Флуд-атаки

Каждый раз, когда спрос компании на вычислительные потребности увеличивается, Облако мгновенно распределяет большее экземпляров виртуальных машин для удовлетворения спрос. Но данной функцией могут воспользоваться и злоумышленники. Злоумышленник может сгенерировать огромное количество фальшивых запросов и перенаправить их на определенный сервер, создавая в процессе большое количество виртуальных машин. Но чтобы определить достоверность, сервер должен проверять каждый из этих запросов. В результате вся сеть заполняется запросами от злоумышленника, а законные запросы истощаются; это приводит к распределенной атаке отказа в обслуживании (DDoS).

Атака вредоносными программами

Этот тип атаки включает внедрение вредоносной службы или установки экземпляров виртуальных машин в облачную систему. В среде SaaS или Paas целью злоумышленника является создание собственной реализации службы, содержащей вредоносный код или сценарии, и развертывание этой службы в облаке таким образом, чтобы она выглядела как законная служба. Если злоумышленнику это удалось, то этот вид вредоносного ПО может выполнять любую вредоносную операцию. Таким образом, когда поступают действительные запросы, облачная система автоматически перенаправляет их на реализацию такого вредоносного сервиса. Воздействие этой атаки включает в себя прослушивание, скрытую модификацию данных, несанкционированный доступ к облачным ресурсам, утечку учетных данных пользователя, изменение функциональности и блокировку службы K. Zunnurhain and S. Vrbsky. Security Attacks and Solutions in Clouds // 3rd International Conference on Cloud Computing. 2016. Точно так же в среде IaaS злоумышленники могут создавать экземпляры виртуальных машин и внедрять в них вредоносное программное оборудование. Запросы законных пользователей останавливаются до тех пор, пока поддельные услуги не будут завершены. Это может привести к тупику службы, если количество запросов огромно. Ключевой проблемой здесь является не только обнаружение атаки, но и определение экземпляров виртуальной машины, которые используются злоумышленником для реализации вредоносной службы I. M. Khalil, A. Khreishah, and M. Azeem. Cloud Computing Security: A Survey // Computers. 2014.

Атака-спуфинг метаданных

При взаимодействии с другими веб-службами клиент веб-службы должен получить всю необходимую информацию, касающуюся вызова веб-службы. Эта информация включает адрес веб-службы, формат сообщения, местоположение в сети, требования безопасности и т.д. Эти данные хранятся в документах метаданных, предоставляемых сервером веб-служб. Двумя наиболее распространенными документами метаданных являются файл языка определения веб-служб (WSDL) и WSSecurity-Policy. Поскольку документы метаданных распространяются с использованием протоколов связи, таких как HTTP или электронная почта, они могут открыть возможности для атак-спуфингов M. Jensen, N. Gruschka, and Ralph HerkenhЁoner. A Survey of Attacks on Web Services // Computer Science - R&D. 2015. Злоумышленники могут намеренно изменять содержимое файла WSDL и распространять его по всем клиентам веб-службы. Это имеет серьезные последствия для безопасности. Как объяснено Гробером B. Grobauer, T. Walloschek, and E. Stocker. Understanding Cloud Computing Vulnerabilities. IEEE Security & Privacy. 2017, злоумышленник может изменить файл WSDL таким образом, что вызов операции deleteUser синтаксически выглядит как операция setAdminRights. Когда пользователю предоставляется этот измененный файл WSDL, каждый из вызовов операции deleteUser будет заменен вызовами операции setAdminRights. Таким образом, пользователи, которые должны быть удалены, теперь становятся активными с правами администратора. Другой способ подделки WSDL - изменить конечные точки сети и ссылки на политики безопасности (WS-Security-Policy). Модифицированные конечные точки сети помогают злоумышленнику легко начать атаку «пользователя в них». Подделка метаданных может быть опасной в среде облачных вычислений, где сама облачная система имеет некоторые функции хранилища WSDL. Предполагается, что новые пользователи могут динамически извлекать файл WSDL службы и распространять вредоносный файл WSDL по всей сети.

