серьезными ИT и ИБ компетенциями, то и безопасность обеспечивается ими если не наивысшем, то на достаточно адекватном уровне. Противники же «облаков» не перестают перечислять факты крупных утечек данных из облачных сервисов, напоминая, что, пользуясь ими, мы, по сути, отдаем свои данные в некий «черный ящик», аспекты реализации которого нам неизвестны и, соответственно, не могут быть оценены адекватно. Лично я считаю, что необходимо принять тот факт, что стопроцентной гарантии защищенности от утечек не может обеспечить никто. В связи с этим, надо просто принять за правило:

1) Никогда не выкладывать в облачные сервисы в открытом виде информацию, утечка которой нежелательна для вас (рабочие и финансовые документы, личные файлы).

2) Если такой необходимости не избежать, то обязательно шифровать файлы перед их отправкой в «облако». Для этого можно использовать средства как простые (например, создание архивов, защищенных паролем), так и более продвинутые (ПО для создания шифрованных разделов)».

Как пользователи могут обеспечить безопасность своей информации, находящейся в «облаке»?

Ашот Оганесян, технический директор и основатель DeviceLock

Ашот Оганесян , технический директор и основатель DeviceLock :

«В первую очередь необходимо использовать двухфакторную аутентификацию (2FA) для доступа к облачным сервисам. Настоятельно рекомендуется хранить файлы на таких сервисах в защищенных контейнерах (как минимум в запароленных архивах). Организациям, активно использующим облачные хранилища для хранения и обмена информацией, необходимо проводить регулярное сканирование своих данных, хранящихся в «облаке», с помощью продуктов класса Data Discovery, выявлять те данные, которые попали в облачные хранилища случайно или в нарушение политик компании».

Алексей Федоров :

«Если данные крайне ценны, лучше не надеяться на одно хранилище и отправлять их в еще одно хранилище. Следует помнить, что если на устройство установлено клиентское приложение облачного хранилища, при порче файлов на диске вирусом, испорченные файлы загрузятся и в хранилище, заменив собой неиспорченные. И даже если хранилище позволяет откатываться к предыдущим версиям, исправить порчу будет довольно проблематично: восстанавливать придется каждый файл отдельно, глубины хранимых версий может не хватить. Потому хотя бы в одно хранилище лучше заливать файлы через браузер, не устанавливая клиентское приложение. Разумеется, стоит придумать для своей учетной записи сложный пароль: 10 и больше символов, буквы в разном регистре, цифры и специальные символы. Хранить пароль в контейнере паролей или запомнить».

Денис Суховей, руководитель департамента развития технологий компании «Аладдин Р.Д.»

Денис Суховей , руководитель департамента развития технологий компании «Аладдин Р.Д.» :

«Сегодня пользователи имеют возможность задействовать внушительный арсенал организационных и технических мер по обеспечению защиты информации в «облаке». Однако такой подход сводит на нет все преимущества самого «облака», так как повышает совокупную стоимость использования сервиса. В этом свете криптографическая защита конфиденциальной информации в «облаке» является безальтернативным вариантом. Шифрование данных решает сразу целый букет «облачных» проблем безопасности, среди которых противодействие утечкам важной и критичной для бизнеса информации, разграничение прав доступа, соответствие целому набору требований регулирующих организаций и, конечно, экономическая эффективность и простота решения».

Максим Захаренко, генеральный директор компании «Облакотека»

Максим Захаренко , генеральный директор компании «Облакотека» :
«Возможно обеспечение практически абсолютной конфиденциальности, если данные в «облако» передаются и хранятся там в шифрованном виде, а расшифровка происходит только на своем железе. Другое дело, что это очень неудобно и фактически такое практикуется редко, особенно, если это касается частных пользователей. Как только расшифрованные данные размещены в «облаке», конечно, безопасность существенно уменьшается, но вопрос, насколько эта безопасность актуальна, например, для фотографий из отпуска или для небольшого ИП, которому нечего «прятать» даже от налоговой».

Таким образом, на фоне возрастающей роли облачных сервисов пользователям необходимо с большей ответственностью подходить к размещению своей информации в «облаке». Безусловно, нельзя исключать того, что вы можете столкнуться с халатностью провайдера, но нельзя забывать, что защищать свои данные должен и сам пользователь. Поэтому мы присоединяемся к словам экспертов и настоятельно рекомендуем задействовать механизм двухфакторной аутентификации, устанавливать надежные пароли и дифференцировать хранение информации (пользоваться несколькими разными хранилищами и обратить внимание на гибридные «облака»).