Файл: Защита информации при использовании облачных сервисов.pdf
Добавлен: 12.12.2023
Просмотров: 3160
Скачиваний: 33
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
11
При этом главным недостатком данной инфраструктуры является наименьшая возможность конфигурирования системы со стороны клиентов, так как данные функции обычно являются стандартизированными и основываются на наиболее часто запрашиваемых пользователями случаях. Также не стоит упускать из виду, тот факт что, поскольку потребители не имеют возможности управления инфраструктурой, информация, нуждающаяся в повышенных требованиях безопасности и нормативного контроля, не может находиться в общедоступном облаке из-за ограниченной ответственности поставщика в этом вопросе.
Гибридное облако - это инфраструктура, представляющая из себя сочетание общедоступных и частных моделей облаков. В данном типе систем обязанности по управлению распределяются между провайдером и клиентом.
Данный сервис предоставляет услуги, относящиеся как к частным, так и публичным облакам[8]. Наибольшую популярность этот тип сервиса имеет у организаций, имеющих повышенный уровень активности в определенные периоды времени. Благодаря нему компании могут отправлять часть не имеющей ценности информации на публичное облако во время ресурсозатратной обработки важных сведений, а также предоставлять через него доступ пользователям к ресурсам предприятия, находящимся в частном облаке. Превосходно рассчитанное облако данного типа позволяет обрабатывать как информацию, имеющую повышенные требования к безопасности, так и более незначительную.
Так как подобная концепция является новым решением в сфере облачных вычислений, фундаментальным недостатком гибридных облаков является трудность создания оптимального решения по реализации данной инфраструктуры. Претворение в жизнь осложняется как конфигурацией взаимодействия между частным и общедоступным компонентами, так и настройкой получения услуг из разных источников и объединением их в единый блок[9].
12
После рассмотрения достоинств и недостатков трех существующих моделей развертывания облачной инфраструктуры можно выделить модель частного облака, как наиболее безопасную и обеспечивающую больше возможностей для конфигурации системы.
Следующим шагом реализации облачного сервиса является выбор модели обслуживания, предоставляемой провайдером облачных услуг.
1.3 Модели обслуживания
В настоящее время существует несколько моделей обслуживания со стороны поставщика[9]. Их принято разделять на три группы в зависимости от типа предоставляемых услуг (Рисунок 1). Подобные модели иногда даже называют слоями облака, хотя считается, что они отражают строение информационных технологий в целом.
Рисунок 1 – Модели обслуживания
13
Инфраструктура как услуга(Infrastructure as a Service – IaaS)
- это модель предоставления клиентамнабора физических ресурсов центра обработки данных, таких как серверы, сетевое оборудование и устройства хранения. При этом потребитель не может контролировать облачную инфраструктуру, однако может управлять операционными системами, системами хранения, развернутыми приложениями и некоторыми сетевыми компонентами. В этом случае защиту платформ и приложений клиент обеспечивает самостоятельно, а на провайдера возлагается организация защиты инфраструктуры.
Частным случаем инфраструктуры как услуги является аппаратное обеспечение как услуга (Hardware as a Service – HaaS ), где пользователь получает оборудование, на основе которого разворачивает свою собственную инфраструктуру с использованием наиболее подходящего программного обеспечения.
Эта модель часто подразумевает использование методов виртуализации, поэтому ее основным преимуществом можно считать снижение инвестиций в оборудование. А к недостаткам относиться то, что бизнес-эффективность и производительность в значительной степени зависит от возможностей поставщика. Также есть вероятность, что потребуются потенциально крупные долгосрочные затраты и дополнительные меры по обеспечению безопасности.
Платформа как услуга (Platform as a Service – PaaS) – это модель предоставления пользователю инфраструктуры для размещения созданных или приобретенных приложений, таких как программное обеспечение, мессенджер, хранилище данных, без возможности управления инфраструктурой в целом. В данном случае клиент не имеет возможности конфигурировать базовую структуру облачного сервиса, но ему дается доступ к настройке параметров хостинга и установленных приложений. Обеспечение безопасности хранимой и обрабатываемой информации также возлагается на пользователя.
Предоставляемые приложения могут функционировать как в центрах обработки данных компании, так и непосредственно в облаке благодаря
14 технологии виртуализации. Частными случаями PaaS являются такие услуги как:
1) Рабочее место как услуга (Workplace as a Service – WaaS) - модель предоставления компаниям стандартизированного программного обеспечения, доступного для всех сотрудников независимо от используемой ими аппаратной части.
2) Данные как услуга (Data as a Service – DaaS) - модель предоставления пользователю дискового пространства, которое может быть использовано для хранения личной информации или сохранения резервных копий системы и приложений.
3) Безопасность как услуга (Security as a Service – SaaS) - модель предоставления пользователю возможности развертывания системы безопасносности предприятия, связанной с использованием веб- сервисов.
Основными преимуществами данной модели является отсутствие необходимости переплачивать провайдерам за неиспользуемые ресурсы, а также плавность развертывания приложений и набор средств для создания, тестирования и выполнения программного обеспечения. Недостатки заключаются в отсутствии контроля и управления физической и виртуальной инфраструктурой облака и обеспечения безопасности со стороны поставщиков.
Приложение как услуга (Software as a Service – SaaS) - это модель предоставления пользователю программного обеспечения, развернутого на удаленных серверах поставщика, как сервиса, доступ к которому осуществляется посредством Интернета, При этом все проблемы, связанные с обновлением и лицензированием приложений возлагаются на провайдера данной услуги. Программное обеспечение в данном случае оплачивается по факту использования или предоставляется на безвозмездной основе, но с условием возможности получения дохода от рекламы.
