Информационная безопасность в облачных технологиях

Аннотация. В последнее годы большое распространение приобретают технологии облачных вычислений. Облачные технологии предоставляют пользователям необходимые ресурсы, будь это хранение информации, или организация вычислительной мощности для решения различных задач. В статье рассматриваются модели обслуживания пользователей облачных технологий, основные угрозы информационной безопасности и методы повышении безопасности.

Ключевые слова: облачные технологии, информационная безопасность, модели обслуживания пользователей, IaaS, PaaS, SaaS.

Введение

«Облако» - это инновационная модель (концепция) организации IT-инфраструктуры, которая состоит из распределенных и разделяемых конфигурируемых аппаратных и сетевых ресурсов, а также программного обеспечения, развернутых на удаленных (облачных) дата центрах поставщиков (провайдеров). То есть облако - это новый подход организации IT-инфраструктуры [5]. Провайдеры облачных технологий способны предоставить своим пользователям необходимые вычислительные мощности за счет динамического выделения необходимых ресурсов . Клиенты, в свою очередь, получают возможность использовать значительные вычислительные мощности, объемы памяти и необходимое программное обеспечение для решения любых задач. Одним из ключевых факторов удобства использования облачных услуг, является организация доступа в сеть из любых точек мира, в том числе и использование мобильных устройств.

Для подавляющего большинства компаний, в том числе и научных, облачные сервисы являются оптимальным вариантом организации доступа к вычислительным ресурсам и хранилищам данных. Ключевые преимущества: невысокая стоимость предоставления услуг (в сравнении с организацией и технической поддержкой большого кластера вычислительной техники или аренды вычислительной мощности в центре обработки данных (ЦОД)), предоставление клиентам большого спектра информационных услуг, а также доступ к различному программному обеспечению (ПО) для решения любых задач. Клиенты провайдеров облачных услуг также могут существенно уменьшить арендную плату за предоставление услуг, путем оптимизации использования вычислительных ресурсов и использованием общедоступных сетевых хранилищ. Провайдеры, в свою очередь, могут объединяться друг с другом для расширения облачной сети и динамического расширения, перераспределения мощностей между потребителями, в условиях постоянного увеличения спроса и потребностей на использование услуг облачных технологий.

Следуя из вышесказанного, можно сделать вывод о том, что одним из основных достоинств облачных технологий является возможность пользоваться услугами облачных провайдеров в любое время из любой точки мира. Однако из-за этого возникают существенные проблемы в вопросе информационной безопасности облачных вычислений. Необходимы сложные алгоритмы аутентификации пользователей, внедрение разграничение прав клиентов и провайдеров, изолирование данных и ПО и т.д. К тому же, следует внимательно относится к повышению надежности вычислительной системы и распределению нагрузки на аппаратную часть. Все это является весьма непростой задачей для всей индустрии.

Модели облачных вычислений Под понятием облачные вычисления подразумевается различное программно-аппаратное обеспечение, доступное пользователю через локальную сеть или Интернет в виде сервиса, позволяющего использовать удобный интерфейс для удаленного доступа к выделенным ресурсам (вычислительным ресурсам, программам и данным) [2]. С развитием облачных технологий возникло несколько моделей развертывания «облака», удовлетворяющие потребности различных категорий клиентов. Каждая модель облачных услуг и каждый способ ее развертывания обеспечивает свой уровень гибкости, управляемости и контроля безопасности и процессов работы.

Существует 3 основных модели обслуживания пользователей:

• «Программное обеспечение как сервис» («Software as a Service», SaaS)
• «Платформа как сервис» («Platform as a Service», PaaS)
• «Инфраструктура как сервис» («Infrastructure as a Service», IaaS)

Рассмотрим каждую из моделей.

Модель IaaS предоставляет инфраструктуру для построения облачной информационной системы. Пользователю предоставляется доступ к хранилищу данных, сетевым ресурсам и виртуальным машинам для дальнейшей организации клиентской IT-системы. IaaS предоставляет потребителю стандартизированную инфраструктуру, оптимизированную под потребности клиента. Как правило, облачные провайдеры предоставляют следующие компоненты [2]:

• Аппаратные ресурсы (включая и хранилища даннных)
• Компьютерную сеть (включая различное оборудование на сети: маршрутизаторы, брандмауэры и т.д.)
• Подключение виртуальной сети клиента к сети Интернет
• Платформу виртуализации, для организации доступа виртуальных машин к конечной IT-cети
• Сервисное обслуживание

Пользователь получает полные административные права внутри арендованных услуг. Настройка сетевого оборудования, серверов и установка программного обеспечения клиентом выполняется самостоятельно.

Данная модель обслуживания подходит средним и крупным компаниям, т.к. избавляет их от необходимости организации и обслуживания сложных центров обработки данных и клиентских инфраструктур, а также существенно снижает расходы на поддержку корпоративной сети.

Следующая модель обслуживания называется «Платформа как сервис», или сокращенной PaaS. Модель предоставляет интегрированную платформу для создания и поддержки необходимых клиенту веб-приложений как сервис. Клиент получает веб-интерфейс, и право наполнить его любым необходимым содержанием, включая поддержку массивных баз данных (БД) или объемных скриптов.  Разработчику не нужно покупать ПО и сетевое оборудование, отсутствует необходимость в его настройке и обслуживания, снята нагрузка по администрированию серверов. Основными достоинствами модели PaaS является масштабируемость (в зависимости от количества используемых приложений, будут выделяется необходимые аппаратные ресурсы) ,безопасность системы и ее отказоустойчивость.

