Безопасность облачных технологий

Содержание статьи

Защита информации в «Облачных технологиях» как предмет национальной безопасности

Дата публикации: 17.03.2015 2015-03-17

Статья просмотрена: 6026 раз

Библиографическое описание:

Котяшичев И. А., Бырылова Е. А. Защита информации в «Облачных технологиях» как предмет национальной безопасности // Молодой ученый. — 2015. — №6.4. — С. 30-34. — URL https://moluch.ru/archive/86/16357/ (дата обращения: 07.02.2020).

Проблема информационной безопасности породила в последние годы такие понятия как «компьютерная война», «информационная война», «информационное противоборство», «информационное оружие», «информационный терроризм» и т.д. Следует отметить, что, хотя порождаемые информатизацией проблемы информационной безопасности являются глобальными, для России они приобретают особую значимость в связи с её геополитическим и экономическим положением. Сегодня необходимо понимать, что без подключения к мировому информационному пространству страну ожидает экономическое прозябание. Участие России в международных системах информационного обмена невозможно без решения проблем информационной безопасности. Оперативный доступ к информационным и вычислительным ресурсам, поддерживаемым Интернет, конечно, великое благо. Однако, есть основание полагать, что сеть Интернет может служить средством решения некоторых задач, которые в ином случае решались бы силой информационного оружия. Это связано, в основном, с проблемами обеспечения безопасности информационных ресурсов, телекоммуникаций и предотвращения компьютерных преступлений. Особенно остро эта проблема стоит сейчас перед Россией, т.к. в стране запаздывает пока создание собственной инфраструктуры.

В настоящее время «в теории и практике информационной безопасности уже начинают выкристаллизовываться два направления, которые можно определить (возможно, ещё в некоторой степени условно) как информационно-психологическая безопасность и защита информации» [2].

Информационно-технический прогресс затронул все сферы деятельности, принес много положительных плодов. И, конечно, принес некоторый фронт рисков, связанный с защитой информации. Ни для кого не секрет, что в ХХI веке неотъемлемую часть жизни общества составляют “Облачные технологии”.

В данной статье будет идти речь о защите информации при использовании самых инновационных технологий, а именно облачных. Безопасность информации осуществляется при условии обеспечения её конфиденциальности, доступности и целостности.

Организационно-техническими методами обеспечения информационной безопасности являются: создание и совершенствование системы обеспечения информационной безопасности, разработка, использование и совершенствование средств защиты информации, создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации, а также выявление технических устройств и программ, представляющих опасность для нормального функционирования IT-систем.

Постоянно растущие расходы на создание и эксплуатацию информационных систем, существенный рост ущерба от информационных рисков вынуждают руководителей искать новые пути повышения эффективности информационной сферы предприятий и организаций.

Одним из современных направлений повышения эффективности использования информационных систем является переход к Cloud computing. В России термин “Cloud computing” в результате прямого перевода получил трактовку – “Облачные вычисления”. Следует заметить, что дословный перевод выражения Cloud computing как “Облачные вычисления” не полностью отражает сущность современных процессов удаленного обслуживания пользователей информационных систем. Cloud computing, кроме удаленного выполнения приложений, предполагает весь комплекс информационных услуг, включая хранение, поиск и передачу информации, обеспечение ее безопасности и многое другое. Поэтому уместнее употреблять термин “Облачные технологии”.

Облачные технологии” (Cloud computing) сейчас находятся на волне популярности. Экономичность, легкость развертывания, многопользовательская архитектура – все это способствует быстрому их распространению, а также предполагает весь комплекс информационных услуг, включая хранение, поиск и передачу информации, обеспечение ее безопасности и многое другое. [1]

“Облачные технологии” – это подход к размещению, предоставлению и потреблению приложений и компьютерных ресурсов, при котором приложения и ресурсы становятся доступны через Интернет в виде сервисов, потребляемых на платформах и устройствах. [1]

Основными характеристиками облачных вычислений являются:

масштабируемость (масштабируемое приложение обеспечивает большую нагрузку за счет увеличения количества запущенных экземпляров);

эластичность (позволяет быстро нарастить мощность инфраструктуры без внедрения инвестиций в оборудование и программное обеспечение);

мультитенантность (снижает расходы на облачную платформу и использует доступные вычислительные ресурсы);

оплата за использование (перевод части капитальных издержек в операционные);

самообслуживание (позволяет потребителям запросить и получить требуемые ресурсы за считанные минуты).

“Облачные технологии” и предоставляемые ими сервисы можно сравнить с коммунальными услугами. Как в жару или холод меняется потребление воды и электричества, так и потребление сервисов, предоставляемых “облачными” платформами, может возрастать или уменьшаться в зависимости от повышения или понижения нагрузок.

Схожесть сервисов и коммунальных услуг заключается в том, что:

во-первых, потребители платят только за реальную утилизацию;

во-вторых, ресурсы берутся в аренду, т.е. поставщики таких сервисов обеспечивают их доступность в виде арендуемых “ресурсов”, оставляя за собой вопросы создания и поддержания инфраструктуры;

в-третьих, заключая договор с соответствующей организацией, подразумевается доступность тех или иных ресурсов, а организация обеспечивает своевременную оплату их аренды. [1]

Одним из основных достоинств “Облачных технологий” является безопасность (“облачные” сервисы имеют высокую безопасность при должном ее обеспечении, однако при халатном отношении эффект может быть полностью противоположным). [1]

Как же убедить клиента, что его данные будут в безопасности? Решением является соответствие облака требованиям нормативных документов и стандартов в области обеспечения информационной безопасности. Но в российском законодательстве пока нет стандартов, описывающих принцип построения защиты информации в “Облачных технологиях”. Вследствие этого поставщики облачных услуг вынуждены сами выбирать способы защиты информации из огромного количества готовых решений, представленных на рынке. Но все средства защиты должны учитывать особенности “Облачной технологии” [4].

