X Международная студенческая научная конференция Студенческий научный форум - 2018

В общем объеме производимых вычислений неуклонно растет доля той совокупности современных технологий, которая получила броское наименование «облачные вычисления». Если раньше через Интернет были доступны, по большей части, лишь приложения, ответственные за обмен электронными сообщениями и публикацию web-страниц, то сегодня глобальная сеть все чаще используется для работы со многими другими программными приложениями и базами данных.

Для дальнейшего развития распределенных сетевых приложений и концентрации вычислительных ресурсов все более важной становится проблема обеспечения информационной безопасности. Целью данной работы является анализ проблем обеспечения информационной безопасности при переходе к облачным вычислениям.

Облачные вычисления - относительно новый термин, на сегодняшний день уже прочно вошедший в общепринятую практику как за рубежом, так и в России. Он используется для обозначения совокупности современных технологий, применяемых для распределенной обработки данных, при которой ресурсы вычислительных систем, программное обеспечение и информация предоставляются пользователю по запросу через сеть .

Под облаком принято понимать единый с точки зрения клиента виртуальный сетевой узел, реализующий вычислительные службы (один или несколько серверов), который физически может представлять собой географически распределенную совокупность взаимосвязанных аппаратных узлов компьютерной сети. В дальнейшем под поставщиком подразумевается организация, поставляющая услуги облачных вычислений, под потребителем - организация или физическое лицо, приобретающее такие услуги, а под пользователем - физическое лицо (сотрудник, партнер, гипотетический субъект - аппаратный или программный модуль), непосредственно использующее услуги, предоставленные поставщиком потребителю. При этом регулирование организации безопасности облачных вычислений и данных осуществляется на основании договора о предоставлении услуг (SLA - Service Line Agreement), заключаемого между поставщиком и потребителем. В зависимости от вида предоставляемых услуг варьируется и распределение ответственности поставщика и потребителя в вопросах обеспечения безопасности вычислений.

Атаки на облака:

1. Традиционные атаки на ПО

Уязвимости операционных систем, модульных компонентов, сетевых протоколов и др — традиционные угрозы, для защиты от которых достаточно установить межстевой экран, firewall, антивирус, IPS и другие компоненты, решающие данную проблему. При этом важно, чтобы данные средства защиты эффективно работали в условиях виртуализации.

2. Функциональные атаки на элементы облака

Этот тип атак связан с многослойностью облака, общим принципом безопасности. В статье об опасности облаков было предложено следующее решение: Для защиты от функциональных атак для каждой части облака необходимо использовать следующие средства защиты: для прокси – эффективную защиту от DoS-атак, для веб-сервера — контроль целостности страниц, для сервера приложений — экран уровня приложений, для СУБД — защиту от SQL-инъекций, для системы хранения данных – правильные бэкапы (резервное копирование), разграничение доступа. В отдельности каждые из этих защитных механизмов уже созданы, но они не собраны вместе для комплексной защиты облака, поэтому задачу по интеграции их в единую систему нужно решать во время создания облака.

3. Атаки на клиента

Большинство пользователей подключаются к облаку, используя браузер. Здесь рассматриваются такие атаки, как Cross Site Scripting, «угон» паролей, перехваты веб-сессий, «человек посредине» и многие другие. Единственная защита от данного вида атак является правильная аутентификация и использование шифрованного соединения (SSL) с взаимной аутентификацией. Однако, данные средства защиты не очень удобны и очень расточительны для создателей облаков. В этой отрасли информационной безопасности есть еще множество нерешенных задач.

4. Атаки на гипервизор

Гипервизор является одним из ключевых элементов виртуальной системы. Основной его функцией является разделение ресурсов между виртуальными машинами. Атака на гипервизор может привести к тому, что одна виртуальная машина сможет получить доступ к памяти и ресурсам другой. Также она сможет перехватывать сетевой трафик, отбирать физические ресурсы и даже вытеснить виртуальную машину с сервера. В качестве стандартных методов защиты рекомендуется применять специализированные продукты для виртуальных сред, интеграцию хост-серверов со службой каталога Active Directory, использование политик сложности и устаревания паролей, а также стандартизацию процедур доступа к управляющим средствам хост-сервера, применять встроенный брандмауэр хоста виртуализации. Также возможно отключение таких часто неиспользуемых служб как, например, веб-доступ к серверу виртуализации.

5. Атаки на системы управления

Большое количество виртуальных машин, используемых в облаках требует наличие систем управления, способных надежно контролировать создание, перенос и утилизацию виртуальных машин. Вмешательство в систему управления может привести к появлению виртуальных машин — невидимок, способных блокировать одни виртуальные машины и подставлять другие.

Можно предложить следующие решения по защите от угроз безопасности:

1. Сохранность данных. Шифрование

Шифрование – один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным должен шифровать информацию клиента, хранящуюся в ЦОД, а также в случаи отсутствия необходимости, безвозвратно удалять.

2. Защита данных при передаче

Зашифрованные данные при передаче должны быть доступны только после аутентификации. Данные не получится прочитать или сделать изменения, даже в случаи доступа через ненадежные узлы. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно используются провайдерами.

3. Аутентификация

Аутентификации — защита паролем. Для обеспечения более высокой надежности, часто прибегают к таким средствам, как токены и сертификаты. Для прозрачного взаимодействия провайдера с системой индетификациии при авторизации, также рекомендуется использовать LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language).

4. Изоляция пользователей

Использование индивидуальной виртуальной машины и виртуальную сеть. Виртуальные сети должны быть развернуты с применением таких технологий, как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service). Часто провайдеры изолируют данные пользователей друг от друга за счет изменения данных кода в единой программной среде. Данный подход имеет риски, связанные с опасностью найти дыру в нестандартном коде, позволяющему получить доступ к данным. В случаи возможной ошибки в коде пользователь может получить данные другого. В последнее время такие инциденты часто имели место.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1.Cloud Computing. Wikipedia, the free encyclopedia [Электронный ресурс]. - Режим доступа: http://en.wikipedia.org/wiki/Cloud_computing.

2.Сычев А.В. Теория и практика разработки современных клиентских веб-приложений. Интернет-Университет Информационных Технологий [Электронный ресурс]. - Режим доступа: http://www.intuit.ru/department/internet/thpdevweba/24/thpdevweba_24.html/

Код для цитирования: Скопировать