Файл: Облачные сервисы (ОСОБЕННОСТИ РЕАЛИЗАЦИИ БЕЗОПАСНОСТИ В ОБЛАЧНЫХ СЕРВИСАХ).pdf
Добавлен: 23.05.2023
Просмотров: 79
Скачиваний: 2
СОДЕРЖАНИЕ
ГЛАВА 1 ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ОБЛАЧНЫХ СЕРВИСОВ И ИХ ПРИМЕНЕНИЕ
1.2 Применение облачных в мобильных устройствах
1.3 Технологическая и управленческая составляющие облачных технологий
ГЛАВА 2 ОСОБЕННОСТИ РЕАЛИЗАЦИИ БЕЗОПАСНОСТИ В ОБЛАЧНЫХ СЕРВИСАХ
2.3 Подключение локальной инфраструктуры компании к IaaS-инфраструктуре в «облаке»
Как правило, для подключения к «облачным» сервисам конечными пользователями применяются комбинации различных решений. Наиболее распространенными являются [2]:
Выбор того или иного инструмента удаленного подключения зависит непосредственно от практических потребностей конкретного клиента, сотрудника или отдела. Веб-интерфейс будет удобен таким специалистам, как бухгалтеры, аналитики, маркетологи. Разработчикам или тестировщикам приложений, ERP-консультантам вполне подойдет вариант RDP-подключения или что-то другое. Выбор зависит от направления деятельности пользователей или мелкой компании.
1). Подключение посредством удаленного рабочего стола (RDP-клиент) - наиболее распространенный, удобный, универсальный и часто используемый инструмент, предоставляющий возможность удаленного доступа к рабочему месту, в том числе развернутому и в «облаке».
Его основой является Remote Desktop Protocol (RDP) - проприетарный протокол прикладного уровня, обеспечивающий удаленную работу пользователя с компьютером, на котором выполняется сервис терминального доступа. RDP-клиенты разработаны для всех часто используемых в бизнесе операционных систем (ОС).
Данное решение позволяет дополнительно конфигурировать параметры клиента удаленного рабочего стола. Пользователь может сохранить идентификационные данные, чтобы при подключении не вводить их каждый раз заново. Хотя политики безопасности, применяемые на предприятиях, этого делать не рекомендуют. Кроме того, можно настроить параметры экрана, раскладки клавиатуры, звуков проигрывания и прочее.
Со стороны сервис-провайдера выдвигается требование наличия выделенного сервера терминалов (Terminal Server). Подключение конечного пользователя осуществляется запуском программы клиента RDP в одной из используемых операционных систем, с помощью которой пользователь подключается к серверу терминалов и видит рабочий стол удаленной системы. В рамках установленного соединения пользователь может запускать развернутые на сервере терминалов приложения.
Настройки, выбираемые по умолчанию при подключении по RDP, при реализации удаленного доступа используют слабое шифрование, делая возможным перехват и расшифровку трафика. Повысить безопасность и оптимизировать RDP позволит только применение дополнительных технологий [3]. Как пример - технология Remote Desktop Gateway (шлюз удаленных рабочих столов), позволяющая удаленным авторизованным пользователям подключаться как к ресурсам физической сети предприятия, так и к сети в «облаке» IaaS-провайдера. Она использует RDP-протокол поверх протокола HTTPS, гарантируя при этом безопасное соединение с обеспечением надежного метода шифрования между удаленными пользователями Интернета и ресурсами в «облаке», необходимыми для работы пользовательских приложений.
2). Инструмент RemoteApp (удаленные приложения служб терминалов) является разновидностью рассмотренного выше RDP-клиента. Но в отличие от него, RemoteApp позволяет организовать удаленный доступ к установленным приложениям на сервере в «облаке».
RDP-клиента дает возможность использовать приложения, эмулируя их локальную установку - пользователь видит рабочий стол, программы, ярлыки, панель управления и прочее (иллюзия работы с экземпляром операционной системы). RemoteApp предоставляет пользователю доступ только к запущенному удаленному приложению в рамках своего физического устройства.
Например, клиент запускает ярлык редактора Microsoft Word, расположенный на рабочем столе своего локального компьютера, после чего инициируется процесс проверки подлинности (хотя редактор не установлен на локальной станции пользователя). Успешная аутентификация (авторизация) позволяет запустить приложение, которое «публикуется» на удаленном сервере. В свою очередь RemoteApp осуществляет подключение к удаленному серверу. Таким образом, формируется RDP-сессия, после чего стартует и запускается само приложение без возможности отображения удаленного рабочего стола. Этот процесс для пользователя создает эффект локальной установки приложения.