Небезопасные API

Клиенты в облаке обычно используют набор интерфейсов прикладного программирования (API) для управления и взаимодействия с облачными сервисами. Предоставление услуг, управление приложениями, мониторинг, включение функций безопасности и т.д. - всё выполняется через эти интерфейсы. Эти API имеют решающее значение для безопасности и доступности облачного сервиса. Если они не разработаны с надежными политиками идентификации и управления доступом, они могут быть легкой целью для злоумышленников. Злоумышленники всегда пытаются использовать уязвимости безопасности в этих API. Более того, организации и третьи стороны часто используют эти API-интерфейсы, чтобы предлагать своим клиентам различные дополнительные услуги. Этот новый многоуровневый API-интерфейс усложняет задачу, поскольку теперь сторонние поставщики услуг могут запросить данные у организации, чтобы подключить эти службы. Это имеет серьезные последствия для безопасности и конфиденциальности с точки зрения организаций. Несмотря на то, что поставщики облачных услуг всегда стремятся обеспечить хорошую интеграцию безопасности в их модели обслуживания, потребители должны понимать и анализировать последствия для безопасности, прежде чем передавать на аутсорсинг любую услугу. Незащищенные и плохо разработанные API могут подвергать организацию различным угрозам безопасности, которые могут повлиять на конфиденциальность, целостность и доступность данных.

Атака с использованием межсайтовых сценариев (XSS)

Атаки с использованием межсайтовых сценариев (XSS) в основном внедряют вредоносные сценарии или коды в веб-содержимое и тем самым заставляют веб-сайт выполнять написанные злоумышленником коды. Конечный пользователь является предполагаемой жертвой, а злоумышленник, использующий уязвимый веб-сайт, выступает в качестве источника для атак такого типа R. Bhadauria and S. Sanyal. Survey on Security Issues in Cloud Computing and Associated Mitigation Techniques. 2015.. Недостаточная проверка введенных пользователем данных является основной причиной XSS-атак. В этом случае могут произойти две вещи: либо веб-сайт не сможет нейтрализовать пользовательский ввод, либо он выполнит проверку неверно. Таким образом, это позволяет злоумышленникам использовать уязвимости. Злоумышленники могут похищать cookie-файлы веб-браузера и захватывать учетные данные пользователей в Интернете, извлекать конфиденциальные пользовательские данные, а также выполнять множество других вредоносных действий. В недавнем исследовании было обнаружено, что злоумышленники XSS могут получить полный контроль над веб-браузером, подобно программам «троянских коней». XSS может повлиять на пользователей двумя способами. Во время работы в Интернете на экране могут открываться некоторые специально созданные ссылки или всплывающие окна, и пользователи могут либо щелкнуть по этой вредоносной ссылке, либо их можно атаковать, во время посещения веб-страницы со встроенным вредоносным кодом. Таким образом, нарушитель получает контроль над личными данными пользователя.

Атака SQL-инъекцией

Атаки SQL-инъекцией - это класс атак, в которых вредоносный код вставляется в поля данных стандартного SQL-запроса. Таким образом, злоумышленники получают несанкционированный доступ к базам данных. Успешный эксплойт позволяет злоумышленникам извлекать личные и конфиденциальные данные из базы данных, подделывать существующие данные, изменяя базу данных с помощью операций вставки, удаления или обновления. Можно даже изменить роли и привилегии пользователей и выполнить операции администрирования, которые могут привести к полному уничтожению данных на сервере базы данных. Использование динамически генерируемого SQL-запроса и недостатки в обработке пользовательского ввода являются ключевыми причинами таких атак A. Liu, Y. Yuan, and A. Stavrou. QLProb: A Proxybased Architecture towards Preventing SQL Injection Attacks. // SAC. 2015.

Виртуализация и безопасность гипервизора

Виртуализация является одним из основных компонентов облачных вычислений, который помогает организациям оптимизировать производительность своих приложений экономически эффективным способом F. Sabahi. Secure Virtualization for Cloud Environment Using Hypervisor-based Technology. // Int. Journal of Machine Learning and Computing. 2017. Эта технология может также использоваться в качестве компонента безопасности; например, для обеспечения мониторинга виртуальных машин, облегчая задачи управления, такие как управление производительностью, управление облачной инфраструктурой и управление планированием емкости F. Lombardi and R. D. Pietro. Secure Virtualization for Cloud Computing. // Journal of Network and Computer Applications. 2016.. Гипервизор действует как уровень абстракции, предоставляя необходимые функции для управления ресурсами, что обеспечивает совместное использование аппаратных ресурсов виртуальными машинами M. Pearce, S. Zeadally, and R. Hunt. Virtualization: Issues, security threats, and solutions // ACM Comput. Surv. 2017.. Хотя эти технологии приносят большие выгоды, они также создают дополнительные угрозы безопасности, которые обсуждаются далее.

