Файл: Защита информации при использовании облачных сервисов.pdf

40

Доступ клиента осуществляется по модели частное облако;

Это должен быть облачный сервис хранения данных, так как это наиболее запрашиваемое приложение на данный момент;

Облачный клиент должен находиться в свободном доступе.
Среди всех представленных на рынке вариантах был выбран ownCloud.
Преимуществами данного приложения являются возможность бесплатного использования для частных пользователей, клиенты синхронизации данных под управлением Windows, OS X или Linux и с мобильными устройствами на iOS и Android, возможность редактирования текстовых файлов и множество дополнительных функций (календарь, адресная книга, фотогалерея и т.д.)[19].
Для установки облачного сервиса хранения данных на базе НИИ
Масштаб был поднят сервер под управлением ОС Ubuntu Server 14.04 и проложено VPN соединение типа Remote access (Рисунок 2).
Рисунок 2 – VPN подключение к серверу
Для удаленного доступа к серверу был использован свободно распространяемый клиент PuTTY (Рисунок 3). Данное приложение позволяет подключиться и управлять удаленным сервером (Рисунок 4), используя такие протоколы, как SSH, Telnet, rlogin.

41
Рисунок 3 – Интерфейс клиента PuTTY для подключения к серверу
Рисунок 4 – Вид сервера
Чтобы установить ownCloud на сервер были установлены пакеты свободной реляционной системы управления базами данных MySQL 5.5, а

42 также модули веб-сервера Apache 2.2 и PHP5. После этого из интернета был скачан установщик ownCloud и установлен на сервер.
Для того чтобы зайти в облачное хранилище необходимо ввести в браузере адрес http://ip_адрес_пользователя/owncloud
Вид облачного хранилища на сервере указан на данном рисунке:
Рисунок 5 – Вид облачного хранилища на сервере
А здесь приведено отображение хранилища в браузере:
Рисунок 6 – Вид облачного хранилища в окне браузера

43 3.4 Выбор метода шифрования
Безопасность передачи и хранения файлов сейчас имеет очень большое значение для любого пользователя сети Интернет. Именно поэтому важно обеспечивать дополнительную защиту данных. Одним из наиболее распространенных методов защиты является шифрование.
Для выбора метода шифрования применялись такие начальные критерии, как:

Осуществляемо для Windows ОС;

Облачный клиент не умеет синхронизировать файлы поблочно;

Метод шифрования должен обеспечить возможность быстрого доступа к любому файлу на облаке для его обновления или дешифровки без необходимости передачи больших объемов паразитных данных.
Исходя из этих, условий было выделено несколько возможных методов шифрования:
1) Проприетарные программы, позиционируемые как средство для шифрования данных в облаке.
Особенность работы данных программ в том, что они шифруют отдельные файлы, представленные на диске, а потом с помощью библиотек
Dokan или Eldos CBFS создают их виртуальное расшифрованное представление. При локальной работе файлы прозрачно расшифровываются, а при синхронизации папки пользователя с облачным хранилищем передаются в зашифрованном виде. Данные программы идеально подходят для пользователей, не имеющих опыта в шифровании данных.
Из существующих на данный момент программ была выбрана бесплатно распространяемая программа Boxcryptor (Рисунок 7). Boxcryptor является кросс-платформенной программой для персональных компьютеров и телефонов и поддерживает все наиболее популярные облачные хранилища данных. С ее помощью можно осуществить шифрование документов с помощью RSA и

44 симметричного алгоритма блочного шифрования AES с длинной ключа 256 бит.
Рисунок 7 – Выбор синхронизированной папки для защиты
Недостатки данного подхода:

Ограниченное количество функций в бесплатной версии программы;

При утере пароля доступ к зашифрованным файлам становится невозможен и необходимо обратиться к администратору;

Зашифрованные файлы можно просматривать только через интерфейс программы;

В бесплатной версии можно загружать только один файл за раз;

Субъективное мнение: недостаточная производительность, особенно при редактировании видео.
2) Порт EncFC для Windows
EncFL
– это криптографическая файловая система, прозрачно шифрующая файлы, используя произвольную директорию в качестве места для хранения файлов. EncFS взаимодействует непосредственно с libfuse (интерфейс

45
FUSE), библиотекой логирования и OpenSSL (библиотека шифрования).
Основная реализация системы поддерживается операционными системами
Linux, Mac OS X, FreeBSD, но в последнее время получили активное развитие несколько реализаций под Windows[20].
EncFS имеет ряд преимуществ над другими системами шифрования разделов жѐсткого диска, потому что каждый файл отдельно шифруется и сохраняется как обычный файл:

Занимаемое EncFS дисковое пространство может расти и уменьшается в зависимости от изменений количества и размера зашифрованных файлов;

Некоторые директории в директории-точке монтирования могут физически находиться на различных устройствах;

Средства резервного копирования могут обновлять только те файлы, которые изменились в исходной директории, а не всю директорию;

Это свободная система, с открытым исходным кодом;

encf4win поддерживает ключ –reverse (Рисунок 8). В reverse-режиме локальные данные остаются нетронутыми, а шифруется только их отображение на виртуальном диске. Для работы encfs4win требуется установка библиотеки
Dokan 0.6.0 (программного интерфейса для Windows, позволяющего создавать виртуальную файловую систему).

