Облачные сервисы — новый риск
Облачные технологии все больше привлекаюn как специалистов, так и обычных пользователей. Практически все компании в той или иной мере используют частные или общественные облачные сервисы.
Пользователи, чтобы упростить передачу и доступ к документам, выкладывают их на сервисах вроде Dropbox, Google Drive или Яндекс.Диск. Да и сами компании чаще стали инвестировать в различные технологии виртуализации. Поэтому вопрос безопасности данных в облаках будет занимать в будущем далеко не последнее место.
Самую большую обеспокоенность у специалистов вызывает то, что проблема фактически мало изучена, чтобы дать универсальный совет, который будет работать во всех случаях. Ведь пользователь подключается к облаку с самых различных устройств и с любого места, где есть Интернет. Это требует наличия тонкого управления доступом и необходимости постоянного внимания к данному вопросу. А штатные средства не очень в этом отношении помогают. Построить четкий периметр, определяющий, кому и куда разрешено заходить, уже невозможно.
Специалиста также прогнозируют появление ботнетов, перенаправляющих трафик через контролируемые злоумышленником серверы, позволяя перехватывать все данные. К слову, сами хакер также используют облачные сервисы, в частности, IaaS, которые позволяют, оставаясь анонимными, получать в короткое время требуемую вычислительную мощность.
Остро стоит вопрос аутентификации. В корпоративной сети уже используется возможность единого входа, позволяющая пользователю безопасно взаимодействовать с доступными ему приложениями. В случае облачного сервиса (особенно общественного) такая возможность несет некоторую угрозу. Устройство может быть потеряно, а значит, кто-то легко получит доступ ко всей информации. Администратору предоставляется меньше возможностей контролировать использование паролей такого рода, зашита всегда была слабым местом. Пользователю никто не мешает использовать одну и ту же комбинацию на разных аккаунтах.
Сами облачные службы часто имеют проблемы. Например, Dropbox в 2011-м отключил парольную защиту на несколько часов. В 2012 году были выложены в Интернет пароли 6.5 млн пользователей LinkedIn, 500 тыс. паролей и почтовых адресов Yahoo Voices, ушла в сеть база Philips. И такие инциденты отнюдь не редкость.
Пока специалисты по безопасности рекомендуют четко определить правила паролей (сложные и часто менять), шифровать все файлы на клиентской стороне перед отправкой их в облако, использовать фильтры URL и контроль приложений.