Уязвимости гипервизора

Гипервизор или монитор виртуальной машины предназначен для одновременного запуска нескольких гостевых виртуальных машин и приложений на одном хост-компьютере и обеспечения изоляции между гостевыми виртуальными машинами. Хотя ожидается, что гипервизоры будут надежными и безопасными, они уязвимы для атак. Если злоумышленники получат контроль над гипервизором, все виртуальные машины и данные, к которым они обращаются, будут находиться под их полным контролем для использования M.A. Morsy, J. Grundy, and I. Muller. An Analysis of the Cloud Computing Security Problem. // APSEC Cloud Workshop. 2015. Еще одна причина, по которой хакеры считают гипервизор потенциальной целью - больший контроль, поддерживаемый нижними уровнями в виртуализированной среде. Компрометация гипервизора также помогает получить контроль над базовой физической системой и размещенными приложениями. Поскольку гипервизор работает под операционной системой хоста, такие виды атак трудно обнаружить с помощью регулярных мер безопасности.

Выход из виртуальной машины

Виртуальные машины предназначены для поддержки сильной изоляции между хостом и виртуальными машинами. Но уязвимости в операционной системе, работающей внутри виртуальных машин, могут помочь злоумышленникам ввести в нее вредоносную программу. Когда эта программа запускается, виртуальная машина нарушает изолированные границы и начинает обмениваться данными с операционной системой, минуя уровень монитора виртуальной машины. Такая эксплуатация позволяет злоумышленникам получить доступ к хост-машине и начать дальнейшие атаки S. Luo, Z. Lin, X. Chen, Z. Yang, and J. Chen. Virtualization Security for Cloud Computing Services. // Int. Conf on Cloud and Service Computing. 2015..

Разрастание виртуальных машин

Разрастание виртуальных машин происходит, когда в среде существует большое количество виртуальных машин без надлежащего управления или контроля. Так как они потребляют системные ресурсы (то есть память, диски, сетевые каналы и т. Д.) в течение этого периода, эти ресурсы не могут быть назначены другим виртуальным машинам, и они фактически теряются. Домбровски и соавт. C. Dabrowski and K. Mills. VM Leakage and Orphan Control in Open-Source Clouds. // 3rd IEEE International Conference on Cloud Computing Technology and Science (CloudCom). 2015. демонстрируют два обстоятельства, которые могут вызвать разрастание виртуальных машин и способствовать созданию потерянных. Виртуальные машины обычно выделяются и завершаются по запросу пользователей, и система генерирует сообщения подтверждения в ответ. Проблема возникает, когда создание или завершение виртуальной машины завершено, но сообщения теряются при передаче. Пользователи повторяют попытки, генерируя новые запросы до тех пор, пока они не станут успешными, и это приводит к увеличению числа потерянных виртуальных машин. В конечном итоге системные ресурсы истощаются, что приводит к снижению общей производительности системы. Перенос потерянных виртуальных машин на другой слегка загруженный физический сервер может в определенной степени решить эту проблему. Но обеспечение одинакового уровня конфигураций безопасности, качества обслуживания и применения политик конфиденциальности всегда является проблемой.

Атака по боковым каналам виртуальной машины

Чтобы максимизировать использование ресурсов, несколько виртуальных машин обычно размещаются на одном физическом сервере в облачной среде, и такое совместное размещение является потенциальной угрозой для атаки через боковой канал виртуальной машины. Основная идея такова: вредоносная виртуальная машина проникает в изоляцию между виртуальными машинами, а затем получает доступ к общему оборудованию и расположениям кэша для извлечения конфиденциальной информации из целевой виртуальной машины. Ристенпарт T. Ristenpart, E. Tromer, H. Shacham, and S. Savage. Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds. // ACM Conference on Computer and Communications Security. 2009. впервые показал, что можно отобразить внутреннюю облачную инфраструктуру и преднамеренно разместить вредоносную виртуальную машину на том же физическом сервере, на котором может находиться целевая виртуальная машина. Поместив вредоносную виртуальную машину вместе с ее жертвой, они продемонстрировали предварительные результаты по различным атакам по боковым каналам между виртуальными машинами, включая отказ в обслуживании (DoS), мониторинг удаленного нажатия клавиш с помощью временного логического вывода и другие. В 2012 году Чан Y. Zhang, M. Ion, G. Russello, and B. Crispo. Cross-VM Side Channels and their Use to Extract Private Keys.