46
Рисунок 8 – Описание Reserve ключа
Недостатки подхода:

Тома EncFS не могут быть отформатированы под произвольную файловую систему. Они сохраняют особенности и ограничения файловой системы, содержащей директорию-источник;

Фрагментация зашифрованного тома вызывает фрагментацию файловой системы, содержащей директорию-источник;

Каждый пользователь, имеющий доступ к директории-источнику, способен видеть количество файлов в зашифрованной файловой системе, какие права они имеют, их приблизительный размер, приблизительную длину имени и дату последнего доступа или изменения.
3) Локальное шифрование файлов в архивы, защищенные паролем, и их последующая синхронизация с облаком. Утилита CryptSync.
CryptSync — это программа, которая синхронизирует две папки и шифрует одну из них, поэтому в распоряжении пользователя оказываются как непосредственно файлы, с которыми предстоит работать, так и их безопасная резервная копия. Открытая исходная программа шифрует папки с использованием формата 7-Zip, поэтому пользователь получает не только

47 зашифрованные, но и уменьшенные в объеме данные (Рисунок 9). Данная программа не только индивидуально шифрует каждый файл, и его название.
С помощью CryptSync также возможно шифрование и копирование файлов с компьютера на ноутбук или же с компьютера на внешний источник.
Рисунок 9 – Выбор шифруемой папки
Недостатки:

Единственная поддерживаемая платформа — Windows;

Необходимо хранить две копии файлов на локальном диске;

Имеет недостаточный уровень защищенности, по сравнению с другими мерами.
Приведенные выше решения предоставляют только зашифрованное представление данных в локальной папке пользователя. Дальнейшая синхронизация может осуществляться любимым webdav-клиентом, либо

48 официальным клиентом облака. Представленные же ниже варианты имеют автоматическую интеграцию с облачными сервисами.
4) Duplicati
Duplicati — это программа с открытым исходном кодом, предназначенная для резервного копирования и созданная на основе одноименной утилиты с платформы Linux. Основной особенностью этой программы является возможность создания полноценного пошагового резервного копирования данных непосредственно в облако (Рисунок 10). Данной функцией поддерживаются такие облачные сервисы как, Google Drive, Skydrive, Amazon
S3, Rackspace, Webdav, SFTP, FTP. На выбор предлагается шифрование встроенной библиотекой SharpAESCrypt (алгоритм шифрования AES-256) или средствами GnuPG (приложение для защиты сообщений и файлов, использующее шифрование и электронную цифровую подпись).
Среди многочисленных функций Duplicati особенный интерес также вызывает возможность быстрого восстановления отдельного файла из облака.
Резервные копии при создании автоматически разбиваются на блоки размером
10 Мбайт. Поэтому при восстановлении одиночного файла будет задействовано ограниченное количество блоков. Помимо этого данная программа полностью конфигурируема через командную строку и поддерживает портативный режим[21].

49
Рисунок 10 – Выбор папки для резервного копирования
Недостатки использования Duplicati:

Невозможность обновления отдельного файла на облаке, кроме как путѐм создания новой инкрементальной итерации всего архива;

Неудобно и долго восстанавливать одиночные файлы посредством использования графического интерфейса пользователя, особенно после нескольких инкрементальных итераций и при большом размере блока;

Все данные о подключениях к облачным сервисам сохраняются в базе данных Sqllite, зашифрованной стандартным паролем.
5) Клиент CarotDav.
CarotDAV – это программа, которая помогаеторганизовать удобный доступ, загрузку и управление файлами в нескольких облачных сервисах одновременно (Рисунок 11). Данный клиент не предоставляет всех функций, которые поддерживают фирменные клиенты облачных хранилищ данных, но может быть удобен в случае необходимости единовременного использования нескольких сервисов, например во время передачи файлов между ними. Кроме

