Проблемы безопасности облачных вычислений. Анализ методов защиты облаков от Cloud Security Alliance
Анализ различных видов существующих угроз облачных вычислений. Атаки на элементы облака и решения по их устранению. Апробация решения по защите от угроз безопасности облаков от компании Cloud Security Alliance и оценка их практической эффективности.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 01.11.2018 |
Размер файла | 17,3 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Проблемы безопасности облачных вычислений. Анализ методов защиты облаков от Cloud Security Alliance
Центр обработки данных (ЦОД) (англ. Data Center) представляет собой совокупность серверов, размещенных на одной площадке с целью повышения эффективности и защищенности. Защита центров обработки данных включает сетевую и физическую защиту, а также отказоустойчивость и надежное электропитание.
В настоящее время на рынке представлен широкий спектр решений для защиты серверов и ЦОД от различных угроз. Их объединяет ориентированность на узкий спектр решаемых задач [1]. Однако он подвергся некоторому расширению вследствие постепенного вытеснения классических аппаратных систем виртуальными платформами. К известным типам угроз (сетевые атаки, уязвимости в приложениях операционных систем, вредоносное программное обеспечение) добавились сложности, связанные с контролем среды (гипервизора), трафика между гостевыми машинами и разграничением прав доступа. Расширились внутренние вопросы и политики защиты ЦОД, требования внешних регуляторов. Работа современных ЦОД в ряде отраслей требует закрытия технических вопросов, а также вопросов, связанных с их безопасностью. Финансовые институты (банки, процессинговые центры) подчинены ряду стандартов, выполнение которых заложено на уровне технических решений. Проникновение платформ виртуализации достигло того уровня, когда практически все компании, использующие эти системы, весьма серьезно занялись вопросами усиления безопасности в них. Отметим, что буквально год назад интерес был скорее теоретический [3; 8]. В современных условиях становится все сложнее обеспечить защиту критически важных для бизнеса систем и приложений [1].
Появление виртуализации стало актуальной причиной масштабной миграции большинства систем на виртуальные машины (ВМ), однако решение задач обеспечения безопасности, связанных с эксплуатацией приложений в новой среде, требует особого подхода. Многие типы угроз достаточно изучены, и для них разработаны средства защиты, однако их еще нужно адаптировать для использования в облаке.
Существующие угрозы облачных вычислений
Контроль и управление облаками являются проблемой безопасности. Гарантий, что все ресурсы облака посчитаны, и в нем нет неконтролируемых виртуальных машин, не запущено лишних процессов, и не нарушена взаимная конфигурация элементов облака, нет. Это - высокоуровневый тип угроз, т.к. он связан с управляемостью облаком как единой информационной системой, и для него общую защиту нужно строить индивидуально. Для этого необходимо использовать модель управления рисками для облачных инфраструктур.
В основе обеспечения физической безопасности лежит строгий контроль физического доступа к серверам и сетевой инфраструктуре. В отличие от физической безопасности, сетевая безопасность в первую очередь представляет собой построение надежной модели угроз, включающей в себя защиту от вторжений и межсетевой экран. Использование межсетевого экрана подразумевает работу фильтра с целью разграничить внутренние сети ЦОД на подсети с разным уровнем доверия. Это могут быть отдельно серверы, доступные из Интернета, или серверы из внутренних сетей.
В облачных вычислениях важнейшую роль платформы выполняет технология виртуализации. Для сохранения целостности данных и обеспечения защиты рассмотрим основные известные угрозы для облачных вычислений.
1. Трудности при перемещении обычных серверов в вычислительное облако
Требования к безопасности облачных вычислений не отличаются от требований безопасности к центрам обработки данных. Однако виртуализация ЦОД и переход к облачным средам приводят к появлению новых угроз.
Доступ через Интернет к управлению вычислительной мощностью - одна из ключевых характеристик облачных вычислений. В большинстве традиционных ЦОД доступ инженеров к серверам контролируется на физическом уровне, в облачных средах они работают через Интернет. Разграничение контроля доступа и обеспечение прозрачности изменений на системном уровне являются одними из главных критериев защиты.
2. Динамичность виртуальных машин
Виртуальные машины динамичны. Они клонируются и могут быть перемещены между физическими серверами. Данная изменчивость влияет на разработку целостности системы безопасности. Однако уязвимости операционной системы или приложений в виртуальной среде распространяются бесконтрольно и часто проявляются после произвольного промежутка времени (например, при восстановлении из резервной копии). В среде облачных вычислений важно надежно зафиксировать состояние защиты системы, независимо от ее местоположения.