// ACM CCCS. 2012. продемонстрировал, что, запустив атаку по побочному каналу, злонамеренная виртуальная машина может извлечь закрытый ключ из виртуальной машины-жертвы, работающей на том же физическом сервере.

Устаревшие пакеты программного обеспечения в виртуальных машинах

Устаревшие программные пакеты на виртуальных машинах могут создавать серьезные угрозы безопасности в виртуализированной среде. Из-за низкой стоимости и простоты создания пользователи, как правило, создают для различных задач новые виртуальные машины, разветвляют новые виртуальные машины на основе старых или даже откатывают машины до более раннего состояния. Эти операции могут иметь серьезные последствия для безопасности, например, операция отката машины может привести к программной ошибке, которая уже была исправлена R. Schwarzkopf, M. Schmidt, N. Fallenbeck, and B. Freisleben. Multi-layered Virtual Machines for Security Updates in Grid Environments. // EUROMICRO-SEAA. 2014..

Единственная точка отказа

Существующие виртуализированные среды основаны на технологии гипервизора, которая контролирует доступ виртуальных машин к физическим ресурсам и важна для общего функционирования системы. Следовательно, отказ гипервизора из-за чрезмерного использования инфраструктуры или программных ошибок приводит к краху всей системы F. Sabahi. Secure Virtualization for Cloud Environment Using Hypervisor-based Technology. // Int. Journal of Machine Learning and Computing. 2017.. Вся система должна быть перезагружена для восстановления после таких сбоев. Но такие сбои приводят к произвольным нарушениям состояния и несоответствиям во всей системе, и, следовательно, все работы, которые выполнялись на всех виртуальных машинах, теряются M. Le and Y. Tamir. ReHype: Enabling VM Survival Across Hypervisor Failures. // VEE. 2016.. Другой недостаток виртуализированных серверов состоит в том, что они имеют конечное количество точек доступа для всех виртуальных машин. Компрометация этих точек доступа может открыть злоумышленникам возможность использовать виртуальную облачную инфраструктуру, включая виртуальные машины, гипервизор и хост-машину A.S. Ibrahim, J. Hamlyn-Harris, and J. Grundy. Emerging Security Challenges of Cloud Virtual Infrastructure. // APSEC Cloud Workshop. 2016.

Разрастание образа виртуальной машины

Безопасное управление образами виртуальных машин является важным требованием в среде облачных вычислений. Каждый образ виртуальной машины на самом деле представляет собой полный программный стек, содержащий установленные и настроенные приложения, которые используются для загрузки виртуальной машины в исходное состояние или состояние некоторой предыдущей контрольной точки W.A. Jansen. Cloud Hooks: Security and Privacy Issues in Cloud Computing. // 44th Hawaii International Conference on Systems Science. 2015.. Они обрабатываются как данные, и поэтому их легко клонировать, расширять и снимать. Таким образом, образы виртуальных машин растут в количестве и могут вызвать разрастание образов виртуальных машин D. Reimer, A. Thomas, G. Ammons, T. W. Mummert, B. Alpern, and Vasanth Bala. Opening Black Boxes: Using Semantic Information to Combat Virtual Machine Image Sprawl. // VEE. 2014.. Еще одна критическая проблема заключается в том, что многие образы виртуальных машин предназначены для совместного использования разными и часто несвязанными пользователями. Если хранилища изображений не находятся под тщательным управлением и контролем, совместное использование образов виртуальных машин может создавать угрозу конфиденциальности и безопасности J. Wei, X. Zhang, G. Ammons, V. Bala, and P. Ning. Managing Security of Virtual Machine Images in a Cloud Environment. // CCSW. 20016.. Более того, поскольку образ может содержать код и данные о праве собственности, владелец образа рискует непреднамеренно раскрыть конфиденциальную информацию. Злоумышленники будут стремиться изучить образ, чтобы обнаружить лазейки в системе безопасности. Злоумышленники могут также внедрить вредоносные коды в образ виртуальной машины или предоставить совершенно новый образ виртуальной машины, содержащий вредоносное ПО W. Jansen and T. Grance. Guidelines on Security and Privacy in Public Cloud Computing Special Publication.

