Amenințările cloud computing și metodele de protecție a acestora. Securitatea informațiilor în cloud computing: vulnerabilități, metode și mijloace de protecție, instrumente pentru auditarea și investigarea incidentelor Amenințările cloud computing

Există mai multe metode pentru construirea unei infrastructuri IT corporative. Implementarea tuturor resurselor și serviciilor bazate pe o platformă cloud este doar una dintre ele. Cu toate acestea, prejudecățile privind securitatea soluțiilor cloud devin adesea un obstacol pe parcurs. În acest articol, vom înțelege cum funcționează sistemul de securitate în cloud-ul unuia dintre cei mai faimoși furnizori ruși - Yandex.

Un basm este o minciună, dar există un indiciu în el

Începutul acestei povești poate fi spus ca un basm binecunoscut. Erau trei administratori în companie: cel mai în vârstă era deștept, cel de mijloc era așa și altul, cel mai tânăr era deloc... un stagiar Enikey. Utilizatori porniți în Active Directory și cozi răsucite la tsiska. A sosit momentul ca compania să se extindă, iar regele, adică șeful, a apelat la armata sa de admin. Îmi doresc, spune el, noi servicii web pentru clienții noștri, stocarea propriilor fișiere, baze de date gestionate și mașini virtuale pentru testarea software-ului.

Cel mai tânăr s-a oferit imediat să-și creeze propria infrastructură de la zero: să cumpere servere, să instaleze și să configureze software, să extindă canalul principal de internet și să-i adauge o copie de rezervă - pentru fiabilitate. Și compania este mai calmă: hardware-ul este mereu la îndemână, în orice moment poți înlocui sau reconfigura ceva, iar el însuși va avea o mare oportunitate de a-și îmbunătăți abilitățile de administrator. Au calculat și au vărsat lacrimi: compania nu va trage astfel de costuri. Afaceri mari similar este posibil, dar pentru medii și mici - se dovedește prea scump. Ei bine, nu este vorba doar de achiziționarea de echipamente, echiparea unei camere de server, instalarea de aparate de aer condiționat și instalarea alarmelor de incendiu, trebuie și să organizați serviciul de schimb pentru a menține ordinea zi și noapte și pentru a respinge atacurile de rețea ale oamenilor năuciți de pe Internet. Și din anumite motive, administratorii nu au vrut să lucreze noaptea și în weekend. Numai pentru plata dubla.

Administratorul senior s-a uitat atent în fereastra terminalului și a sugerat să plaseze toate serviciile în cloud. Dar apoi colegii săi au început să se sperie între ei cu povești de groază: ei spun că infrastructura cloud are interfețe și API-uri nesigure, echilibrează prost încărcătura diferiților clienți, ceea ce vă poate deteriora propriile resurse și este, de asemenea, instabilă la furtul de date și atacurile externe. . Și, în general, este înfricoșător să transferi controlul asupra datelor critice și software-ului către persoane neautorizate cu care nu ai mâncat un kilogram de sare și nu ai băut o găleată de bere.

Tipul mediocru a venit cu ideea de a plasa întregul sistem IT în data center-ul furnizorului, pe canalele acestuia. Pentru asta au decis. Totuși, aici trinitatea noastră a avut câteva surprize, nu toate s-au dovedit a fi plăcute.

În primul rând, orice infrastructură de rețea necesită disponibilitatea obligatorie a instrumentelor de protecție și securitate, care, desigur, au fost implementate, configurate și lansate. Numai că aici costul resurselor hardware folosite de ei, după cum sa dovedit, ar trebui plătit de client însuși. Iar sistemul modern de securitate a informațiilor consumă resurse considerabile.

În al doilea rând, afacerea a continuat să crească, iar infrastructura construită inițial a atins rapid plafonul de scalabilitate. Mai mult, pentru a-l extinde, o simplă modificare a tarifului nu a fost suficientă: în acest caz, multe servicii ar trebui să fie transferate pe alte servere, reconfigurate și ceva complet reproiectat.

În cele din urmă, într-o zi, din cauza unei vulnerabilități critice în una dintre aplicații, întregul sistem s-a prăbușit. Administratorii au ridicat-o rapid din copii de rezervă, dar nu a fost posibil să se descopere rapid motivele pentru ceea ce s-a întâmplat, deoarece au uitat să configureze backup pentru serviciile de logare. Timpul valoros a fost pierdut, iar timpul, după cum spune înțelepciunea populară, este bani.

Calculul cheltuielilor și însumarea rezultatelor au condus conducerea companiei la concluzii dezamăgitoare: a avut dreptate administratorul, care de la bun început a sugerat folosirea modelului cloud IaaS – „infrastructure as a service”. În ceea ce privește securitatea unor astfel de platforme, aceasta ar trebui discutată separat. Și vom face acest lucru folosind exemplul celor mai populare dintre aceste servicii - Yandex.Cloud.

Securitate în Yandex.Cloud

Să începem, așa cum a sfătuit-o Pisica Cheshire pe fata Alice, de la început. Adică problema împărțirii responsabilității. În Yandex.Cloud, ca și în orice alte platforme similare, furnizorul este responsabil pentru securitatea serviciilor oferite utilizatorilor, în timp ce clientul însuși este responsabil pentru asigurarea funcţionare corectă aplicațiile pe care le dezvoltă, organizează și separă acces de la distanță la resurse dedicate, configurarea bazelor de date și a mașinilor virtuale, control asupra jurnalizării. Cu toate acestea, pentru aceasta i se oferă toate instrumentele necesare.

Securitatea infrastructurii cloud Yandex are mai multe niveluri, fiecare dintre acestea implementând propriile principii de protecție și utilizând un arsenal separat de tehnologii.

Strat fizic

Nu este un secret pentru nimeni că Yandex are propriile sale centre de date, care deservesc propriile departamente de securitate. Vorbim nu numai despre servicii de supraveghere video și control acces menite să împiedice pătrunderea persoanelor din afară în camerele serverelor, ci și despre sistemele de climatizare, stingerea incendiilor și sursă de alimentare neîntreruptibilă. Gărzile de securitate severă sunt de puțin folos dacă rack-ul cu serverele tale se inundă într-o zi cu apă de la sprinklerele de incendiu sau se supraîncălzi după ce aparatul de aer condiționat se defectează. În centrele de date Yandex, acest lucru cu siguranță nu li se va întâmpla.

În plus, hardware-ul Cloud este separat fizic de „marele Yandex”: ele sunt situate în rafturi diferite, dar sunt supuse întreținerii regulate de rutină și înlocuirii componentelor exact în același mod. La granița acestor două infrastructuri se folosesc firewall-uri hardware, iar în interiorul Cloud-ului se folosește un firewall software bazat pe Host. În plus, comutatoarele Top-of-the-rack utilizează sistemul Access Control List (ACL), care îmbunătățește foarte mult securitatea întregii infrastructuri. Yandex scanează în mod constant Cloud-ul din exterior căutând porturi deschise și erori de configurare, astfel încât potențialele vulnerabilități să poată fi recunoscute și eliminate în avans. Pentru angajații care lucrează cu resurse Cloud, este implementat un sistem centralizat de autentificare cu chei SSH cu un model de acces bazat pe roluri și toate sesiunile de administrator sunt înregistrate. Această abordare face parte din modelul Secure by default utilizat pe scară largă de Yandex: securitatea este încorporată în infrastructura IT în etapa de proiectare și dezvoltare și nu este adăugată mai târziu, când totul este deja pus în funcțiune.

nivelul infrastructurii

La nivel logic hardware-software, Yandex.Cloud utilizează trei servicii de infrastructură: Compute Cloud, Virtual Private Cloud și Yandex Managed Services. Și acum despre fiecare dintre ei puțin mai mult.

Compute Cloud

Acest serviciu oferă putere de calcul scalabilă pentru diverse sarcini, cum ar fi găzduirea de proiecte web și servicii de mare încărcare, testare și prototipare sau migrarea temporară a infrastructurii IT pentru perioada de reparare sau înlocuire a echipamentului propriu. Puteți gestiona serviciul prin consolă, Linie de comanda(CLI), SDK sau API.

Securitatea Compute Cloud se bazează pe faptul că toate mașinile virtuale client folosesc cel puțin două nuclee și nu se aplică nicio supraangajare la alocarea memoriei. Deoarece în acest caz numai codul client rulează pe nucleu, sistemul nu este supus unor vulnerabilități precum L1TF, Spectre și Meltdown sau atacurilor pe canale laterale.

În plus, Yandex folosește propriul ansamblu Qemu / KVM, în care tot ce nu este necesar este dezactivat, lăsând doar setul minim de cod și biblioteci necesare pentru funcționarea hipervizoarelor. În același timp, procesele sunt lansate sub controlul setului de instrumente bazat pe AppArmor, care, folosind politici de securitate, determină care resursele sistemuluiși cu ce privilegii poate obține acces cutare sau cutare aplicație. AppArmor care rulează deasupra fiecărei mașini virtuale reduce riscul ca o aplicație client să poată accesa hypervisorul de pe VM. Pentru a primi și procesa jurnalele, Yandex a creat un proces de furnizare a datelor de la AppArmor și sandbox-uri către propriul său Splunk.

Cloud privat virtual

Serviciul Virtual Private Cloud vă permite să creați rețele cloud folosite pentru a transfera informații între diverse resurse și conectarea acestora la Internet. Din punct de vedere fizic, acest serviciu este susținut de trei centre de date independente. În acest mediu, izolarea logică este implementată la nivelul interfuncționării multiprotocoale - MPLS. În același timp, Yandex fuzz în mod constant joncțiunea dintre SDN și hypervisor, adică din partea mașinilor virtuale, un flux de pachete malformate este trimis continuu în mediul extern pentru a primi un răspuns de la SDN, a-l analiza. , și închideți posibilele lacune în configurație. Protecția DDoS este activată automat la crearea mașinilor virtuale.

Servicii gestionate Yandex

Yandex Managed Services este un mediu software pentru gestionarea diferitelor servicii: DBMS, clustere Kubernetes, servere virtualeîn infrastructura Yandex.Cloud. Aici, serviciul preia cea mai mare parte a muncii de securitate. Toate backup-urile, criptarea backupului, gestionarea vulnerabilităților și așa mai departe sunt furnizate automat instrumente software Yandex.Clouds.

Instrumente de răspuns la incidente

Pentru a răspunde în timp util incidentelor de securitate a informațiilor, este necesar să se identifice din timp sursa problemei. De ce trebuie să utilizați instrumente de monitorizare fiabile, care ar trebui să funcționeze non-stop și fără erori. Astfel de sisteme vor consuma inevitabil resurse, dar Yandex.Cloud nu transferă costul puterii de calcul a instrumentelor de securitate asupra utilizatorilor platformei.

La alegerea instrumentelor, Yandex a fost ghidat de o altă cerință importantă: dacă o vulnerabilitate 0day este exploatată cu succes într-una dintre aplicații, atacatorul nu trebuie să părăsească gazda aplicației, în timp ce echipa de securitate trebuie să învețe imediat despre incident și să răspundă în mod corespunzător.

Nu în ultimul rând, dorința a fost ca toate instrumentele să fie open source. Aceste criterii sunt îndeplinite pe deplin de pachetul AppArmor + Osquery, care a fost decis să fie utilizat în Yandex.Cloud.

AppArmor

AppArmor a fost deja menționat mai sus: este instrument software Protecție proactivă bazată pe profiluri de securitate personalizabile. Profilurile folosesc tehnologia de control al accesului obligatoriu (MAC) de control al accesului bazată pe etichete de confidențialitate, implementată folosind LSM direct în kernel-ul Linux, începând cu versiunea 2.6. Dezvoltatorii Yandex au ales AppArmor din următoarele motive:

• ușurință și viteză, deoarece instrumentul se bazează pe o parte a nucleului Linux;
• este o soluție open source;
• AppArmor poate fi implementat foarte rapid pe Linux, fără a fi nevoie să scrieți niciun cod;
• configurarea flexibilă este posibilă cu ajutorul fișierelor de configurare.

Oschery

Osquery este un instrument de monitorizare a securității sistemului dezvoltat de Facebook și este acum utilizat cu succes în multe industrii IT. Instrumentul este multiplatform și open source.