15
Предоставляемые приложения могут быть доступны посредством различных клиентских устройств, всемирной паутины или мобильных приложений. Ответственность клиента заключается только в сохранении параметров доступа и выполнении рекомендаций провайдера по безопасным настройкам приложений.
Преимуществом данной услуги является удобный доступ к работе через интернет или мобильное приложение, а недостатками невозможность управления инфраструктурой облака. низкая скорость обработки данных в реальном времени и запрет на обработку данных на сторонних сервисах.
Тенденции развития технологий говорят о том, возможно в скором времени подобное разделение не будет иметь смысла, так как появятся поставщики, предоставляющие и программную и аппаратную часть, а также функции управления инфраструктурными и платформенными элементами, собранные от разных поставщиков, но объединенные в единую облачную систему.
Данная концепция имеет название
«Всѐ как услуга»
(Everything as a Service).
16 2 Основные угрозы и методы их устранения
2.1 Угрозы
В настоящее время облачные вычисления являются прогрессивным методом оптимизации IT инфраструктуры. Но, несмотря на все положительные моменты это влечет за собой ряд проблем, связанных как с трудностью сохранения конфиденциальности обрабатываемых данных, так и с областью ответственности провайдеров. В интересах поддержания собственной репутации провайдеры много внимания уделяют обеспечению безопасности данных от возможного проникновения извне. Но не всегда такое же внимание уделяется юридическим аспектам использования данных самим поставщиком.
А в отдельных случаях (например в общедоступных сервисах облачного хранения, таких как Google и т.д) даже напрямую указывается тот факт, что поставщик имеет право использовать любую полученную от пользователя информацию так, как сочтет это нужным. Поэтому так важно знать способы обеспечения безопасности обрабатываемых данных.
За основу обеспечения физической безопасности берется строгий контроль физического доступа к серверам и сетевой инфраструктуре. В отличие от физической безопасности, сетевая безопасность в первую очередь представляет собой построение надежной модели угроз, включающей в себя защиту от вторжений и брандмауэр.
В настоящее время не один облачный провайдер не может гарантировать, что учтены все ресурсы предоставляемого им облачного сервиса и в нем нет неконтролируемых виртуальных машин, не запущено лишних процессов и не нарушена взаимная конфигурация элементов облака. Поэтому важно знать, с какими опасностями может столкнуться пользователь при использовании облачных систем.
17 2.1.1 Угрозы виртуализации
Как уже упоминалось ранее, облачные среды можно разделить на три категории в соответствии с тремя моделями развертывания. Но в каждой из них важнейшая роль отводится технологии виртуализации. Требования к безопасности облачных систем мало отличаются от требований, предъявляемых к работе обычных центров обработки данных. Однако переход к виртуализации может стать причиной возникновений новых типов угроз. Поэтому рассмотрим основные возможные угрозы, возникающие в системе облачных вычислений[10].
В настоящее время эта вычислительная платформа имеет следующие потенциально слабые стороны:
Обмен данными между разными виртуальными машинами или между виртуальной машиной и хостом с применением совместно используемых дисков, виртуальных коммутаторов или виртуальных локальных сетей (VLAN) и совместно используемой подсистемы ввода-вывода или кэша.
Стандартные драйверы, эмулирующие аппаратные средства.
Уязвимости в гипервизоре, которые позволяют выполнять произвольный код на хосте с привилегиями гипервизора, что дает злоумышленнику возможность осуществлять управление всеми виртуальными машинами и самим хостом.
Руткиты, позволяющие получить управление системой и вносить изменения в работу гипервизора в целях внедрения и выполнения вредоносного кода.
«Побег из виртуальной машины» - уязвимость, предоставляющая программе выход из виртуальной машины и возможность взаимодействия с операционной системой, а также безграничный доступ к хосту благодаря совместно используемым ресурсам.
18
Атаки типа «отказ в обслуживании», заключающиеся в выведении из строя одной виртуальной машины, через которую в дальнейшем совершается нападение на остальные машины, запущенные с ней на одном хосте.
Первым шагом к принятию мер защиты в отношении этих угроз является понимание рабочей среды. Если данные должны быть защищены в соответствии с законами, стандартами или отраслевыми нормами, то к обеспечению безопасности должен быть применен соответствующий подход, уделяющий внимание конкретно этому типу используемой среды. И в этом случае наиболее предпочтительным является решение, основанное на модели частного или гибридного облачного сервиса, в котором все нуждающиеся в безопасности данные располагаются на территории подконтрольного ведомства, и находятся непосредственно под охраной организации- правообладателя.
Следующим шагом является проверка поставщика облачных услуг на предмет надежности и выяснение предпринимаемых мер для защиты наиболее уязвимых мест в системе, особенно в отношении гипервизора.
Гипервизор является одним из ключевых элементов виртуальной системы. Его основная функция заключается в распределении ресурсов между виртуальными машинами, обеспечивая тем самым работу нескольких операционных систем и изолируя, их друг от друга. И вывод гипервизора из строя может привести к тому, что одному пользователю станут доступны не только физические ресурсы и память другого, но и возможность перехвата сетевого трафика. Поэтому информация о типе используемого поставщиком программного обеспечения, осуществляющего виртуализацию, а также расписание внесения исправлений и обновлений подлежат обязательному выяснению. Кроме того, необходимо убедиться в том, что гипервизор сконфигурирован для обнаружения экстремального потребления ресурсов в целях защиты от атак типа «отказ в обслуживании».