Безопасность облака не является безопасностью в облаке, поэтому нужен сервис, который сможет гарантировать полную безопасность пользователям, данным и приложениям.
«Облачные сервисы запрещены политикой моей компании, следовательно, они у нас не используются», — если вы руководите ИТ-службой компании, читайте эту мантру утром натощак трижды, и никакие Shadow IT вам не грозят. Или, другими словами, компании делятся на такие, которые используют облачные сервисы, и те, которые пока что не знают, что используют облачные сервисы.
Здесь нам будет полезна статистика, согласно которой 71% работников используют несанкционированные приложения. И если запретить использование большинства приложений можно техническими средствами, то запретить легитимные облачные сервисы, такие как Google Drive, Dropbox, OneDrive, Slack и т. п, почти невозможно да еще и вредно для производительности компании.
Другая крайность — официально использовать облачные сервисы в компании, не контролируя данные и корпоративные аккаунты в них.
Формат нашей работы изменился, вместе с этим появились новые риски:
- приложения, данные и аккаунты переместились в облако, то есть вышли за пределы корпоративного периметра и больше не защищены межсетевым экраном, системой предотвращения вторжений, DLP и т. п;
- благодаря облачным сервисам взаимодействовать стало проще, но контроль и видимость уменьшились;
- больше не надо использовать VPN для выполнения рабочих задач, следовательно, риск утечки конфиденциальной информации увеличился;
- уровень доверия к облачным сервисам достаточно высокий, следовательно, их пользователи становятся беспечными и забывают о защите доступа к своему аккаунту.
Итак, если вы доверили свои корпоративные данные облаку, теперь вы разделяете свою ответственность в пропорции с сервисом который вы используете.
Облачный сервис, вероятно, имеет отказоустойчивые дата-центры, поддержку 24/7 и повышенный уровень безопасности — его не так просто сломать или сделать недоступным, как традиционную инфраструктуру. Но безопасность самого сервиса не означает автоматически безопасность пользователей и данных в сервисе — эта ответственность всегда остается на корпоративной ИТ-службе.
Чтобы обеспечить защиту аккаунтов, данных, пользователей в облаке, существует отдельный класс решений — Cloud Access Security Broker. Системы CASB независимо от модели внедрение прокси или режим API — должны обеспечивать следующие задачи:
- видимость и аналитику относительно санкционированных и несанкционированных облачных сервисов, а также пользователей, которые получают доступ к этим сервисам с любого устройства;
- соответствие требованиям государственных и отраслевых стандартов, снижения рисков, указанных регуляторами;
- безопасность данных — CASB обеспечивают применение политик для предотвращения нежелательной активности, основываясь на классификации данных, активности пользователя, мониторинга доступа к конфиденциальным данным или фактах повышения привилегий доступа;
- защита от угроз должна быть на уровне корпоративной сети: нежелательные устройства, пользователи или версии приложений не должны получить доступ к сервису.
Решение Cisco Cloudlock является полностью облачным CASB-сервисом, который защищает пользователей, данные и приложения, используя API-подход, то есть полностью интегрируется с облачным сервисом. Преимущества такого подхода очевидны:
- полная видимость поведения пользователя в SaaS-сервисе;
- не становится на пути между данными и облаком;
- контроль данных, которые уже были загружены в облако;
- предоставляет надежную информацию о загруженные данные, ассоциированные с ними права и логи активности пользователей и администраторов.
Сейчас Cloudlock поддерживает интеграцию из коробки с такими сервисами как: Google G Suite, Office 365, Dropbox, Salesforce, Box, Slack, ServiceNow.
