Использование шифрования данных в облаке

Облако предлагает современное шифрование важных бизнес-данных, но следует помнить о проблемах безопасности.

По мере того как бизнес-правила и информационная безопасность расширяются асимметричными темпами, руководители корпораций в конечном итоге сталкиваются с проблемами конфиденциальности и безопасности, для решения которых у них нет знаний или опыта. Хотя базовая технология шифрования является краеугольным камнем безопасности, шифрование в облаке может быть сложной задачей. С таким количеством доступных типов шифрования малый и средний бизнес находит этот подход привлекательным, но очень запутанным. Мы расскажем, что владельцам бизнеса нужно знать об облачном шифровании.

Содержание

Что такое облачное шифрование
Виды защиты данных
Использование облачных ключей шифрования
Рекомендации по облачному шифрованию
1. Относитесь к безопасности данных как к совместному предприятию вашей компании и поставщика облачных услуг
2. Управляйте своими ключами шифрования отдельно от ваших данных
3. Не полагайтесь полностью на облачных провайдеров.

Что такое облачное шифрование

Благодаря облаку малые и средние предприятия теперь имеют доступ к той же вычислительной мощности и пространству для хранения данных, что и многонациональные корпорации, всего за несколько сотен рублей в месяц. Вам больше не нужно тратить целое состояние на компьютерное оборудование, программное обеспечение и ИТ-специалистов, чтобы поддерживать все это. Но в безопасности ли ваши данные? И как сделать его безопаснее? Здесь в дело вступает шифрование.

Облачное шифрование преобразует данные открытого текста в данные, которые полностью не поддаются расшифровке (называемые зашифрованным текстом). Это означает, что если киберпреступнику удастся взломать вашу электронную почту или веб-трафик, то, что у него осталось, для него бесполезно. У них есть данные, но нет ключа, который превратил бы эту тарабарщину в полезную информацию.

Шифрование вряд ли можно назвать новой технологией, но исторически зашифрованные данные хранились на серверах, которые находились в помещениях, над которыми компания имела прямой контроль. Теперь, когда многие из популярных сегодня бизнес-приложений размещены в облаке, владельцам бизнеса необходимо выбирать поставщика облачных услуг, который позволит клиенту шифровать данные перед их отправкой в облако для хранения, или обработки, или стать партнером поставщика программного обеспечения как услуги (SaaS), который будет управлять шифрованием и дешифрованием корпоративных данных.

Виды защиты данных

Данные существуют в трех разных состояниях: в пути, в использовании и в состоянии покоя.

Данные в пути: это данные, перемещаемые из одного места в другое, например, с жесткого диска на облачный сервер или вложение, отправленное по электронной почте или в канал Slack.
Используемые данные: это данные, которые в настоящее время считываются, к которым осуществляется доступ, стираются, обрабатываются, изменяются или обновляются в компьютерной системе.
Данные в состоянии покоя: это данные, хранящиеся в облаке или на логическом или физическом носителе. Примеры включают документы, хранящиеся на жестких дисках или флэш-накопителях, записи в базах данных и файлы на серверах, к которым нет доступа.

Не для всех корпоративных данных требуется шифрование, и не у всех пользователей одинаковая потребность в доступе к данным. Для предприятий важно создать правила, определяющие, какая информация нуждается в шифровании, а какие данные можно безопасно хранить в виде обычного текста. Разделение данных с помощью приложений SaaS, которые автоматически шифруют данные внутри приложений, может иметь большое значение для обеспечения защиты важных данных. Данные также должны быть защищены, чтобы они не влияли негативно на бизнес-процессы компании.

Данные, которые требуют шифрования, могут находиться в любом из трех состояний, но защита данных в состоянии покоя особенно важна. Лучший выбор — шифровать конфиденциальные данные при их создании, чтобы при хранении в центре обработки данных, будь то локально или в облаке, они были защищены.

Вы знали? Для взлома пароля, содержащего 12 цифр, потребуется две секунды, чтобы взломать, а если бы 12-символьный пароль содержал цифры, прописные и строчные буквы и символы, на его взлом ушло бы 3000 лет.

Использование облачных ключей шифрования

Облачное шифрование основано на ключах, которые шифруют данные, чтобы предотвратить доступ к ним злоумышленников. Только те, у кого есть доступ к ключам, могут расшифровать информацию. Существует два типа ключей шифрования: симметричное шифрование, при котором один и тот же ключ используется для шифрования и расшифровки данных, и асимметричное шифрование, при котором имеется общедоступный ключ, который шифрует данные, и имеющийся у вас закрытый ключ, который их расшифровывает.

