28 ноября в Екатеринбурге состоялся митап-практикум «Облачная инфраструктура: проектируем, тестируем, внедряем», организованный компанией OXYGEN при участии сообщества ИT-профессионалов Урала URAL CIO. Партнерами мероприятия выступили УЦСБ, «НТЦ ИТ Роса», StormWall и Мой Офис. Митап прошел в формате сторителлинга, во время которого спикеры рассказали о реализованных проектах на основе облачных решений Oxygen.
От Уральского центра систем безопасности своей экспертизой по защите ИТ-инфраструктуры в облаке поделился Евгений Тодышев, руководитель направления «Безопасная разработка» в Центре кибербезопасности УЦСБ.
В своем докладе «Принципы безопасного управления облачной инфраструктурой» эксперт рассказал, на какие моменты стоит обращать внимание при переходе на облачную инфраструктуру в части информационной безопасности, а также о российских и мировых практиках обеспечения безопасности облаков.
Евгений Тодышев:
«Облачные технологии прочно входят в жизнь российских компаний, это и понятно —современные облака дают возможность существенно увеличить скорость развития бизнеса, при этом позволяя сэкономить бюджет при планировании, развертывании и поддержке инфраструктуры».
Эксперт отметил, что облачные технологии добавляют специфические риски, которые не всегда учитываются специалистами по информационной безопасности. В частности, подтверждением этому служат результаты исследования компании Orca Security, из которого видно, как часто допускаются ошибки при конфигурировании облачной инфраструктуры, и как важно для ее безопасного использования иметь компетенции в Сloud Security.
Опираясь на собственный опыт Евгений Тодышев отметил, что безопасное управление облачной инфраструктурой осложняется использованием облачными провайдерами разнообразных технологий, зачастую непохожих друг на друга.
Подводя итог своего выступления, эксперт пришел к выводу, что облака несут в себе новые возможности для бизнеса: с их использованием увеличивается скорость развития новых продуктов, упрощается сопровождение информационных систем, экономятся финансовые и человеческие ресурсы. Однако их применение несет новые риски, с которыми можно и нужно работать. Так, грамотный подход к проектированию, внедрению и сопровождению облачной инфраструктуры значительно уменьшает риск возникновения инцидентов ИБ.
«Мой опыт по защите облачной инфраструктуры заказчиков, показывает, что необходимо придерживаться определенных рекомендаций, чтобы избежать основных рисков, связанных с небезопасным использованием облаков. Главные из них: ограничить возможность несогласованных изменений; проводить регулярный аудит инфраструктуры, в том числе и на наличие неиспользуемых учетных данных и других активов; следить за ошибками конфигурации, так как это одна из самых частых проблем безопасности в облаках; осуществлять поиск и устранение уязвимостей в ваших активах; настроить политики аудита и подключиться к службе SOC; регулярно проводить тестирование на проникновение», — подытожил Евгений Тодышев, руководитель направления «Безопасная разработка» в Центре кибербезопасности УЦСБ.
