Г.Г. МАНЬШИН, В.А. АРТАМОНОВ, Е.В. АРТАМОНОВА
МАИТ (Международная Академия информационных технологий).
АННОТАЦИЯ: В докладе рассматриваются основные вопросы, связанные с проблемой безопасности и защиты информации при использовании технологий облачных вычислений. Сформулированы основные постулаты парадигмы безопасности облачных вычислений.
КЛЮЧЕВЫЕ СЛОВА: безопасность, облачные вычисления, защита информации в «облаке», парадигма безопасности, постулаты безопасности облачных вычислений.
G.G. Manshin, V.A. Artamonov, E.V. Artamonova
The paradigm of the cloud computing security.
Abstacts: As the title implies the article describes the problem of the cloud computing security and data protection principles in using cloud computing technology. It has formulated the main ideas of the paradigm of the cloud computing security.
Keywords: security, cloud computing, data protection in the cloud, the paradigm of the security, the ideas of the cloud computing security.
Термин «Облачные вычисления» появился в информационной терминологии относительно недавно. Согласно результатам анализа поисковой системы Google, термин «Облачные вычисления» («Cloud Computing») начал применяться с конца 2007 - начала 2008 года, постепенно вытесняя словосочетание «Грид-вычисления» («Grid Computing»). Одной из первых компаний, давших миру данный термин, стала компания IBM, развернувшая в начале 2008 года проект «Blue Cloud» и спонсировавшая Европейский проект «Joint Research Initiative for Cloud Computing». Метафорический образ «облако» уже давно используется специалистами в области сетевых технологий для изображения на сетевых диаграммах сложной вычислительной инфраструктуры (или же Интернета как такового), скрывающей свою внутреннюю организацию за определенным интерфейсом. Не задерживаясь на множестве определений, отражающих различные точки зрения и акценты авторов на эту информационную технологию (ИТ), остановимся на двух, которые отражают национальную стандартизацию данного понятия в общем контексте семантических отношений ИТ.
Национальный институт стандартов и технологий (НИСТ) США, 2011: Облачные вычисления – информационно-технологическая концепция, подразумевающая обеспечение повсеместного и удобного сетевого доступа по требованию к общему пулу конфигурируемых вычислительных ресурсов (например, сетям передачи данных, серверам, устройствам хранения данных, приложениям и сервисам как вместе, так и по отдельности), которые могут быть оперативно предоставлены и освобождены с минимальными эксплуатационными затратами или обращениями к провайдеру.
Минкомсвязи РФ (), 2016: Облачные вычисления – информационные технологии, включающие в том числе государственную инфраструктуру облачных вычислений, обеспечивающие дистанционную обработку данных более чем одной информационной системой.
Отметим сразу, что это определение, достаточно радикальное и на наш взгляд вполне адекватное по сути, принципиальным образом отличается от общепринятого понимания облачных вычислений, под которыми подразумеваются не технологии, а модель взаимоотношений между поставщиком и потребителем ИТ. Например, как раскрывается этот термин на сайте IBM: «Облачные вычисления, часто именуемые просто "облаками" - это модель предоставления вычислительных ресурсов (от отдельных приложений до центра обработки данных – ЦОД) через Интернет с оплатой по факту использовании».
Облачные вычисления обеспечивают практически неограниченную мощность, устраняя проблемы масштабируемости. Облачные вычисления открывают разработчикам доступ к программным и аппаратным активам, которые большинство пользователей малого и среднего бизнеса не могли бы себе позволить. В том числе, разработчики приложений, используя управляемые через Интернет облачные вычисления и активы, являющиеся результатом такой конфигурации, имеют доступ к ресурсам, позволяющим разрабатывать продукты ИТ, которые им не были доступны ранее.
Контроль и управление облаками – является проблемой безопасности. Гарантий, что все ресурсы облака идентифицируемы и в нем нет неконтролируемых виртуальных машин, не запущено лишних процессов и не нарушена взаимная конфигурация элементов облака, нет. Это высокоуровневый тип угроз, т.к. он связан с управляемостью облаком, как единой информационной системой и для него общую защиту нужно строить индивидуально. Для этого необходимо использовать модель управления рисками для облачных инфраструктур.