Применение RemoteApp актуально в случаях, когда:
- необходимо ограничить доступ к конкретным приложениям;
- совмещена работа пользователя на локальной машине с использованием какого-то приложения, вынесенного в «облако»;
- приложение должно быть доступно в специфических условиях и при низкой скорости Интернета.
Со стороны сервис-провайдера выдвигается требование наличия сконфигурированного RD Session Host Server с размещенным на нем списком соответствующих программ (Remote App Programslist). Именно из этого списка выполняется подключение конечного пользователя запуском сконфигурированного rdp-файла для инициирования подключения к приложению по RDP. Как вариант возможен запуск ярлыка приложения с рабочего стола или меню Пуск для инициирования подключения к приложению по RDP (из списка Remote App Programslist).
Со стороны пользователя запускаемые удаленные приложения служб терминалов выглядят так, как если бы они исполнялись непосредственно в системе пользователя. При этом приложения интегрируются в рабочий стол системы пользователя с масштабированием окна и собственным значком приложения в панели задач.
-
- . Веб-доступ к службам терминалов позволяет организовать доступ к определенным приложениям и рабочим столам в «облаке» (как в ранее рассмотренных вариантах) с помощью браузера, который установлен на подавляющем большинстве вычислительных устройств. Для пользователя такой вариант выглядит следующим образом: он запускает браузер, вводит необходимый адрес, проходит проверку подлинности, а далее работает с «опубликованным» приложением (приложениями) или удаленным рабочим столом (столами), получая доступ к приложениям или удаленному рабочему столу средствами web. При этом ярлыки приложений размещаются на предварительно настроенной веб-странице.
Со стороны сервис-провайдера выдвигается требование наличия выделенного сервера терминалов (Terminal Server). Как пример, операционная система Windows Server 2008/2012 + служба TS WebAccess. Подключение конечного пользователя осуществляется по URL для доступа к ресурсу посредством веб-браузера.
Еще одним из возможных вариантов подключения к «облачным» сервисам является Virtual Private Network (VPN) - виртуальная частная сеть, позволяющая обеспечить одно или несколько надежных сетевых соединений поверх сети Интернет, используя при этом различные средства криптографии.
Существует два типа VPN-туннелей: Remote Access VPN и Site-to-site VPN, на которых основаны следующие два решения.
-
- . Remote Access VPN - удобный, безопасный и достаточно часто используемый инструмент подключения к ресурсам «облака», создающий надежный и защищенный туннель между приложением на компьютере клиента и каким-либо устройством (например, VPN-концентратором, маршрутизатором, Cisco ASA и т.п.), расположенном в облаке хостинг-провайдера.
Со стороны сервис-провайдера выдвигается требование наличия сконфигурированного VPN-устройства (сервера). Со стороны клиента для подключения требуется:
- наличие интернет-подключения;
- запуск ярлыка для подключения к VPN-серверу, после установки которого реализуется доступ к ресурсам компании.
Со стороны пользователя работа решения выглядит следующим образом: на стороне клиента устанавливается исходящее VPN-подключение, которое пользователь использует по необходимости. Для реализации доступа к удаленному ресурсу пользователь запускает ярлык VPN, вводит свою идентификационную информацию и при успешной проверке подлинности получает доступ к необходимым ресурсам. Иными словами, компьютер пользователя за счет выданных при VPN-подключении параметров IP- конфигурации попадает в сеть виртуального удаленного офиса в «облаке» и может использовать ресурсы так, как если бы он находился непосредственно в офисе компании.
- . Site-to-site VPN - решение, устанавливающее туннель между двумя устройства (например, VPN Server 1 и VPN Server 2, изображенными на рисунке 1). В этом случае пользователи находятся за устройствами, в локальных сетях, и на их компьютерах не требуется установка какого-либо специального программного обеспечения.
Офис компании
Рис. 1. Пример реализации Site-to-Site VPN-соединения
Подключение Site-to-Site VPN на уровне VPN-сервера в «облаке» и VPN-сервера в офисе компании рекомендуется использовать в компании, имеющей значительное число сотрудников, которым необходим доступ к ресурсам файлового сервера. Для этого в офисе компании необходимо дополнительно развернуть VPN-сервер, а выглядеть процесс доступа к ресурсам файлового сервера будет так, как показано на рисунке 1.
В таком сценарии пользователь обращается к ресурсу в «облаке» напрямую. В нашем примере к ресурсу \\ File_server1 в подсети «облака» при таком обращении VPN Server 1 устанавливает VPN-соединение с сервером VPN Server 2 в «облаке», после чего пользователь видит содержимое запрашиваемого ресурса. На стороне клиента при этом отпадает необходимость создания исходящего VPN-подключения. Такая конфигурация носит название Site-to-Site VPN.