Наиболее эффективными способами обеспечения безопасности “Облачных технологий” являются:

1. Сохранность данных. Шифрование

Шифрование – один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным, должен шифровать информацию клиента, хранящуюся в ЦОД (Центр обработки данных – совокупность серверов, размещенных на одной площадке с целью повышения эффективности и защищенности), а также в случае отсутствия необходимости, безвозвратно удалять. [1]

При шифровании данных всегда возникает вопрос о ключах. Их хранение на облачном сервере нецелесообразно, поскольку каждый, кто имеет доступ к облачным серверам или шаблонам, мог бы получить доступ к ключу, а значит, и к расшифрованным данным. Набор пароля при запуске системы, как это принято в локальных решениях для шифрования данных, затруднен в связи с отсутствием настоящей консоли, однако идея неплоха. Физический ввод ключа заменяется запросом, который облачный сервер отправляет внешнему источнику — серверу управления ключами (Key Management Server, KMS). [3]

Решающим фактором для обеспечения безопасности такого решения является раздельная эксплуатация облачного сервера и сервера управления ключами (см. Рисунок 1): если оба размещены у (одного и того же) провайдера облачных сервисов, то вся информация снова оказывается собранной в одном месте. Хорошей альтернативой является установка сервера KMS в локальном ЦОД или в качестве внешней услуги у другого сервис-провайдера. [4]

Рис. 1. Схема взаимодействия пользователя, сервера управления ключами и облачного сервера

2. Защита данных при передаче

Для безопасной обработки данных обязательным условием является их шифруемая передача. В целях защиты данных в публичном облаке используется туннель виртуальной частной сети (VPN), связывающей клиента и сервер для получения публичных облачных услуг. VPN-туннель способствует безопасным соединениям и позволяет использовать единое имя и пароль для доступа к разным облачным ресурсам. В качестве средства передачи данных в публичных облаках VPN – соединение использует общедоступные ресурсы, такие как Интернет. Процесс основан на режимах доступа с шифрованием при помощи двух ключей на базе протокола Secure Sockets Layer (SSL).

Большинство протоколов SSL и VPN в качестве опции поддерживают использование цифровых сертификатов для аутентификации, посредством которых проверяется идентификационная информация другой стороны, причем еще до начала передачи данных. Такие цифровые сертификаты могут храниться на виртуальных жестких дисках в зашифрованном виде, и используются они только после того, как сервер управления ключами проверит идентификационную информацию и целостность системы. Следовательно, такая цепочка взаимозависимостей позволит передавать данные только тем облачным серверам, которые прошли предварительную проверку.

Зашифрованные данные при передаче должны быть доступны только после аутентификации. Данные не получится прочитать или сделать изменения в них, даже в случае доступа через ненадежные узлы. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно используются провайдерами.

Аутентификация — защита паролем. Для обеспечения более высокой надежности, часто прибегают к таким средствам, как токены (электронный ключ для доступа к чему-либо) и сертификаты. Наиболее простой и достаточно надежный метод аутентификации — это технология одноразовых паролей (One Time password, OTP). Такие пароли могут генерироваться либо специальными программами, либо дополнительными устройствами, либо сервисами, с пересылкой пользователю по SMS. Основное отличие облачной инфраструктуры заключается в большой масштабируемости и более широкой географической распределенности. На первый план выходит использование для получения одноразовых паролей мобильных гаджетов, которые сегодня есть практически у каждого. В самом простом случае одноразовый пароль будет сгенерирован специальным сервером аутентификации и выслан в SMS на мобильный телефон пользователя после ввода правильного статического пароля на страницу доступа к облачному сервису. Для прозрачного взаимодействия провайдера с системой идентификации при авторизации, также рекомендуется использовать протокол LDAP (Lightweight Directory Access Protocol) и язык программирования SAML (Security Assertion Markup Language).

4. Изоляция пользователей

Использование индивидуальной виртуальной машины и виртуальной сети. Виртуальные сети должны быть развернуты с применением таких технологий, как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service). Часто провайдеры изолируют данные пользователей друг от друга за счет изменения кода в единой программной среде. Этот подход имеет риски, связанные с опасностью найти дыру в нестандартном коде, позволяющем получить доступ к данным. В случае возможной ошибки в коде пользователь может получить доступ к информации другого пользователя. В последнее время такие инциденты часто имели место. [3]

“Облачные технологии” представляют собой значительный прогресс в сфере развития информационных технологий и сервисов. Обеспечивая по требованию пользователя доступ к общим источникам вычислительных ресурсов в автономном, динамично масштабируемом и выверенном режиме, облачные вычисления предлагают очевидные преимущества в скорости, оперативности и эффективности работы с информацией. В данной технологии безопасность играет важнейшую роль, этой проблеме специалисты уделяют особое внимание. Но, несмотря на все сложности в области безопасности, преимущества предоставляемых через Интернет сервисов перевешивают возможные риски и “Облачные технологии” будут широко востребованы на рынке информационных технологий.

Таким образом, информационная безопасность – очень серьезная проблема всего человечества. В наше время мы зачастую обрабатываем, храним или передаем данные, которые подчиняются регулирующим и нормативным требованиям. Если данные попадают под действие нормативных или регулирующих ограничений, то выбор развертывания в облаке (частном, гибридном или общедоступном) зависит от понимания того, полностью ли поставщик соответствует этим требованиям. В противном случае возникает риск нарушения конфиденциальных, нормативных и иных правовых требований. Вопросы обеспечения безопасности информации существенны, когда речь идет о конфиденциальности.

Читайте также:  Паспорт безопасности объекта кто должен иметь

На сегодняшний день наиболее популярны четыре метода защиты информации в “Облачных технологиях”:

2) Защита данных при передаче;

4) Изоляция пользователей.

И в заключение хочется сказать, что безопасность не всегда обеспечивается только защитой. Она может быть достигнута также соответствующими правилами поведения и взаимодействия объектов, высокой профессиональной подготовкой персонала, безотказностью работы техники, надёжностью всех видов обеспечения функционирования объектов информационной безопасности. Конфиденциальность информации – это принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно, содержащиеся в них сведения без согласия собственника экономического субъекта. За исключением случаев, предусмотренных законодательными актами.

