Привет, Хабр!

Меня зовут Сергей Борисов, я отвечаю за инфобезопасность в MANGO OFFICE. Сегодня хочу осветить тему отказоустойчивости облачных ИТ-систем и рассказать, как мы в компании решаем эти вопросы. 

Основные уязвимости облачных IT-систем 

Тут Америку не откроем. Есть два типа уязвимостей:

  • Возможность несанкционированного доступа к данным клиента со стороны провайдера облачного сервиса. Этим и опасно хранение чувствительных данных в публичных хранилищах. Наша компания также выступает как провайдер хранилищ, но мы в нашем продукте — Гибридной АТС, сочетающей функции облака и железной АТС — решили проблему доступа тем, что внутренний медиатрафик остается внутри сети клиента, к нам попадает только сигнальный трафик. В будущем планируем реализовать проект, где сигнальный трафик у нас тоже храниться не будет. 

  • Вторая главная уязвимость — потеря доступности системы. Если одним словом: нет интернета, значит, нет возможности работать с облаком, в то время как On-Premise-решения работают даже без доступа к сети. 

Если говорить об уязвимостях, появившихся в последнее время, то, в первую очередь, они обусловлены тем, что в большинстве случаев облачные сервисы использовали иностранные средства защиты. Уход иностранных вендоров, отсутствие возможности продлевать и докупать лицензии оставили ИТ-инфраструктуры без должной защиты до перехода на решения российских вендоров. К примеру, у нас в компании было облачное решение для исследования уязвимостей Tenable I.O. Купили мы его 1 февраля 2022 года, а уже 27 февраля нас отключили от обслуживания (без возврата денег). В итоге мы перешли на российское решение.

Ответ на резонный вопрос: "Почему пользовались иностранными средствами защиты?", — прост. Долгое время российские решения уступали зарубежным. Да, в последние три года немалая часть отечественных поставщиков сделала большой скачок в развитии. Однако сфера инфобезопасности довольно консервативна при всей своей изменчивости: люди обучены и привыкли работать с зарубежными вендорами и системами, а переход для всех очень болезненный. Смена требует инвестиций в том числе в обучение персонала и выстраивания перехода так, чтобы процессы не пострадали. Но к сегодняшнему дню все больше компаний обращает внимание на российские решения. 

Как измеряется продукт с точки зрения безопасности

Продукт можно измерять с точки зрения безопасности следующим образом:

  • RTO (Recovery Time Objective) — целевое время восстановления системы после сбоя. 

  • RPO (Recovery Point Objective) — целевая точка восстановления на шкале времени относительно сбоя, до которой требуется сохранить данные.

  • SLA (Service Level Agreement) — соглашение об уровне предоставления услуг. Это обязательство об уровне сервиса продукта/услуги, взятое компанией перед клиентом. Очень важна гарантированная доступность сервиса в течение года: сколько раз могут случаться сбои и какое время может быть недоступна система. Есть компании, заявляющие доступность 99,99 %, то есть в год система может не быть доступна 0,01 %.

  • Гарантия конфиденциальности данных. При анализе рисков конкретного продукта нужно смотреть, какую гарантию по производительности дает производитель. Никто не гарантирует 100 %, но конфиденциальность — тоже метрика, ее можно оценить (сколько было случаев потери данных у продукта). Если больше одного–двух, доверия к продуктам нет. 

  • Целостность данных. Юзер пользуется данными, например, создавая подборку на стриминговом сервисе, а при следующем визите подборка слетает. Это показатель того, что данные повреждены. Если таких случаев не было, значит, с компания надежно их хранит.

Как SSDLC помогает предотвращать угрозы на уровне разработки продукта

SSDLS — это процесс безопасной разработки, при котором на всех этапах жизненного цикла разработки ПО учитываются риски инфобезопасности, выявляются и устраняются уязвимости в программном коде, чтобы в релиз выпускался продукт безопасный как с точки зрения кода, так и с точки зрения архитектуры логики работы.

