Безопасное гибридное и мультиоблачное резервное копирование

Облачные вычисления стали повсеместными и достигли точки, когда почти половина всех рабочих нагрузок выполняется в облаке. В настоящее время большинство организаций используют комбинацию локальных и облачных рабочих нагрузок, известную как гибридное облако. Обычно они хранят ключевые сервисы в своих центрах обработки данных и используют облако для клиентских сервисов, программных приложений и гибкого хранения данных. Модель гибридного облака идеальна, поскольку не всегда возможно и даже разумно переносить все в облако по таким причинам, как стоимость, производительность и соответствие требованиям.

Гибридное облако — это комбинация одного или нескольких типов общедоступных и частных облачных архитектур вместе с локальными серверами. Мультиоблако включает в себя два или более общедоступных облачных сервиса. Преобладающие облачные архитектуры включают инфраструктуру как услугу (IaaS), платформу как услугу (PaaS) и программное обеспечение как услугу (SaaS). Пользователи ценят отказоустойчивость облака и обычно применяют более гибкие методы хранения данных, чем это является нормой для локальных центров обработки данных.

Согласно отчету Veeam «Тенденции облачной защиты за 2023 год», почти 50% компаний не хранят данные в облаке дольше одного года.

Кроме того, 34% полагают, что такие сервисы PaaS, как общие файловые ресурсы, не нуждаются в резервном копировании, несмотря на то, что данные, размещенные в облаке, подвергаются такому же объему и масштабу киберугроз. Мы должны делать больше для защиты и защиты наших облачных данных, чтобы обеспечить устойчивость.

Эти политики хранения данных не обеспечивают достаточной защиты от непреднамеренного удаления или растущей угрозы программ-вымогателей . Согласно отчету Veeam о тенденциях в области программ-вымогателей за 2023 год, 85% опрошенных организаций подверглись хотя бы одной атаке с использованием программ-вымогателей в предыдущем году.

Для большинства компаний кибератака — лишь вопрос времени. Их способность сопротивляться будет зависеть от шагов, которые они предпримут для укрепления и защиты своих сетей. Не менее важным является обеспечение безопасных резервных копий в качестве последней линии защиты от атак программ-вымогателей.

Безопасность гибридного облака: важность предотвращения

Предотвращение является важной частью любой стратегии безопасности гибридного облака, которая направлена ​​на снижение риска потери данных из-за таких угроз безопасности, как программы-вымогатели. Если вы можете помешать киберпреступникам взломать вашу киберзащиту, вы можете отразить атаку программы-вымогателя. По крайней мере, вы можете обнаружить атаку и отреагировать на нее до того, как ваши данные будут зашифрованы или украдены.

Поставщики облачных услуг по контракту обязаны защищать свои системы от вторжений и атак в соответствии с их собственными моделями совместной ответственности и соглашениями об уровне обслуживания. Однако эта ответственность не распространяется на ваши данные или на то, как вы настроили свою сеть. Ответственность за защиту своих данных и систем в гибридных и мультиоблаках от киберугроз лежит на пользователях.

Важные шаги по защите ваших систем от атак включают в себя:

• Программные патчи. Постоянно обновляйте все программное обеспечение и встроенное ПО и применяйте исправления безопасности сразу после их выпуска.
• Конфигурация системы. Избегайте брешей в безопасности и уязвимостей, вызванных ошибками конфигурации вашей сети, экземпляров и виртуальных машин (ВМ).
• Сегрегация сети. Разделите свою сеть на несколько разделов или доменов, используя физические и виртуальные сети, чтобы избежать единой точки входа.
• Контроль доступа. Примите меры контроля доступа с наименьшими привилегиями, особенно к конфиденциальным сетям и данным.
• Системный мониторинг. Постоянно отслеживайте свои сети на предмет необычного ЦП и сетевого трафика, включая подробное журналирование со встроенными оповещениями.