1. Котяшичев И. А. К вопросу о безопасности облачных технологий в информационной среде [Текст] / И. А. Котяшичев, С. В. Смоленцев // Молодой ученый. — 2014. — №5.1. — С. 25-28.

2. Социальные опасности и защита от них: учебник для студ. учреждений высшего проф. образования / [В. М. Губанов, Л. А. Михайлов, В. П. Соломин и др.]; под ред. Л.А. Михайлова. – М., Издательский центр «Академия», 2012.

3. Удо Шнайдер Использование облачных сервисов [Текст] / У. Шнайдер //

5. Peter Mell, Thimothy Grance. «The NIST Definition of Cloud Computing (Draft)» // Recommendations of the National Institute of Standards and Technology, Special Publication 800 – 145 (Draft), сентябрь 2011 год.

ТОП-12 угроз облачной безопасности по версии Cloud Security Alliance

Сегодня поговорим об угрозах облачной безопасности, рассмотрев ТОП-12, с которыми сталкиваются те или иные организации, использующие облачные сервисы. Как известно, количество облачных миграций с каждым годом растет, а вопрос безопасности по-прежнему остается серьезной темой.

Первым шагом к минимизации рисков в облаке является своевременное определение ключевых угроз безопасности. На конференции RSA , прошедшей в марте этого года, CSA (Cloud Security Alliance) представила список 12 угроз облачной безопасности, с которыми сталкиваются организации. Рассмотрим их более подробно.

Напомним, что CSA — некоммерческая организация, лидер в области стандартов, рекомендаций и инициатив, направленных на повышение безопасности и защищенности использования облачных вычислений.

Угроза 1: утечка данных

Облако подвергается тем же угрозам, что и традиционные инфраструктуры. Из-за большого количества данных, которые сегодня часто переносятся в облака, площадки облачных хостинг-провайдеров становятся привлекательной целью для злоумышленников. При этом серьезность потенциальных угроз напрямую зависит от важности и значимости хранимых данных.

Раскрытие персональной пользовательской информации, как правило, получает меньшую огласку, нежели раскрытие медицинских заключений, коммерческих тайн, объектов интеллектуальной собственности, что наносит значительный ущерб репутации отдельно взятой компании. При утечке данных организацию ожидают штрафы, иски или уголовные обвинения, а также косвенные составляющие в виде ущерба для бренда и убытков для бизнеса, которые приводят к необратимым последствиям и затяжным процедурам восстановления имиджа компании. Поэтому облачные поставщики стараются обеспечивать должный контроль и защиту данных в облачном окружении. Чтобы минимизировать риски и угрозы утечки данных, CSA рекомендует использовать многофакторную аутентификацию и шифрование.

Угроза 2: компрометация учетных записей и обход аутентификации

Утечка данных зачастую является результатом небрежного отношения к механизмам организации проверки подлинности, когда используются слабые пароли, а управление ключами шифрования и сертификатами происходит ненадлежащим образом. Кроме того, организации сталкиваются с проблемами управления правами и разрешениями, когда конечным пользователям назначаются гораздо б о льшие полномочия, чем в действительности необходимо. Проблема встречается и тогда, когда пользователь переводится на другую позицию или увольняется. Мало кто торопится актуализировать полномочия согласно новым ролям пользователя. В результате учетная запись содержит гораздо б о льшие возможности, чем требуется. А это узкое место в вопросе безопасности.

Немного фактов: крупнейшей утечкой данных в первой половине 2015 года стала атака с целью хищения идентификационных данных клиентов Anthem Insurance. Атаку оценили в 10 баллов по Индексу критичности, где было скомпрометировано более 80 миллионов учетных записей, что составило одну треть от общего числа данных, похищенных за первое полугодие 2015 года.

CSA рекомендует использовать механизмы многофакторной аутентификации, включая одноразовые пароли, токены, смарт-карты, USB-ключи. Это позволит защитить облачные сервисы, поскольку применение озвученных методов усложняет процесс компрометации паролей.

Угроза 3: взлом интерфейсов и API

Сегодня облачные сервисы и приложения немыслимы без удобного пользовательского интерфейса. От того, насколько хорошо проработаны механизмы контроля доступа, шифрования в API, зависит безопасность и доступность облачных сервисов. При взаимодействии с третьей стороной, использующей собственные интерфейсы API, риски значительно возрастают. Почему? Потому что требуется предоставлять дополнительную информацию, вплоть до логина и пароля пользователя. Слабые с точки зрения безопасности интерфейсы становятся узким местом в вопросах доступности, конфиденциальности, целостности и безопасности.

CSA рекомендует организовать адекватный контроль доступа, использовать инструменты защиты и раннего обнаружения угроз. Умение моделировать угрозы и находить решения по их отражению — достойная профилактика от взломов. Кроме того, CSA рекомендует выполнять проверку безопасности кода и запускать тесты на проникновение.

Угроза 4: уязвимость используемых систем

Уязвимость используемых систем — проблема, встречающаяся в мультиарендных облачных средах. К счастью, она минимизируется путем правильно подобранных методов управления ИТ, отмечают в CSA. Лучшие практики включают в себя регулярное сканирование на выявление уязвимостей, применение последних патчей и быструю реакцию на сообщения об угрозах безопасности. Согласно отчетам CSA, расходы, затраченные на снижение уязвимостей систем, ниже по сравнению с другими расходами на ИТ.

Распространена ошибка, когда при использовании облачных решений в модели IaaS компании уделяют недостаточно внимания безопасности своих приложений, которые размещены в защищенной инфраструктуре облачного провайдера . И уязвимость самих приложений становится узким местом в безопасности корпоративной инфраструктуры.

Угроза 5: кража учетных записей

Фишинг, мошенничество, эксплойты встречаются и в облачном окружении. Сюда добавляются угрозы в виде попыток манипулировать транзакциями и изменять данные. Облачные площадки рассматриваются злоумышленниками как поле для совершения атак. И даже соблюдение стратегии «защиты в глубину» может оказаться недостаточным.

