Двухфакторная аутентификация, разделение административных учетных записей, VPN поверх защищенных каналов, менеджеры паролей вместо стикеров на мониторе — все это базовые правила, о которых знает любой, кто хоть раз сталкивался с эксплуатацией корпоративных сервисов. Тем не менее, статистика инцидентов показывает, что взломы облачных консолей чаще всего происходят именно по этим причинам.
Но есть ли смысл требовать от сотрудников дисциплины, когда сам фундамент, на котором построено облако, не до конца совершенен? Николай Есипов, архитектор информационной безопасности «Группы Астра» предлагает посмотреть на проблему шире.
Вопрос защиты облака начинается с архитектуры. В российских реалиях это означает выполнение конкретных требований ФСТЭК и ФСБ России со стороны облачного провайдера. Платформа должна проектироваться как целостная система на сертифицированных средствах защиты. Без этой базовой настройки инцидент станет лишь вопросом времени независимо от того, соблюдаются ли правила эксплуатации внутри компании или нет.
Подробнее о том, на что обращать внимание бизнесу при выборе облака с точки зрения вопросов безопасности, читайте в специальном материале.