Вот так он выглядит в нашей компании: 

Основные метрики, применяемые в нашем SSDLC-процессе: 

  • Количество выявленных и подтвержденных уязвимостей в процессе эксплуатации кода в текущих релизах продуктов. В идеале они должны стремиться к нулю. На практике, конечно, определенная уязвимость есть всегда, но если над кодом работает сильная команда и в компании есть application security, то есть человек, отвечающий за безопасность приложения, — продукты выпускаются зрелыми. 

  • Зрелость процесса безопасной разработки по SAMM v2.0. Вычисляется для текущих команд  на основе собственных исследований.

  • Доля автоматизации. Показатель применения автоматизированных средств анализа инфобезопасности в проектах команд в CICD-процессах.  

  • Доля покрытия команд процессом безопасной разработки. Метрика показывает соотношение команд, которые участвуют в процессе безопасной разработки, ко всем командам (участием считается взаимодействие с командой, использование автоматизации, исправление и обсуждение вопросов).

Защита продукта во время эксплуатации

Во время эксплуатации продукта надо использовать комплекс средств защиты, которые должны защищать его на: сетевом уровне, уровне баз данных и уровне взаимодействия пользователя с системой (если речь о веб-приложении). 

Для защиты продукта нужно разработать модель угроз для данного продукта, оценить вероятность их возникновения и, исходя из актуальных угроз для продукта, реализовать набор мер по его защите (технических и организационных).

Инструменты применяются различные, в зависимости от актуальной угрозы: межсетевые экраны, регулярные сканирования на уязвимости, системы мониторинга событий информационной безопасности, обнаружения сетевых атак внутри сети и во внешнем контуре, контроля и разграничения прав данных, шифрование, системы контроля утечек данных, выявления вредоносного кода, выявления атак нулевого дня (Zero day). 

Атаки Zero Day — угрозы, которые только что появилось, и никто еще не знает, как от них защититься. Но есть решения, которые, используя машинную логику, выявляют такого рода атаки.

Мы в  процессе безопасной разработки используем отечественное решение — статический анализатор кода, выявляющий уязвимости в коде. В следующем году наш вендор собирается предложить динамический анализатор кода, выявляющий уязвимости в ходе эксплуатации продукта. Для управления уязвимостями компонентов ИТ-инфраструктуры продуктов используются автоматизированные решения управления  уязвимостями.

К чему мы стремимся 

Нет предела совершенству, и мы (как и все, вероятно) стремимся к ближайшему к 100 % показателю отказоустойчивости систем. Но на практике редкие компании могут подтвердить бесперебойность 99,999 % (а это означает, что система может быть недоступна 5 минут 15 секунд в год) и только для узких наборов сервисов. Обычно это касается, к примеру, систем электропитания, которые находятся в ЦОД. Сейчас по рынку эталон — 99,95 %. В процент доступности должны входить: восстановление в случае сбоя и плановые работы. У нас в компании по некоторым услугам уровень отказоустойчивости 99,99 %, подтвержденный исторически. 

Здесь нужно учитывать параметр, в котором кроется сложность: в течение какого времени мы будем восстанавливаться в случае сбоя. Система может отлично работать и падать очень редко, но когда упадет — восстанавливается час–два. И именно из-за этого некоторые компании могут проигрывать в конечных показателях доступности.

Не в последнюю очередь на повышение показателей доступности влияют микросервисы. Когда приложение монолитное, выход из строя какого-либо компонента приводит к его падению полностью. Выход из строя компонента в микросервисе приводит к падению конкретного микросервиса, остальное будет работать. Конечно, все зависит от программистов, архитекторов: нужно не допускать ситуаций, когда несколько микросервисов одновременно прекращает работу.

Если говорить о ближайшем будущем инфобезопасности, то, как уже упоминалось, на сегодняшний день основная тенденция — переход к отечественным решениям. Даже если зарубежные вендоры будут возвращаться, доля российских поставщиков будет расти, так как созданный прецедент заставил задуматься многие компании. Мы, как раньше, так и сейчас, отдаем предпочтение отечественным разработкам. 


Подписывайтесь на наши соцсети:

Аккаунты Mango Office