Необходимо запретить «шаринг» учетных записей пользователей и служб между собой, а также обратить внимание на механизмы многофакторной аутентификации. Сервисные аккаунты и учетные записи пользователей необходимо контролировать, детально отслеживая выполняемые транзакции. Главное — обеспечить защиту учетных записей от кражи, рекомендует CSA.

Угроза 6: инсайдеры-злоумышленники

Инсайдерская угроза может исходить от нынешних или бывших сотрудников, системных администраторов, подрядчиков или партнеров по бизнесу. Инсайдеры-злоумышленники преследуют разные цели, начиная от кражи данных до желания просто отомстить. В случае с облаком цель может заключаться в полном или частичном разрушении инфраструктуры, получении доступа к данным и прочем. Системы, напрямую зависящие от средств безопасности облачного поставщика, — большой риск. CSA рекомендует позаботиться о механизмах шифрования и взять под собственный контроль управление ключами шифрования. Не стоит забывать про логирование, мониторинг и аудит событий по отдельно взятым учетным записям.

Угроза 7: целевые кибератаки

Развитая устойчивая угроза, или целевая кибератака, — в наше время не редкость. Обладая достаточными знаниями и набором соответствующих инструментов, можно добиться результата. Злоумышленника, задавшегося целью установить и закрепить собственное присутствие в целевой инфраструктуре, не так легко обнаружить. Для минимизации рисков и профилактики подобных угроз поставщики облачных услуг используют продвинутые средства безопасности. Но помимо современных решений, требуется понимание сущности и природы такого вида атак.

CSA рекомендует проводить специализированное обучение сотрудников по распознаванию техник злоумышленника, использовать расширенные инструменты безопасности, уметь правильно управлять процессами, знать о плановых ответных действиях на инциденты, применять профилактические методы, повышающие уровень безопасности инфраструктуры.

Угроза 8: перманентная потеря данных

Поскольку облака стали достаточно зрелыми, случаи с потерей данных без возможности восстановления по причине поставщика услуг крайне редки. При этом злоумышленники, зная о последствиях перманентного удаления данных, ставят целью совершение подобных деструктивных действий. Облачные хостинг-провайдеры для соблюдения мер безопасности рекомендуют отделять пользовательские данные от данных приложений, сохраняя их в различных локациях. Не стоит забывать и про эффективные методы резервного копирования. Ежедневный бэкап и хранение резервных копий на внешних альтернативных защищенных площадках особенно важны для облачных сред.

Кроме того, если клиент шифрует данные до размещения в облаке, стоит заранее позаботиться о безопасности хранения ключей шифрования. Как только они попадают в руки злоумышленнику, с ними становятся доступны и сами данные, потеря которых может быть причиной серьезных последствий.

Угроза 9: недостаточная осведомленность

Организации, которые переходят в облако без понимания облачных возможностей, сталкиваются с рисками. Если, к примеру, команда разработчиков со стороны клиента недостаточно знакома с особенностями облачных технологий и принципами развертывания облачных приложений, возникают операционные и архитектурные проблемы.
CSA напоминает о необходимости понимать функционирование облачных сервисов, предоставляемых поставщиком услуг. Это поможет ответить на вопрос, какие риски берет на себя компания, заключая договор с хостинг-провайдером.

Угроза 10: злоупотребление облачными сервисами

Облака могут использоваться легитимными и нелегитимными организациями. Цель последних — использовать облачные ресурсы для совершения злонамеренных действий: запуска DDoS-атак, отправки спама, распространения вредоносного контента и т. д. Поставщикам услуг крайне важно уметь распознавать таких участников, для чего рекомендуется детально изучать трафик и использовать инструменты мониторинга облачных сред.

Угроза 11: DDoS-атаки

Несмотря на то что DoS-атаки имеют давнюю историю, развитие облачных технологий сделало их более распространенными. В результате DoS-атак может сильно замедлиться или вовсе прекратиться работа значимых для бизнеса компании сервисов. Известно, что DoS-атаки расходуют большое количество вычислительных мощностей, за использование которых будет платить клиент. Несмотря на то что принципы DoS-атак, на первый взгляд, просты, необходимо понимать их особенности на прикладном уровне: они нацелены на уязвимости веб-серверов и баз данных. Облачные поставщики, безусловно, лучше справляются с DoS-атаками, чем отдельно взятые клиенты. Главное — иметь план смягчения атаки до того, как она произойдет.

Угроза 12: совместные технологии, общие риски

Уязвимости в используемых технологиях — достаточная угроза для облака. Поставщики облачных услуг предоставляют виртуальную инфраструктуру , облачные приложения, но если на одном из уровней возникает уязвимость, она влияет на все окружение. CSA рекомендует использовать стратегию «безопасности в глубину», внедрять механизмы многофакторной аутентификации, системы обнаружения вторжений, придерживаться концепции сегментирования сети и принципа предоставления наименьших привилегий.

БЕЗОПАСНОСТЬ, ОРИЕНТИРОВАННАЯ НА ДАННЫЕ: СПОСОБ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И КОНФИДЕНЦИАЛЬНОСТИ В ОБЛАЧНЫХ ВЫЧИСЛЕНИЯХ

студент 3 курса, кафедра автоматизированных систем управления УГАТУ,

Аннотация. Облачные вычисления – это феномен, который позволяет использовать общий пул сконфигурированных ресурсов с минимальным трудом администрирования, часто в Интернете, и эта парадигма совместного использования порождает множество проблем, и одна из них заключается в том, что ясность передачи данных не прозрачна в облаке и даже не обеспечивает ясности относительно владения данными. Модели облачных вычислений получают всемирное признание благодаря разнообразной помощи, которую они могут предложить. Эта помощь включает в себя экономическую эффективность, экономию времени, оптимальное использование вычислительных ресурсов и т.п. Конфиденциальность данных и их безопасность являются двумя основными проблемами, которые препятствуют внедрению этой новой технологии. Различные исследования фокусируются на повышении безопасности на уровне ОС, виртуальной машины / оборудования или на уровне приложений, но по-прежнему не предлагается широкого решения этих проблем. И все же меры по обеспечению безопасности данных принимаются поставщиками облачных услуг. Помимо опасений, связанных с атаками на внешние устройства, в некоторых случаях данные и приложения могут нуждаться в защите от взломов самими облачными провайдерами. В связи с чем существует направление исследований, основанное на концепциях доверительных вычислений. Эта концепция предоставляет доверенному стороннему поставщику определенный набор технологий для защиты от облачных провайдеров. Эта концепция предоставляет пользователю различные инструменты для мониторинга и оценки данных в безопасном режиме, но с большим количеством управляемых средств. Подход называют безопасностью, ориентированной на данные (Data Centric Security, DCS), который предоставляет владельцу данных полный контроль над безопасностью данных, предоставляемый с самого начала до момента их удаления, то есть на протяжении всего жизненного цикла. Технология DCS упоминалась в литературе по-разному, но до сих пор нет единой основы для ее применения к облачной модели.