Принятие мер по исправлению ситуации

Даже при наличии самых лучших средств защиты от программ-вымогателей злоумышленникам удается пройти, поскольку их векторы атак развиваются и становятся все более изощренными. Решительные хакеры часто нацелены на конкретные организации, ища любую возможную возможность взломать их защиту.

Тактика включает в себя фишинговые атаки, выглядящие как подлинные электронные письма, которые обманом заставляют ничего не подозревающих сотрудников открыть зараженные вложения электронной почты. Другие включают атаки вредоносных программ с зараженных сайтов и сканирование ваших систем на наличие уязвимостей, таких как необновленное программное обеспечение и компрометация учетных записей.

Хакерам нужно найти всего одну уязвимость, чтобы заразить вашу систему, и отразить каждую атаку сложно. Вам нужна вторая линия защиты, к которой можно будет прибегнуть, включая методы безопасного резервного копирования, которые гарантируют целостность данных и возможность выполнить чистое восстановление.

Рекомендации по безопасному резервному копированию и восстановлению в облаке

Как и в случае с любой стратегией аварийного восстановления, вам необходим надежный план действий в чрезвычайных ситуациях, как отреагировать на атаку программы-вымогателя . Этот план должен быть динамичным и постоянно пересматриваться, чтобы отражать организационные изменения и адаптироваться к новым и развивающимся угрозам.

Помните, что вымогатели-вымогатели постоянно совершенствуют свою тактику. Их цель — сделать невозможным ваше восстановление после атаки, если вы не заплатите выкуп. Таким образом, 93% атак программ-вымогателей теперь нацелены на ваши резервные копии. Это означает, что крайне важно убедиться, что ваша стратегия резервного копирования надежна и защищена от атак.

Давайте углубимся в лучшие практики гибридной и мультиоблачной безопасности.

1. Следуйте правилу 3-2-1

Первое и самое важное, на что следует обратить внимание: ваш облачный провайдер не несет ответственности за резервное копирование ваших данных. Хотя поставщики облачных услуг синхронизируют данные с зеркальными сайтами, это должно обеспечить запасной вариант, если основной центр обработки данных выйдет из строя. Это не резервная копия. Если вы стали жертвой атаки программы-вымогателя, постоянная синхронизация означает, что оба набора данных будут зашифрованы.

В идеале ваша стратегия резервного копирования должна основываться на проверенном и проверенном правиле резервного копирования 3-2-1 . Это правило описывает минимальное количество копий данных, которые вы должны хранить вместе, а также методы снижения риска потери из-за общих факторов или событий.

Цифры в правиле объясняют, как оно работает:

• Первая цифра правила 3-2-1 гласит, что у вас всегда должно быть три копии ваших данных.
• Вторая цифра указывает, что резервные копии следует хранить на двух разных типах носителей.
• Последняя цифра означает, что вам следует хранить одну копию вне офиса, будь то локально в облаке, внутри облака в разных регионах или из одного облака в другое.

2. Логически создайте зазоры в ваших резервных копиях

Идея физического воздушного зазора для резервных копий уже давно возникла. Однако как добиться такого воздушного зазора в облаке, где данные постоянно подключены к сети? Нам не нужно смотреть дальше, чем хорошо продуманные структуры или передовые методы облачных провайдеров, которые помогают нам понять, где находятся границы безопасности и как отделить ресурсы резервного копирования от производственных. Обратите внимание, что между облаками существуют незначительные различия в вопросах безопасности; AWS — это учетные записи, Azure — это подписки, а Google Cloud — это проекты.

Настоятельно рекомендуется использовать специальную учетную запись, подписку или проект для резервного копирования. Кроме того, резервные копии могут храниться в локальном хранилище, например в защищенных репозиториях Linux, или в неизменяемом объектном хранилище, а также в локальном хранилище или в другом облаке.