Симметричное шифрование быстрее, тогда как асимметричное шифрование более безопасно. Если организация потеряет или уничтожит свой ключ доступа, ее данные могут оказаться невосстановимыми, что является большой проблемой при использовании этого метода безопасности. Альянс облачной безопасности рекомендовал шифровать конфиденциальные данные для обеспечения конфиденциальности данных с помощью утвержденных алгоритмов и длинных случайных ключей; шифруется перед тем, как перейти с предприятия в облако; и остаются зашифрованными при передаче, хранении и использовании.

Также данные должны оставаться зашифрованными до момента использования. Как ключи дешифрования, так и расшифрованные версии данных должны быть доступны в открытом виде только в пределах защищенного временного пространства памяти.

Совет: Если вы отвечаете за установку пароля для асимметричного ключа, убедитесь, что он как можно сложнее. Выбранные пользователем ключевые пароли могут быть взломаны киберпреступниками так же, как могут быть угаданы традиционные имена пользователей и пароли для входа в компьютерные ИТ-сети.

Рекомендации по облачному шифрованию

Учитывая, что облачное шифрование является одной из наиболее важных мер безопасности, которую может предпринять бизнес, следует помнить о некоторых вещах.

1. Относитесь к безопасности данных как к совместному предприятию вашей компании и поставщика облачных услуг

Хотя каждый авторитетный поставщик облачных услуг (CSP) предлагает базовую безопасность, включая шифрование, пользователям облачных служб следует применять дополнительные меры для обеспечения безопасности данных. Относитесь к своим отношениям с CSP как к партнерству, когда они отслеживают безопасность инфраструктуры и реагируют на нее, а вы предпринимаете дополнительные шаги для защиты данных и активов, которые вы храните и передаете в облако.

Добавление дополнительных уровней шифрования к шифрованию вашего CSP — это начало. Другие ценные начинания включают следующее.

Многофакторная аутентификация: это когда вам нужно использовать два или более идентификатора для входа в систему, подобно тому, как некоторые онлайн-банки теперь отправляют текст или код по электронной почте для подтверждения вашей личности на другом конце.
Микросегментация: ограничение доступа к данным в зависимости от уровня разрешений и использования сводит к минимуму ущерб и кражу в случае взлома. Например, имеет смысл предоставить низкоуровневому сотруднику доступ только к тем данным и приложениям, которые ему необходимы для выполнения работы. Если кто-то взломает систему, используя логины этого сотрудника, ущерб, который может нанести хакер, относительно невелик.
Мониторинг сети: используйте приложения для мониторинга веб-трафика, чтобы обнаруживать подозрительное использование, такое как несанкционированный доступ к порту и необычные модели доступа пользователей.

2. Управляйте своими ключами шифрования отдельно от ваших данных

Отделение ключа шифрования от зашифрованных данных необходимо. Часто хранят ключи в том же месте, что и сами данные, если ваши данные будут скомпрометированы, ваш ключ тоже будет скомпрометирован, поэтому более безопасно хранить их отдельно.

Кроме того, компании должны хранить резервную копию всех ключей в удаленном месте на случай аварии и проверять эту резервную копию каждые пару месяцев.

Если данные зашифрованы перед загрузкой в облачное хранилище, а затем эти данные необходимы на мобильном или удаленном устройстве, на котором еще нет ключа дешифрования, полученная загрузка будет бесполезной зашифрованной информацией. Это усугубляется, когда компания пытается поделиться данными с деловым партнером, но не хочет, чтобы партнер имел прямой доступ к ключам дешифрования.

Ротация и уничтожение ключей также становятся более сложными, когда компания управляет своими собственными ключами, что может повлечь за собой миллионы файлов. Сторонний прокси-провайдер может добавить уровень защиты, храня ключи отдельно от зашифрованных данных у облачного провайдера. Однако это может быть не идеально для всех предприятий, поскольку добавляет еще один уровень сложности, а также дополнительные расходы на второго стороннего поставщика для компании.

3. Не полагайтесь полностью на облачных провайдеров.

Несмотря на то, что вам следует сотрудничать с поставщиком облачных услуг для шифрования ваших данных и управления ключами, имейте в виду, что CSP не будет так же заинтересован в защите данных вашей компании, как владелец бизнеса. Если в организации произойдет широко разрекламированная утечка данных, клиенты и пресса сосредоточат свой гнев на самой компании, а не на CSP.

Облачные провайдеры не подпадают под действие тех же законов о раскрытии информации об утечке данных, что и банки и другие организации. Кроме того, бизнес, которому принадлежат данные, несет ответственность, даже если причина утечки данных лежит на организации облачного хостинга. В конечном счете, предприятие обязано защищать свои данные, где бы и как бы они ни обрабатывались. Вот почему так важно обеспечить избыточность системы безопасности и иметь в штате квалифицированных специалистов по ИТ-безопасности. Даже если вы сотрудничаете с CSP, штатные сотрудники должны играть серьезную роль в управлении и мониторинге данных шифрования.