Вывод

Угрозы и уязвимости ИБ облачных вычислений пересекаются с угрозами и уязвимостями ИБ традиционных вычислений, однако особенности архитектуры облака добавляют новые точки для атаки злоумышленников. Также факт того, что облачные сервисы доступны из любой точки мира через веб-браузер, делает облачные сервисы более подверженными к атакам.

Глава 3. Сравнительный анализ архитектуры облачных сервисов с точки зрения обеспечения информационной безопасности

Как уже было описано выше, в облачных вычислениях существуют три модели обслуживания: облачное программное обеспечение как услуга (SaaS - Software as a Service), облачная платформа как услуга (PaaS - Platform as a Service) и облачная инфраструктура как услуга (IaaS - Infrastructure as a Service) (Рис. 4).

Рисунок 4. Модели обслуживания облачных вычислений

Рассмотрим подробнее угрозы и уязвимости каждой модели. Облачное программное обеспечение как услуга (SaaS). SaaS предоставляет прикладные услуги по запросу, такие как электронная почта, программное обеспечение для проведения конференций и бизнес-приложения, такие как ERP, CRM и SCM Ju J, Wang Y, Fu J, Wu J, Lin Z: Research on Key Technology in SaaS // In International Conference on Intelligent Computing and Cognitive Informatics (ICICCI), Hangzhou, China. 2015. Пользователи SaaS имеют наименьший контроль над безопасностью среди трех основных моделей обслуживания в облаке. Интеграция приложений SaaS может вызвать некоторые проблемы безопасности.

Безопасность приложений. SaaS-приложения обычно разворачиваются через Интернет с помощью веб-браузера Rittinghouse JW, Ransome JF: Security in the Cloud. In Cloud Computing. Implementation, Management, and Security // CRC Press; 2016.. Однако недостатки в веб-приложениях могут создавать уязвимости для приложений SaaS. Злоумышленники используют Интернет для компрометации компьютеров пользователей и выполнения злонамеренных действий, таких как кража конфиденциальных данных Owens D: Securing elasticity in the Cloud // Commun ACM 2017. Проблемы безопасности в SaaS-моделях не отличаются от проблем безопасности в любых веб-приложениях, но традиционные решения данных проблем не обеспечивают эффективной защиты от атак. Возникает необходимость создания новых методов.

Мультитенантность (Мультиарендность)

SaaS-приложения классифицированы как модели зрелости. Классификация основывается на следующих характеристиках: масштабируемость, конфигурируемость с помощью метаданных и мультитенантность Zhang Y, Liu S, Meng X: Towards high level SaaS maturity model: methods and case study // In Services Computing conference. IEEE Asia-Pacific: APSCC; 2016. В первой модели у каждого пользователя свой собственный экземпляр программы. У данной модели есть свои недостатки, однако при такой конфигурации возникает меньше угроз ИБ. Во второй модели поставщик также предоставляет каждому пользователю свой экземпляр программы, но все экземпляры создаются с помощью одного и того же кода. В данной модели пользователи могут менять некоторые аспекты конфигурации. В третьей модели зрелости используется ??многопользовательская аренда -- один экземпляр обслуживает всех пользователей. Данный подход позволяет более продуктивно распределять ресурсы, однако минусом является ограниченность масштабируемости. Основной проблемой является риск утечки информации между пользователями, так как их данные хранятся в одной базе данных на одном сервере. Необходимо создать и внедрить политики безопасности для обеспечения безопасности данных пользователей. Проблема с масштабированием решается с помощью переноса приложения на другой, более мощный сервер.

Безопасность информации

Любая технология сталкивается с проблемами обеспечения безопасности информации, но они становятся более серьезной проблемой в моделях SaaS, так как пользователям приходится полагаться на поставщика в вопросах обеспечения ИБ. Зачастую в данной модели обслуживания данные пользователей обрабатываются в незашифрованном виде и хранятся на облаке. Вся ответственность за безопасность информации во время обработки и хранения лежит на провайдере. Также необходимо создавать резервные копии данных, но это добавляет уязвимостей ИБ. Еще одной проблемой является то, что поставщики решений SaaS могут обращаться к третьим лицам по вопросам предоставления платформ PaaS или IaaS.