3. Принцип наименьших привилегий (PoLP)

Ограничьте привилегии теми, которые необходимы каждому пользователю, системе или приложению для выполнения конкретных задач или функций. Это правило одинаково применимо как к операциям резервного копирования и восстановления, так и к другим задачам сотрудников. Используйте следующие принципы:

• Управление идентификацией и доступом (IAM). Используйте детализированные роли IAM для создания детального контроля над доступом к ресурсам и допустимыми действиями. Постоянно проверяйте роли IAM и удаляйте разрешения, которые больше не требуются, а также чередуйте ключи доступа для пользователей IAM.
• Управление доступом на основе ролей (RBAC): RBAC по принципу похож на IAM, но с некоторым перекрытием. С точки зрения резервного копирования и восстановления RBAC может помочь предоставить пользователям особый доступ к функциям резервного копирования и восстановления. Например, роли восстановления могут быть ограничены восстановлением только упражнений, чтобы предоставить владельцам приложений возможность самостоятельного восстановления без возможности редактировать настройки уровня администратора или политики резервного копирования.
• Многофакторная аутентификация: MFA — это надежная система аутентификации пользователей при входе в корпоративные системы, помогающая предотвратить атаки грубой силы и атаки «человек посередине» (MITM). Он работает, требуя от человека, который пытается войти в систему, предоставить хотя бы одну дополнительную информацию, уникальную для этого пользователя, в дополнение к его паролю для входа. Это может быть секретный вопрос или одноразовый пароль, отправленный на мобильное устройство пользователя. Альтернативы включают цифровую подпись или биометрическую идентификацию, например отпечаток пальца или распознавание лица.

Эти подходы гарантируют, что злоумышленники не смогут получить доступ к резервным копиям данных и атаковать их. Они также помогают вам соблюдать  требования к данным в облаке, касающиеся конфиденциальности и местонахождения данных.

4. Неизменяемость обеспечивает целостность

Концепция неизменяемой резервной копии заключается в том, что данные невозможно изменить. Вы не можете изменять, удалять или перезаписывать данные. Важно отметить, что хакер не сможет зашифровать неизменяемый файл. Таким образом, неизменяемые резервные копии — это безопасные файлы резервных копий, на которые вы можете положиться.

В большинстве неизменяемых решений используются технологии однократной записи и многократного чтения (WORM), которые блокируют данные. Примеры включают блокировку объектов Amazon S3 и неизменяемое хранилище для Azure Blob. При неизменности в облаке обычно указывается период хранения, по истечении которого данные будут разблокированы и впоследствии могут быть удалены в соответствии с требованиями к хранению данных или при контроле расходов на облачное хранилище. Альтернативой является добавление юридического удержания, которое отменяет период хранения до тех пор, пока оно не будет специально разблокировано авторизованным пользователем.

Существует одно положение, касающееся неизменяемости: перед сохранением данные должны быть неповрежденными и свободными от вредоносных программ или программ-вымогателей. В противном случае данные могут быть повреждены или зашифрованы при попытке использовать эти файлы для восстановления из резервной копии.

5. Шифрование для предотвращения кражи

Несмотря на то, что киберпреступники не могут зашифровать ваши неизменяемые резервные копии, если они получат доступ к данным резервных копий, они смогут украсть данные резервных копий и потребовать с вас выкуп.

Большинство облачных провайдеров предоставляют несколько механизмов шифрования ваших данных. Примеры включают службу управления ключами AWS (AWS KMS) и Microsoft Azure Key Vault. Реализация очень проста, особенно при использовании ключей по умолчанию, однако для большего контроля рекомендуется использовать самоуправляемые ключи.

