Легендарный журнал о современных технологиях Компьютерра

Что такое SOC и как он работает в облаке

Инферит
10 февраля 2025
На чтение: 6 минут
На чтение: 6 минут

По предварительным оценкам, российский облачный рынок в 2024 году вырос на 36% и продолжит расти в 2025 году. При этом многие организации не торопятся переносить свою ИТ-инфраструктуру в облако, опасаясь потенциальных рисков кибербезопасности. Однако в большинстве случаев это не так. Как правило, переход в облако снижает, а не увеличивает риски киберугроз. В статье о том, что такое SOC и как он работает в облаке.

Что такое SOC и как он работает в облаке

Размещение серверов в офисе организации выглядит надежным и безопасным: оборудование находится в отдельном помещении, а возможность несанкционированного вмешательства сведена к минимуму. Однако такое мнение не всегда верно. В 2024 году ИБ-компания BI.ZONE проанализировала 300 000 серверов и рабочих станций 150 российских предприятий. Оказалось, что, 66% из них содержат не менее одной ошибки в настройке программ или доступа. С высокой вероятностью уязвимость может привести к успешной кибератаке. Кроме того, 35% высококритичных киберинцидентов, произошедших в 2024 году, были связаны с небезопасной парольной политикой для административных учетных записей. 

Сравнительно с локальной инфраструктурой, безопасность публичного облака охватывает широкий спектр мер, протоколов и технологий для защиты облачных сред и хранящихся в них данных. Важнейшую роль в обеспечении безопасности играет ситуационный центр управления информационной безопасностью (Security Operation Center, SOC). Именно его работа позволяет избежать финансовых и репутационных потерь вследствие деятельности хакеров. 

SOC собирает события со всей инфраструктуры и предоставляет полную картину состояния информационной безопасности. SOC анализирует события, предупреждает атаки и минимизирует последствия инцидентов. Это ключевой инструмент для защиты бизнеса в условиях цифровой трансформации.

Как SOC работает в облаке 

Security Operation Center позволяет максимально эффективно выстраивать защиту облачной инфраструктуры благодаря использованию передовых технологий и инструментов. К ним относятся:

  • системы обнаружения вторжений (IDS); 
  • системы предотвращения вторжений (IPS);
  • антивирусное ПО; 
  • средства анализа журналов событий.

Основной процесс работы SOC в облаке состоит из нескольких этапов: 

  • сбор данных из облачных сервисов, журналов активности и сетевого трафика;
  • выявление аномалий и корреляция событий для определения потенциальных угроз; 
  • в случае обнаружения киберугроз, запуск специальных скриптов и сценариев для их устранения; 
  • формирование отчетов о выявленных инцидентах;
  • дежурная смена, работающая 365/24/7 по реагированию на инциденты кибербезопасности.

Стратегии обнаружения угроз постоянно совершенствуются благодаря регулярному анализу прошлых событий.

Для создания облачного SOC требуются три компонента. 

  1. Квалифицированные специалисты. Команда ИБ-инженеров с компетенциями управления угрозами, способная решать сложные проблемы безопасности в облаке. 
  2. Отлаженные процессы и процедуры. Наличие стандартизированных процедур, которые обеспечивают максимальную защиту. 
  3. Специализированные инструменты. Инструменты кибербезопасности, мониторинга и аналитики, способные работать с облачными средами. 

Почему облако обычно защищено лучше частной инфраструктуры

Существует распространенное мнение, что публичные облака не так безопасны, как собственная инфраструктура. Это не совсем верно. Тот факт, что облаком одновременно пользуется множество клиентов, не несет негативных последствий для его безопасности. В облаке и локальной инфраструктуре угрозы безопасности схожи. Это утечки данных, взломы, DDoS-атаки, а также уязвимости вследствие ошибок конфигурации и небезопасных настроек. 

При этом сравнительно с большинством частных компаний, облачные провайдеры обладают существенно большими возможностями по обеспечению безопасности своей инфраструктуры. Выделим самые важные из них.

  1. Персонал. Провайдеры нанимают высококвалифицированных специалистов, внедряют передовые практики и круглосуточно работают над выявлением, предотвращением и устранением уязвимостей.  
  2. Передовые практики киберзащиты. Провайдеры сотрудничают с ведущими ИБ-компаниями, внедряют новейшие разработки в области кибербезопасности и применяют многоуровневый подход к обеспечению безопасности.
  3. Сертификация и регулярные аудиты. Провайдеры проходят регулярные аудиты на соответствие нормативным требованиям регуляторов в части защиты персональных данных: ФЗ-152, приказ № 21 ФСТЭК, международные практики ISO и многое другое. Проводятся регулярные, не реже 1 раза в год, тесты на проникновение, полученные ранее стандарты ресертифицируются. Совокупность этих мер делает облачные платформы одними из самых защищенных сред для хранения и обработки данных.
  4. Центры обработки данных. ЦОДы провайдеров располагаются в отдельно стоящих зданиях с охраняемым периметром, видеонаблюдением и пропускным режимом. Инженерная инфраструктура обеспечивает стабильную работу ЦОДа и включает электропитание, системы охлаждения, СКС, источники бесперебойного питания. Таких дата-центров у каждого провайдера несколько, и они географически отдалены друг от друга. Создать подобную собственную инфраструктуру под силу лишь небольшому числу компаний федерального уровня.

