Определение облачной безопасности

• Используйте возможности искусственного интеллекта (ИИ) и машинного обучения (МО) для автоматической адаптации и устранения угроз безопасности
• Используйте автономные возможности для масштабирования реагирования на угрозы безопасности, устранения рисков и ошибок
• Проактивно защищайте данные с помощью средств контроля доступа, управляйте рисками пользователей и видимостью, а также предоставляйте инструменты для обнаружения и классификации
• Применяйте модель коллективной ответственности за безопасность в облаке, чтобы со знанием дела подходить к вопросу обеспечения безопасности между заказчиком и поставщиком облачных решений
• Встройте безопасность в проект архитектуры и применяйте подход “безопасность прежде всего”

Облачная безопасность предоставляет компаниям подход к соблюдению требований безопасности и обеспечению соблюдения ими нормативных требований. Эффективная облачная безопасность требует нескольких уровней защиты по всему стеку облачных технологий, которые включают:

• превентивные средства, предназначенные для блокирования санкционированного доступа к конфиденциальным системам и данным;
• средства обнаружения, предназначенные для выявления с помощью аудита, мониторинга и отчетности несанкционированного доступа к системам и данными и изменения их;
• автоматизированные средства управления, предназначенные для предотвращения, обнаружения и реагирования на обновления безопасности — как регулярные, так и критические;
• административные средства управления, предназначенные для обеспечения политик безопасности, стандартов, практик и процедур.

Машинное обучение и искусственный интеллект позволяют использовать технологии с учетом контекста во всем портфеле решений облачной безопасности. Благодаря облачной безопасности для защиты предприятия применяются такие сервисы, как IaaS, PaaS и SaaS, и безопасность обеспечивается везде: в сети, оборудовании, микросхемах, операционной системе, хранилище и уровнях приложений.

Облачная безопасность — это коллективная ответственность за безопасность поставщика облачных услуг и заказчика. Модель коллективной ответственности за безопасность облака — это основополагающий принцип управления безопасностью и рисками в облаке, который отражает разделение труда между поставщиком облачных решений и подписчиком на услуги. Четкое понимание модели коллективной ответственности за безопасность для всех типов облачных сервисов имеет решающее значение для программ облачной безопасности. К сожалению, нужно также добавить, что модель коллективной ответственности за безопасность остается одной из наименее понятных концепций безопасности в облаке. На самом деле, только 8 % директоров по информационной безопасности полностью осознают свою роль в обеспечении безопасности SaaS по сравнению с провайдерами облачных сервисов (CSP). Проще говоря, модель коллективной ответственности за безопасность устанавливает сферу ответственности поставщика облачных решений по поддержанию безопасности и доступности услуги, а также ответственность клиента за обеспечение безопасного использования услуги, и обе стороны при этом берут на себя определенные обязательства.

Компаниям необходимо понимать свои обязанности. Отсутствие надлежащей защиты данных может привести к серьезным и дорогостоящим последствиям. Многие компании, которые столкнутся с последствиями взлома, могут оказаться не в состоянии покрыть расходы, почувствовать последствия для своих финансовых результатов могут даже крупные компании. Суть модели коллективной ответственности за безопасность заключается в обеспечении гибкости с помощью встроенной системы безопасности, разрешающей быстрое развертывание. Поэтому компании должны понимать свои обязанности по обеспечению облачной безопасности, которая обычно называется «безопасностью“” облака», не путать с «безопасностью“в” облаке».

Сегодня предприятиям предлагается широкий спектр инструментов облачной безопасности для защиты своих сред при перемещении нагрузок и данных в облако. Однако некоторые из этих инструментов сопровождаются отдельными инструкциями и предлагаются как индивидуальные услуги. Ожидается, что пользователи и администраторы облачных вычислений будут знать, как работают сервисы облачной безопасности, как их правильно настраивать и как обслуживать развернутые облачные решения. И хотя недостатка в параметрах безопасности нет, их может быть сложно настроить и можно легко допустить ошибку в одной области. Кроме того, непрекращающийся цикл фишинга, вредоносное ПО, растущее кибермошенничество и некоторые неправильно настроенные облачные сервисы еще больше усложняют и без того чересчур насыщенные разными функциями программы кибербезопасности. В результате в компаниях происходят утечки данных и, как следствие, наносится ущерб бренду и приходится нести затраты на восстановление и платить штрафы. Ниже приводится несколько важных требований для обеспечения безопасности данных в облаке.

