Туманные перспективы облачной безопасности: доступ к данным пока не защищен

Потеря конфиденциальной информации или части инфраструктуры компании влечет огромные убытки. Обзор последних новостей показывает, что выбор между облаком или локальным сервером все еще актуален.
Недавно мы рассказывали о расширении возможностей облачного хранения корпорации IBM. Это часть глобальной тенденции – переноса сервисов и служб на распределенные сетевые сервера. Облачные приложения, средства хранения и систематизации информации, использование удаленных вычислительных мощностей, клиент-банки и даже облачные ОС – далеко не полный список технологий, применяющих распределенные сервера. Однако, как у любой передовой технологии, у таких систем есть и обратная сторона – необходимость высокого уровня безопасности и стабильности.
22 тысячи серверов не защищены
Компания Lacework провела исследование уязвимостей облачных серверов. Выяснилось, что 22 тыс. систем управления контейнерами и API интерфейсов не защищены, имеют слабую защиту аутентификации и используют небезопасные протоколы передачи данных. 305 из них и вовсе не защищены паролем. А 22, 6 тыс. платформ имеют открытый доступ из интернета к панели администратора. Многие облака не используют SSL-сертификатов.
Таким образом, большинство этих платформ может легко обнаружить любой пользователь сети и получить доступ к информации или управлению. Готовы ли вы доверить свои данные и инфраструктуру компании незащищенному хостингу?
Казусы с безопасностью
Данные двух серверов TeenSafe оказались не защищены паролем и были доступны для всех желающих. Об этом сообщил британский исследователь интернет-безопасности Роберт Виггинс, который обнаружил два открытых сервера компании, размещенных на облаке Amazon.
После того, как информация просочилась в прессу, доступ к серверам был закрыт, а представитель сервиса заявил: «Мы приняли меры для закрытия одного из наших серверов для общественности и начали предупреждать клиентов, которые потенциально могут быть затронуты».
Также эксперты «Лаборатории Касперского» обнаружили уязвимости в популярных облачных системах для видеонаблюдения. Они работали со смарт-камерами и использовались в основном в качестве радионянь.
По заявлению представителей «Лаборатории Касперского», смарт-камеры фирмы Hanwha Techwin производят обмен данными по протоколу XMPP и могут быть легко взломаны злоумышленниками, зарегистрировавшимися под произвольной учетной записью в системе. В результате, хакеры могут получить доступ к видеоматериалам любой камеры, украсть личные данные или удаленно вывести камеру из строя.
И это не считая классического сценария подмены изображения для конечного пользователя с целью проникновения в дом.
По дороге с облаками
В то же время многие производители антивирусного ПО и систем ИТ-безопасности уже работают над защитой облачных серверов.
Trend Micro выпустило компонент Smart Check, который проверяет образы контейнеров еще до их развертывания, чтобы выявлять вредоносное ПО и уязвимости. Вице-президент компании Билл Макги объяснил: «Платформы с поддержкой контейнеров позволили организациям ускорить цикл разработки программного обеспечения, и те не готовы снова замедлять его ради дополнительных мер безопасности. При этом обеспечение мер безопасности – необходимое требование для любой рабочей среды, и использование контейнеров этого не отменяет».
«Лаборатория Касперского» также работает над решением для защиты гибридного облака. Kaspersky Security призвана обеспечить безопасность гибридной инфраструктуры, интегрированной с Amazon Web Services (AWS) и Microsoft Azure. Она включает в себя компоненты технологий предотвращения активности эксплойтов, оценку уязвимостей и автоматизированное управление патчами обновлений.
Спускаемся с облаков
Мы уже не раз поднимали тему эффективного использования облачных вычислений и хранения данных. Но не стоит забывать и о рисках. Стабильность работы часто нарушается региональными блокировками, как в случае с Telegram и Google. Безопасность данных часто оказывается под угрозой из-за недобросовестных провайдеров или низкого уровня защиты. IoT-разработки в этом отношении вызывают особое беспокойство. Доступ к вашим данным, онлайн-камерам, смартфону, ноутбуку через уязвимое облако может представлять вполне физическую угрозу безопасности.
См. также
Российский разработчик создал неофициальную версию Clubhouse для Android
вчера в 13:27 1660 VKuser24342747 0
Масштабное обновление Trello: пять новых видов досок и интеграция с Google Docs
25.02.2021 2615 user1015646 0
Видеоигра на базе нейросетевого генератора текстов стала бизнес-консультантом
25.02.2021 1605 VKuser24342747 1
В ближайшие годы возрастет потребность в персонале центров обработки данных
24.02.2021 1855 SKravchenko 0
Rustоманы из Долины: Google, Microsoft, Huawei, Mozilla и AWS основали фонд поддержки языка программирования
16.02.2021 1584 user1015646 0
Украинская команда FireWay одержала победу в хакатоне NASA Space Apps Challenge 2020
05.02.2021 1924 SKravchenko 2
Microsoft участвует в разработке цифрового паспорта вакцинации от Covid-19
02.02.2021 1725 capitan 3
Что нового в Chrome 88: проверка надежности паролей и поддержка профилей
01.02.2021 2184 user1015646 0
280 символов для науки: Twitter откроет доступ ученым к архиву твитов
29.01.2021 1466 VKuser24342747 1