Folosind Osquery, puteți colecta informații despre starea diferitelor componente sistem de operare, acumulează-l, transformă-l într-un format JSON standardizat și trimite-l destinatarului selectat. Acest instrument vă permite să scrieți și să trimiteți interogări SQL standard către aplicația dvs., care sunt stocate în baza de date rocksdb. Puteți configura frecvența și condițiile pentru executarea sau procesarea acestor solicitări.

Multe caracteristici sunt deja implementate în tabelele standard, de exemplu, puteți obține o listă de procese care rulează pe sistem, pachete instalate, setul curent de reguli iptables, entități crontab și așa mai departe. Din cutie, a fost implementat suport pentru primirea și analizarea evenimentelor din sistemul de audit al nucleului (utilizat în Yandex.Cloud pentru procesarea evenimentelor AppArmor).

Osquery în sine este scris în C ++ și este distribuit cu surse deschise, le puteți modifica și cum să adăugați tabele noi la baza de cod principală sau să vă creați propriile extensii în C, Go sau Python.

O caracteristică utilă a Osquery este prezența unui sistem de interogare distribuit, cu ajutorul căruia puteți interoga toate mașinile virtuale din rețea în timp real. Acest lucru poate fi util, de exemplu, dacă într-un pachet este găsită o vulnerabilitate: cu o singură solicitare, puteți obține o listă a mașinilor pe care este instalat acest pachet. Această caracteristică este utilizată pe scară largă în administrarea sistemelor mari distribuite cu infrastructură complexă.

constatări

Dacă ne întoarcem la povestea spusă chiar la începutul acestui articol, vom vedea că temerile care i-au făcut pe eroii noștri să refuze să implementeze infrastructura pe o platformă cloud s-au dovedit a fi nefondate. Cel puțin dacă vorbim despre Yandex.Cloud. Securitatea infrastructurii cloud creată de Yandex are o arhitectură pe mai multe niveluri și, prin urmare, oferă un nivel ridicat de protecție împotriva majorității amenințărilor cunoscute astăzi.

În același timp, economisind la întreținerea de rutină a hardware-ului și plătind resursele consumate de sistemele de monitorizare și prevenire a incidentelor pe care Yandex le preia, utilizarea Yandex.Cloud economisește semnificativ bani pentru întreprinderile mici și mijlocii. Desigur, abandonarea completă a departamentului IT sau a departamentului responsabil cu securitatea informațiilor (mai ales dacă ambele roluri sunt combinate într-o singură echipă) nu va funcționa. Dar Yandex.Cloud va reduce semnificativ costurile cu forța de muncă și costurile generale.

Deoarece Yandex.Cloud oferă clienților săi o infrastructură sigură cu toate instrumentele necesare securitate, se pot concentra asupra proceselor de afaceri, lăsând sarcinile de întreținere a serviciilor și monitorizare hardware în sarcina furnizorului. Acest lucru nu elimină necesitatea administrării continue a mașinilor virtuale, bazelor de date și aplicațiilor, dar o astfel de gamă de sarcini ar trebui oricum rezolvată. În general, putem spune că Yandex.Cloud economisește nu numai bani, ci și timp. Iar a doua, spre deosebire de prima, este o resursă de neînlocuit.

Cloud computing în ansamblu se referă la un grup mare de resurse virtualizate ușor utilizate și ușor accesibile (cum ar fi sisteme hardware, servicii etc.). Aceste resurse pot fi realocate (scalate) în mod dinamic pentru a se adapta la sarcinile de lucru în schimbare dinamică, asigurând utilizarea optimă a resurselor. Acest grup de resurse este furnizat de obicei pe bază de plata pe măsură. În același timp, proprietarul cloud-ului garantează calitatea serviciului pe baza unor acorduri cu utilizatorul.

În conformitate cu toate cele de mai sus, se pot distinge următoarele caracteristici principale ale cloud computing:

1) cloud computing este o nouă paradigmă pentru furnizarea de resurse de calcul;

2) resursele de bază ale infrastructurii (resurse hardware, sisteme de stocare a datelor, software de sistem) și aplicațiile sunt furnizate ca servicii;

3) aceste servicii pot fi furnizate de un furnizor independent pentru utilizatori externi pe bază de plata pe măsură, principalele caracteristici ale cloud computing sunt virtualizarea și scalabilitatea dinamică;

4) serviciile cloud pot fi furnizate utilizatorului final printr-un browser web sau printr-un API specific (Interfață de programare a aplicației).

Modelul general de cloud computing constă din părți externe și interne. Aceste două elemente sunt conectate printr-o rețea, în majoritatea cazurilor prin Internet. Prin partea externă, utilizatorul interacționează cu sistemul; partea interioară este de fapt norul însuși. Partea externă constă dintr-un computer client sau o rețea de computere de întreprindere și aplicații utilizate pentru a accesa cloud-ul. Back-end-ul este format din aplicații, computere, servere și magazine de date care creează un nor de servicii prin virtualizare (Figura 1).

Atunci când se mută mașinile virtuale fizice (VM) existente de la centrul de date (DPC) în cloud-uri externe sau se furnizează servicii IT în afara perimetrului securizat în cloud-uri private, perimetrul rețelei devine complet lipsit de sens, iar nivelul general de securitate devine destul de scăzut.

Dacă în centrele de date tradiționale, accesul inginerilor la servere este strict controlat la nivel fizic, atunci în cloud computing, inginerii accesează prin Internet, ceea ce duce la apariția amenințărilor corespunzătoare. În consecință, controlul strict al accesului pentru administratori este esențial, precum și asigurarea controlului și transparenței modificărilor la nivel de sistem.

Mașinile virtuale sunt dinamice. Variabilitatea VM-urilor complică foarte mult crearea și întreținerea unui sistem de securitate coerent. Vulnerabilitățile și erorile din setări se pot răspândi necontrolat. În plus, este foarte dificil să surprindeți starea de protecție la un anumit moment în timp pentru auditarea ulterioară.

Serverele de cloud computing folosesc același sistem de operare și aceleași aplicații web ca serverele virtuale și fizice locale. În consecință, pentru sistemele cloud, amenințarea de hacking de la distanță sau infectare cu cod rău intenționat este la fel de mare.

O altă amenințare este amenințarea la adresa integrității datelor: compromisul și furtul datelor. Integritatea sistemului de operare și a fișierelor aplicației, precum și activitatea internă trebuie controlată.

Utilizarea serviciilor cloud multilocate face dificilă respectarea cerințelor standardelor și legilor, inclusiv cerința privind utilizarea mijloacelor criptografice pentru a proteja Informații importante, cum ar fi informații despre cardul de credit și informații de identificare a persoanei. Aceasta, la rândul său, dă naștere sarcinii dificile de a asigura protecţie fiabilăși acces sigur la datele importante.

Pe baza analizei posibilelor amenințări din cloud computing, se propune o posibilă protecție complexă hardware și software a securității cloud computing, care include 5 tehnologii: firewall, detecție și prevenire a intruziunilor, control al integrității, analiză jurnal și protecție împotriva software-ului rău intenționat.

Furnizorii de cloud computing folosesc virtualizarea pentru a oferi clienților lor acces la resurse de calcul cu costuri reduse. În același timp, VM-urile client au aceleași resurse hardware, ceea ce este necesar pentru a obține cea mai mare eficiență economică. Clienții întreprinderi care sunt interesați de cloud computing pentru a-și extinde infrastructura IT internă ar trebui să fie conștienți de amenințările pe care le prezintă o astfel de mișcare. Pe lângă mecanismele tradiţionale protectia retelei centre de procesare a datelor care utilizează abordări de securitate precum: firewall de margine, DMZ-uri, segmentarea rețelei, instrumente de monitorizare a rețelei, sisteme de detectare și prevenire a intruziunilor, mecanisme software de protecție a datelor pe serverele de virtualizare sau pe VM-urile în sine ar trebui utilizate, deoarece cu transferul de VM-uri către serviciile cloud publice, perimetrul rețelei corporative își pierde treptat sensul, iar nodurile cel mai puțin protejate încep să afecteze semnificativ nivelul general de securitate. Imposibilitatea separării fizice și utilizarea securității hardware pentru a respinge atacurile între VM-uri este ceea ce duce la necesitatea plasării unui mecanism de protecție pe serverul de virtualizare sau pe VM-urile în sine. Implementarea unei metode cuprinzătoare de protecție pe mașina virtuală în sine, inclusiv implementarea software a unui firewall, detectarea și prevenirea intruziunilor, controlul integrității, analiza jurnalului și protecția împotriva cod rău intenționat, este cea mai eficientă modalitate de a proteja integritatea, de a respecta cerințele de reglementare, de a respecta politicile de securitate la mutarea resurselor virtuale dintr-o rețea internă în medii cloud.

Literatură:

1. Radcenko G.I. Sisteme de calcul distribuite // Tutorial. - 2012. - S. 146-149.

2. Kondrashin M. Securitatea cloud computing // Storage News. - 2010. - Nr. 1.

2019

McAfee: 19 bune practici de securitate în cloud în 2019

Cea mai mare preocupare pentru companii este protecția serviciilor cloud externe. De exemplu, respondenții sunt îngrijorați că pot apărea incidente la furnizorii care externalizează procesele de afaceri, la servicii cloud terțe sau în infrastructura IT unde compania închiriază putere de calcul. Cu toate acestea, în ciuda acestei preocupări, doar 15% dintre companii efectuează verificări de conformitate cu securitatea de la terți.

„În ciuda faptului că cele mai recente hack-uri la scară largă au avut loc în interiorul centrului de date, sistemele tradiționale de securitate încă se concentrează doar pe protejarea perimetrului rețelei și controlul drepturilor de acces. În același timp, impactul negativ al soluțiilor pentru protejarea infrastructurii fizice asupra performanței mediilor virtuale este rareori luat în considerare, - a explicat Veniamin Levtsov, vicepreședinte pentru vânzări corporative și dezvoltare de afaceri la Kaspersky Lab. - Prin urmare, în mediile convergente, este atât de important să folosiți o protecție cuprinzătoare adecvată, asigurând securitatea sistemelor virtuale cu soluții special concepute. Implementăm o abordare în care, indiferent de tipul de infrastructură, toate sistemele sunt prevăzute cu acoperire uniformă a întregii rețele corporative din punct de vedere al gradului de securitate. Și în acest sens, tehnologiile noastre și dezvoltările moderne VMware (cum ar fi micro-segmentarea) se completează perfect.”

2015: Forrester: De ce sunt clienții nemulțumiți de furnizorii de cloud?

nor opac

Un studiu recent al Forrester Consulting arată că multe organizații consideră că furnizorii de servicii cloud nu le oferă suficiente informații despre interacțiunile lor cu cloud-ul, iar acest lucru le dăunează afacerii.

Pe lângă lipsa de transparență, există și alți factori care reduc entuziasmul pentru trecerea la cloud: acesta este nivelul de serviciu pentru clienți, costurile suplimentare și adaptarea în timpul migrării (on-boarding). Organizațiile sunt foarte pasionate de cloud, dar nu și furnizorii săi - cel puțin nu la fel de mult.

Studiul a fost comandat de iland, un furnizor de companii găzduire în cloud, a avut loc în luna mai și a inclus profesioniști în infrastructură și asistență continuă din 275 de organizații din , și Singapore.

„Printre complexitățile cloud-ului de astăzi, există câteva defecte enervante”, a scris Lilac Schoenbeck, vicepreședinte de întreținere a produselor și marketing pentru iland. „Aceste metadate importante nu sunt comunicate, împiedicând în mod semnificativ adoptarea cloud-ului, totuși organizațiile construiesc planuri de creștere bazate pe presupunerea că resursele cloud sunt nelimitate.”

Unde este cheia pentru atingerea armoniei în relațiile de afaceri? Iată ce trebuie să știe VAR-urile pentru a încerca să rezolve problemele și să aducă părțile la reconciliere.

Nerespectarea clienților

Aparent, mulți utilizatori de cloud nu simt aceeași abordare individuală.

Astfel, 44% dintre respondenți au răspuns că furnizorul lor nu își cunoaște compania și nu înțelege nevoile lor de afaceri, iar 43% cred că dacă organizația lor ar fi pur și simplu mai mare, atunci furnizorul le-ar acorda probabil mai multă atenție. Pe scurt, simt răceala chilipirului cumpărând servicii cloud și nu le place.