Читайте также:  Специальность техносферная безопасность кем работать

Ключевые слова: DCS, доверяемые вычисления, защита данных

1. Введение

Облачные вычисления [1, c. 7] предлагают концепцию совместного использования и распространения информации в сети. Виртуализация дает общую основу для повышения доступности, масштабируемости, управляемости и безопасности. В соответствии с его функциями владение отделено от администрирования данных в облаке, что одновременно создает некоторые серьезные проблемы с защитой конфиденциальности данных. Облачные вычисления обеспечивают значительную прибыль за счет снижения затрат и упрощения доступа к данным. Безопасность на уровне данных может быть достигнута с помощью концепции DCS [2, c. 7]. Таким образом, данные становятся самоописываемыми, поддерживаются и, самое главное, защищаются в течение всего своего существования в облачных средах. В этой технологии тот, кто использует данные, несет полную ответственность за управление их конфиденциальностью и мерами безопасности. Эта задача может быть выполнена без использования сторонних технологий. Предлагаемым решением для этого может быть использование китайской теоремы об остатках (Chinese Remainder Theorem, CRT) [3, c. 7], которая может использовать концепции или методы симметричного и асимметричного шифрования. Китайская теорема об остатках хорошо управляет списком отзыва, управляет его ключом, сокращая вычислительные затраты и объем памяти. Алгоритм генерации индекса подстроки сокращает пространство хранения по сравнению с нечетким алгоритмом подстановочных знаков. В дополнение к снижению вычислительных накладных расходов, применение политики управления доступом и выделение симметричного ключа может быть выполнено эффективно и результативно на основе концепции CRT. Все необходимые параметры безопасности, включая ее целостность и аутентичность, прилагаются к зашифрованным данным и образуют защищенную папку, которую можно назвать файлом DCS.

2. Тенденции в безопасности облачных вычислений

Различные проблемы в сфере облачных вычислений могут быть решены только некоторыми традиционными решениями. Сложность заключается в необходимости приспосабливаться к уникальности, определенной инновационной вычислительной парадигмы. Безопасность становится наиболее важным моментом, когда идет речь об изоляции виртуальных машин на одной физической машине. Различные исследования утверждают, что главные споры в облачной безопасности находятся в области инфраструктуры облака, программного обеспечения и пользователя данных. Также было замечено, что доверенные или частично доверенные облака имеют сильные механизмы конфиденциальности, но ненадежный облачный сервер может изображать защищенные данные клиентов или шаблоны активности. Кроме того, ненадежный поставщик облачных услуг может манипулировать допустимым шаблоном пользователей в соответствии с их преимуществами. Можно отметить, защита данных, особенно их конфиденциальности и целостности от внутренних и внешних атак, является наиболее сильной архитектурой для облачной безопасности, применимую к различным облачным службам.

3. Защита конфиденциальности данных в облачных провайдерах

Основной проблемой после хранения данных является их защита от несанкционированных пользователей. В ряде случаев было отмечено, что риск утраты данных, их порчи или кражи является неприемлемым. Эта безопасность данных в DCS может поддерживаться и осуществляться поставщиком данных только в том случае, если внешние и внутренние атаки могут быть сведены к минимуму благодаря механизму авторизации. С развитием технологий было замечено, что безопасность данных поддерживается поставщиком данных только для безопасности, поддерживаемой третьей стороной. Основная проблема заключается в том, что ресурсы, находящиеся за пределами домена пользователя, и ресурсы, не контролируемые пользователем или третьей стороной, подвержены риску несанкционированного доступа и могут быть подделаны. Эта концепция может быть названа инсайдерской угрозой.

Рисунок 1. Базовая архитектура сохранения конфиденциальности данных в облаке

4. Безопасность, ориентированная на данные (DCS)

Под ориентированностью на данные понимается разбиение данных и файлов от инициализации до их разрушенного состояния, причем даже если данные и информация считаются дискретной сущностью. Это необходимо для расширяемых сред облачных вычислений. Данные, передаваемые в облако организациями, и дальнейший их контроль предоставляются облачным провайдерам, которые отслеживают возможности их ресурсов. Обычные методы защиты данных предоставляются серверами. Методы, используемые для защиты данных, а также для управления защищенными данными, контролируются администраторами каждого сервера, и этот тип подход считается системно-ориентированным подходом, который не подходит для защиты данных в менее надежной облачной среде. Ориентированный на данные подход, вероятно, будет более оперативным и пригодным для использования различными облачными сервисами. Термин «безопасность, ориентированная на данные» обозначает направленность методов на защиту самих данных, а не аппаратных и программных системных компонент–носителей этих данных. Для облачных вычислений подход Data-Centric Security заключается только в защите данных от эксклюзивности, чтобы данные, в соответствии с их важностью и расположением, могли иметь свои требования безопасности, встроенные в фактические данные для обеспечения наилучшей безопасности данных в любой момент времени жизни данных, независимо от места их хранения.

