В предыдущем посте я рассказывал о DDoS-атаке, которой подверглось наше «облако». Настало время поговорить о выводах и рекомендациях, которые мы выработали по итогам. На мой взгляд, ознакомиться с ними будет интересно всему сообществу. Ведь, каждый из нас может стать мишенью. Прежде всего, нужно понять, что подобного рода угроз не нужно бояться, главное уметь с ними бороться. Согласитесь, каждый из нас подвергает себя риску заболеть гриппом, например, но от этого мы не изолируем себя от общества, продолжаем привычную для нас жизнь, а если не повезет и заболеем – пьем лекарства, лечимся. И здесь так же. Кроме того, преодолевать такого рода напасть можно только вместе, и чем больше будет всеобщая степень информированности об опасностях и конкретных происшествиях, тем легче будет бороться. Во многом, поэтому мы заняли позицию информационной открытости в этой ситуации.
Роль совместного противостояния угрозам нельзя недооценивать. Дело в том, что вычислительные ресурсы злоумышленников очень обширны и распределены по миру. В результате, использую DDoS, можно преодолеть любую индивидуальную защиту. Противостоять таким атакам можно только комбинируя усилия многих участников процесса. Именно так поступили мы – хорошая иллюстрация. Отработанные технологические договоренности с операторами связи (в данном случае) о совместной борьбе, позволяют отфильтровать вредоносный трафик на широком канале, которого не имеет ни один пользователь. Это важно понимать и тем, кто безоговорочно уверен в своих индивидуальных средствах защиты от атак, и тем, кто просто боится, и тем, что не желает сотрудничать в деле противостояния угрозам. В нашей ситуации партнерство сыграло решающую роль. Мы благодаря этому оперативно расчистили завалы и прорваться в Интернет на «чистую воду».
Не буду скрывать, после происшествия мы проконсультировались со многими нашими вендорами. Для нас было важно проверить нашу собственную техническую позицию. Коллеги единогласно подтвердили, что выстроить защиту с нашей стороны канала невозможно. Есть законы физики, спорить с которыми невозможно.
Очевидно, что подобные ситуации могут оказать влияние на решимость потенциальных заказчиков переходить в «облако». Но, коллеги, главное – понимать, что собственные ИТ-системы подвержены тому же риску, а возможностей противостоять угрозам объективно меньше.
Мы обсуждали сложившуюся ситуацию с заказчиком, который был мишенью атаки. Оказалось, что после преезда в «облако», картинка рисков у него не поменялась. И это имеет отношение почти ко всем аспектам информационной безопасности (конфиденциальность, антивирусы, антиспам). Картина рисков или совпадает, или очень похожа. Конечно, виртуальная среда может добавлять новые пути проникновения в систему, потому что барьеры между системами становятся виртуальными, а не физическими. Но принципиально новых опасностей это не добавляет, и защищаться нужно также. Именно поэтому для тех, кто видит функциональную и финансовую выгоду от «облака», такие происшествия не влияют на решения. Они могут и должны вызвать вопросы к потенциальному провайдеру «облака», например: А есть ли у вас способы защиты? А срабатывали ли они когда-нибудь? А выстроены ли партнерские отношения с операторами связи?
И это важные вопросы: если партнерства нет, или практики такой не было, или у хозяина «облака» нет средств, чтобы активизировать это партнерство (это тоже вопрос настроек, которые мгновенно не сделаешь), вот это уже повод задуматься, стоит ли к этому провайдеру обращаться. В случае если механизмы работают и есть примеры, когда провайдер успешно «отбивался» от таких воздействий, значит, заказчик получит надежного партнера. Фактически облачный провайдер возьмет на себя работу, которую раньше заказчик делал сам в своем ЦОДе: защищался от атак, строил какие-то системы, а тут у него есть не скрытые ни от кого примеры успешного применения подобных средств.
Еще один важный момент – выбирая публичное «облако» для размещения вычислительный ресурсов, компании стоит задуматься о «соседях». Подобный подход стал привычным для многих, когда речь идет о выборе аутсорсингого дата-центра. Например, наши заказчики всегда интересуются, чьи стойки стоят рядом. Ведь если рядом известный банк, вероятность того, что твое оборудование повредят при изъятии правоохранительными органами стоек соседа, в разы меньше, чем при соседстве с социальными сетями, где циркулирует неконтролируемый контент.
Аналогичная ситуация и с «облаками». Риски меньше, если вас будут окружать заказчики вашего уровня. Если компания встает в «облако», которое публично доступно, в том числе, частным пользователям по кредитной карте или через Интернет-платежи, то риск приобрести плохого соседа огромен. И это может быть как атакуемый, так и атакующий сосед.
И, наконец, заказчикам стоит предусмотреть подобные риски и заложить соответствующие параметры в SLA. Это позволит в случае возникновения непредвиденных ситуаций, во-первых, четко понимать, перспективы развития ситуации, а во-вторых, получить компенсацию от облачного провайдера.