Și încă ceva: există o practică, care a fost subliniată de o treime dintre companiile chestionate, care insuflă și un sentiment de meschină în tranzacție - sunt taxate pentru cea mai mică întrebare sau neînțeles.

Prea multe secrete

Reticența furnizorului de a furniza toate informațiile nu numai că irită clienții, dar îi costă adesea bani.

Toți respondenții la sondajul Forrester au răspuns că se confruntă cu un anumit impact financiar și operațional din cauza datelor lipsă sau nepublice despre utilizarea cloud-ului.

„Lipsa datelor clare despre utilizarea cloud-ului duce la probleme de performanță, dificultăți de raportare către management cu privire la costul real de utilizare, taxe pentru resurse pe care utilizatorii nu le-au consumat niciodată și facturare neașteptată”, afirmă Forrester.

Unde sunt metadatele?

Directorii CIO responsabili de infrastructura cloud din organizațiile lor doresc să aibă metrici de cost și performanță care să ofere claritate și transparență, dar evident că le este greu să comunice acest lucru furnizorilor.

Participanții la sondaj au remarcat că metadatele pe care le primesc despre sarcinile de lucru în cloud sunt de obicei incomplete. Aproape jumătate dintre companii au răspuns că nu există date de conformitate, 44% nu au raportat date de utilizare, 43% nu au date istorice, 39% nu au date de securitate și 33% nu au raportat date de facturare și cost.

Problema transparenței

Lipsa metadatelor cauzează tot felul de probleme, spun respondenții. Aproape două treimi dintre cei chestionați au spus că lipsa de transparență îi împiedică să înțeleagă pe deplin beneficiile cloud-ului.

„Lipsa de transparență dă naștere la diverse probleme, în special problema parametrilor de utilizare și întreruperile”, se arată în raport.

Aproximativ 40% încearcă să umple ei înșiși aceste lacune prin achiziționarea de instrumente suplimentare de la propriii furnizori de cloud, în timp ce ceilalți 40% pur și simplu achiziționează servicii de la un alt furnizor unde este prezentă o astfel de transparență.

Respectarea reglementărilor

La urma urmei, organizațiile sunt responsabile pentru toate datele lor, indiferent dacă sunt on-premise sau trimise în cloud.

Peste 70% dintre respondenții la sondaj au spus că organizațiile lor sunt auditate în mod regulat și trebuie să confirme conformitatea cu reglementările existente oriunde se află datele lor. Și asta pune un obstacol în calea adoptării cloud-ului pentru aproape jumătate dintre companiile chestionate.

„Dar aspectul conformității dumneavoastră trebuie să fie transparent pentru utilizatorii finali. Când furnizorii de servicii cloud rețin sau nu dezvăluie aceste informații, nu vă permit să realizați acest lucru”, se arată în raport.

Probleme de conformitate

Peste 60% dintre companiile chestionate au răspuns că problemele de conformitate cu reglementările limitează adoptarea în continuare a cloud-ului.

Principalele probleme sunt:

• 55% dintre companiile obligate de astfel de cerințe au răspuns că le este cel mai dificil să implementeze controale adecvate.
• Aproximativ jumătate spun că le este greu să înțeleagă nivelul de conformitate oferit de furnizorul lor de cloud.
• O altă jumătate dintre respondenți au spus că le este greu să obțină documentația necesară de la furnizor cu privire la respectarea acestor cerințe pentru a trece auditul. Iar pentru 42% le este dificil să obțină documentație privind propria conformitate cu sarcinile de lucru care rulează în cloud.

Probleme de migrație

Procesul de on-boarding pare a fi un alt domeniu de nemulțumire comună, puțin peste jumătate dintre companiile chestionate răspunzând că nu sunt mulțumite de procesele de migrare și suport oferite de furnizorii lor de cloud.

Dintre cei 51% nemulțumiți de procesul de migrare, 26% au răspuns că a durat prea mult, iar 21% s-au plâns de lipsa participării active a personalului furnizorului.

Mai mult de jumătate au fost, de asemenea, nemulțumiți de procesul de asistență: 22% au menționat o așteptare îndelungată pentru un răspuns, 20% o lipsă de cunoștințe a personalului de asistență, 19% un proces îndelungat de rezolvare a problemelor și 18% au primit facturi cu o valoare mai mare decât cea așteptată. costul suportului.

Obstacole în drumul spre nor

Multe dintre companiile chestionate de Forrester își rețin planurile de extindere a cloud-ului din cauza problemelor pe care le întâmpină cu serviciile existente.

Cel puțin 60% au răspuns că lipsa transparenței în utilizare, a informațiilor privind conformitatea cu reglementările și a asistenței de încredere îi împiedică să utilizeze cloud-ul pe o scară mai largă. Dacă nu ar fi aceste probleme, ar muta mai multe sarcini de lucru în cloud, spun respondenții.

2014

• Rolul departamentelor IT se schimbă treptat: ele se confruntă cu sarcina de a se adapta la noile realități ale cloud IT-ului. Departamentele IT trebuie să educe angajații cu privire la problemele de securitate, să dezvolte politici cuprinzătoare de guvernare a datelor și de conformitate, să elaboreze linii directoare de adoptare a cloud-ului și să stabilească reguli cu privire la ce date pot și nu pot fi stocate în cloud.
• Departamentele IT sunt capabile să își îndeplinească misiunea de a proteja datele corporative și, în același timp, acționează ca un instrument în implementarea „Shadow IT” prin implementarea măsurilor pentru asigurarea securității datelor, de exemplu, implementarea `criptării-ca-serviciu ` abordare („criptare în tip de serviciu”). Această abordare permite departamentelor IT să gestioneze centralizat protecția datelor în cloud, permițând în același timp altor departamente din companie să găsească și să utilizeze în mod independent serviciile cloud, după cum este necesar.
• Pe măsură ce tot mai multe companii își stochează datele în cloud și angajații lor folosesc din ce în ce mai mult serviciile cloud, departamentele IT trebuie să acorde mai multă atenție implementării unor mecanisme mai eficiente pentru a controla accesul utilizatorilor, cum ar fi autentificarea cu mai mulți factori. Acest lucru este valabil mai ales pentru companiile care oferă terților și furnizorilor acces la datele lor în cloud. Soluțiile de autentificare multifactor pot fi gestionate central și oferă un acces mai sigur la toate aplicațiile și datele, indiferent dacă sunt găzduite în cloud sau pe propriul hardware al companiei.

Datele Ponemon și SafeNet

Majoritatea organizațiilor IT nu știu cum sunt protejate datele corporative în cloud, expunând astfel companiile la riscuri. Conturiși informații confidențiale ale utilizatorilor săi. Aceasta este doar una dintre concluziile unui studiu recent din toamna anului 2014, comandat de Institutul Ponemon pentru SafeNet. Studiul, intitulat „The Challenges of Information Management in the Cloud: A Global Data Security Study”, a chestionat peste 1.800 de profesioniști în tehnologia informației și securitate IT din întreaga lume.

Printre alte constatări, studiul a constatat că, în timp ce organizațiile îmbrățișează din ce în ce mai mult puterea cloud computing-ului, departamentele IT corporative se confruntă cu provocări în gestionarea și securizarea datelor în cloud. Sondajul a constatat că doar 38% dintre organizații au roluri și responsabilități clar definite pentru securizarea informațiilor confidențiale și a altor informații sensibile în cloud. Pentru a înrăutăți lucrurile, 44% din datele corporative stocate în cloud nu sunt controlate sau gestionate de IT. În plus, mai mult de două treimi (71%) dintre respondenți au declarat că se confruntă cu provocări tot mai mari în utilizarea mecanismelor și practicilor tradiționale de securitate pentru a proteja datele sensibile în cloud.

Pe măsură ce popularitatea infrastructurilor cloud crește, la fel crește și riscul scurgerii de date confidențiale Aproximativ două treimi dintre profesioniștii IT chestionați (71%) au confirmat că cloud computing este important pentru corporații de astăzi și mai mult de două treimi (78%) cred că relevanța cloud computing va continua și în doi ani. În plus, respondenții estimează că aproximativ 33% din nevoile de tehnologia informației și infrastructura de date ale organizației lor pot fi acum satisfăcute folosind resurse cloud, iar această pondere va crește la o medie de 41% în următorii doi ani.

Cu toate acestea, majoritatea respondenților (70%) sunt de acord că devine din ce în ce mai dificil să se respecte cerințele de confidențialitate și protecție a datelor în mediul cloud. În plus, respondenții notează că tipurile de date corporative stocate în cloud, cum ar fi adresele, sunt cele mai expuse riscului de scurgeri. E-mail, date despre consumatori și clienți și informații de facturare.

În medie, mai mult de jumătate din toate serviciile cloud din întreprinderi sunt implementate de departamente terțe, nu de departamentele IT corporative și, în medie, aproximativ 44% din datele întreprinderii găzduite în cloud nu sunt controlate sau gestionate de departamentele IT. Drept urmare, doar 19% dintre cei chestionați ar putea pretinde că au încredere în cunoașterea tuturor aplicațiilor, platformelor sau serviciilor de infrastructură cloud utilizate în în prezentîn organizațiile lor.

Alături de lipsa de control asupra instalării și utilizării serviciilor cloud, nu a existat un consens în rândul celor chestionați cu privire la cine este de fapt responsabil pentru securitatea datelor stocate în cloud. Treizeci și cinci la sută dintre respondenți au spus că responsabilitatea este împărțită între utilizatori și furnizorii de servicii cloud, 33% cred că responsabilitatea revine în întregime utilizatorilor, iar 32% cred că furnizorul de cloud este responsabil pentru siguranța datelor.

Mai mult de două treimi (71%) dintre respondenți au declarat că devine din ce în ce mai dificil să protejeze datele sensibile ale utilizatorilor stocate în cloud folosind instrumente și metode tradiționale de securitate, iar aproximativ jumătate (48%) au spus că le este din ce în ce mai dificil de controlat sau restricționați accesul utilizatorilor finali la datele din cloud. În cele din urmă, mai mult de o treime (34%) dintre profesioniștii IT intervievați au declarat că organizațiile lor aveau deja politici corporative care necesită mecanisme de securitate, cum ar fi criptarea, ca o condiție prealabilă pentru anumite servicii de cloud computing. Șaptezeci și unu (71) la sută dintre respondenți au indicat că capacitatea de a cripta sau tokeniza datele confidențiale sau sensibile în alt mod este de mare importanță pentru ei, iar 79% cred că importanța acestor tehnologii va crește în următorii doi ani.

La întrebarea ce fac companiile lor pentru a proteja datele în cloud, 43% dintre respondenți au spus că organizațiile lor folosesc rețele private pentru a transfera date. Aproximativ două cincimi (39%) dintre respondenți au spus că companiile lor folosesc criptarea, tokenizarea și alte instrumente criptografice pentru a proteja datele din cloud. Alți 33% dintre cei chestionați nu știu ce soluții de securitate sunt implementate în organizațiile lor, iar 29% au spus că folosesc servicii cu plată securitate oferită de furnizorii lor de servicii cloud.

Respondenții cred, de asemenea, că gestionarea cheilor de criptare a întreprinderii este esențială pentru păstrarea datelor în siguranță în cloud, având în vedere numărul tot mai mare de platforme de gestionare a cheilor și de criptare utilizate de companiile lor. Mai exact, 54% dintre respondenți au spus că organizațiile lor păstrează controlul asupra cheilor de criptare atunci când stochează date în cloud. Cu toate acestea, 45% dintre respondenți au spus că își stochează cheile de criptare în software, în același loc în care sunt stocate datele în sine, și doar 27% stochează cheile în medii mai sigure, cum ar fi dispozitivele hardware.

În ceea ce privește accesul la datele stocate în cloud, șaizeci și opt (68) la sută dintre respondenți spun că gestionarea conturilor de utilizator într-un mediu cloud devine din ce în ce mai dificilă, în timp ce șaizeci și doi (62) la sută dintre respondenți au spus că organizațiile lor au acces către cloud-ul oferit terților. Aproximativ jumătate (46 la sută) dintre cei chestionați au spus că companiile lor folosesc autentificarea cu mai mulți factori pentru a proteja accesul terților la datele stocate în cloud. Aproximativ același număr (48 la sută) de respondenți au spus că companiile lor folosesc tehnologii de autentificare cu mai mulți factori, inclusiv pentru a proteja accesul angajaților lor la cloud.