В основе обеспечения физической безопасности лежит строгий контроль физического доступа к серверам и сетевой инфраструктуре. При переходе от физической инфраструктуры к виртуальной возникает множество новых угроз. При расширении виртуализации до облака их список расширяется, а возможный ущерб от их эксплуатации многократно возрастает. В отличии от физической безопасности, сетевая безопасность в первую очередь представляет собой построение надежной модели угроз, включающей в себя защиту от вторжений и межсетевой экран (МЭ). Использование МЭ подразумевает работу фильтра, с целью разграничить внутренние сети ЦОД на подсети с разным уровнем доверия. Это могут быть отдельно серверы, доступные из Интернета или серверы из внутренних сетей. В облачных вычислениях важнейшую роль платформы выполняет технология виртуализации. Для сохранения целостности данных и обеспечения защиты рассмотрим основные известные угрозы для облачных вычислений.
Проблемы при перемещении обычных (физических) серверов в вычислительное облако.
Требования к безопасности облачных вычислений не отличаются от требований безопасности к центрам обработки данных. Однако, виртуализация ЦОД и переход к облачным средам приводят к появлению новых угроз. Доступ через Интернет к управлению вычислительной мощностью один из ключевых характеристик облачных вычислений. В большинстве традиционных ЦОД доступ персонала к серверам контролируется на физическом уровне, в облачных же средах, они работают через Интернет. Разграничение контроля доступа и обеспечение прозрачности изменений на системном уровне является одним из главных критериев защиты.
Динамичность виртуальных машин. Виртуальные машины динамичны. Создать новую машину, остановить ее работу, запустить заново, все это можно сделать за короткое время. Они клонируются и могут быть перемещены между физическими серверами. Данная изменчивость трудно влияет на разработку целостности системы безопасности. Однако, уязвимости операционной системы или приложений в виртуальной среде распространяются бесконтрольно и часто проявляются после произвольного промежутка времени (например, при восстановлении из резервной копии). В средах облачных вычислениях важно надежно зафиксировать состояние защиты системы, при этом это не должно зависеть от ее состояния и местоположения.
Уязвимости внутри виртуальной среды. Серверы облачных вычислений и локальные серверы используют одни и те же операционные системы и приложения. Для облачных систем угроза удаленного взлома или заражения вредоносным ПО высока. Риск для виртуальных систем также высок. Параллельные виртуальные машины увеличивает «атакуемую поверхность». Система обнаружения и предотвращения вторжений должна быть способна обнаруживать вредоносную активность на уровне виртуальных машин, вне зависимости от их расположения в облачной среде.
Защита бездействующих виртуальных машин. Когда виртуальная машина выключена, она подвергается опасности заражения. Доступа к хранилищу образов виртуальных машин через сеть достаточно. На выключенной виртуальной машине абсолютно невозможно запустить защитное программное обеспечение. В данном случаи должна быть реализована защита не только внутри каждой виртуальной машины, но и на уровне гипервизора.
Защита периметра и разграничение сети.При использовании облачных вычислений периметр сети размывается или исчезает. Это приводит к тому, что защита менее защищенной части сети определяет общий уровень защищенности. Для разграничения сегментов с разными уровнями доверия в облаке виртуальные машины должны сами обеспечивать себя защитой, перемещая сетевой периметр к самой виртуальной машине. Корпоративный МЭ – основной компонент для внедрения политики безопасности и разграничения сегментов сети, не в состоянии повлиять на серверы, размещенные в облачных средах.
Решения по защите от угроз безопасности
1. Шифрование – один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным должен шифровать информацию клиента, хранящуюся в ЦОД, а также в случаи отсутствия необходимости, безвозвратно удалять.
2. Защита данных при передаче. Зашифрованные данные при передаче должны быть доступны только после аутентификации. Данные не получится прочитать или сделать изменения, даже в случаи доступа через ненадежные узлы. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно используются провайдерами.
3. Аутентификация – защита паролем. Для обеспечения более высокой надежности, часто прибегают к таким средствам, как токены и сертификаты. Для прозрачного взаимодействия провайдера с системой идентификации при авторизации, также рекомендуется использовать LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language).