Облачная платформа как услуга (PaaS)

Сервисы PaaS упрощают развертывание облачных приложений. Они сокращают затраты, так как нет необходимости тратить ресурсы на покупку, установки и поддержание работы ПО. Как и в все модели обслуживания, PaaS сильно зависит от обеспечения безопасности сети и браузера. Так как платформы PaaS включают в себя два уровня, то и вопросы безопасности нужно рассматривать касательно этих двух уровней: безопасность самого сервиса, который предоставляет услуги PaaS, и безопасность пользовательских приложений на платформе PaaS Mather T, Kumaraswamy S, Latif S: Cloud Security and Privacy // O'Reilly Media, Inc.; 2017. Соответственно за безопасность самого сервиса и механизма по развертыванию пользовательских приложений отвечает поставщик, за безопасность самих приложений - пользователи.

Третьи лица

PaaS не только позволяет использовать классические языки программирования, но также данные и элементы со сторонних сервисов, используя мэшап. В мэшап объединяется более одного элемента из разных источников в один общий блок. Следовательно, сервисы PaaS наследуют уязвимости ИБ гибридных приложений. Также пользователи PaaS сталкиваются с проблемами безопасности как инструментов разработки, так и сторонних сервисов, к которым обращаются поставщики.

Жизненный цикл разработки

Одним из основных вопросов при создании веб-приложения является вопрос обеспечения его безопасности. Разработчикам нужно учитывать, что их приложение будет размещено в Интернете, что добавляет уязвимостей ИБ. Скорость изменения приложений будет влиять как на разработку самой системы, так и на средства обеспечения ее безопасности Morsy MA, Grundy J, Mьller I: An analysis of the Cloud Computing Security problem. // APSEC 2016 Cloud Workshop. 2016. Разработчики нужно понимать, что сервисы PaaS часто изменяются и обновляются, при создании приложений нужно учитывать данный аспект и разрабатывать достаточно гибкую конфигурацию, чтобы успевать за изменениями сервиса. Однако разработчики должны осознавать, что изменения в сервисе PaaS могут привести к возникновению новых уязвимостей и угроз безопасности. Помимо разработки приложений с учетом их безопасности, разработчики также должны знать о нормативных аспектах обеспечения ИБ.

Центральная инфраструктура безопасности

Сервисы PaaS не предоставляют разработчикам доступ к нижним уровням системы, поэтому за обеспечение безопасности базовой инфраструктуры и приложений пользователей ответственны поставщики. Даже если пользователи уверены в безопасности созданных ими приложений, он не могут быть уверены в безопасности самой системы PaaS.

Сервисы SaaS предлагают пользователям ПО, которое можно использовать через Интернет, когда PaaS предлагает инструменты разработки приложений SaaS. Однако оба вида моделей могут использовать мультиарендность для сокращения затрат, что приводит к тому, что одним и тем же экземпляром ПО пользуются несколько пользователей одновременно. В сервисах SaaS и PaaS информация зависит от приложения находящемся и работающем в облаке. От поставщика степени обеспечения ИБ сервиса зависит безопасность данных во время их обработки и хранения.

Облачная инфраструктура как услуга (IaaS)

IaaS предлагает различные сервисы: серверы, хранилища данных, сети и другое. Модель IaaS предоставляет доступ к данным сервисам в форме виртуализированных систем, доступным через Интернет. Пользователям предоставляется право разворачивать любое ПО, имея полный контроль над выделенными им ресурсами. В сравнении с остальными моделями обслуживания, пользователи IaaS имеют наибольший контроль в вопросах ИБ, так как они контролируют само ПО, которое они устанавливают на свои виртуальные машины. Также сами пользователи несут ответственность за создание правильных политик безопасности. Провайдерами контролируется базовая архитектура сервиса.