Кристофер Тарновски (Christopher Tarnovsky) на конференции BlackHat 2010 поставил под сомнение надежность TPM-чипов. В следствие чего решения, основанные на TPM, могут потребовать повторного рассмотрения. Несмотря на утвержденную безопасность, предоставляемую технологией TPM (Trusted Platform Module) [4, c. 7], фокус инструмента не может предоставить пользователям предпочтительную степень защищенности и изоляции данных. Вместо этого, с точки зрения заказчика, реализация концепции ТС позволяет заказчикам осуществлять мониторинг или аудит операционных задач, включая все политики контроля доступа, облачного сервера с помощью надежных инструментов, которые могут предложить пользователю подтверждение выполнения восприятия ТС. Различные исследователи считали, что решение проблем безопасности облачных вычислений лежит в смещении центра защиты с клиента на сами данные, и эта модель называется «Безопасность, ориентированная на данные» (Data Centric Security, DCS), которая также известна как Information Centric Security ( ICS).

Концепцию DCS можно классифицировать по двум критериям: один основан на безопасности, а другой – на поставщике безопасности.

Также существует три уровня ответственности за безопасность:

а. Уровень поставщика услуг: – Безопасность обеспечивается поставщиком облачных услуг (Service provider).

б. Уровень доверенных вычислений: – Безопасность обеспечивается третьей стороной (Third party).

с. Уровень собственной безопасности: – Безопасность обеспечивается владельцем данных (Data owner).

Рисунок 2. Модель Data Centric Security

Рисунок 3. Уровни ответственности за безопасность в DCS

5. Заключение

Технология DCS обеспечивает прозрачность процесса передачи данных в облаке, кроме того, делает упор на защиту от утечки данных и на управление жизненным циклом информации, т.е. становится возможным обеспечение шифрования данных от одного конца к другому. Технологии движутся к учету происхождения данных, значительного следа по жизненному циклу и транспортировке данных, наиболее важных ресурсов облака конечных пользователей.

На сколько безопасны облачные технологии и сервисы

Содержание

Почему растет востребованность облачных ресурсов

Все больше компаний в различных направлениях рынка используют возможности информационных технологий. Но согласно математической прогрессии, при увеличении объемов решаемых задач соответственно увеличивается само подразделение поддерживающее ИТ инфраструктуру предприятия. А содержать такую структуру, особенно небольшим предприятиям очень накладно. Исходя из этого, все больше предприятий и частных лиц обращают свой взор в сторону облачных вычислений. Использование облачных сервисов позволит существенно экономить на развитии информационных структур предприятия. Ведь большинство облачных сервисов предоставляют все необходимые услуги по вычислениям, хранению и передачи данных, сопровождению интернет ресурсов предприятия, в общем все те услуги которыми занимается ИТ инфраструктура предприятия. Вот только затраты на выполнение работ гораздо меньше, чем это обходилось бы при содержании собственного вычислительного центра.

Вопросы безопасности облачных ресурсов

Прежде чем окунуться в просторы облачных технологий, необходимо четко представлять себе все вероятные угрозы, которым может быть подвержена ваша информация и какие шаги стоит предпринять, что бы максимально уменьшить вероятность таких угроз.

На что в первую очередь стоит обратить внимание.

1. Одним из самых важных аспектов является правильный выбор провайдера, который будет предоставлять услугу облачных вычислений. Необходимо понимать, что профессионально работающий провайдер способен создать защиту ваших данных лучше, чем это могла бы сделать инфраструктура отдельного предприятия.

2. При составлении договора с провайдером следует четко прояснить уровень услуг, которые будут вам предоставлены и прописаны все его обязательства.

3. Следует обсудить с провайдером вопросы, связанные с безопасностью и защитой вашей информации. К таким вопросам можно отнести следующее:

  • Как провайдер облачных услуг будет обеспечивать сохранность ваших данных? (Лучшая защита данных находящихся в облачном хранилище, это выполнение их шифрования. Полное и безвозвратное удаление всех данных ставших не актуальными и невостребованными).
  • Обеспечение сохранности информации и данных при их передачи, как на пути к облаку, внутри него, так при выходе с сервиса (передача данных должна осуществляться в шифрованном виде, а их доступность клиенту возможна только после входа в личную зону).
  • Как подтверждается подлинность клиента (аутентификация – вход в личную зону чаще всего защищается паролем).
  • Как провайдер предотвращает совмещение аккаунтов и наложение приложений одного пользователя на приложения другого (лучший вариант – использование индивидуального виртуального пространства для каждого пользователя).
  • Как провайдер придерживается нормативных актов применяемых при предоставлении облачных услуг.
  • Реакция провайдера на нестандартные ситуации (провайдеры обязательно должны информировать клиента о любом инциденте, его возможных последствиях и мерах применяемых для минимализации ущерба).

Безопасность как услуга

У провайдеров занимающихся предоставлением клиентам для использования облачные сервисы, существует услуга, называемая Security as a Service (безопасность как услуга). Для получения такой услуги достаточно просто обратиться к провайдеру и заказать ее. Такая услуга очень выгодна. Во-первых, нет надобности тратиться на содержание сотрудника отвечающего за интернет-безопасность. Во-вторых, оплата будет производиться только за те ресурсы и сервисы, которые Вы использовали.

Безопасность по модели SecaaS имеет много преимуществ:

  1. Используется лицензионное программное обеспечение.
  2. Понижение расходов идущих на обеспечение работоспособности программного и аппаратного обеспечения.
  3. Все затраты на использование и внедрение могут быть легко прогнозированы.
  4. Нет необходимости содержать штат специалистов определенной квалификации.
  5. Доступность обуславливается лишь подключением компьютера к Интернет-соединению, в любом месте и любой точке.
  6. Надежность и устойчивость сервиса благодаря технологии отказоустойчивости и уровня надежности.
  7. Отсутствует необходимость заботиться об обновлении антивирусов, black-list (черных списков) и других ресурсов защиты.

Безопасность как услуга – это все, что необходимо для обеспечения защиты, для выполнения комплексной безопасности облачного ресурса. Security as a Service – это защита от вирусов и шпионских программ, безопасный WEB браузер, защита от утечки данных, управление трафиком, защита данных, защита от спама, URL фильтрация, защита от DDoS, межсетевой экран, услуга поиска уязвимостей в сети компании.

Читайте также:  Информационная безопасность предприятия на примере

Список предоставляемых услуг может, как увеличиваться, так и уменьшаться. Все зависит только от пожеланий клиента и от возможностей провайдера предоставляющего услугу информационной безопасности.