50 webdav-облаков CarotDAV осуществляется поддержка таких облачных платформ, как SkyDrive, Dropbox, GoogleDrive, Box, SugarSync и FTP(S).
Данная программа написана на объектно-ориентированном языке программирования VB.NET и является полностью свободной для использования и модификации. Из отличительных особенностей также можно выделить наличие портативного режима и защиту конфигурации мастер- паролем[22].
Рисунок 11 –Интерфейс программы CarotDAV
Недостатки:

Возможны ошибки при работе с некоторым webdav облаками, которые можно решить увеличением времени ожидания соединения;

Иногда возникают проблемы с поддержкой русского языка;

Неудобный графический интерфейс пользователя и отсутствие управления через командную строку.
3.5 Экономическое обоснование
Самой большой проблемой для руководителей компаний и IT- специалистов являются целесообразность перехода на облачную платформу и

51 оценка экономических выгод и рисков от внедрения облачных вычислений.
Оценка экономической эффективности является необходимым компонентом любого технико-экономического обоснования ИТ-проекта. Это увеличивает важность вопросов по выбору методики по оценке эффективности и рисков от внедрения ИТ[23].
В современных условиях в области внедрения облачных технологий остро стоит проблема недостаточной проработанности комплексной методологической основы и инструментальной среды поддержки принятия решений, основанная на процессах оценки эффективности и рисков в условиях неопределенности среды принятия решений. Эта проблема является актуальной для организаций любого размера и отрасли.
Первым этапом решения проблемы является определение затрат и выгод при переходе к облачным сервисам. На этапе определения высокоуровневых требований бизнеса необходимо выявить[24]:

Функции бизнеса;

Причины перевода бизнеса на облачные сервисы;

Облачные сервисы, которые могли бы поддерживать бизнес-процессы;

Правовые требования;

Определение места, в котором будут размещены системы, обеспечивающие предоставление услуг и кто будет отвечать за предоставление услуг.
Следующим шагом является определение базовой модели облачного сервиса с точки зрения риска. Здесь определяются области риска, которые необходимо принять в расчет и меры по снижению риска в выявленных областях до приемлемого уровня с точки зрения предприятия. Далее определяется, какой тип облачной модели (SaaS, PaaS, IaaS) нужен предприятию, а также какова модель размещения облака (публичное, частное, общественное, гибридное) лучше всего подойдѐт компании.
Предварительный анализ издержек включает в себя:

52

Стоимость переноноса существующей модели в облачную систему;

Стоимость работы с облачной моделью;

Единовременные и постоянные затраты на средства снижения рисков.
На втором этапе производится оценка рисков существующей модели: описывается модель, которая используется в настоящее время для оказания услуг в соответствии с функциональными и правовыми требованиями бизнеса.
В оценке рисков для существующей модели предоставления услуг определяются:

Области, в которых риск превышает приемлемый для предприятия уровень;

Меры, которые помогут снизить риск до приемлемого уровня;

Области риска, которые существуют для текущей технологии, чтобы убедиться, что в оценке существующего и будущего состояния руководствовались одним и тем же.

Третий этап состоит в определении планируемого периода использования облачных и производится расчѐт критериев и показателей эффективности и рисков по предложенным моделям.

Далее необходимо сравнить существующее и желаемое состояния:

Определить числовые показатели для прямых выгод;

Рассчитать перехода в облако сервис;

Сопоставить показатели затрат и выгод для существующего и желаемого состояния.

Рассчитать себестоимость и прибыль за каждый год.
Расчет критериев и коэффициента «Эффективность облачного сервиса» проводится по аддитивной формуле:

53 где Кecs – критерий «Effectiveness of cloud-based services»;
Эб – значение критерия «Эффективность для бизнеса»;
Фп – значение критерия «Финансовые преимущества»;
Тп – значение критерия «Технический приоритет»;
Иб – значение критерия «Надежность работы и информационная безопасность»;
Ср – значение критерия «Степень риска использования облачного сервиса»;
Пф – значение критерия «Психологический фактор». a1, a2, a3, a4, a5 – коэффициенты степени влияния.
Алгоритм расчета критериев эффективности:
1. Сравнение с требуемыми показателями и стандартами, исходя из ответов провайдера облачного ИТ-сервиса. Главным принципом сравнения является принцип обеспечения сопоставимости результатов на основе принятой шкалы экспертных оценок.
Таблица 3
Шкала предпочтительности показателей
Значение показателя Вербальное значение показателя эффективности облачного сервиса
1
Показатель эффективности применения облачного сервиса очень высокий
1,00…0,75
Показатель эффективности довольно высокий
0,75…0,5
Показатель эффективности вроде бы высокий
0,5
Средний уровень показателя эффективности
0,5…0,25
Показатель эффективности вроде бы низкий
0,25…0
Показатель эффективности довольно низкий
0
Показатель эффективности очень низкий