Задумывались ли вы, насколько безопасно использовать облачное хранилище для складирования личной важной информации? Разбираемся.

Для миграции в новое ИТ-окружение, такое как облако, следует уделять серьезное внимание безопасности этого окружения. Если неизвестно, на каком оборудовании лежат наши личные данные в данный момент времени, откуда мы знаем, что это безопасно?

Поскольку "облачная" популярность растет, проблема безопасности становится особенно серьезной . Различные организации и школы используют сервис от Google, а многие юзеры применяют в своей работе Dropbox, Amazon Drive, Microsoft OneDrive... Да тот же FaceApp: вы задумывались, на какие облака уходят ваши фото, и где могут использоваться впоследствии?

Рассмотрим слабые и потенциально небезопасные места в облачном направлении, чтобы понимать, насколько все плохо, и с какой стороны ждать "новостей".

Ключ от всех дверей

Кому же доверить свой ключ?

Только сервису, на котором лежит ваша информация. Большинство из них сохраняют ключ самостоятельно, позволяя своим системам просматривать, обрабатывать и индексировать пользовательские данные для облегчения поиска.

Эти сервисы получают доступ к ключу, когда пользователь логинится, чтобы расшифровать данные. Это удобнее и секьюрнее, чем доверить юзеру хранение своего ключа. Само собой, что нет абсолютно безопасного метода, но нужно максимально исключать из цепочки человеческий фактор.

Огонь очищает

Фаерволы – основа технической безопасности любой сети, в том числе в облаке. Это аппаратная или программная система, которая применяет правила ко всему трафику, проходящему через сеть.

Данные, передаваемые в/из нее, проверяются и фильтруются брандмауэром на базе правил, исключающих подозрительный трафик. Это обеспечивает сетевой барьер между системами в датацентре. Правила фаервола должны быть адаптированы под актуальные угрозы и поддерживать безопасность.

Помимо брандмауэра, облака обычно защищены другими инструментами, обеспечивающими защиту от вредоносных программ, мониторинг целостности и логирование. Все это должно работать слаженно.

Пользователь и свобода действий

Некоторые облачные сервисы требуют от пользователей загружать и скачивать файлы через приложения собственной разработки, включающие функции шифрования. Этот "защитный" механизм позволяет пользователям самостоятельно сохранять ключи шифрования и заставляет отказаться от некоторых функций, таких как поиск.

Механизм не идеален: есть вероятность, что приложение будет скомпрометировано или взломано, позволяя злоумышленнику читать файлы либо до их шифрования перед загрузкой, либо после загрузки и расшифровки. И, конечно же, если юзер теряет пароль, данные более не вернуть.

Новые разработки предлагают хранить фотографии с телефона в зашифрованном виде с момента их получения и до окончания передачи в облако. Могут появиться и другие похожие сервисы, но пользователи должны быть настороже в течение нескольких минут после того, как снимок сделан, и до того, как он будет зашифрован и сохранен.

Предотвращение и смягчение последствий DDoS

Distributed denial of service (DDoS) атаки – являются дорогостоящими, разрушительными и могут повлиять на любой размер бизнеса в любой отрасли. Они представляют собой поток трафика, направленного на определенный элемент в сети с целью перегрузки до такой степени, что он перестает функционировать должным образом. Защита от этих атак:

• надежная инфраструктура сервис-провайдера с сетью географически распределенных точек присутствия;
• перенаправление трафика от узких мест и разделение его между центрами обработки данных.

На данный момент избыточность в ЦОД-ах встроена в сеть далеко не у всех провайдеров и далеко не через максимально возможное количество поставщиков. Пограничная защита на уровне облака (сокрытие IP-адреса и местоположения истинного сервера) помогает смягчить вероятность нападения, но и это не всегда используется.

Защити себя сам

Чтобы максимально повысить безопасность облачных хранилищ, лучше всего сочетать функции различных подходов. Перед загрузкой данных в облако сначала зашифруйте их с помощью любого ПО для шифрования. Затем уже грузите закодированный файл в облако. Чтобы снова получить доступ к файлу, залогиньтесь на сервисе, загрузите и расшифруйте его самостоятельно.

Лучший способ защититься – использовать подлинное шифрование. Этот метод хранит не только зашифрованный файл, но и дополнительные метаданные, позволяющие юзеру определить, был ли файл изменен с момента создания.

Если не хотите кодить свои собственные инструменты, есть два варианта:

1. Найти облачное хранилище с надежным опенсорсным загрузчиком, проверенное независимыми безопасниками.
2. Использовать надежное опенсорсное ПО для шифрования данных перед их загрузкой в облако.

Оба варианта доступны для всех ОС.

Подытожим

Исходя из вышесказанного:

• Необходимо свести к минимуму использование облаков для хранения важных данных.
• Защита информации – это прямая обязанность пользователя.
• Использование облачного хранилища основано на доверии. Если доверие пропало или есть какие-либо подозрения – хранит данные в другом месте.
• Всегда шифруйте информацию перед ее размещением на просторах сети.

Нужно тщательно взвешивать риски при рассмотрении облака в качестве "файлопомойки". Если вы поместили в хранилище файлик с паролями, секретные фото или важные документы, а сервис взломали, то пеняйте только на себя: зачастую никаких договоров нет, оплаты услуг нет, и безопасности тоже нет.

Какое облачное хранилище используете вы? Вы ему доверяете?