2013: Cercetare Cloud Security Alliance

Cloud Security Alliance (CSA), o organizație non-profit care promovează securitatea în cloud, și-a actualizat recent lista cu cele mai importante amenințări într-un raport intitulat Cloud Evil: Top 9 Threats to Cloud Services în 2013.

CSA afirmă că raportul reflectă consensul experților cu privire la cele mai semnificative amenințări de securitate din cloud și se concentrează pe amenințările rezultate din partajarea și accesarea resurselor cloud partajate de către mai mulți utilizatori la cerere.

Deci, principalele amenințări...

Furtul de date

Furtul de informații corporative confidențiale este întotdeauna o teamă pentru organizații în orice mediu IT, dar modelul cloud deschide „vectori de atac noi semnificativi”, subliniază CSA. „Dacă baza de date a unui cloud multi-locatari nu este bine gândită, atunci o defecțiune a aplicației unui client ar putea deschide accesul la date nu numai pentru acel client, ci și pentru toți ceilalți utilizatori ai cloudului”, avertizează CSA.

Orice „nor” are mai multe niveluri de protecție, fiecare dintre acestea protejând informațiile de un alt tip de „asalt”.

Deci, de exemplu, protecția fizică a serverului. Aici nici măcar nu vorbim despre hacking, ci despre furt sau deteriorarea mediilor de stocare. Scoaterea serverului din cameră poate fi dificilă în adevăratul sens al cuvântului. În plus, orice companie care se respectă stochează informații în centre de date cu securitate, supraveghere video și restricție de acces nu numai pentru cei din afară, ci și pentru majoritatea angajaților companiei. Deci probabilitatea ca un atacator să vină pur și simplu să ia informațiile este aproape de zero.

Așa cum un călător cu experiență, temându-se de jaf, nu își păstrează toți banii și obiectele de valoare într-un singur loc,

Cursuri pe disciplină

Software și hardware pentru securitatea informațiilor

"Securitatea informațiilorîn cloud computing: vulnerabilități, metode și mijloace de protecție, instrumente pentru auditarea și investigarea incidentelor. "

Introducere

1. Istorie și factori cheie de dezvoltare

2. Definiția cloud computing

3. Arhitectura de referinta

4. Acord privind nivelul de servicii

5. Metode și mijloace de protecție în cloud computing

6. Securitatea modelelor cloud

7. Audit de securitate

8. Investigarea incidentelor și criminalistica în cloud computing

9. Modelul de amenințare

10. Standarde internaționale și interne

11. Afilierea teritorială a datelor

12. Standarde de stat

13. Instrumente de securitate în cloud

14. Partea practică

Ieșire

Literatură

Introducere

Viteza în creștere a cloud computing-ului se explică prin faptul că pentru o sumă mică, în general, de bani, clientul are acces la cea mai fiabilă infrastructură cu performanța necesară fără a fi nevoie să achiziționeze, să instaleze și să întrețină calculatoare scumpe.Sistemul ajunge la 99,9. %, care economisește și resursele de calcul. Și ceea ce este mai important - scalabilitate aproape nelimitată. Când achiziționați o găzduire obișnuită și încercați să săriți peste cap (cu o creștere bruscă a încărcăturii), există riscul de a obține un serviciu care a căzut de câteva ore. În cloud, resursele suplimentare sunt furnizate la cerere.

Principala problemă a cloud computing-ului este nivelul negarantat de securitate a informațiilor prelucrate, gradul de securitate al resurselor și, de multe ori, cadrul normativ și legislativ complet absent.

Scopul studiului va fi revizuirea pieței existente de cloud computing și a mijloacelor de asigurare a securității în acestea.

informații de securitate cloud computing

1. Istorie și factori cheie de dezvoltare

Ideea a ceea ce numim acum cloud computing a fost propusă pentru prima dată de J. C. R. Licklider în 1970. În acești ani a fost responsabil pentru crearea ARPANET (Advanced Research Projects Agency Network). Ideea lui era că fiecare persoană de pe pământ va fi conectată la o rețea de la care să primească nu numai date, ci și programe. Un alt om de știință, John McCarthy, a exprimat ideea că puterea de calcul va fi furnizată utilizatorilor ca serviciu (serviciu). În acest moment, dezvoltarea tehnologiilor cloud a fost suspendată până în anii 90, după care o serie de factori au contribuit la dezvoltarea acesteia.

Extinderea lățimii de bandă a internetului în anii 90 nu a permis un salt semnificativ în dezvoltarea tehnologiei cloud, deoarece aproape nicio companie și tehnologie din acea vreme nu era pregătită pentru acest lucru. Cu toate acestea, însuși faptul accelerării internetului a dat impuls dezvoltării rapide a cloud computing-ului.

2. Una dintre cele mai semnificative evoluții în acest domeniu a fost apariția Salesforce.com în 1999. Această companie a fost prima companie care a oferit acces la aplicația sa prin intermediul site-ului. De fapt, această companie a devenit prima companie care și-a furnizat software-ul pe bază de software-as-a-service (SaaS).

Următorul pas a fost dezvoltarea unui serviciu web bazat pe cloud de către Amazon în 2002. Acest serviciu permitea stocarea informațiilor și efectuarea calculelor.

În 2006, Amazon a lansat un serviciu numit Elastic Compute cloud (EC2) ca serviciu web care permitea utilizatorilor săi să ruleze propriile aplicații. Serviciile Amazon EC2 și Amazon S3 au fost primele servicii de cloud computing disponibile.

O altă piatră de hotar în dezvoltarea cloud computing-ului a avut loc după crearea de către Google, o platformă aplicatii Google pentru aplicații web din sectorul de afaceri.

Un rol semnificativ în dezvoltarea tehnologiilor cloud l-au jucat tehnologiile de virtualizare, în special software-ul care vă permite să creați o infrastructură virtuală.

Dezvoltarea hardware-ului a contribuit nu atât la creșterea rapidă a tehnologiilor cloud, cât la disponibilitatea acestei tehnologii pentru întreprinderile mici și persoanele fizice. În ceea ce privește progresul tehnic, crearea de procesoare multi-core și creșterea capacității dispozitivelor de stocare a informațiilor au jucat un rol semnificativ în acest sens.

2. Definiția cloud computing

După cum este definit de Institutul Național de Standarde și Tehnologie din SUA:

Cloud computing (cloud computing) (Englezănor- nor; tehnica de calcul Calculul este un model pentru furnizarea de acces la rețea omniprezent și convenabil, în funcție de necesități, la un grup partajat de resurse de calcul configurabile (de exemplu, rețele, servere, stocare, aplicații și servicii) care pot fi furnizate și eliberate rapid cu un efort minim de gestionare. și necesitatea interacțiunii cu furnizorul de servicii (furnizorul de servicii).

Modelul cloud acceptă disponibilitatea ridicată a serviciilor și este descris de cinci caracteristici de bază (caracteristici esențiale), trei modele de servicii/modele de servicii (modele de servicii) și patru modele de implementare (modele de implementare).

Programele rulează și afișează rezultatele muncii lor într-o fereastră standard de browser web pe un computer local, în timp ce toate aplicațiile și datele lor necesare pentru lucru sunt localizate pe un server la distanță de pe Internet. Calculatoarele care efectuează cloud computing se numesc „cloud computing”. În acest caz, sarcina dintre calculatoarele incluse în „clorul de calcul” este distribuită automat. Cel mai simplu exemplu de cloud computing sunt rețelele p2p.

Pentru a implementa cloud computing, produse software intermediare create de tehnologii speciale. Acestea servesc ca o legătură intermediară între echipament și utilizator și asigură monitorizarea stării echipamentelor și programelor, chiar distribuția sarcinii și alocarea la timp a resurselor din grupul comun. O astfel de tehnologie este virtualizarea în calcul.

Virtualizarea în calcul- procesul de prezentare a unui set de resurse de calcul, sau combinația lor logică, care oferă orice avantaje față de configurația originală. Aceasta este o nouă vizualizare virtuală a resurselor părților componente, nelimitată de implementare, configurație fizică sau locație geografică. De obicei, resursele virtualizate includ puterea de calcul și stocarea datelor. Din punct de vedere științific, virtualizarea este izolarea proceselor de calcul și a resurselor unele de altele.

Un exemplu de virtualizare este multiprocesorul simetric arhitecturi de calculatoare care folosesc mai mult de un procesor. Sistemele de operare sunt de obicei configurate astfel încât mai multe procesoare să apară ca o singură unitate de procesor. Acesta este motivul pentru care aplicațiile software pot fi scrise pentru o singură logică ( virtual) a unui modul de calcul, care este mult mai ușor decât lucrul cu un număr mare de configurații diferite de procesor.

Grid computing este utilizat pentru calcule deosebit de mari și consumatoare de resurse.

Procesare in retea (grilă- grid, network) este o formă de calcul distribuit în care un „supercomputer virtual” este reprezentat ca grupuri de computere eterogene conectate în rețea, slab conectate, care lucrează împreună pentru a îndeplini un număr mare de sarcini (operații, locuri de muncă).

Această tehnologie este folosită pentru a rezolva probleme științifice, matematice care necesită resurse de calcul semnificative. Grid computing este, de asemenea, utilizat în infrastructura comercială pentru a rezolva sarcini care necesită forță de muncă precum prognoza economică, analiza seismică și dezvoltarea și studiul proprietăților noilor medicamente.

Grid din punctul de vedere al organizației de rețea este un mediu consistent, deschis și standardizat care oferă o separare flexibilă, sigură și coordonată a resurselor de calcul și stocare care fac parte din acest mediu în cadrul unei singure organizații virtuale.

Paravirtualizarea este o tehnică de virtualizare care oferă mașinilor virtuale o interfață software similară, dar nu identică cu hardware-ul de bază. Scopul acestei interfețe modificate este de a reduce timpul pe care sistemul de operare invitat îl petrece efectuând operațiuni mult mai dificil de efectuat într-un mediu virtual decât într-unul nevirtualizat.

Există „hooks” (hooks) speciale care permit sistemelor guest și gazdă să solicite și să confirme executarea acestor sarcini complexe, care ar putea fi efectuate într-un mediu virtual, dar mult mai lent.

Hypervisor ( sau Monitorul mașinii virtuale) - în calculatoare, program sau circuit hardware care asigură sau permite executarea simultană, în paralel, a mai multor sisteme de operare sau chiar a mai multor sisteme de operare pe același computer gazdă. Hypervisorul oferă, de asemenea, izolarea sistemelor de operare unele de altele, protecție și securitate, partajarea resurselor între diferite sisteme de operare care rulează și gestionarea resurselor.

De asemenea, hipervizorul poate (dar nu este obligat să) să ofere sisteme de operare care rulează sub el pe același computer gazdă mijloacele de a comunica și de a interacționa între ele (de exemplu, prin partajarea fișierelor sau conexiuni la rețea) ca și cum aceste sisteme de operare ar rula pe diferite sisteme de operare. calculatoare fizice.

Hypervisorul în sine este într-un fel un sistem de operare minim (microkernel sau nanokernel). Oferă sistemelor de operare care rulează sub controlul său un serviciu de mașină virtuală, virtualizând sau emulând un real (fizic) Hardware mașină specifică și gestionează aceste mașini virtuale, alocarea și eliberarea resurselor pentru acestea. Hipervizorul permite „pornirea”, repornirea, „oprirea” independentă a oricărei mașini virtuale cu un anumit sistem de operare. În acest caz, sistemul de operare care rulează într-o mașină virtuală care rulează un hypervisor poate, dar nu este obligat să „știe” că rulează într-o mașină virtuală și nu pe hardware real.

Modele de servicii cloud

Opțiunile pentru furnizarea puterii de calcul sunt foarte diferite. Tot ceea ce este legat de Cloud Computing este de obicei numit cuvântul aaS - pur și simplu înseamnă - „ca serviciu”, adică „ca serviciu”, sau „sub formă de serviciu”.