Со стороны сервис-провайдера выдвигается требование наличия двух сконфигурированных VPN-серверов (например, VPN-сервер в компании и VPN-сервер в «облаке»). При подключении конечного пользователя нет необходимости создавать и запускать ярлык VPN-подключения - обращение к ресурсам филиала, головного офиса, «облака» осуществляется напрямую. При обращении к ресурсам VPN-подключение организуется автоматически на уровне серверов и является прозрачным для конечного пользователя.
6). DirectAccess - новая технология, позволяющая реализовать возможность удаленного доступа к ресурсам и корпоративной сети и к ресурсам Интернета сразу же после подключения компьютера пользователя к сети Интернет. То есть пользовательский компьютер, сконфигурированный в качестве клиента DirectAccess, автоматически устанавливает туннель до сервера DirectAccess и через него получает доступ ко всей корпоративной сети. При этом от пользователя не требуется никаких дополнительных действий.
Технология DirectAccess устанавливает туннель между клиентом и сервером автоматически и прозрачно для пользователя. Не требует запуска каких-либо VPN- соединений, ввода учетных данных. Если связь с Интернетом на какое-то время теряется (туннель в это время разрывается), а затем восстанавливается, то опять же автоматически, без участия пользователя восстанавливается и туннель в корпоративную сеть.
Со стороны сервис-провайдера выдвигаются следующие требования:
- наличие одного или более серверов DirectAccess в составе домена;
- наличие центра сертификации (PKI);
- Windows-инфраструктура.
Для подключения конечного пользователя, кроме отсутствия необходимости в создании и запуске ярлыка подключения, также выдвигается ряд требований:
- список клиентских операционных систем, к которым возможно подключение, к сожалению, ограничен;
- компьютер клиента должен входить в состав домена;
- физическое местоположение клиента не имеет значения.
7). VDI (Virtual Desktop Infrastructure, виртуализация рабочих столов) - виртуальная инфраструктура рабочих столов, позволяющая централизовать рабочие станции пользователей на серверах виртуализации, создав при этом единую точку управления, развертывания и обслуживания. Данная технология реализована на многих «облачных» площадках корпоративных IaaS-провайдеров, что обусловлено требованием высокой мобильности бизнеса, а значит постоянной доступности приложений для сотрудников.
Со стороны клиента для обеспечения доступа к своему виртуальному рабочему месту необходимо только наличие интернет-соединения и настольного ПК (как вариант - ноутбука, мобильного телефона или планшета).
На практике виртуализация рабочих столов сводится к выделению сервера в «облаке» IaaS-провайдера, на который устанавливается гипервизор. На нем, в свою очередь, разворачиваются отдельные виртуальные машины с установленными на них клиентскими операционными системами. На конечном устройстве пользователя запускается программа-клиент и происходит подключение к инфраструктуре.
Такая схема подключения очень похожа на RDP-подключение. Однако RDP- подключение к терминальному серверу является отдельной сессией на общем сервере Windows. VDI представляет собой отдельный изолированный контейнер с клиентской ОС. Таким образом, можно выделить два ключевых отличия: серверная ОС против клиентской и отдельная сессия, разделяющая ресурсы одной ОС, против изолированной виртуальной машины.
При работе в терминальном режиме изоляция происходит на уровне сессии, и если приложение вызывает сбой на уровне самой ОС, то вместе с пользователем, запустившим такое приложение, перезагрузятся и остальные пользователи, работающие на этом же сервере. А при использовании виртуализации рабочих столов перезагружена будет только одна виртуальная машина.
Со стороны сервис-провайдера выдвигается требование наличия развернутой инфраструктуры виртуальных рабочих столов VDI. Как пример, это решения от VMware, Citrix, Microsoft. Пользователь получает свой собственный виртуальный ПК, к которому можно подключаться с помощью тонкого клиента, настольного ПК, ноутбука, планшета или смартфона.
Предложенные варианты подключения к «облачному» сервису отдельных пользователей позволят обеспечить эффективное использование хранимой в «облаке» информации с обеспечением высокого уровня безопасности.
2.3 Подключение локальной инфраструктуры компании к IaaS-инфраструктуре в «облаке»
Кроме рассмотренных выше вариантов подключения конечных пользователей к «облачным» сервисам, возникают и задачи подключения уже существующей локальной инфраструктуры компании к IaaS-инфраструктуре «облака». В этом случае также существует выбор из нескольких технологий.