Важно добавить, что масштабируемость облаков позволяет легко адаптировать средства защиты к изменениям в инфраструктуре, что особенно важно для организаций с быстрорастущими потребностями. В качестве примера можно рассмотреть DDoS-атаки. Облачные провайдеры предлагают мощные инструменты для фильтрации трафика и защиты ресурсов, которые зачастую недоступны владельцам локальных инфраструктур. В случае масштабной атаки локальная инфраструктура может быстро исчерпать свои возможности, в отличие от публичных облаков.

Команды поддержки локальной инфраструктуры часто сталкиваются с нехваткой ресурсов, недостатком квалифицированного персонала и ограничениями в использовании современных технологий. Вдобавок в локальной инфраструктуре зачастую развертываются лишь отдельные инструменты безопасности, которые не обеспечивают комплексной защиты.

Подписывайтесь на наш Telegram Подписаться

Разделение ответственности в облаке

Важно понимать, что провайдер не обеспечивает стопроцентную безопасность. В облаке существует разделение ответственности. Провайдер берет на себя защиту физической инфраструктуры, включая дата-центры, оборудование и базовые компоненты облачной платформы. Клиент, в свою очередь, отвечает за безопасность своих данных, управление доступами, конфигурацию приложений и настройку безопасности внутри своих виртуальных сред.

Конкретное распределение обязанностей по киберзащите между клиентом и провайдером зависит от типа предоставляемых услуг. 

Модель облачных услуг

Провайдер

Клиент

IaaS 
  • Физическая инфраструктура
  • Вычислительные ресурсы
  • Системы хранения данных
  • Физическая сеть и базовая сетевая конфигурация
  • Виртуальная сеть
  • Операционные системы
  • Данные
  • Разработка и безопасность приложений
  • Управление доступом пользователей

PaaS
  • Физическая инфраструктура
  • Виртуальная сеть
  • Операционные системы
  • Среды выполнения приложений
  • Данные
  • Разработка и безопасность приложений
  • Управление доступом пользователей

SaaS
  • Вся инфраструктура
  • Платформа
  • Приложения
  • Связующее программное обеспечение (Middleware)
  • Данные
  • Управление доступом пользователей

Таким образом, чем более продвинутую модель услуг выбирает клиент облака, тем меньше его зона ответственности. 

SOC в инфраструктуре провайдера «Инферит Облако»

В облаке «Инферит» SOC создан на базе решения BI.ZONE TDR, разработанного BI.ZONE — ведущей российской компанией в сфере кибербезопасности. SOC покрывает всю облачную инфраструктуру и позволяет выстраивать эффективную стратегию киберзащиты.

Автоматизированное выявление уязвимостей и недостатков конфигураций позволяет специалистам SOC «Инферит Облако» обнаруживать инциденты любого типа и сложности, а также предупреждать будущие инциденты. Выявлять прошлые атаки, неактивные в настоящем, помогает ретроспективный анализ и сбор криминалистических артефактов.

«Инферит Облако» аттестовано согласно ФЗ-152 (УЗ-1), приказу № 21 ФСТЭК, а также другим отраслевым стандартам: ГОСТ Р 57580.1-2017 и PCI DSS. Инструменты защиты включают межсетевые экраны нового поколения (NGFW), защиту от DDoS-атак, решение 2FA, менеджер паролей, сканеры уязвимостей и другие механизмы. 

Выводы

  1. SOC в облаке — необходимая составляющая для обеспечения безопасности ИТ-инфраструктуры. SOC предоставляет полную картину состояния киберзащиты.
  2. Риски в облаке схожи с рисками в локальной инфраструктуре, при этом публичные облака обеспечивают более высокий уровень безопасности. Облачные провайдеры обладают большими возможностями по обеспечению более высокого уровня киберзащищённости: нанимают высококвалифицированных специалистов, внедряют передовые практики и сотрудничают с ведущими ИБ-компаниями. 
  3. Ответственность за безопасность в облаке делится между провайдером и клиентом и зависит от модели услуг. Чем более продвинутые сервисы предоставляет провайдер, тем больше ответственности он берет на себя для обеспечения киберзащиты.

Что будем искать? Например,ChatGPT

Мы в социальных сетях