• Коллективная ответственность за безопасность и доверие. Доверие имеет первостепенное значение при выборе облачного партнера, который будет нести ответственность за свою часть модели коллективной безопасности. Компании должны иметь четкое представление о ролях и обязанностях, а также им должны быть доступны независимые аудиты безопасности и аттестации, приводящиеся сторонами компаниями.
• Автоматизация и машинное обучение. Облачные угрозы распространяются со скоростью машины, в то время как традиционная система обеспечения безопасности предприятия выполняет анализ и реагирует со скоростью человека. Современная система безопасность в облачных средах должна автоматизировать обнаружение угроз и реагирование на них. Для сложных угроз требуются решения по обеспечению безопасности, которые выводят на новый уровень технологии прогнозирования, предотвращения, обнаружения и реагирования на угрозы с помощью машинного обучения.
• Всесторонняя защита. На многочисленных уровнях безопасности во всем стеке технологий у нужных людей, процессов и технологий должны быть средства предотвращения, обнаружения и администрирования, позволяющие защитить физические центры обработки данных поставщиков облачных решений.
• Управление идентификационными данными. По мере того как мобильные устройства, приложения и образы пользователей используются все шире, идентификация стала новым периметром безопасности. Управление доступом и привилегиями в облаке и локально на основе безопасных учетных данных имеет решающее значение.
• Видимость. Брокер безопасности доступа к облаку и решение для управления состоянием безопасности облака увеличивают прозрачность и расширяют возможности контроля во всей облачной среде компании.
• Обеспечение постоянного соответствия нормативным требованиям. Соблюдение нормативных требований — вещь обязательная, а соответствие этим требованиям и безопасность не одно и то же. Компании могут столкнуться с несоблюдением нормативных правил и без нарушения безопасности, например, из-за ошибок и изменения конфигурации. Компаниям очень важно иметь решение для управления облаком, которое предоставляет исчерпывающие, своевременные и действенные данные, связанные с соблюдением нормативных требований, во всех облачных средах.
• Безопасность по умолчанию. Поставщик облачных решений не должен требовать от компаний, чтобы они не забывали включать средства контроля безопасности. Такие инструменты должны работать по умолчанию. Не все имеют четкое представление о различных средствах управления безопасностью и о том, как совместно они снижают риск и формируют комплексную систему безопасности. Например, шифрование данных должно быть включено по умолчанию. Согласованные политики и средства контроля защиты данных должны применяться во всех облаках.
• Мониторинг и миграция. Политики безопасности для облачных арендаторов и секций должны быть настроены и применены, с тем чтобы помочь администраторам защитить нагрузки. Унифицированное представление состояния облачной безопасности по всем облачным арендаторам также важно для обнаружения неправильно настроенных ресурсов и небезопасных действий среди арендаторов. Оно позволяет администраторам систем безопасности получать все необходимые сведения для определения того, какие проблемы приоритетны, и их устранения.
• Разделение обязанностей и доступ по принципу наименьших привилегий. Принципы разделения обязанностей и доступа с минимальными привилегиями — это лучшие методы обеспечения безопасности, которые следует внедрять в облачных средах. Это гарантирует, что у отдельных лиц не будет чрезмерных административных прав и они не смогут получить доступ к конфиденциальным данным без дополнительной авторизации.

Так как сейчас компании ориентированы на цифровую трансформацию, облачные технологии внедряются все быстрее и компании должны предвидеть и преодолевать сложности, связанные с обеспечением безопасности своих облачных сред. Важно выбрать поставщика облачных решений, разработавшего систему безопасности, которая будет автоматически встроена в весь облачный стек (IaaS, PaaS, SaaS). Что еще следует учесть в плане облачной безопасности в будущем

• Безопасность облачной инфраструктуры. Защитите нагрузки, используя подход, ориентированный на безопасность, в вычислительных ресурсах, сетях и хранилищах облачной инфраструктуры, начиная с архитектуры. Используйте основные сервисы безопасности, обеспечивающие требуемые уровни защиты самых критичных для бизнеса нагрузок.
• Облачная безопасность баз данных. Снижайте риск утечки данных и обеспечивайте соблюдение нормативных требований в облаке. Внедряйте решения для обеспечения безопасности баз данных, обеспечивающие шифрование, управление ключами, маскирование данных, управление привилегированным доступом пользователей, мониторинг действий и аудит.
• Безопасность облачных приложений. Защита критически важных приложений от мошенничества и неправомерного использования необходима для того, чтобы важнейшие данные компании находились в безопасности. Детальный контроль доступа, прозрачность и мониторинг — критически важные компоненты современной многоуровневой системы защиты.
• Корпоративные методы обеспечения безопасности и конфиденциальности. Защищайте конфиденциальность, целостность и доступность данных и систем, размещенных в облаке, независимо от выбранного облачного продукта.
• Oracle Advanced Customer Service. При переходе в облачные или многооблачные среды группы специалистов по безопасности сталкиваются с такими проблемами, как расширение спектра атак, большое число оповещений и недостаточные навыки в сфере кибербезопасности. Воспользуйтесь расширенными сервисами от своего поставщика облачных решений, чтобы решить эти проблемы.
• Управление идентификационными данными и доступом (IAM). Контролируйте, кто имеет доступ к Вашим данным, а также какой тип доступа и к каким конкретно ресурсам предоставляется, с помощью защищенных учетных данных, независимо от того, размещены ли они в облаке или локально.

1. Oracle и KPMG: отчет об облачных угрозах (PDF)
2. Технический учебник для начинающих. Защита СУБД Oracle Database (PDF)