Виртуализация. Виртуализация позволяет пользователям одновременно создавать, копировать, использовать, переносить и откатывать виртуальные машины Jasti A, Shah P, Nagaraj R, Pendse R: Security in multi-tenancy cloud // IEEE International Carnahan Conference on Security Technology (ICCST) // IEEE Computer Society; 2015. Однако это также создает новые уязвимости системы из-за дополнительного уровня, который нужно защищать. В системах IaaS безопасность как виртуальной, так и физической машины очень важны. Уязвимость в одной из них может повлиять на безопасность другой. Как уже говорилось ранее, сервисы облачных вычислений наследуют все проблемы безопасности технологий, которые в них используются; однако вопросам обеспечения ИБ должно уделяться больше внимания поскольку виртуализация создает больше точек входа.

Монитор виртуальной машины

Монитор виртуальной машины (МВМ) или гипервизор отвечает за изоляцию виртуальных машин друг от друга; следовательно, если в МВМ существуют серьезные уязвимости безопасности, его виртуальные машины также находятся под угрозой. МВМ - это низкоуровневое ПО, с помощью которого контролируются виртуальные машины, следовательно, как и все традиционные вычислительные ресурсы, оно имеет свои уязвимости и угрозы безопасности. Создание наиболее простого МВМ сокращает риск атак, так как в таком случае легче найти и исправить любую уязвимость ИБ.

Более того, виртуализация позволяет двигать виртуальные машины между физическими серверами, что обеспечивает отказоустойчивость, а также помогает в балансировке нагрузки и обслуживания. Однако данная функция может создать новые проблемы безопасности. Злоумышленник может атаковать модуль миграции внутри МВМ и перенести виртуальную машину пользователя на вредоносный сервер. Кроме того, во время переноса виртуальной машины ее данные и информация предоставляются сети, что также добавляет уязвимости и угрозы.

Общий ресурс. Виртуальные машины, расположенные на одном сервере, могут совместно использовать центральный процессор, память, ввод-вывод и другое. Совместное использование ресурсов между виртуальными машинами может снизить безопасность каждой виртуальной машины. Например, вредоносная виртуальная машина может вывести некоторую информацию о других виртуальных машинах через разделяемую память или другие общие ресурсы без необходимости компрометации гипервизора. Используя скрытые каналы, две виртуальные машины могут обмениваться данными, минуя все правила, определенные модулем безопасности МВМ Ranjith P, Chandran P, Kaleeswaran S: On covert channels between virtual machines // Journal in Computer Virology Springer. 2012. Таким образом, вредоносная виртуальная машина может отслеживать общие ресурсы, оставаясь незамеченной ее МВМ, поэтому злоумышленник может получить некоторую информацию о других виртуальных машинах.

Публичный репозиторий образов виртуальных машин. В средах IaaS образ виртуальной машины - это предварительно упакованный шаблон программного обеспечения, содержащий файлы конфигурации, которые используются для создания виртуальных машин. Таким образом, эти изображения имеют основополагающее значение для общей безопасности облака. Можно либо создать свой собственный образ виртуальной машины с нуля, либо использовать любой образ, хранящийся в хранилище провайдера. Злоумышленники могут хранить образы, содержащие вредоносный код, в общедоступных репозиториях, компрометирующих других пользователей или даже облачную систему. Например, злоумышленник с действительной учетной записью может создать образ, содержащий вредоносный код, такой как троянский конь. Если другой клиент использует этот образ, созданная этим виртуальная машина будет заражена скрытым вредоносным ПО. Более того, непреднамеренная утечка данных может быть вызвана репликацией виртуальной машины. Некоторая конфиденциальная информация, такая как пароли или криптографические ключи может быть записана во время создания образа. Если образ не «очищен», эта конфиденциальная информация может быть раскрыта другим пользователям. Образы виртуальных машин - это спящие артефакты, которые трудно исправить, пока они не подключены.

Откат виртуальной машины Кроме того, виртуальная машина может быть возвращена к своему предыдущему состоянию, если произойдет ошибка. Но откат виртуальных машин может повторно открыть их для уязвимостей безопасности, которые были исправлены или повторно активировать ранее отключенные учетные записи и пароли. Чтобы обеспечить откат, нам нужно сделать «копию» (снимок) виртуальной машины, что может привести к распространению ошибок конфигурации и других уязвимостей.

Жизненный цикл виртуальной машины

Кроме того, важно понимать жизненный цикл виртуальных машин и их изменения в состояниях при их перемещении по среде. Виртуальные машины могут быть включены, выключены или приостановлены, что затрудняет обнаружение вредоносных программ. Кроме того, даже когда виртуальные машины отключены, они могут быть уязвимы: то есть виртуальная машина может быть создана с использованием образа, который может содержать вредоносный код. Эти вредоносные образы могут стать отправной точкой распространения вредоносного ПО, внедряя вредоносный код в другие виртуальные машины в процессе создания.