Заключительная модель обслуживания клиентов – «Программное обеспечение как сервис» (SaaS). Это модель развертывания приложения, которая подразумевает предоставление приложения конечному пользователю. Контроль и управление физической и виртуальной инфраструктурой «облака», настройка ПО и приложений осуществляется облачным провайдером. Доступ к приложениям, как правило, предоставляется через веб-интерфейс Интернет-браузера. Целевыми клиентами является мелкие компании и конечные потребители.

Рисунок. 1.  Сравнение моделей обслуживания IaaS, PaaS, SaaS

Угрозы безопасности в облачных технологиях

В настоящий момент облачные инфраструктуры не являются новой технологией, однако старые вопросы и проблемы все также остаются. Одной из таких проблем является обеспечение должного уровня безопасности. Как было сказано выше, облачные сервисы состоят из трёх уровней: инфраструктура, платформа и приложение. И каждый из этих уровней надо обеспечить целостностью, конфиденциальностью и доступностью услуг для авторизированных пользователей [1].  Собственно, эти три задачи и формируют основную триаду, на которую и ориентируются, когда обеспечивают безопасность «облаков». Так какие основные угрозы у облачных сервисов? Рассмотрим главные из них:

1. Кража данных

Происходит в случае, если сторонними лицами был получен доступ к конфиденциальной информации. Поэтому, для большей защищенности, крупные и средние компании хранят свои данные в серверах, расположенных в хорошо охраняемых ЦОД        ах. Физически сервер оттуда не вынесешь, не имея специализированного пропуска на объект. В виртуальном плане, доступ на сервер можно получить, взломав корпоративную защиту. Также, обязательным условием является защита данных в процессе их передачи по сети. 

2. Кража аккаунта, взлом услуг

Подразумевается кража регистрационной информации с последующим ее использованием  для незаконных действий.

3. DDoS-атаки

Один из опаснейших видов атак, вызывающий перегрузку каналов и использующий все ресурсы системы. В результате этой атаки, сотрудники фирмы теряют возможность получить своевременно услугу, что приводит к остановке рабочего процесса.

4. Незащищенные интерфейсы

Плохая проектировка интерфейсов и слабое ПО, используемое для управления облачными услугами, также является слабой стороной в сфере безопасности и наиболее часто именно они подвергаются атакам. К тому же, при предоставления дополнительного набора услуг, архитектура интерфейсов усложняется, и не всегда удается вовремя заметить угрозу взлома.

5. Человеческий фактор

К сожалению, тоже частая проблема. Недальновидность сотрудников, безответственное и несерьезное соблюдение внутренних правил и распоряжений компании, а также неправомерное использование конфиденциальных данных в личных целях тоже приводит к большим рискам.

Рисунок 2. Основные барьеры для внедрения облачных услуг

На рис. 2. представлена статистика CSА (некоммерческая отраслевая организация) основных причин, почему как мелкие, так и крупные фирмы пока не могут полностью довериться облачным технологиям. Можно сделать вывод, что преобладающим барьером является именно человеческий фактор и ненадежная безопасность конфиденциальных данных.

Методы обеспечения безопасности в облачных технологиях

Как ни странно, но одним из минусов облачных технологий является то, что они…. «облачны». Человек понятия не имеет где и как хранятся его данные, не контролирует их, поэтому полагается только положительные отзывы провайдера или не полагается никакого  в принципе. И тогда, единственной гарантией сохранности данных является их шифрование. При таком методе ключи для дешифровки передаются только клиенту, отсюда он может быть спокоен, что третьи лица, даже если завладеют его информацией, без ключей сделать ничего не смогут. Но минусом шифрования является большая нагрузка на производительность серверов, которая влечет за собой их замедленную работу и задержки в плане шифрования-дешифрования. Рассмотрим другие способы обеспечения безопасности. Один из них - аутентификация. Простыми словами аутентификация - это защита паролем. Чаще всего, для достижения большей надежности используются средства сертификации.

Еще одним способом является изоляция пользователя. Её суть заключается в том, что для работы клиента(ов) используются индивидуальные виртуальные машины и сети. Данные технологии реализуются при помощи Виртуальных Частных Сетей (VPN) и Виртуальных Локальных Сетей (VLAN). Изоляция пользователей друг от друга происходит при помощи изменения кода в единой программной среде [4].  Однако, и у этого метода есть свои «минусы». В случае возможной (случайной) ошибки в коде один пользователь может получить данные другого. Или же есть возможность найти «пробел» в коде и , опять таки, получить данные другого пользователя.

Также, немаловажным методом защиты информации является защита данных при передаче. В данном случае зашифрованные данные будут доступны только после аутентификации. При их передаче используются самые надежные и проверенные протоколы, такие как: AES, TLS, IPsec, а изменить или расшифровать трафик не получится, даже если он проходит через ненадежные узлы. Обязательной процедурой со стороны крупных компаний и организаций является разработка политики безопасности и правил корпоративной этики. Также это может выражаться в плане усиленного контроля доступа пользователей, например, при помощи многофакторной аутентификации [1]. Более того, организации могут создать централизованное управление, которое обеспечит более безопасный доступ к данным и приложениям.

Заключение Использование облачных вычислений несомненно несет в себе большое количество «плюсов»: это и финансовые выгоды, когда меньше тратишься на оборудование и уход за ним; более легкая масштабируемость; разделение и динамическое перераспределение ресурсов; быстрый доступ и простота использования.  Однако, всё это требует высокую надежность и безопасность. Нами по возможности были рассмотрены все многогранные угрозы, которые нависают над облачными технологиями, и методы борьбы с ними. Данный анализ рисков позволит более продуктивно работать в этой области и развивать её.