Дополнительная информация по теме

В статье рассматриваются принципы работы и правила хранения персональных данных при помощи облачных технологий

Статья о том, что браузер может выдать довольно много информации о пользователе, ничего не подозревающем об этом

Статья о том, какой вред могут принести компьютерные хулиганы, сумевшие заполучить чужие ID и пароли

Описание что такое облачные сервисы, основное их предназначение и основные плюсы перед другими решениями

Кибербезопасность в облачной среде. CASB и другие технологии

Бизнес переживает фундаментальные перемены в связи с вступлением в эпоху цифровой трансформации. Прежние модели и бизнес-процессы становятся неэффективными, старые методы коммуникации не работают. У каждого сотрудника появляется все больше персональных гаджетов, которые активно используются в работе, в том числе и за пределами организации. Для поддержания продуктивной работы сотрудников, вне зависимости от типа используемых устройств и геолокации, применяются облачные приложения, такие как Office 365, Google Apps, Salesforce, Github, Microsoft Azure, Amazon Web Services и др. Вследствие этих изменений происходит «размытие» или «распад» периметра сети.

Цифровая трансформация и миграция данных в облачные сервисы

По данным ведущих аналитических агентств Gartner и Forrester Wave, облачные сервисы в 2020 году будут составлять более 45% ИТ-бюджетов корпораций. К 2020 году затраты на ПО по модели SaaS вырастут на 75 миллиардов долларов. Пути назад уже нет. Вопрос в том, как организации смогут защитить свои данные в новом цифровом мире.

Зачем далеко ходить? К примеру, вы можете ответить на несколько простых вопросов? Уверен, что если ранее вы не задавали себе подобные вопросы, то ответы на них подтолкнут к интересным размышлениям.

  • Какие облачные приложения используются сотрудниками вашей компании?
  • Каким образом контролируется использование подобных приложений?
  • Оценивается ли риск от использования этих приложений?

Ответ на подобные вопросы привел к возникновению нового класса средств защиты без которого, возможно, в скором будущем будет трудно представить функционирование современных компаний.

Новые подходы к кибербезопасности. Решения класса Cloud Access Security Broker (CASB)

Традиционные средства защиты информации, такие как средства защиты от утечек конфиденциальных данных (DLP), файрволы нового поколения (NGFW, UTM), средства защиты от вторжений (IPS) и др., изначально создавались для защиты периметра сети предприятия и абсолютно беззащитны в условиях «размытого» периметра, когда сотрудники обмениваются документами через облачные сервисы с мобильных телефонов и ноутбуков, находясь в любой точке мира. Для закрытия данной потребности существуют специализированные технология, известная как CASB (Cloud Access Security Broker, или брокер безопасного доступа в облако).

Shadow IT (теневые ИТ) – ИТ-решения, которые не контролируются департаментом ИТ. Практически все облачные приложения можно отнести к Shadow IT т.к. сотрудники компаний используют различные сервисы без привлечения ИТ-специалистов. Ресурсы, относящиеся к Shadow IT, не обязательно являются зловредными т.к. зачастую департаменты используют облачные сервисы в легитимных целях, в том числе для повышения производительности команды. Для защиты пользователей и данных организации ключевое значение имеет получение видимости используемых облачных приложений в компании.

Большинство компаний верит, что их сотрудники используют около десяти облачных приложений, а по факту их число в среднем превышает сотню. Наиболее известные компании, например, Amazon, Microsoft, Google, Adobe, Salesforce VMware и др., серьезно подходят к вопросу безопасности. Но есть и другие сервисы, которые являются очень удобными с точки зрения бизнеса, при этом уровень их безопасности страдает. Многие молодые компании развиваются по принципу grow fast or die slow, их основной задачей является предоставить пользователям удобный функциональный сервис, и все силы они бросают на добавление новых фич или оптимизацию пользовательского интерфейса. При этом времени на поддержание должного уровня безопасности своих продуктов не остается. К наиболее распространенным рискам можно отнести:

  • Небезопасное хранение пользовательских данных и данных учетных записей на стороне производителя;
  • Ненадежное управление учетными записями, ролями и доступом;
  • Непостоянная доступность сервиса, уязвимость перед DDoS-атаками;
  • Уязвимости в инфраструктуре производителя облачных сервисов, отсутствие современных средств защиты информации;
  • Применение уязвимых технологий при разработке приложения.

Одной из ключевых функций CASB является обнаружение всех облачных сервисов, используемых в компании, оценка риска использования каждого из них и помощь в принятии решения о блокировки наиболее уязвимых. Но это не все, на что способны решения класса CASB. О других ключевых возможностях поговорим в следующем разделе.

Четыре столпа CASB

Функционал решений класса CASB можно условно разделить не четыре основных блока:

  • Аудит использования облачных сервисов;
  • Безопасность данных;
  • Защита от угроз;
  • Соответствие регуляторам и корпоративным стандартам.

Аудит использования облачных сервисов

Стратегически важной задачей для бизнеса является прозрачность взаимодействия с облачными сервисами. Традиционные средства сетевой безопасности, такие как прокси, брандмауэры и журналы DNS, могут предоставить лишь некоторые базовые сведения. Однако лишь специализированное решение класса CASB способно обеспечить полную видимость и провести подробный анализ боле 10000 приложений, используемых в современном мире.

Для чего необходима прозрачность и анализ использования облачных приложений?

  • Обнаружение Shadow IT. Дает понимание ИТ-специалистам об используемых облачных приложениях и пользователях, которые их применяют.
  • Идентификация потенциально опасных облачных приложений. Для офицеров безопасности появляется возможность обнаружения уязвимых и мошеннических облачных приложений и внесение их в список нежелательных к использованию сотрудниками компании.
  • Запрет и разрешение доступа к облачным сервисам. Получив картину, ИТ-подразделения могут применить политики доступа, разрешив использование полезных облачных сервисов и запретить опасные приложения.
  • Соблюдение нормативных требований. Офицеры безопасности могут отслеживать используемые облачные сервисы и приводить их использование в соответствие нормативным требованиям.