Software ca serviciu (SaaS) - furnizorul oferă clientului o aplicație gata de utilizare. Aplicațiile sunt accesibile de pe diverse dispozitive client sau prin interfețe de client subțire, cum ar fi un browser web (de exemplu, webmail) sau interfețe de program. Consumatorul nu controlează infrastructura de bază a cloud-ului, inclusiv rețele, servere, sisteme de operare, sisteme de stocare și chiar setări individuale ale aplicațiilor, cu excepția unor setări de configurare a aplicației utilizator.

În cadrul modelului SaaS, clienții plătesc nu pentru deținerea software-ului ca atare, ci pentru închirierea acestuia (adică folosirea lui printr-o interfață web). Astfel, spre deosebire de schema clasică de licențiere a software-ului, clientul suportă costuri recurente relativ mici și nu trebuie să investească fonduri semnificative pentru a achiziționa software și a-l susține. Schema de plată periodică presupune că, dacă nevoia de software este temporar absentă, clientul poate suspenda utilizarea acestuia și poate îngheța plățile către dezvoltator.

Din punctul de vedere al dezvoltatorului, modelul SaaS vă permite să vă ocupați în mod eficient de utilizarea fără licență a software-ului (piraterie), deoarece software-ul în sine nu ajunge la clienții finali. În plus, conceptul de SaaS reduce adesea costul implementării și implementării sistemelor de informații.

Orez. 1 Schemă SaaS tipică

Platforma ca serviciu (PaaS) - furnizorul oferă clientului platforma softwareși instrumente pentru proiectarea, dezvoltarea, testarea și implementarea aplicațiilor utilizator. Consumatorul nu controlează infrastructura cloud subiacentă, inclusiv rețele, servere, sisteme de operare și sisteme de stocare, dar are control asupra aplicațiilor implementate și, eventual, asupra unor setări de configurare a mediului de găzduire.

Orez. 2 Schema tipică PaaS

Infrastructura ca serviciu (IaaS). - Furnizorul oferă clientului spre închiriere resurse de calcul: servere, sisteme de stocare, echipamente de rețea, sisteme de operare și software de sistem, sisteme de virtualizare, sisteme de gestionare a resurselor. Consumatorul nu controlează infrastructura de bază a cloud-ului, dar are control asupra sistemelor de operare, sistemelor de stocare, aplicațiilor implementate și, eventual, control limitat asupra alegerii componentelor rețelei (de exemplu, o gazdă cu firewall-uri).

Orez. 3 Schema IaaS tipică

În plus oferi servicii precum:

Comunicații ca serviciu (Com-aaS) - se înțelege că serviciile de comunicații sunt furnizate ca servicii; de obicei este vorba de telefonie IP, poștă și comunicații instantanee (chat-uri, IM).

Stocare in cloud- utilizatorului i se oferă o anumită cantitate de spațiu pentru a stoca informații. Deoarece informațiile sunt stocate distribuite și duplicate, astfel de stocări oferă un grad mult mai mare de securitate a datelor decât serverele locale.

Workplace as a Service (WaaS) - utilizatorul, având la dispoziție insuficiente computer puternic, poate cumpăra resurse de calcul de la furnizor și își poate folosi computerul ca terminal pentru a accesa serviciul.

Cloud antivirus- o infrastructură care este utilizată pentru a procesa informațiile primite de la utilizatori pentru a recunoaște în timp util amenințările noi, necunoscute anterior. Antivirusul cloud nu necesită acțiuni suplimentare din partea utilizatorului - pur și simplu trimite o solicitare despre un program sau o legătură suspectă. Când un pericol este confirmat, toate acțiunile necesare sunt efectuate automat.

Modele de implementare

Printre modelele de implementare, există 4 tipuri principale de infrastructură

cloud privat - infrastructură destinată utilizării de către o organizație, inclusiv mai mulți consumatori (de exemplu, divizii ale unei organizații), eventual și de către clienții și contractorii acestei organizații. Un cloud privat poate fi deținut, gestionat și operat de către organizație în sine sau de o terță parte (sau o combinație a ambelor) și poate exista fizic atât în ​​interiorul, cât și în afara jurisdicției proprietarului.

Orez. 4 Cloud privat.

cloud public - infrastructură destinată utilizării gratuite de către publicul larg. Un cloud public poate fi deținut, gestionat și operat de organizații comerciale, științifice și guvernamentale (sau orice combinație a acestora). Cloudul public există fizic în jurisdicția proprietarului - furnizorul de servicii.

Orez. 5 Cloud public.

nor hibrid - este o combinație de două sau mai multe infrastructuri cloud diferite (private, publice sau publice) care rămân entități unice, dar sunt interconectate prin date standardizate sau proprietare și tehnologii de aplicație (de exemplu, utilizarea pe termen scurt a resurselor cloud public pentru echilibrarea sarcinii între nori). ).

Orez. 6 Nor hibrid.

Cloud comunitar - un tip de infrastructură conceput pentru a fi utilizat de către o anumită comunitate de clienți din organizații cu obiective comune (de exemplu, misiuni, cerințe de securitate, politici și conformitate cu diverse cerințe). Un cloud public poate fi deținut, gestionat și operat în mod cooperativ de una sau mai multe organizații comunitare sau de o terță parte (sau o combinație a acestora) și poate exista fizic atât în ​​interiorul, cât și în afara jurisdicției proprietarului.

Orez. 7 Descrierea proprietăților norului

Proprietăți de bază

NIST în documentul său „The NIST Definition of Cloud Computing” definește următoarele caracteristici ale norilor:

Self-service la cerere (On-demand self-service). Consumatorul are posibilitatea de a accesa resursele de calcul furnizate în mod unilateral după cum este necesar, automat, fără a fi nevoie să interacționeze cu angajații fiecărui furnizor de servicii.

Acces larg la rețea. Resursele de calcul furnizate sunt disponibile în rețea prin mecanisme standard pentru diverse platforme, clienți subțiri și grosi ( telefoane mobile, tablete, laptopuri, stații de lucru etc.).

Combinarea resurselor în pool-uri (Resource pooling). Resursele de calcul ale furnizorului sunt combinate în pool-uri pentru a deservi mulți consumatori într-un model cu mai mulți chiriași (multi-chiriași). Pool-urile includ diverse resurse fizice și virtuale care pot fi alocate și realocate dinamic în funcție de solicitările consumatorilor. Consumatorul nu trebuie să cunoască locația exactă a resurselor, dar este posibil să specifice locația acestora la un nivel superior de abstractizare (de exemplu, țară, regiune sau centru de date). Exemple de astfel de resurse pot fi sistemele de stocare, puterea de calcul, memoria, debitului retelelor.

Elasticitate instantanee (Elasticitate rapidă). Resursele pot fi furnizate elastic și eliberate, în unele cazuri automat, pentru a se extinde rapid în funcție de cerere. Pentru consumator, posibilitățile de furnizare a resurselor sunt văzute ca nelimitate, adică pot fi însușite în orice cantitate și în orice moment.

Serviciu măsurat. Sistemele cloud gestionează și optimizează automat resursele utilizând metrici ale stratului de abstractizare pentru diferite tipuri de servicii (de exemplu, gestionarea memoriei externe, procesare, gestionarea lățimii de bandă sau sesiuni active de utilizator), atât pentru furnizor, cât și pentru consumator care utilizează serviciul.

Orez. 8 Diagrama bloc a serverului cloud

Avantajele și dezavantajele cloud computing-ului

Avantaje

Cerințe reduse pentru puterea de calcul a computerului (doar accesul la Internet este o condiție indispensabilă);

· toleranta la erori;

· Securitate;

viteza mare de prelucrare a datelor;

· reducerea costurilor pentru hardware și software, întreținere și energie electrică;

· economisire spatiu pe disc(atât datele, cât și programele sunt stocate pe Internet).

· Migrare live - transferul unei mașini virtuale de la un server fizic la altul fără oprirea funcționării mașinii virtuale și oprirea serviciilor.

· La sfârșitul anului 2010, în legătură cu atacurile DDoS împotriva companiilor care au refuzat să ofere resurse WikiLeaks, a devenit evident un alt avantaj al tehnologiei cloud computing. Toate companiile care s-au opus WikiLeaks au fost atacate, dar doar Amazon s-a dovedit a fi insensibil la aceste impacturi, deoarece a folosit instrumente de cloud computing. („Anonim: amenințare gravă sau simplă enervare”, Network Security, N1, 2011).

Defecte

· Dependența siguranței datelor utilizatorilor de companiile care furnizează servicii de cloud computing;

· o conexiune permanentă la rețea – pentru a accesa serviciile din „cloud” aveți nevoie de o conexiune permanentă la Internet. Cu toate acestea, în vremea noastră, acesta nu este un dezavantaj atât de mare, mai ales odată cu apariția tehnologiei. comunicare celulară 3G și 4G.

· software-ul și schimbarea acestuia - există restricții privind software-ul care poate fi implementat pe „nori” și îl oferă utilizatorului. Utilizatorul software-ului are limitări în ceea ce privește software-ul utilizat și uneori nu are capacitatea de a-l personaliza pentru propriile scopuri.

confidențialitate - confidențialitatea datelor stocate pe cloud public este în prezent controversată, dar în majoritatea cazurilor experții sunt de acord că nu este recomandată stocarea celor mai valoroase documente pentru o companie pe un cloud public, deoarece în prezent nu există o tehnologie care să garanteze 100% confidențialitatea datelor stocate, motiv pentru care utilizarea criptării în cloud este o necesitate.

Fiabilitate – în ceea ce privește fiabilitatea informațiilor stocate, putem spune cu încredere că dacă ai pierdut informațiile stocate în „nor”, ​​atunci le-ai pierdut pentru totdeauna.

securitate - „norul” în sine este un sistem destul de fiabil, cu toate acestea, atunci când un atacator îl pătrunde, el obține acces la un depozit de date uriaș. Un alt dezavantaj este utilizarea sistemelor de virtualizare în care sunt utilizate nuclee standard de OS precum Linux, Windows ca hypervisor și altele, care permite utilizarea virușilor.

Cost ridicat al echipamentelor - pentru a construi un cloud propriu al unei companii, este necesar să se aloce resurse materiale semnificative, ceea ce nu este benefic pentru companiile nou create și mici.

3. Arhitectura de referinta

Arhitectura de referință NIST Cloud Computing conține cinci actori principali. Fiecare actor joacă un rol și îndeplinește acțiuni și funcții. Arhitectura de referință este prezentată ca diagrame secvențiale cu niveluri crescânde de detaliu.

Orez. 9 Diagrama conceptuală a arhitecturii de referință

Consumator cloud- o persoană sau organizație care menține o relație de afaceri și utilizează serviciile Furnizorilor de cloud.

Consumatorii cloud sunt împărțiți în 3 grupuri:

· SaaS - folosește aplicații pentru a automatiza procesele de afaceri.

· PaaS - dezvoltă, testează, implementează și gestionează aplicații implementate într-un mediu cloud.

· IaaS - creează, gestionează servicii de infrastructură IT.

Furnizor de cloud- persoana, organizația sau entitatea responsabilă pentru punerea la dispoziție a Serviciului Cloud pentru Consumatorii Cloud.

· SaaS - instalează, gestionează, întreține și furnizează software implementat pe infrastructura cloud.

· PaaS - furnizează și gestionează infrastructura cloud și middleware. Oferă instrumente de dezvoltare și administrare.

· IaaS - furnizează și întreține servere, baze de date, resurse de calcul. Oferă un cadru cloud pentru consumator.

Activitățile furnizorilor de cloud sunt împărțite în principalele 5 acțiuni tipice:

Implementarea serviciului:

o Cloud privat - deservește o singură organizație. Infrastructura este gestionată atât de organizație în sine, cât și de o terță parte și poate fi implementată atât la Furnizor (off premise), cât și la organizație (on premise).

o Cloud partajat – infrastructura este partajată de mai multe organizații cu cerințe similare (securitate, conformitate cu WP).

o Cloud public – infrastructura este utilizată de un număr mare de organizații cu cerințe diferite. Doar off premium.

o Cloud hibrid - infrastructura combină infrastructuri diferite pe principiul tehnologiilor similare.

Managementul serviciilor

o Nivel de serviciu - definește serviciile de bază furnizate de Furnizor.

§ SaaS - o aplicație folosită de Consumator prin accesarea cloud din programe speciale.

§ PaaS - containere pentru aplicații de consum, instrumente de dezvoltare și administrare.