Мониторинг и реагирование на инциденты

В дополнение к вышеперечисленным процедурам крайне важно постоянно отслеживать ваши системы на наличие признаков атак программ-вымогателей. Кроме того, у вас должен быть подробный план, описывающий действия, которые следует предпринять в случае атаки программы-вымогателя. Основные шаги включают в себя:

• Непрерывный мониторинг. Внедрите инструменты мониторинга угроз, которые позволят вам постоянно отслеживать гибридные и мультиоблачные среды на предмет необычной активности и аномального поведения сети, которое может указывать на вредоносные действия.
• Обнаружение угроз. Установите программное обеспечение безопасности, чтобы обнаруживать и устранять угрозы кибербезопасности, включая фишинг, вредоносное ПО, программы-вымогатели и эксплойты нулевого дня. Защититесь от новых и неизвестных угроз с помощью механизмов обнаружения с поддержкой искусственного интеллекта, которые блокируют подозрительные процессы и действия.
• План реагирования на инцидент. Подготовьте комплексный план реагирования на программы-вымогатели с подробным описанием конкретного персонала и действий, которые необходимо предпринять в ответ на атаку программ-вымогателей, включая изоляцию зараженных систем, стратегии сдерживания и уничтожения программ-вымогателей.
• Автоматизированное исправление. Используйте автоматизированные инструменты для обнаружения и блокирования атак вредоносных программ и программ-вымогателей, отключая и изолируя зараженные конечные точки, системы и программное обеспечение.
• Расследование. Проведите процедуры расследования, такие как восстановление системных журналов и данных, хранящихся во флэш-памяти, чтобы можно было определить последовательность событий и определить тип программы-вымогателя.

Важным аспектом реагирования на инциденты и восстановления программ-вымогателей является обучение команды. Вам следует тщательно обучить членов команды принципам и практикам эффективного реагирования на программы-вымогатели и инциденты кибербезопасности.

Принятие мер

Ответственность за защиту данных начинается и заканчивается на вас. Хотя публичные и частные облака предлагают гарантии безопасности данных, они касаются потери и повреждения данных из-за отказа части или всех их облачных центров обработки данных.

Например, AWS гарантирует определенный уровень надежности и доступности данных в соответствии с соглашением об уровне обслуживания. Однако AWS не несет ответственности за потерю данных из-за случайного удаления, вредоносного ПО или программы-вымогателя.

Очень важно определить соответствующие политики резервного копирования, а также место и способы защиты данных резервного копирования. Вам также необходимо определить оптимальные конфигурации сети и безопасности, соответствующие потребностям вашей организации. В этом контексте к безопасности гибридного облака следует относиться с той же строгостью, что и к локальным центрам обработки данных, в отличие от тех, которые упоминались ранее в этой статье.

К счастью, вы не одиноки.  Решения Veeam для резервного копирования и восстановления помогут вам эффективно и безопасно управлять, создавать резервные копии и восстанавливать данные из любой точки гибридного облака.

Защита гибридных и мультиоблачных резервных копий

Надежные облачные сервисы IaaS, PaaS и SaaS на AWS, Azure, Google Cloud, Microsoft 365, Salesforce и других платформах предлагают привлекательную альтернативу компаниям, стремящимся расширить свои ИТ-услуги. Хотя стратегии гибридного облака часто решают многие проблемы, они также сопряжены с проблемами, поскольку киберпреступники все лучше используют возникающие уязвимости программного обеспечения и сети. Ваша компания сталкивается с реальной угрозой кражи данных и программ-вымогателей.

Ответ на эту угрозу заключается в сочетании эффективных стратегий предотвращения программ-вымогателей и надежных политик восстановления. К ним относятся меры безопасности в гибридных и мультиоблачных средах, такие как сегментация сети, программное обеспечение безопасности и надежные политики многофакторной аутентификации.

Но, учитывая почти неизбежность успешной атаки программы-вымогателя, вам также необходима надежная стратегия резервного копирования. Используя такие методы, как логические пробелы, PoLP, неизменяемость, шифрование и многое другое, эффективный план резервного копирования может помочь вам восстановиться после инцидента с программами-вымогателями с минимальным временем простоя и репутационным ущербом.