Безопасность данных

Решения класса CASB обладают функционалом, обеспечивающим защиту данных в облачных сервисах. Имеются инструменты управления правами доступа к определенным сервисам, с определенных устройств, а также разграничения прав доступа к критичным данным. Многие зрелые CASB-решения имеют встроенный механизм поведенческого анализа действий пользователей (UEBA), которые позволяют заблаговременно обнаруживать подозрительную активность.

Кроме того, CASB обладает функционалом категоризации информации, позволяющим обнаруживать и анализировать хранение и передачу конфиденциальных данных, что по сути является решением по защите от утечек данных (DLP) в облаке. Для получения продвинутого функционала защиты от утечек, имеется возможность интеграции сторонних DLP-систем с CASB.

И наконец, CASB позволяет обезличивать и шифровать чувствительные данные, передаваемые в облако. Есть возможность применять полное или выборочной шифрование и использовать различные алгоритмы.

Защита от угроз

Облачные приложения корпоративного уровня хорошо защищены. И основным вектором атак, применяемым злоумышленниками, является компрометация учетных данных пользователей и получение таким образом доступа к данным. Кроме того, у злоумышленников появляется возможность распространять вредоносное ПО и проводить целевые атаки на инфраструктуру организации.

Для защиты от угроз CASB имеет в своем арсенале различные методы предотвращения, такие как поведенческая аналитика, антивирусное сканирование, применение машинного обучения для установления шаблонов поведения, использование аналитики угроз в реальном времени от поставщиков облачных сервисов.

Соответствие требованиям регуляторов и корпоративным стандартам

Даже при частичном переходе организации в облако остаётся важным соответствовать внутренним и внешним стандартам, обеспечивающим безопасность личных и корпоративных данных. Благодаря наглядности и контролю всех используемых облачных приложений в компании, появляется возможность оценить текущее состояние облачной безопасности, а также использовать политики доступа для приведения её в соответствие необходимым нормам.

Архитектура и принцип работы CASB

Решения CASB чаще всего разворачиваются в облачной среде и контролируют взаимодействие пользователей и приложений через API и/или прокси-сервера. Также имеется возможность использовать локальный и гибридный режимы.

Выбор архитектуры развертывания CASB зависит от инфраструктуры и потребностей конкретной организации. Нет однозначного ответа, какой вариант лучше. Однако, ведущие аналитические агентства выделяют гибридный подход как наиболее полный по функциональным возможностям.

Выбор решений CASB

Практически каждый крупный вендор имеет в своем портфеле решение данного класса. Среди лидеров ведущие аналитические агентства выделяют McAfee (Skyhigh Networks), Netskope и Symantec. Также CASB есть у Cisco, Forcepoint, Microsoft, Oracle, Palo Alto.

При выборе решения, наиболее подходящего для конкретной организации, рекомендуется учитывать следующие вопросы:

Обнаружение облачных приложений

  • Сколько атрибутов риска используется для расчета рейтинга безопасности приложения? Имеется ли возможность ручного назначения весов для атрибутов риска?
  • Предоставляет ли решение автоматические отчеты по оценке рисков?
  • Есть ли возможность заблокировать нежелательные облачные приложения за счет интеграции с веб-прокси или брандмауэрами?

Наличие необходимых политик

  • Имеется ли возможность настраивать политики безопасности как для запрещенных, так и для разрешенных приложений?
  • Поддерживает ли решение безопасное использование облачных сервисов с мобильных устройств и ноутбуков, находящихся за периметром организации?
  • Имеется ли возможность применять детальные политики к действиям пользователя на основе контекста и контента, например, имени пользователя, группы, устройства, местоположения, браузера или пользовательского агента?
  • Имеется ли возможность применять единые политики в нескольких облачных приложениях?

Развертывание

  • Совместимо ли решение с существующими решениями веб-прокси для максимального повторного использования инвестиций в систему безопасности?
  • Организована ли модель ролевого доступа к системе?

Управление данными

  • Обладает ли система функционалом по защите от утечек данных (DLP)?
  • Имеется ли возможность интеграции со сторонними DLP-решениями?
  • Поддерживаются ли такие методы классификации данных, как регулярные выражения и контекстный анализ?
  • Поддерживает ли решение токенизацию и возможность шифрования данных на лету во время их передачи, использования и хранения в облаке?

Обнаружение угроз

  • Обладает ли решение функционалом поведенческого анализа пользователей (UEBA) для обнаружения подозрительной активности?
  • Предоставляет ли решение расширенную визуализацию для наглядного изучения вредоносной активности?
  • Обладает ли решение встроенным функционалом обнаружения вредоносных программ?
  • Поддерживает ли решение интеграцию со сторонними решениями для защиты от целевых атак (ATP)?

Удобство использования и интерфейс

  • Насколько сложным является решение для настройки и управления?
  • Насколько интуитивно понятен пользовательский интерфейс?
  • Возникают ли какие-либо задержки или неудобства при использовании для конечных пользователей?
  • Могут ли пользователи получить доступ к облачным приложениям при выходе из строя решения CASB?
  • Возможности масштабирования: какое количество пользователей и транзакций поддерживает решение?

Заключение

Решения класса CASB нацелены на защиту данных в облачных приложениях. Они способны обнаруживать Shadow IT, контролировать доступ, трафик и действия над данными и предоставляют наглядную аналитику использования разрешенных и запрещенных облачных сервисов. Решения CASB позволяют бороться с утечками данных, имеют инструменты по поведенческому анализу пользователей, способны обезличивать и шифровать передаваемую информацию. Также присутствует функционал защиты от вредоносного ПО и несанкционированного доступа.

Мировой рынок решений CASB до конца еще не сформирован, но на нем уже есть явные лидеры, предоставляющие в своих продуктах наиболее полный функционал. Отечественных решений данного класса пока нет, но уже есть информация о предстоящих релизах в 2019 году. Сложно не заметить взрывной рост развития и использования различных облачных сервисов в нашей повседневной жизни, и можно с уверенностью сказать, что интерес к CASB на российском рынке будет очень высок.

Оцените статью
Добавить комментарий