Виртуальные сети. Компоненты сети совместно используются различными арендаторами из-за объединения ресурсов. Как упоминалось ранее, совместное использование ресурсов позволяет злоумышленникам запускать кросс-клиентские атаки. Виртуальные сети увеличивают взаимосвязанность виртуальных машин, что является важной проблемой безопасности в облачных вычислениях. Наиболее безопасный способ - подключить каждую виртуальную машину к своему хосту, используя выделенные физические каналы.

Описав угрозы безопасности для каждой модели, проведем сравнительный анализ (табл. 2). Уязвимости и угрозы сравниваются по тому, на ком лежит ответственность за безопасность в каждом конкретном случае, и по сути - как каждая уязвимость отражена в каждой модели.

Таблица 2. Сравнение уязвимостей и угроз облачных вычислений

Выводы. С SaaS бремя безопасности лежит на облачном провайдере. Отчасти это связано со степенью абстракции, модель SaaS основана на высокой степени интегрированной функциональности с минимальным контролем клиента или масштабируемостью. Модель PaaS, напротив, предлагает большую масштабируемость и больший контроль со стороны клиентов. Во многом из-за относительно более низкой степени абстракции IaaS предлагает больший контроль над безопасностью для клиентов, чем для PaaS или SaaS.

PaaS, а также SaaS размещаются поверх IaaS; таким образом, любое нарушение в IaaS повлияет на безопасность как PaaS, так и SaaS-сервисов. Однако нужно учитывать, что PaaS предлагает платформу для создания и развертывания приложений SaaS, что увеличивает зависимость безопасности между ними. Вследствие этих глубоких зависимостей любая атака на любой уровень облачных сервисов может поставить под угрозу верхние уровни. Каждая модель облачного сервиса имеет свои собственные недостатки безопасности; тем не менее, они также разделяют некоторые проблемы, которые затрагивают их всех. Эти отношения и зависимости между облачными моделями также могут быть источником угроз безопасности. Поставщик SaaS может арендовать среду разработки у поставщика PaaS, который также может арендовать инфраструктуру у поставщика IaaS. Каждый провайдер несет ответственность за защиту своих собственных услуг, что может привести к несовместимому сочетанию моделей безопасности. Это также создает путаницу в отношении того, какой поставщик услуг несет ответственность после атаки.

Заключение

Облачные вычисления -- это набирающая популярность технология, которая предоставляет множество преимуществ для своих пользователей; однако также вызывает некоторые проблемы с безопасностью, которые могут замедлить ее внедрение. Понимание того, какие уязвимости существуют в облачных вычислениях, поможет организациям перейти к облаку.

В данной работе были проанализированы угрозы и уязвимости ИБ облачных вычислений, а также проведен сравнительный анализ безопасности трех моделей обслуживания: SaaS, PaaS и IaaS.

Обзор нормативных документов и научной литературы показал, что вопросы ИБ облачных вычислений регулируются также, как и традиционные, несмотря на разницу в архитектуре.

Поскольку облачные вычисления используют многие технологии, они также наследуют их проблемы безопасности. Угрозы и уязвимости ИБ облачных вычислений пересекаются с угрозами и уязвимостями ИБ традиционных вычислений, однако особенности архитектуры облака добавляют новые точки для атаки злоумышленников. Также факт того, что облачные сервисы доступны из любой точки мира через веб-браузер, делает облачные сервисы более подверженными к атакам.

Каждая модель облачного сервиса имеет свои собственные недостатки безопасности; тем не менее, они также разделяют некоторые проблемы, которые затрагивают их всех. Любая атака на любой уровень облачных сервисов может поставить под угрозу верхние уровни. PaaS, а также SaaS размещаются поверх IaaS; таким образом, любое нарушение в IaaS повлияет на безопасность как PaaS, так и SaaS-сервисов. Также сравнительный анализ моделей обслуживания показал, что в SaaS-моделях ответственность за ИБ облачного сервиса лежит на провайдере, тогда как в IaaS и PaaS-моделях она разделена между пользователем и провайдером.

Размещено на Allbest.ru