3. Уязвимости внутри виртуальной среды
Серверы облачных вычислений и локальные серверы используют одни и те же операционные системы и приложения. Для облачных систем угроза удаленного взлома или заражения вредоносным ПО высока. Риск для виртуальных систем также высок. Параллельные виртуальные машины увеличивает «атакуемую поверхность». Система обнаружения и предотвращения вторжений должна быть способна обнаруживать вредоносную активность на уровне виртуальных машин, вне зависимости от их расположения в облачной среде.
4. Защита бездействующих виртуальных машин
Когда виртуальная машина выключена, она подвергается опасности заражения. Доступа к хранилищу образов виртуальных машин через сеть достаточно. На выключенной виртуальной машине абсолютно невозможно запустить защитное программное обеспечение. В данном случае должна быть реализована защита не только внутри каждой виртуальной машины, но и на уровне гипервизора.
5. Защита периметра и разграничение сети
При использовании облачных вычислений периметр сети размывается или исчезает. Это приводит к тому, что защита менее защищенной части сети определяет общий уровень защищенности. Для разграничения сегментов с разными уровнями доверия в облаке виртуальные машины должны сами обеспечивать себя защитой, перемещая сетевой периметр к самой виртуальной машине (Рис. 1). Корпоративный firewall - основной компонент для внедрения политики IT-безопасности и разграничения сегментов сети - не в состоянии повлиять на серверы, размещенные в облачных средах [4].
Атаки на облака и решения по их устранению
1. Традиционные атаки на ПО
Уязвимости операционных систем, модульных компонентов, сетевых протоколов - традиционные угрозы, для защиты от которых достаточно установить межсетевой экран, firewall, антивирус, систему предотвращения вторжений (Intrusion Prevention System - IPS) и другие компоненты. При этом важно, чтобы данные средства защиты эффективно работали в условиях виртуализации.
2. Функциональные атаки на элементы облака
Этот тип атак связан с многослойностью облака, общим принципом безопасности. В статье об опасности облаков было предложено следующее решение [4]: для защиты от функциональных атак для каждой части облака необходимо использовать следующие средства защиты: для прокси - эффективную защиту от DoSатак, для веб-сервера - контроль целостности страниц, для сервера приложений - экран уровня приложений, для СУБД - защиту от SQL-инъекций, для системы хранения данных - правильные бэкапы (резервное копирование), разграничение доступа. В отдельности каждые из этих защитных механизмов уже созданы, но они не собраны вместе для комплексной защиты облака, поэтому задачу по интеграции их в единую систему нужно решать во время создания облака.
3. Атаки на клиента
Большинство пользователей подключаются к облаку, используя браузер. Здесь рассматриваются такие атаки как Cross Site Scripting, «угон» паролей, перехваты веб-сессий, «человек посредине» и многие другие. На текущий момент, наиболее эффективной защитой от данного вида атак является правильная аутентификация и использование шифрованного соединения (SSL) с взаимной аутентификацией [5]. Однако данные средства защиты не очень удобны и очень расточительны для создателей облаков. В этой отрасли информационной безопасности есть еще множество нерешенных задач.
4. Атаки на гипервизор
Гипервизор является одним из ключевых элементов виртуальной системы. Основной его функцией является разделение ресурсов между виртуальными машинами. Атака на гипервизор может привести к тому, что одна виртуальная машина сможет получить доступ к памяти и ресурсам другой. Также она сможет перехватывать сетевой трафик, отбирать физические ресурсы и даже вытеснить виртуальную машину с сервера. В качестве стандартных методов защиты рекомендуется применять специализированные продукты для виртуальных сред, интеграцию хост-серверов со службой каталога Active Directory, использование политик сложности и устаревания паролей, а также стандартизацию процедур доступа к управляющим средствам хостсервера, встроенный брандмауэр хоста виртуализации. Также возможно отключение таких часто неиспользуемых служб как, например, веб-доступ к серверу виртуализации.
5. Атаки на системы управления
Большое количество виртуальных машин, используемых в облаках, требует наличия систем управления, способных надежно контролировать создание, перенос и утилизацию виртуальных машин. Вмешательство в систему управления может привести к появлению виртуальных машин - невидимок, способных блокировать одни виртуальные машины и подставлять другие.