§ IaaS - putere de calcul, baze de date, resurse fundamentale pe deasupra cărora Consumatorul își desfășoară infrastructura.

o Stratul de abstractizare și controlul resurselor

§ Managementul hypervisorului și componentelor virtuale necesare implementării infrastructurii.

o Nivelul resurselor fizice

§ Echipamente informatice

§ Infrastructura de inginerie

o Accesibilitate

o Confidențialitate

o Identificare

o Monitorizarea securității și gestionarea incidentelor

o Politici de securitate

intimitate

o Protecția prelucrării, stocării și transferului datelor cu caracter personal.

Auditor Cloud- un participant care poate efectua o evaluare independentă a serviciilor cloud, întreținerea sistemelor informaționale, performanța și securitatea implementării cloud-ului.

Poate oferi propria evaluare a securității, confidențialității, performanței și a altor lucruri în conformitate cu documentele aprobate.

Orez. 10 Activități ale furnizorului

Cloud Broker- o entitate care gestionează utilizarea, performanța și furnizarea serviciilor cloud, precum și stabilirea de relații între Furnizori și Consumatori.

Odată cu dezvoltarea cloud computingului, integrarea serviciilor cloud poate fi prea dificilă pentru Consumator.

o Mediere de servicii - extinderea unui serviciu dat și furnizarea de noi oportunități

o Agregare - combinarea diverselor servicii pentru a furniza Consumatorului

Cloud Carrier- un intermediar care furnizează servicii de conexiune și transport (servicii de comunicații) pentru furnizarea de servicii cloud de la Furnizori către Consumatori.

Oferă acces prin intermediul dispozitivelor de comunicare

Oferă nivelul de conexiune conform SLA.

Dintre cei cinci actori prezentați, un cloud broker este opțional, deoarece consumatorii cloud pot primi servicii direct de la furnizor de cloud.

Introducerea actorilor se datorează necesității de a stabili relația dintre subiecți.

4. Acord privind nivelul de servicii

Service Level Agreement - un document care descrie nivelul de serviciu pe care un client îl așteaptă de la un furnizor, pe baza indicatorilor aplicabili acest serviciu, și stabilirea responsabilității furnizorului în cazul în care indicatorii conveniți nu sunt atinși.

Iată câțiva indicatori care se găsesc într-o formă sau alta în documentele operatorului:

ASR (Raportul de criză răspuns) - un parametru care determină calitatea unei conexiuni telefonice într-o direcție dată. ASR se calculează ca procent din numărul de conexiuni telefonice stabilite ca urmare a apelurilor la numărul total de apeluri efectuate într-o direcție dată.

PDD (întârziere după apelare) - parametru care definește perioada de timp (în secunde) scursă din momentul apelului până în momentul stabilirii conexiunii telefonice.

Raportul de disponibilitate a serviciului- raportul dintre timpul de întrerupere a prestării serviciilor și timpul total în care serviciul ar trebui să fie furnizat.

Raportul de pierdere a pachetelor- raportul dintre pachetele de date primite corect și numărul total de pachete care au fost transmise prin rețea într-o anumită perioadă de timp.

Întârzieri în transmiterea pachetelor de informații- timpul necesar pentru a transfera un pachet de informații între două dispozitive din rețea.

Fiabilitatea transferului de informații- raportul dintre numărul de pachete de date transmise eronat și numărul total de pachete de date transmise.

Perioadele de lucru, timpul de notificare a abonaților și timpul de restabilire a serviciilor.

Cu alte cuvinte, disponibilitatea serviciului de 99,99% indică faptul că operatorul garantează nu mai mult de 4,3 minute de întrerupere a comunicațiilor pe lună, 99,9% - că serviciul nu poate fi furnizat timp de 43,2 minute și 99% - că întreruperea poate dura mai mult de 7 ore. În unele practici, disponibilitatea rețelei este limitată și se presupune o valoare mai mică a parametrului - în timpul orelor de lucru. Pentru diferite tipuri de servicii (clase de trafic) sunt oferite de asemenea sensuri diferite indicatori. De exemplu, pentru o voce, indicatorul de întârziere este cel mai important - ar trebui să fie minim. Și are nevoie de o viteză mică, plus că unele pachete se pot pierde fără pierderi de calitate (până la aproximativ 1% în funcție de codec). Pentru transferul de date, viteza este pe primul loc, iar pierderile de pachete ar trebui să tindă spre zero.

5. Metode și mijloace de protecție în cloud computing

Confidențialitatea trebuie menținută pe tot parcursul lanțului, inclusiv furnizorul soluției „cloud”, consumatorul și comunicațiile care îi conectează.

Sarcina Furnizorului este de a asigura atât integritatea fizică, cât și cea software a datelor de la încălcarea de către terți. Consumatorul trebuie să pună în aplicare politici și proceduri adecvate „pe teritoriul său” care să excludă transferul drepturilor de acces la informații către terți.

Sarcinile de asigurare a integrității informațiilor în cazul utilizării aplicațiilor individuale „cloud” pot fi rezolvate - datorită arhitecturilor moderne de baze de date, sistemelor Rezervă copie, algoritmi de verificare a integrității și alte soluții industriale. Dar asta nu este tot. Pot apărea noi probleme atunci când vine vorba de integrarea mai multor aplicații cloud de la diferiți furnizori.

În viitorul apropiat, pentru companiile care au nevoie de un mediu virtual securizat, singura cale de ieșire va fi crearea unui sistem cloud privat. Cert este că cloud-urile private, spre deosebire de sistemele publice sau hibride, seamănă cel mai mult cu infrastructurile virtualizate pe care departamentele IT ale marilor corporații au învățat deja să le implementeze și pe care le pot salva. control total. Lipsa securității informațiilor în sistemele cloud publice este o problemă serioasă. Cele mai multe incidente de hacking au loc în norii publici.

6. Securitatea modelelor cloud

Nivelul de risc în cele trei modele de cloud este foarte diferit, iar modul de abordare a problemelor de securitate diferă, de asemenea, în funcție de nivelul de interacțiune. Cerințele de securitate rămân aceleași, dar în diferite modele, SaaS, PaaS sau IaaS, nivelul de control al securității se modifică. Din punct de vedere logic, nimic nu se schimbă, dar posibilitățile de implementare fizică sunt radical diferite.

Orez. 11. Cele mai relevante amenințări la adresa securității cibernetice

în modelul SaaS, aplicația rulează pe o infrastructură cloud și este disponibilă printr-un browser web. Clientul nu controlează rețeaua, serverele, sistemele de operare, stocarea datelor sau chiar unele caracteristici ale aplicației. Din acest motiv, în modelul SaaS, responsabilitatea principală pentru securitate revine aproape în totalitate furnizorilor.

Problema numărul 1 este gestionarea parolelor. Într-un model SaaS, aplicațiile se află în cloud, deci riscul principal este utilizarea mai multor conturi pentru a accesa aplicații. Organizațiile pot rezolva această problemă prin unificarea conturilor pentru sistemele cloud și locale. Când folosesc sistemul de conectare unică, utilizatorii au acces la stațiile de lucru și serviciile cloud folosind un singur cont. Această abordare reduce șansa de a avea conturi „blocate” care sunt supuse utilizării neautorizate după plecarea angajaților.

După cum a explicat CSA, PaaS presupune că clienții creează aplicații folosind limbaje de programare și instrumente acceptate de furnizor și apoi le implementează pe infrastructura cloud. Ca și în cazul modelului SaaS, clientul nu poate gestiona sau controla infrastructura - rețele, servere, sisteme de operare sau sisteme de stocare - dar are control asupra implementării aplicațiilor.

Într-un model PaaS, utilizatorii trebuie să acorde atenție securității aplicațiilor, precum și problemelor de gestionare a API-ului, cum ar fi controlul accesului, autorizarea și validarea.

Problema numărul 1 este criptarea datelor. Modelul PaaS este în mod inerent sigur, dar riscul constă în performanța insuficientă a sistemului. Motivul este că atunci când comunicați cu furnizorii PaaS, se recomandă utilizarea criptării, iar aceasta necesită putere suplimentară a procesorului. Cu toate acestea, în orice soluție, transferul datelor sensibile ale utilizatorului trebuie să fie efectuat pe un canal criptat.

În timp ce clienții nu au control asupra infrastructurii cloud de bază aici, ei au control asupra sistemelor de operare, stocării datelor și implementării aplicațiilor și, poate, control limitat asupra alegerii componentelor de rețea.

Acest model are mai multe caracteristici de securitate încorporate fără a proteja infrastructura în sine. Aceasta înseamnă că utilizatorii trebuie să gestioneze și să securizeze sistemele de operare, aplicațiile și conținutul, de obicei prin intermediul API-urilor.

Dacă acest lucru este tradus în limba metodelor de protecție, atunci furnizorul trebuie să furnizeze:

Control de acces fiabil la infrastructura în sine;

Reziliența infrastructurii.

În același timp, consumatorul de cloud își asumă multe mai multe funcții de protecție:

· firewall în cadrul infrastructurii;

Protecție împotriva intruziunilor în rețea

protecția sistemelor de operare și a bazelor de date (controlul accesului, protecția împotriva vulnerabilităților, controlul setărilor de securitate);

protecția aplicațiilor finale (protecție antivirus, control acces).

Astfel, majoritatea masurilor de protectie cad pe umerii consumatorului. Furnizorul poate oferi recomandări standard pentru protecție sau soluții gata făcute, care vor simplifica sarcina utilizatorilor finali.

Tabel 1. Delimitarea responsabilitatii pentru asigurarea securitatii intre client si furnizorul de servicii. (P - furnizor, K - client)

	Server Enterprise
Aplicație
Date
Timp de rulare
Middleware
Sistem de operare
Virtualizare
Servere
Depozitele de date
hardware de rețea

7. Audit de securitate

Sarcinile auditorului cloud nu sunt în esență diferite de sarcinile unui auditor al sistemelor convenționale. Auditul de securitate în cloud este împărțit în Audit furnizor și Audit utilizator. Auditul Utilizatorului se efectuează la cererea Utilizatorului, în timp ce auditul Furnizorului este una dintre cele mai importante condiții pentru a face afaceri.

Se compune din:

Initierea procedurii de audit;

colectarea informațiilor de audit;

analiza datelor de audit;

intocmirea unui raport de audit.

În etapa de inițiere a procedurii de audit, problemele privind autoritatea auditorului și momentul auditului trebuie rezolvate. De asemenea, trebuie stipulată asistența obligatorie a angajaților către auditor.

În general, auditorul efectuează un audit pentru a determina fiabilitatea

sisteme de virtualizare, hypervisor;

· servere;

stocarea datelor;

echipamente de rețea.

Dacă Furnizorul de pe serverul verificat utilizează modelul IaaS, atunci această verificare va fi suficientă pentru a identifica vulnerabilități.

Când se utilizează modelul PaaS, trebuie efectuate verificări suplimentare

· sistem de operare,

software-ul de conectare

mediu de rulare.

Când se utilizează modelul SaaS, sunt verificate și vulnerabilitățile

sisteme de stocare și procesare a datelor,

aplicatii.

Auditul de securitate este efectuat folosind aceleași metode și instrumente ca și auditul obișnuit al serverului. Dar, spre deosebire de un server obișnuit în tehnologiile cloud, hipervizorul este verificat suplimentar pentru stabilitate. În tehnologiile cloud, hipervizorul este una dintre tehnologiile principale și, prin urmare, auditului său ar trebui să i se acorde o importanță deosebită.

8. Investigarea incidentelor și criminalistica în cloud computing

Măsurile de securitate a informațiilor pot fi împărțite în preventive (de exemplu, criptare și alte mecanisme de control al accesului) și reactive (investigații). Aspectul proactiv al securității în cloud este un domeniu de cercetare activă, în timp ce aspectul reactiv al securității în cloud a primit mult mai puțină atenție.

Investigarea incidentelor (inclusiv investigarea infracțiunilor din sfera informațională) este o ramură binecunoscută a securității informațiilor. Obiectivele unor astfel de investigații sunt de obicei:

Dovada că infracțiunea/incidentul a avut loc

Recuperarea evenimentelor din jurul incidentului

Identificarea infractorilor

Dovezi privind implicarea și responsabilitatea infractorilor

Dovada intenției necinstite din partea infractorilor.

