Информационная безопасность в облачных вычислениях

Главная » Рефераттар » Информационная безопасность в облачных вычислениях

В качестве одного из наиболее перспективных способов оптимизации ИТ-инфраструктуры сейчас все чаще рассматриваются облачные вычисления. Важнейший принцип, лежащий в основе CloudComputing, – это масштабируемость, а технологии виртуализации позволяют претворить его в жизнь. Виртуализация позволяет более эффективно задействовать сервер путем консолидации множества операционных систем и приложений на единственном общем компьютере. Виртуализация также дает возможность переноса работающего экземпляра гостевой операционной системы вместе со всеми работающими приложениями с одного сервера на другой, менее загруженный.[1]

За последние месяцы наблюдается стремительный рост инвестиций в CloudComputing и сопутствующие области. Этот рост объясняется спросом на виртуальные «облачные» ресурсы. С развитием широкополосного доступа в Интернет нужда в том, чтобы приложение работало именно на вашем компьютере (или на сайте вашей компании) становится все менее и менее оправданной.

У технологии CloudComputing множество достоинств, но вопрос о надежности защиты данных при использовании концепции облачных вычислений становится основным сдерживающим фактором. Очевидны две главные проблемы CloudComputing – конфиденциальность и безопасность.[3-4]

.

Возможные угрозы, способные возникнуть в облачных вычислениях, можно подразделить на следующие классы:

  • Традиционные атаки на ПО. Они связанные с уязвимостью сетевых протоколов, операционных систем, модульных компонент и других. Это традиционные угрозы, для защиты от которых достаточно установить антивирус, межсетевой экран, IPS и др. Важно только, чтобы эти средства защиты были адаптированы к облачной инфраструктуре.
  • Функциональные атаки на элементы облака. Этот тип атак связан с многослойностью облака, общим принципом безопасности, что общая защита системы равна защите самого слабого звена. Для защиты от функциональных атак для каждого слоя облака нужно использовать специфичные для него средства защиты: для прокси — защиту от DoS-атак, для веб-сервер — контроль целостности страниц, для сервера приложений — экран уровня приложений, для слоя СУБД — защиту от SQL-инъекций, для системы хранения — резервное копирование и разграничение доступа.
  • Атаки на клиента. В этот тип атак попадают такие атаки как CrossSiteScripting (XSS), перехваты веб-сессий, воровство паролей и другие. Защитой от этих атак традиционно является строгая аутентификации и использование шифрованного соединения с взаимной аутентификацией.
  • Атаки на гипервизор. Ключевым элементом виртуальной системы является гипервизор, который обеспечивает разделение ресурсов физического компьютера между виртуальными машинами. Вмешательство в работу гипервизора может привести к тому, что одна виртуальная машина может получить доступ к памяти и ресурсам другой, перехватывать ее сетевой трафик, отбирать ее физические ресурсы и даже совсем вытеснить виртуальную машину с сервера.
  • Перенос виртуальных машин. Следует отметить, что виртуальная машина представляет собой файл, который может быть запущен на исполнение в разных узлах облака. В системах управления виртуальными машинами предусмотрены механизмы переноса виртуальных машин с одного узла на другой. Однако файл виртуальной машины можно и вообще украсть и попытаться запустить ее за пределами облака. Вынести физический сервер из ЦОДа невозможно, а вот виртуальную машину можно украсть по сети, не имея физического доступа к серверам. Виртуализация вполне допускает воровство частей или всего облака целиком. Вмешательство в механизмы переноса виртуальных машин порождает новые риски для информационной системы.
  • Атаки на системы управления. Огромное количество виртуальных машин, которые используются в облаках, особенно в публичных облаках, требует таких систем управления, которые могли бы надежно контролировать создание, перенос и утилизацию виртуальных машин. Вмешательство в системы управления может привести к появлению виртуальных машин невидимок, блокирование одних машин и подстановка в слои облака неавторизованных элементов. Все это позволяет злоумышленникам получать информацию из облака или захватывать его части или все облако целиком.
  • Комплексные угрозы «облакам». Контроль облаков и управление ими также является проблемой безопасности. Как гарантировать, что все ресурсы облака посчитаны и в нем нет неподконтрольных виртуальных машин, не запущено лишних бизнес-процессов и не нарушена взаимная конфигурация слоев и элементов облака. Этот тип угроз связан с управляемостью облаком как единой информационной системой и поиском злоупотреблений или других нарушений в работе облака, которые могут привести к излишним расходам на поддержание работоспособности информационной системы.[3-6]

Создатели компании TrendMicro начали проект по защите облаков CloudNine. Он будет связан с шифрованием данных в облаке. Именно шифрование данных и позволяет защититься от большинства угроз данным в публичном облаке, поэтому подобные проекты сейчас будут активно развиваться.

Какие же еще инструменты защиты могут пригодиться для снижения описанных выше рисков?

В первую очередь нужно обеспечить надежную аутентификацию, как пользователей облака, так и его компонентов. Для этого можно применять уже готовые системы однократной аутентификации (SSO), которые базируются на Kerberos и протокол взаимной аутентификации оборудования. Далее потребуются системы управления идентификационной информацией, которые позволяют настраивать права доступа пользователей к различным системам с помощью ролевого управления.

.

Когда все участники процесса и их права определены нужно следить за соблюдением этих прав и обнаружением ошибок администрирования. Для этого нужны системы обработки событий от средств защиты элементов облака и дополнительных защитных механизмов, таких как межсетевые экраны, антивирусы, IPS и другие. Правда, стоит использовать те их варианты, которые могут работать в среде виртуализации.

.

Кроме того, стоит также использовать фрод-машины, которые позволяют выявлять мошенничество в использовании облаков, то есть снижать самый сложный риск вмешательства в бизнес-процессы. [2-5]

Литература

  1. http://www.inoventica.ru
  2. http://www.trendmicro.com
  3. Mather T. Cloud security and privacy. — O’Reilly, 2009, 315 с.
  4. Reese G. Cloud Application Architectures. Building Applications and Infrastructure in the Cloud. — O’Reilly, 2009, 192 с.
  5. http://www.anti-malware.ru
  6. Velte A. Cloud Computing. A Practical Approach. — McGraw-Hill, 2010, 334 с.

ОСТАВИТЬ КОММЕНТАРИЙ

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.