4. Изоляция пользователей. Использование индивидуальной виртуальной машины и виртуальную сеть. Виртуальные сети должны быть развернуты с применением таких технологий, как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service). Часто провайдеры изолируют данные пользователей друг от друга за счет изменения данных кода в единой программной среде. Данный подход имеет риски, связанные с опасностью найти дыру в нестандартном коде, позволяющему получить доступ к данным. В случае возможной ошибки в коде пользователь может получить данные другого клиента.
По части предоставления услуг в «облаке» выделяют следующие основные сервисы:
– программное обеспечение как сервис (SaaS) – обеспечивает аренду приложений. Потребители этих сервисов – конечные пользователи, они работают с приложениями в «облаке». Модель предоставления программного обеспечения как сервиса – модель обеспечения доступа к приложениям через Интернет с оплатой по факту их использования;
– платформа как сервис (PaaS) – предоставляет возможность аренды платформы. Потребители – сами компании, разработавшие приложения. Платформа обеспечивает среду для выполнения приложений, сервисы по хранению данных и ряд дополнительных сервисов, например, интеграционные или коммуникационные;
– инфраструктура как сервис (IaaS) – имеет возможность аренды серверов, устройства хранения данных и сетевого оборудования. Потребители – владельцы приложений, ИТ-специалисты, подготавливающие образы ОС для их запуска в сервисной инфраструктуре. В этой модели могут быть запущены практически любые приложения, установленные на стандартные образы.
Теперь, исходя из выше изложенного, сформулируем некую исходную концептуальную схему, то есть парадигму, под влиянием которой была сформирована действующая в стране, отрасли или корпорации нормативная база по информационной безопасности облачных вычислений. Она в свою очередь формирует модель злоумышленника и далее политику безопасности, отраженную в нормативных документах. Предлагаемую парадигму изложим в виде некоторых постулатов, базирующихся на опыте реализации задач по созданию и обеспечению успешного функционирования конкретных систем информационной безопасности облачных вычислений, на анализе трудностей, о которых сказано ранее, на устранении противоречий, имеющихся в действующем подходе к решению этой весьма сложной проблемы, а главное, в получении эффекта, заметного для организации и экономически ощутимого.
Постулаты парадигмы безопасности.
1. B основе парадигмы безопасности лежит противоборство собственника и злоумышленника за контроль над активами «облаков». B случае, если злоумышленник устанавливает контроль над активами, собственнику неминуемо наносится ущерб.
2. Главный источник угроз — это персонал (в технических терминах — авторизованный, то есть официально допущенный к активу; в нашем случае - это пользователи и персонал технической поддержки, допущенные к работе с информацией и с информационными системами). Внешний злоумышленник (субъект несанкционированного доступа), вероятнее всего, имеет сообщника внутри организации или преследует некие другие стратегические цели. Это не означает, что на борьбу с внешними угрозами, например, с вирусными инфекциями, не следует обращать внимания. Имеется в виду другое: угрозы со стороны внешних злоумышленников в значительной степени характерны для более «низких», технических слоев деятельности организации, например эксплуатации аппаратных комплексов, сетевых и почтовых приложений, взаимодействия внутренних и внешних сетей, тогда как угрозы со стороны авторизованных пользователей наиболее характерны для уровня бизнес-процессов организации. Следовательно, ущерб от реализованных угроз, исходящих от внешних и внутренних субъектов угроз, несоизмерим.
3. Собственник активов «облака» никогда не знает наверняка о готовящемся нападении. Момент нападения для него всегда оказывается неожиданным.
4. Злоумышленник изучает объект нападения как теоретически (никак себя не обнаруживая), так и практически (путем исследования объекта и его системы безопасности). Таким образом, он находит точки уязвимости в системе защиты и с учетом этих знаний отрабатывает наиболее эффективный алгоритм атаки. Чем сложнее объект нападения, тем тщательнее он должен быть изучен и тем больше следов своей активности оставит злоумышленник. Авторизованный пользователь маскирует активность под служебную деятельность, а субъект НСД просто оставляет следы своей деятельности.
5. Поэтому собственник должен постоянно стремиться к выявлению следов такой активности.