Решения по защите от угроз безопасности от компании Cloud Security Alliance (CSA)
Наиболее эффективные способы защиты в области безопасности облаков опубликовала организация Cloud Security Alliance (CSA). Проанализировав опубликованную компанией информацию, были предложены следующие решения [6]:
1. Сохранность данных. Шифрование
Шифрование - один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным, должен шифровать информацию клиента, хранящуюся в ЦОД, а также, в случае отсутствия необходимости, безвозвратно удалять.
2. Защита данных при передаче
Зашифрованные данные при передаче должны быть доступны только после аутентификации. Данные не получится прочитать или сделать изменения, даже в случае доступа через ненадежные узлы. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно используются провайдерами.
3. Аутентификация
Аутентификация - защита паролем. Для обеспечения более высокой надежности часто прибегают к таким средствам как токены и сертификаты. Для прозрачного взаимодействия провайдера с системой идентификации при авторизации также рекомендуется использовать LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language).
4. Изоляция пользователей
Использование индивидуальной виртуальной машины и виртуальной сети. Виртуальные сети должны быть развернуты с применением таких технологий как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service). Часто провайдеры изолируют информацию пользователей друг от друга за счет изменения кода в единой программной среде. Такой подход имеет риски, связанные с опасностью найти «дыру» в нестандартном коде и получить доступ к данным пользователей. В случае возможной ошибки в коде один пользователь может получить данные другого пользователя.
Описанные решения по защите от угроз безопасности облачных вычислений неоднократно были применены системными интеграторами в проектах построения частных облаков. Практические применения и требования по безопасности подробно описаны в тезисах [1; 2]. После применения данных решений количество случившихся инцидентов существенно снизилось. Но многие проблемы, связанные с защитой виртуализации, до сих пор требуют тщательного анализа и проработанного решения.
Список литературы
угроза облачный безопасность
1. Бердник А.В. Сравнительный анализ решений по безопасности SaaS сервиса от компании IBM и КРОК // Безопасность информационного пространства: сборник статей. Тюмень, 2012. С. 245-253.
2. Бердник А.В., Бойко А. Методы защиты виртуальной среды // Всероссийский журнал научных публикаций. 2013. №3 (18). С. 24-27.
3. Емельянова Ю.Г., Фраленко В.П. Анализ проблем и перспективы создания интеллектуальной системы обнаружения и предотвращения сетевых атак на облачные вычисления [Электронный ресурс] // Программные системы: теория и приложения. 2011. №4 (8). С. 17-31. URL: http://psta.psiras.ru/read/psta2011_4_17-31.pdf (дата обращения: 19.08.2013).
4. Коржов В. Опасны ли облака? [Электронный ресурс] // Сети / Network World. 2010. №07. URL: http://www.osp.ru/nets/2010/07/13004633/ (дата обращения: 19.08.2013).
5. Облака: легенды и мифы [Электронный ресурс]. URL: http://www.anti-malware.ru/node/2333 (дата обращения:
19.08.2013).
6. Облачные вычисления, «дырявые» облака и способы защиты данных [Электронный ресурс]. URL: http:// 4by4.ru/ru/analytics/oblachnye-vychisleniya-dyryavye-oblaka-i-sposoby-zashchity-dannyh (дата обращения: 19.08.2013).
7. Основные защитные механизмы, используемые в СЗИ [Электронный ресурс]. URL: http://asher.ru/security/book/its/07 (дата обращения: 19.08.2013).
8. Романов Н. Реальные проблемы виртуальных ЦОД [Электронный ресурс] // Jet Info. 2012. №3. URL: http://www.jetinfo.ru/jetinfo_arhiv/zaschita-virtualnykh-sred/realnye-problemy-virtualnykh-tsod/2012 (дата обращения: 19.08.2013).
Размещено на Allbest.ru
...Подобные документы
Модели обслуживания облачных технологий (IaaS, PaaS, SaaS). Определение облачных технологий, их основные характеристики, достоинства и недостатки. Функции и возможности облачного решения Kaspersky Endpoint Security Cloud от "Лаборатории Касперского".
курсовая работа [626,7 K], добавлен 29.06.2017История и факторы развития облачных вычислений. Роль виртуализации в развитии облачных технологий. Модели обслуживания и принципы работы облачных сервисов. Преимущества облака для Интернет-стартапов. Применение технологии облачных вычислений в бизнесе.
реферат [56,6 K], добавлен 18.03.2015Понятие облачных вычислений, их преимущества и недостатки; виды облаков. Сравнительный анализ рисков использования облачных сервисов в России и ЕС. Регуляторы в области информационной безопасности, их концепции, особенности и регулирующие органы власти.