A apărut o nouă disciplină - criminalistica informatico-tehnică (sau criminalistica), având în vedere necesitatea analizei criminalistice a sistemelor digitale. Obiectivele criminalisticii informatice sunt, în general, următoarele:

Restaurarea datelor care ar fi putut fi șterse

Recuperarea evenimentelor care au avut loc în interiorul și în afara sistemelor digitale asociate incidentului

Identificarea utilizatorilor sistemului digital

Detectarea prezenței virușilor și a altor programe rău intenționate

Detectarea prezenței materialelor și programelor ilegale

Schimbarea parolelor, cheilor de criptare și codurilor de acces

În mod ideal, criminalistica computerizată este un fel de mașină a timpului pentru investigator, care se poate muta în orice moment în trecutul unui dispozitiv digital și poate oferi cercetătorului informații despre:

persoanele care au folosit dispozitivul într-un anumit moment

acțiunile utilizatorului (de exemplu, deschiderea documentelor, accesarea unui site web, introducerea datelor într-un procesor de text etc.)

date stocate, create și procesate de dispozitiv la un moment dat.

Serviciile cloud care înlocuiesc dispozitivele digitale offline ar trebui să ofere un nivel similar de pregătire criminalistică. Cu toate acestea, acest lucru necesită depășirea provocărilor de pooling de resurse, multi-tenancy și elasticitatea infrastructurii de cloud computing. Instrumentul principal în investigarea incidentelor este pista de audit.

Jurnalele de audit - concepute pentru a controla istoricul înregistrării utilizatorilor în sistem, efectuarea sarcinilor administrative și modificările datelor - sunt o parte esențială a sistemului de securitate. În cloud computing, pista de audit în sine nu este doar un instrument pentru investigații, ci și un instrument pentru calcularea costului utilizării serverelor. Deși pista de audit nu elimină găurile de securitate, ea vă permite să priviți ce se întâmplă cu un ochi critic și să formulați propuneri pentru corectarea situației.

Crearea de arhive și copii de siguranță este importantă, dar nu poate înlocui o pistă de audit formală care înregistrează cine a făcut ce, când și când. Pista de audit este unul dintre instrumentele principale ale unui auditor de securitate.

Acordul de servicii menționează de obicei ce jurnale de audit vor fi menținute și furnizate Utilizatorului.

9. Modelul de amenințare

În 2010, CSA a efectuat o analiză a principalelor amenințări de securitate din cloud. Rezultatul muncii lor a fost documentul „Top threats of Cloud Computing v 1.0” în care cel mai complet acest moment sunt descrise modelul amenințării și modelul intrusului. O a doua versiune mai completă a acestui document este în curs de dezvoltare.

Documentul actual descrie atacatorii pentru cele trei modele de servicii SaaS, PaaS și IaaS. Au fost identificați 7 vectori principali de atac. În cea mai mare parte, toate tipurile de atacuri luate în considerare sunt atacuri inerente serverelor convenționale, „non-cloud”. Infrastructura cloud le impune anumite caracteristici. Deci, de exemplu, atacurile asupra vulnerabilităților din partea software a serverelor sunt completate de atacuri asupra hypervisorului, care este și partea lor software.

Amenințare de securitate #1

Utilizarea ilegală și necinstită a tehnologiilor cloud.

Descriere:

Pentru a obține resurse de la un furnizor de cloud IaaS, utilizatorul trebuie să aibă doar un card de credit. Ușurința înregistrării și furnizarea de resurse permite spammerilor, scriitorilor de viruși etc. folosesc serviciul cloud în scopurile lor criminale. Anterior, acest tip de atac a fost observat doar în PaaS, dar studiile recente au arătat posibilitatea utilizării IaaS pentru atacuri DDOS, găzduirea codului rău intenționat, crearea de rețele botnet și multe altele.

Exemplele de servicii au fost folosite pentru a crea o rețea de botnet bazată pe troianul „Zeus”, pentru a stoca codul calului troian „InfoStealer” și pentru a posta informații despre diverse vulnerabilități în MS Office și AdobePDF.

În plus, rețelele botnet folosesc IaaS pentru a-și gestiona colegii și pentru a trimite spam. Din această cauză, unele servicii IaaS au fost incluse pe lista neagră, iar utilizatorii lor au fost complet ignorați de serverele de e-mail.

Îmbunătățirea procedurilor de înregistrare a utilizatorilor

Îmbunătățirea procedurilor de verificare Carduri de creditși monitorizarea utilizării mijloacelor de plată

Studiu cuprinzător al activității în rețea a utilizatorilor serviciilor

· Urmărirea listelor negre principale pentru apariția unei rețele de furnizori de cloud acolo.

Modele de service afectate:

Amenințare de securitate #2

Interfețe de programare nesigure (API)

Descriere:

Furnizorii de infrastructură cloud oferă utilizatorilor un set de interfețe software pentru a gestiona resurse, mașini virtuale sau servicii. Securitatea întregului sistem depinde de securitatea acestor interfețe.

Accesul anonim la interfață și transmiterea acreditărilor în text clar sunt principalele semne distinctive ale interfețelor de programare nesigure. Capacitatea limitată de a monitoriza utilizarea API-ului, lipsa sistemelor de înregistrare și relațiile necunoscute între diferite servicii nu fac decât să mărească riscul de a fi piratat.

Efectuați o analiză a modelului de securitate al furnizorului de cloud

Asigurați-vă că sunt utilizați algoritmi puternici de criptare

Asigurați-vă că sunt utilizate metode puternice de autentificare și autorizare

· Înțelegeți întregul lanț de dependență dintre diferite servicii.

Modele de service afectate:

Amenințare de securitate #3

Insideri

Descriere:

Problema accesului ilegal la informații din interior este extrem de periculoasă. Adesea, din partea furnizorului, nu a fost implementat un sistem de monitorizare a activității angajaților, ceea ce înseamnă că un atacator poate obține acces la informațiile clienților folosind poziția sa oficială. Întrucât furnizorul nu își dezvăluie politica de recrutare, amenințarea poate veni atât de la un hacker amator, cât și de la o structură criminală organizată care s-a infiltrat în rândurile angajaților furnizorului.

În prezent, nu există exemple de acest tip de abuz.

Implementați reguli stricte de achiziție a echipamentelor și utilizați sisteme adecvate de detectare a intruziunilor

Reglementarea regulilor de angajare a salariaților în contractele publice cu utilizatorii

Crearea unui sistem de securitate transparent, odată cu publicarea rapoartelor privind auditul de securitate al sistemelor interne ale furnizorului

Modele de service afectate:

Orez. 12 Exemplu de persoane din interior

Amenințare de securitate #4

Vulnerabilități în tehnologiile cloud

Descriere:

Furnizorii de servicii IaaS folosesc abstracția resurselor hardware prin sisteme de virtualizare. Cu toate acestea, este posibil ca hardware-ul să nu fie proiectat pentru a face față resurselor partajate. Pentru a minimiza impactul acestui factor, hypervisorul controlează accesul mașinii virtuale la resursele hardware, dar chiar și hipervizorii pot avea vulnerabilități grave care pot duce la escaladarea privilegiilor sau accesul neautorizat la hardware-ul fizic.

Pentru a proteja sistemele de astfel de probleme, este necesar să se implementeze mecanisme de izolare a mediului virtual și sisteme de detectare a defecțiunilor. Utilizatorii mașinii virtuale nu ar trebui să poată accesa resursele partajate.

Există exemple vulnerabilități potențiale, precum și metode teoretice pentru ocolirea izolării în medii virtuale.

Implementarea celor mai avansate metode de instalare, configurare și protejare a mediilor virtuale

Utilizarea sistemelor de detectare a intruziunilor

Aplicarea unor reguli puternice de autentificare și autorizare pentru lucrări administrative

Cerințe mai stricte pentru momentul aplicării patch-urilor și actualizărilor

· Efectuarea în timp util a procedurilor pentru scanarea și detectarea vulnerabilităților.

Amenințare de securitate #5

Pierderea sau scurgerea de date

Descriere:

Pierderea datelor se poate întâmpla din o mie de motive. De exemplu, distrugerea deliberată a cheii de criptare va avea ca rezultat irecuperarea informațiilor criptate. Ștergerea datelor sau a unor părți de date, accesul neautorizat la informații importante, modificarea înregistrărilor sau eșecul mediilor de stocare sunt, de asemenea, exemple de astfel de situații. Într-o infrastructură cloud complexă, probabilitatea fiecăruia dintre evenimente crește datorită interacțiunii strânse a componentelor.

Aplicarea greșită a regulilor de autentificare, autorizare și audit, utilizarea greșită a regulilor și metodelor de criptare și defecțiunea echipamentului pot duce la pierderea sau scurgerea datelor.

Utilizarea unui API fiabil și sigur

Criptarea și protecția datelor transmise

Analiza modelului de protecție a datelor în toate etapele de funcționare a sistemului

Implementarea unui sistem securizat de gestionare a cheilor de criptare

Selectarea și achiziționarea doar a celor mai de încredere suporturi

Asigurați backup în timp util a datelor

Modele de service afectate:

Amenințare de securitate #6

Furtul de identitate și accesul neautorizat la serviciu

Descriere:

Acest tip de amenințare nu este nou. Milioane de utilizatori se ocupă de el în fiecare zi. Scopul principal al atacatorilor este numele de utilizator (login) și parola acestuia. În contextul sistemelor cloud, furtul de parole și nume de utilizator crește riscul utilizării datelor stocate în infrastructura cloud a furnizorului. Deci, atacatorul are posibilitatea de a folosi reputația victimei pentru activitățile sale.

・Interzicerea transferului conturilor

Utilizarea metodelor de autentificare cu doi factori

Implementarea monitorizării proactive a accesului neautorizat

· Descrierea modelului de securitate al furnizorului de cloud.

Modele de service afectate:

Amenințare de securitate #7

Alte vulnerabilități

Descriere:

Utilizarea tehnologiilor cloud pentru a face afaceri permite companiei să se concentreze asupra afacerii sale, lăsând grija infrastructurii și serviciilor IT în seama furnizorului de cloud. Atunci când își face publicitate serviciului, un furnizor de cloud încearcă să arate toate posibilitățile, dezvăluind în același timp detaliile implementării. Aceasta poate fi o amenințare serioasă, deoarece cunoașterea infrastructurii interne oferă unui atacator oportunitatea de a găsi o vulnerabilitate nepatchată și de a ataca sistemul. Pentru a evita astfel de situații, este posibil ca furnizorii de cloud să nu ofere informații despre amenajare interioara Cu toate acestea, această abordare nu contribuie la creșterea încrederii, deoarece utilizatorii potențiali nu au posibilitatea de a evalua gradul de securitate a datelor. În plus, această abordare limitează capacitatea de a găsi și elimina în timp util vulnerabilitățile.

· Refuzul Amazon de a efectua un audit de securitate în cloud EC2

Vulnerabilitatea în software-ul de procesare care a dus la piratarea sistemului de securitate al centrului de date Hearthland

Dezvăluirea datelor de jurnal

Dezvăluirea completă sau parțială a arhitecturii sistemului și a detaliilor software-ului instalat

· Utilizarea sistemelor de monitorizare a vulnerabilităților.

Modele de service afectate:

1. Temei juridic

Potrivit experților, 70% dintre problemele de securitate din cloud pot fi evitate dacă întocmiți corect un contract de prestare a serviciilor.

Cloud Bill of Rights poate servi drept bază pentru un astfel de acord.

Cloud Bill of Rights a fost dezvoltat în 2008 de James Urquhart. A publicat pe blogul său acest material, care a stârnit atât de mult interes și controverse, încât autorul își actualizează periodic „manuscrisul” în concordanță cu realitățile.

Articolul 1 (parțial): Clienții își dețin datele

· Niciun producător (sau furnizor) nu va discuta, în timpul interacțiunii cu clienții de orice fel, drepturile asupra oricăror date încărcate, create, generate, modificate sau în alt mod, drepturile asupra cărora clientul le are.

· Producătorii ar trebui să ofere inițial o posibilitate minimă de acces la datele clienților în etapa de dezvoltare a soluțiilor și serviciilor.