6. Атаки злоумышленника, как правило, носят характер локальный и конкретный по месту, цели и времени. Также, локальны и конкретны угрозы природного характера, хотя по своей разрушительной силе они часто бывают исключительно сильны. Однако именно локальность катастроф такого типа дает возможность обеспечить высокую катастрофоустойчивость системы в целом, создавая и размещая резервные центры обработки данных (центры резервного копирования информации) на достаточном удалении друг от друга (тысячи километров). Одновременное поражение этих центров возможно только при катастрофе такой силы, что будет поставлено под вопрос само существование человеческой цивилизации, например, в случае глобальной ядерной войны или столкновении с крупным космическим объектом.
7. Однако сложно и исключительно ресурсоемко (следовательно, затратно и малоэффективно) искать следы активности потенциального субъекта угроз везде и по факту корректировать работу собственной системы защиты. Поэтому главный инструмент собственника — прогноз, основанный на опыте. Лучше всего, когда используется собственный опыт. Прогноз осуществляется путем составления модели угроз и модели субъекта угроз. В данном контексте специально использовано понятие «субъект угроз» вместо понятия «злоумышленник». Понятие «субъект угроз» включает в себя все возможные источники угроз, начиная от злонамеренной деятельности и заканчивая неграмотной эксплуатацией техники кондиционирования машинных залов. Чем точнее сделан прогноз, тем ниже риски нарушения безопасности при минимальных материальных и ресурсных затратах.
8. Следует отдавать себе отчет, что ни один риск в принципе нельзя уменьшить до нуля. Всегда будет оставаться некий остаточный риск, который, в крайнем случае, при необходимости, может быть сведён к страховому случаю. Задача минимизации рисков заключается в правильном определении уровня остаточного риска и его учете в практической деятельности. Однако часто бывает так, что остаточный риск вдруг резко увеличивается до неприемлемого уровня и может нанести вполне реальный ущерб. Так происходит, например, когда появляется новый компьютерный вирус, незнакомый средствам антивирусной защиты. В этом случае должен существовать резервный план действий, позволяющий минимизировать ущерб, наносимый этим вирусом после его проникновения в систему.
9. Наиболее правильный и эффективный способ минимизировать риски безопасности — на основе правильно сделанного прогноза разработать политику безопасности, отвечающую интересам собственника, и в соответствии с ней построить систему безопасности. Такая система безопасности способна выдержать практически все известные атаки, актуальные для актива, который защищает собственник.
10. Однако далеко не каждый собственник располагает необходимым потенциалом и достаточным опытом для подготовки грамотного прогноза. Поэтому прогноз может составляться на корпоративной основе в тесном сотрудничестве с провайдером облачных услуг, централизованно, с учетом опыта ведущих специалистов по обеспечению безопасности ИКТ, а также с учетом международного опыта. Также на корпоративной основе, централизованно могут разрабатываться и основные требования по безопасности, определяющие общий для всех субъектов облачных вычислений необходимый и достаточный уровень безопасности.
11. Политика безопасности должна разрабатываться конкретно для каждого собственника «облачных» ресурсов, c учетом его особенностей, масштаба организации, степени зрелости процессов управления безопасностью и информационными ресурсами.
12. Соблюдение мер безопасности в значительной степени является элементом корпоративной и личной этики, поэтому на общий уровень безопасности организации облачных вычислений оказывает большое влияние личное «зрелое» отношение сотрудника к своим собственным обязанностям и к бизнесу организации, а также взаимоотношения сотрудников внутри коллектива и между коллективом провайдера «облака» и собственником «облачных» активов. Всем этим необходимо управлять и проводить ясную кадровую политику.
13. Меры по реализации выбранной политики безопасности должны финансироваться в достаточном объеме.
14. Собственник может убедиться в том, что средства расходуются правильно, проведя аудит расходования средств.
15. Технические меры защиты в силу ряда причин имеют некоторую тенденцию к ослаблению, в результате чего общий уровень безопасности «облака» может со временем существенно снизиться. Это неминуемо ведет к росту рисков безопасности, что допустить нельзя. Следовательно, необходимо проводить постоянный мониторинг системы безопасности и своевременно принимать меры по поддержанию эффективности системы на требуемом уровне (управлению рисками).
16. Мониторинг должен быть эффективным (то есть максимально ресурсоемким и информативным), а также адекватным объекту защиты.
17. Таким образом, стратегия обеспечения безопасности облачных вычислений заключается в превентивном создании системы безопасности, построенной в соответствии с выбранной политикой безопасности и противостоящей любым угрозам, учтенным в политике безопасности.
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы:
