14 мая 2016г.
В последнее время все более широкое распространение получают облачные вычисления, которые подразумевают обеспечение сетевого доступа пользователя к той или иной программе, при условии, что запрашиваемое приложение находится на удаленном сервере. Облачные вычисления постепенно становятся одной из самых распространенных информационных технологий на сегодняшний день. [2]
Однако в процессе построения инфраструктур на основе относительно новых технических решений возникают вопросы об уровне обеспечения их информационной безопасности, поскольку облачные системы, как и любые другие, не лишены подверженности сетевым атакам. Именно поэтому значительные силы затрачиваются не только на создание сред облачных вычислений, но и на обеспечение их защищенности от потенциальных угроз.
Облачные вычисления подвержены множеству уязвимостей, что ставит под угрозу не только пользовательские данные, но и саму концепцию дальнейшего ее продвижения. Однако следует отметить постоянное расширение диапазона использования и рост числа пользователей, что одновременно с этим увеличивает число уязвимостей, выявляемых в этой сфере.
Во-первых, угрозам подвержены различные программные продукты элементов облака, внедрение в которые позволяют злоумышленнику как получить доступ к системе, так и нарушить ее функциональность. Во-вторых, уязвимость хотя бы одного элемента облачной инфраструктуры в случае проведения на нее сетевой атаки дает возможность заблокировать всю систему целиком, даже если остальные связи между ее компонентами не будут нарушены. В-третьих, злоумышленник в состоянии не только обеспечить себе доступ к данным, хранящимся и обрабатываемым в облачном сервисе, но и подчинить его себе таким образом, что вся мощь облака и его ресурсы будут функционировать в интересах нарушителя. Кроме того, реализуется возможность совершать сетевые атаки по отношению к конкретным пользователям, что осуществимо вследствие взаимодействия клиента облака с сервером посредством Интернет-браузеров. В результате реализации подобных угроз злоумышленник может совершать такие традиционные атаки на пользователей веб-приложений, как перехваты сетевых сессий, кража паролей и т.д. [1]
Потенциальные угрозы реализуются вследствие ряда проблем, возникающих в процессе бурного развития облачных сред и не решенных на сегодняшний день. Например, отсутствует единый стандарт обеспечения их информационной безопасности, и хотя ряд базовых требований по этой проблеме и соблюдаются, их оказывается недостаточно для полноценной защиты рассматриваемой технологии от угроз. Как следствие, пользователи, у которых хотя бы раз произошла утечка информации с подобных ресурсов, в перспективе предпочтут использовать более проверенные среды обработки и хранения данных, что в итоге приведет к замедлению развития всей облачной инфраструктуры в целом. [4]
Необходимо отметить, что не смотря на то, что единых стандартов в области безопасности облачных вычислений нет, при построении инфраструктуры все же учитывается ряд основных факторов, обеспечивающих ее относительную устойчивость к потенциальным угрозам. Например, подобная система обладает надежностью, под которой понимается способность объектов сохранять значения параметров, характеризующих выполнение необходимых функций в определенных режимах и при установленных условиях применения.
Физическая безопасность центра обработки данных в среде облачных вычислений должна быть многоуровневой, включающая в себя следующие аспекты: контроль доступа, идентификация работающего персонала, мониторинг системы, мгновенное оповещение о вторжении и т.д.
К специфическим методам обеспечения безопасности данных, хранимых в облачных сервисах можно отнести управление идентификацией, доступом, ключами шифрования, аудит системы и сети, а также мониторинг безопасности. Остановимся подробнее на каждом из них.
Идентификация пользователя является основным элементом оперативной безопасности облака. Информация о подтверждении идентичности требует защиты конфиденциальности, доступности и целостности, а управление процессом должно осуществляться на основе заранее разработанного алгоритма. Пользователь должен подвергаться подобной проверке при регистрации в облачном сервисе или при каждом подключении. В последующем, при пользовании сервисом аутентификация позволит сократить случаи неправомерного доступа к облачному хранилищу. [3]
Получаемая в процессе идентификации информация используется для обеспечения контроля доступа к операционной среде облачного сервиса. Реализуется подобная функция посредством ограничения доступа обслуживающего персонала к данным пользователей, то есть обеспечить возможность получения лишь необходимой клиентской информации, осуществленного с помощью конкретных операций получения данного доступа. Таким образом, ни пользователь, ни обслуживающих персонал, ни даже администратор сервиса не должны иметь полный доступ ко всем данным, находящимся в облачном хранилище.
Не менее действенным методом обеспечения безопасности хранимой на облаке информации является шифрование имеющихся данных, что позволяет защитить все клиентские данные и образы виртуальных машин на всех этапах их функционирования. В результате возникает необходимость в осуществлении управления ключами, на основе которых реализуются процессы шифрования и дешифрования информации.
Для успешного управления безопасностью информации облачных сервисов необходимо производить регулярное журналирование событий, относящихся к объекту управления. Вся зафиксированная информация позволяет провести мониторинг безопасности облачного сервиса, а также выявить наиболее незащищенные места, сами же журналы аудита желательно сохранять как можно более долгий период. При обнаружении слабозащищенных мест на том или ином компоненте сервиса необходимо проводить оповещение об угрозе безопасности, что позволяет своевременно среагировать на угрозу, а также принимать оперативные меры по предотвращению возникшей проблемы.
Активные работы в области обеспечения безопасности облачных систем ведутся многими крупными компаниями, например, Intel, IBM, Symantec и т.д. Что касается отечественных производителей, разработок в данном направлении практически нет, а поэтому возникает необходимость в закупке зарубежных программных продуктов.
В целом же, заметен рост интереса к проблеме безопасности систем облачных вычислений, поскольку наравне с ростом популярности подобных технологий наблюдается и значительный рост количества сетевых атак, ведущих к значительным материальным затратам. Именно поэтому уже на данном этапе развития облачных технологий необходимо совершенствовать процедуры противодействия сетевым атакам и обеспечения безопасности пользовательских данных, что поспособствует как росту уровня доверия к подобным сервисам, так и дальнейшему развитию нового сегмента хранилищ данных.
Список литературы
1. Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему – СПб: Мир и семья, 1997. С.312
2. Мишин Я.Д., Ельцова Н.С., Мишин Д.С. Текущее состояние и перспективы развития Национальной Облачной Платформы / Вопросы современных технических наук: свежий взгляд и новые решения, / Сборник научных трудов по итогам международной научно-практической конференции. № 3. г.Екатеринбург, 2016. 139 с. С. 11-12
3. Bell, D.E. and LaPadula, L.J.: Secure Computer System: Unified Exposition and Multics Interpretation, Tech report ESD-TR-75-306, Mitre Cor, Bedford, Ma. (1976)
4. GDV Data Protection Blog, URL: http://www.globaldatavault.com/blog/for-magnolia-not-so-well-done/.
