• Соответствие. Обеспечение соответствия системы нормативно-правовым требованиям и ведение журнала аудита с помощью автоматизации. Создавайте журналы изменений, которые можно использовать для отчетов о соответствии(например, GxP, FFIEC и т. д.). Разверните правила, чтобы предотвратить несанкционированные методы развертывания.

• Шифрование. Конфиденциальные данные должны быть зашифрованы при передаче по сети или хранении в целевых хранилищах. Такие протоколы, как IPSec и SSL/TLS, необходимы для защиты потоков данных, проходящих через несколько сетей.

• Масштабируемые и доступные ресурсы шифрования. Не полагайтесь на один ресурс для выполнения функций шифрования. Эти ресурсы, как и любые другие облачные сервисы, должны быть рассредоточены и децентрализованы. Это не только обеспечивает лучшую производительность, но и устраняет единую точку отказа.

• DLP. Не позволяйте записывать какие-либо личные или конфиденциальные данные в журнал или другие неавторизованные места. Журналы довольно небезопасны и часто содержат информацию в текстовом виде. Потоки журналов зачастую становятся самой легкой целью для злоумышленников.

• Защитите учетные данные и конечные точки. Не храните учетные даные сервисов и исходные/целевые конечные точки в памяти. Используйте собственные сервисы токенизации с минимальными привилегиями, чтобы свести к минимуму масштаб потенциального ущерба. При создании учетных данных для сотрудников-операторов разработайте правила управления идентификацией и доступом (IAM) с отдельными и конкретными политиками. Постоянно просматривайте и отслеживайте их применение.

• Кэширование. Облачные приложения могут масштабироваться в нескольких экземплярах. Приложения должны использовать внешний кэш (например, Memcache и Redis) для поддержки проекта без сохранения состояния. Приложения никогда не должны хранить информацию в памяти дольше, чем необходимо для выполнения запроса. Следовательно, в случае сбоя одной машины запрос может быть легко перенесен на другую машину в парке серверов приложений.

Инструменты для обеспечения безопасности в облаке

Okta

В Okta увеличивается количество сервисов, связанных с идентификацией, но данный инструмент наиболее известен своим сервисом единого входа, который позволяет пользователям управлять логинами и паролями для большого количества отдельных учетных записей (через IaaS, PaaS и Saas). Это обеспечивает более эффективный вход в систему и помогает пользователям (особенно администраторам) управлять несколькими пользователями/ролями в рамках одной облачной учетной записи (www.okta.com/).

Centrify

Centrify — еще один популярный инструмент управления идентификацией и до- ступом, который интегрируется с облачными средами. Он поддерживает интегра- цию с зонами доступности и позволяет автоматически создавать учетные записи. Это очень помогает в безопасной работе в масштабе крупных предприятий, управ- ляющих десятками или сотнями облачных учетных записей (www.centrify.com/).

Dome9

При устранении неполадок в ходе масштабного развертывания того, что мы обсуждали в данной главе, может оказаться сложно визуализировать и понять истинные состояния конфигурации. Dome9 помогает решить эту проблему, создавая подробные карты групп безопасности, NACL и машин. Кроме того, Dome9 может интегрироваться в рабочие процессы DevOps, чтобы сканировать и помечать шаблоны IaC (например, cloudformation) на предмет обнаружения антишаблонов

(dome9.com/)

Evident

Evident предлагает ряд продуктов для различных облачных провайдеров. Плат- форма Evident Security Platform (ESP) позволяет пользователям получить консо- лидированный обзор всего облачного ландшафта (для нескольких учетных записей) и помогает им находить угрозы путем управляемого реагирования на инциденты. Кроме того, ESP интегрируется с собственными облачными сервисами, такими как AWS Config, чтобы помочь обнаружить рассинхронизацию состояния с течением времени (evident.io/).