курсовая работа [79,1 K], добавлен 14.05.2014Анализ рынка облачных вычислений и средств для обеспечения безопасности в них. Распространение облачных вычислений, негарантированный уровень безопасности обрабатываемой информации как их основная проблема. Расследование инцидентов и криминалистика.
курсовая работа [4,3 M], добавлен 26.02.2015История возникновения компьютерной науки. Продукты компании Apple. Основные категории, отличительные особенности, уровни облачных сервисов. Характеристика публичных и частных облаков. Преимущества и недостатки облачных вычислений, перспективы их развития.
контрольная работа [1,6 M], добавлен 06.08.2013Анализ структуры и содержания плана маркетинга компании. Рынок облачных вычислений и возможность их применения. Отбор источников информации и представление полученных результатов. Разработка программной инструментальной оболочки облачных вычислений.
дипломная работа [149,8 K], добавлен 12.11.2013Модели развертывания и облачные модели. Анализ существующих методов информационной безопасности. Обеспечение надежного шифрования данных при передаче их от пользователя к провайдеру услуг по хранению данных. Минимизация нагрузки на облачные сервисы.
дипломная работа [839,1 K], добавлен 17.09.2013Технологии распределённой обработки данных, в которой компьютерные ресурсы и мощности предоставляются пользователю как Интернет-сервис. Виды облаков, достоинства и недостатки "облачных" вычислений. Компании, которые предоставляют "облачные" сервисы.
контрольная работа [28,1 K], добавлен 10.03.2012Создание и уровни реализации облачных вычислений. Достоинства и недостатки использования облачных технологий в организации единого информационного пространства. Оценка важности критериев методом "Попарного сравнения", "Тепловых карт", "Экспертных оценок".
дипломная работа [1,3 M], добавлен 08.04.2014Структура, сущность и классификация облачных вычислений. Модель организации информационного пространства научных исследований на примере КубГУ. Использование облачных сервисов Google, Яндекс. Диск в процессе работы над студенческими дипломными проектами.
дипломная работа [2,2 M], добавлен 11.10.2013Разрабатываемые быстродействующие 100 Гбит сетевые инфраструктуры для технологии "облачных вычислений". Кодирование и синхронизация на подуровне данных. Реализация каналов связи 100 Гбит/с. Стандарт 100GbE и ПЛИС. Стандартизованные варианты PHY.
реферат [32,2 K], добавлен 22.02.2013Рассмотрение основных понятий защиты информации в сетях. Изучение видов существующих угроз, некоторых особенностей безопасности компьютерных сетей при реализации программных злоупотреблений. Анализ средств и методов программной защиты информации.
дипломная работа [1,5 M], добавлен 19.06.2015Сущность облачных вычислений, основные направления развития, достоинства и недостатки. Сеть Интернет как платформа научных коммуникаций. Разработка портала студенческого научного общества. Проектирование интерфейса web-сайта, выбор программных средств.
дипломная работа [5,9 M], добавлен 18.07.2014Эволюция облачных сервисов. Характеристики и классификация облачных сервисов. Анализ возможностей облачных сервисов, предлагаемых для использования в малом бизнесе. Анализ стоимости владения локальным решением по автоматизации деятельности бухгалтерии.
курсовая работа [2,7 M], добавлен 10.05.2015Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.
курсовая работа [2,4 M], добавлен 30.10.2009Цели информационной безопасности. Источники основных информационных угроз для России. Значимость безопасности информации для различных специалистов с позиции компании и заинтересованных лиц. Методы защиты информации от преднамеренных информационных угроз.
презентация [200,6 K], добавлен 27.12.2010Review of development of cloud computing. Service models of cloud computing. Deployment models of cloud computing. Technology of virtualization. Algorithm of "Cloudy". Safety and labor protection. Justification of the cost-effectiveness of the project.
дипломная работа [2,3 M], добавлен 13.05.2015Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Основные понятия, методы и технологии управления рисками информационной безопасности. Идентификация риска, активов, угроз, уязвимостей, существующих контролей, последствий. Оценка и снижение риска. Примеры типичных угроз информационной безопасности.
презентация [223,8 K], добавлен 11.04.2018Основные причины, по которым необходимо принять меры по защите своего компьютера. Характеристика различных способов защиты компьютера от возможных угроз безопасности. Виды угроз и защита от компьютерных вирусов. Понятие и принцип действия брандмауэра.
презентация [176,3 K], добавлен 24.01.2011