· Clienții își dețin datele, ceea ce înseamnă că aceștia sunt responsabili pentru a se asigura că datele respectă reglementările legale și legile.

· Deoarece respectarea utilizării datelor, problemele de securitate și siguranță sunt foarte importante, este necesar ca clientul să determine locația geografică a propriilor date. În caz contrar, producătorii trebuie să ofere utilizatorilor toate garanțiile că datele lor vor fi stocate în conformitate cu toate regulile și reglementările.

Articolul 2: Producătorii și Clienții dețin și gestionează în comun nivelurile de servicii din sistem

· Producătorii dețin și trebuie să facă totul pentru a îndeplini nivelul de servicii pentru fiecare client în mod individual. Toate resursele necesare și eforturile depuse pentru a atinge nivelul adecvat de serviciu în lucrul cu clienții ar trebui să fie gratuite pentru client, adică să nu fie incluse în costul serviciului.

· Clienții, la rândul lor, sunt responsabili și dețin nivelul de serviciu oferit propriilor clienți interni și externi. Atunci când se utilizează soluțiile producătorului pentru a-și furniza propriile servicii - responsabilitatea clientului și nivelul unui astfel de serviciu nu ar trebui să depindă în totalitate de producător.

· Acolo unde este necesară integrarea între sistemele producătorului și clientului, producătorii ar trebui să ofere clienților posibilitatea de a monitoriza procesul de integrare. Dacă clientul are standarde corporative pentru integrarea sistemelor informaționale, producătorul trebuie să respecte aceste standarde.

· În niciun caz producătorii nu trebuie să închidă conturile clienților pentru declarații politice, discurs inadecvat, comentarii religioase, decât dacă este contrar legislației specifice, nu este o expresie a urii etc.

Articolul 3: Producătorii își dețin interfețele

· Producătorii nu sunt obligați să furnizeze interfețe standard sau open source, cu excepția cazului în care se specifică altfel în acordurile cu clienții. Producătorii dețin drepturi asupra interfețelor. Dacă producătorul nu consideră că este posibil să ofere clientului posibilitatea de a modifica interfața într-un limbaj de programare familiar, clientul poate achiziționa servicii de modificare a interfeței de la producător sau de la dezvoltatori terți în conformitate cu propriile cerințe.

· Clientul are însă dreptul de a utiliza serviciul achiziționat în scopuri proprii, precum și de a-și extinde capacitățile, de a-l replica și de a-l îmbunătăți. Acest alineat nu eliberează clienții de răspunderea legii brevetelor și a drepturilor de proprietate intelectuală.

Cele trei articole de mai sus sunt bazele pentru clienți și producători în cloud. Puteți citi textul lor integral în domeniul public pe Internet. Desigur, acest proiect de lege nu este un document legal complet, cu atât mai puțin unul oficial. Articolele sale pot fi modificate și extinse în orice moment, la fel cum articole noi pot fi adăugate în factură. Aceasta este o încercare de a oficializa „proprietatea” în cloud pentru a standardiza cumva acest domeniu de cunoștințe și tehnologie iubitor de libertate.

Relația dintre părți

Până în prezent, cel mai bun expert în domeniul securității în cloud este Cloud Security Alliance (CSA). Această organizație a lansat și a actualizat recent un ghid care include sute de nuanțe și cele mai bune practici de luat în considerare atunci când se evaluează riscul în cloud computing.

O altă organizație ale cărei activități afectează aspectele de securitate în cloud este Trusted Computing Group (TCG). Ea este autoarea mai multor standarde în acest domeniu și în alte domenii, inclusiv Trusted Storage, Trusted Network Connect (TNC) și Trusted Platform Module (TPM), care sunt utilizate pe scară largă astăzi.

Aceste organizații au dezvoltat în comun o serie de probleme pe care clientul și furnizorul trebuie să le rezolve la încheierea unui contract. Aceste întrebări vor rezolva majoritatea problemelor la utilizarea cloud-ului, forța majoră, schimbarea furnizorilor de servicii cloud și alte situații.

1. Siguranța datelor stocate. Cum asigură furnizorul de servicii siguranța datelor stocate?

Cea mai bună măsură pentru a proteja datele aflate în stocare este utilizarea tehnologiilor de criptare. Furnizorul trebuie să cripteze întotdeauna informațiile despre clienți stocate pe serverele sale pentru a preveni accesul neautorizat. Furnizorul trebuie, de asemenea, să șteargă definitiv datele atunci când acestea nu mai sunt necesare și nu vor fi solicitate în viitor.

2. Protecția datelor în timpul transmiterii. Cum asigură furnizorul siguranța datelor în timpul transferului acestora (în interiorul cloudului și pe drumul de la / către cloud)?

Datele transmise trebuie să fie întotdeauna criptate și disponibile pentru utilizator numai după autentificare. Această abordare asigură că aceste date nu pot fi modificate sau citite de nicio persoană, chiar dacă aceasta obține acces la ele prin noduri nede încredere din rețea. Aceste tehnologii au fost dezvoltate pe parcursul a „mii de ani om” și au rezultat în protocoale și algoritmi robusti (de exemplu, TLS, IPsec și AES). Furnizorii ar trebui să folosească aceste protocoale, nu să le inventeze pe ale lor.

3. Autentificare. Cum știe furnizorul identitatea clientului?

Cea mai comună metodă de autentificare este protecția prin parolă. Cu toate acestea, furnizorii care doresc să ofere clienților lor o securitate mai mare apelează la instrumente mai puternice, cum ar fi certificate și jetoane. Odată cu utilizarea unor mijloace de autentificare mai hackabile, furnizorii trebuie să poată lucra cu standarde precum LDAP și SAML. Acest lucru este necesar pentru a asigura interacțiunea furnizorului cu sistemul de identificare a utilizatorului clientului la autorizarea și determinarea autorizațiilor eliberate utilizatorului. Datorită acestui fapt, furnizorul va avea întotdeauna informații actualizate despre utilizatorii autorizați. Cea mai proastă opțiune este atunci când clientul oferă ISP-ului o listă specifică de utilizatori autorizați. De regulă, în acest caz, atunci când un angajat este concediat sau mutat într-o altă funcție, pot apărea dificultăți.

4. Izolarea utilizatorilor. Cum sunt separate datele și aplicațiile unui client de datele și aplicațiile altor clienți?

Cea mai bună opțiune: atunci când fiecare dintre clienți utilizează o mașină virtuală individuală (Mașină virtuală - VM) și rețea virtuală. Separarea între VM și, prin urmare, între utilizatori, este asigurată de hypervisor. Rețelele virtuale, la rândul lor, sunt implementate folosind tehnologii standard precum VLAN (Virtual Local Area Network), VPLS (Virtual Private LAN Service) și VPN (Virtual Private Network).

Unii furnizori plasează datele tuturor clienților într-un singur mediu software și, din cauza modificărilor codului acestuia, încearcă să izoleze datele clienților unul de celălalt. O astfel de abordare este nesăbuită și nesigură. În primul rând, un atacator poate găsi o gaură în codul non-standard care îi permite să acceseze date pe care nu ar trebui să le vadă. În al doilea rând, o eroare în cod poate face ca un client să „vadă” accidental datele altui client. În ultima vreme au fost ambele cazuri. Prin urmare, pentru a diferenția datele utilizatorilor, utilizarea diferitelor mașini virtuale și rețele virtuale este un pas mai rezonabil.

5. Probleme de reglementare. În ce măsură respectă furnizorul legile și reglementările aplicabile industriei cloud computing?

În funcție de jurisdicție, legile, reglementările și orice prevederi speciale pot diferi. De exemplu, acestea pot interzice exportul de date, pot solicita utilizarea unor măsuri de securitate bine definite, respectarea anumitor standarde și capacitatea de audit. În cele din urmă, acestea pot solicita ca departamentele guvernamentale și sistemul judiciar să poată accesa informațiile dacă este necesar. Atitudinea neglijentă a furnizorului față de aceste puncte poate duce clienții săi la costuri semnificative din cauza consecințelor legale.

Furnizorul este obligat să respecte reguli stricte și să adere la o strategie unificată în sfera legală și de reglementare. Acest lucru se aplică securității datelor utilizatorilor, exportului acestora, respectării standardelor, auditării, stocării și ștergerii datelor, precum și dezvăluirii informațiilor (aceasta din urmă este valabilă mai ales atunci când informațiile mai multor clienți pot fi stocate pe un server fizic). Pentru a afla, clienții sunt sfătuiți cu insistență să solicite ajutor de la specialiști care vor studia această problemă în detaliu.

6. Răspuns la incidente. Cum răspunde furnizorul la incidente și în ce măsură pot fi implicați clienții săi în incident?

Uneori nu totul merge conform planului. Prin urmare, furnizorul de servicii este obligat să respecte reguli specifice de conduită în cazul unor circumstanțe neprevăzute. Aceste reguli trebuie să fie documentate. Furnizorii trebuie să fie implicați în identificarea incidentelor și minimizarea consecințelor acestora, informând utilizatorii despre situația actuală. În mod ideal, aceștia ar trebui să ofere în mod regulat clienților informații cât mai detaliate despre problemă. În plus, clienții înșiși trebuie să evalueze probabilitatea unor probleme de securitate și să ia măsurile necesare.

10. Standarde internaționale și interne

Evoluția cloud computing-ului este înaintea creării și modificării standardelor industriale necesare, dintre care multe nu au fost actualizate de mulți ani. Prin urmare, legislația în domeniul tehnologiilor cloud este unul dintre cei mai importanți pași pentru asigurarea securității.

IEEE, una dintre cele mai mari organizații de dezvoltare de standarde, a anunțat lansarea unui proiect special în domeniul cloud computing Cloud Computing Initiative. Aceasta este prima inițiativă internațională de standardizare a cloud-ului - până acum, standardele de cloud computing au fost dominate de consorții din industrie. Inițiativa include în prezent 2 proiecte: IEEE P2301 (tm), „Draft Guidelines for Cloud Portability and Interoperability Profiles” și IEEE P2302 (tm) – „Draft Standard for Cloud Interoperability and Federation”.

În cadrul Asociației de Dezvoltare a Standardelor IEEE, au fost create 2 noi grupuri de lucru pentru a lucra la proiectele IEEE P2301 și, respectiv, IEEE P2302. IEEE P2301 va conține profiluri ale standardelor existente și în curs de dezvoltare pentru aplicații, portabilitate, management și interoperabilitate, precum și formate de fișiereși acorduri de exploatare. Informațiile din document vor fi structurate logic în funcție de diferite grupuri de public țintă: furnizori, furnizori de servicii și alți participanți interesați de pe piață. Este de așteptat ca, atunci când este finalizat, standardul să poată fi utilizat în achiziția, dezvoltarea, construcția și utilizarea produselor și serviciilor cloud bazate pe tehnologii standard.

Standardul IEEE P2302 va descrie topologia de bază, protocoalele, funcționalitatea și tehnicile de management necesare pentru a interopera între diferite structuri cloud (de exemplu, între un cloud privat și unul public, cum ar fi EC2). Acest standard va permite furnizorilor de produse și servicii cloud să beneficieze de economii de scară, oferind în același timp transparență utilizatorilor de servicii și aplicații.

ISO pregătește un standard special dedicat securității cloud computingului. Obiectivul principal al noului standard este soluționarea problemelor organizaționale legate de cloud. Cu toate acestea, din cauza complexității procedurilor de aprobare ISO, versiunea finală a documentului ar trebui să fie lansată abia în 2013.

Valoarea documentului este că nu numai organizațiile guvernamentale (NIST, ENISA) sunt implicate în pregătirea acestuia, ci și reprezentanți ai comunităților și asociațiilor de experți, precum ISACA și CSA. Mai mult, un document conține recomandări atât pentru furnizorii de servicii cloud, cât și pentru consumatorii acestora - organizațiile client.

Scopul principal al acestui document este de a descrie în detaliu cele mai bune practici legate de utilizarea cloud computing în ceea ce privește securitatea informațiilor. În același timp, standardul nu se concentrează doar pe aspecte tehnice, ci mai degrabă pe aspecte organizaționale care nu trebuie uitate atunci când se trece la cloud computing. Aceasta este împărțirea drepturilor și responsabilităților și semnarea de acorduri cu terți, precum și gestionarea activelor deținute de diferiți participanți la procesul „cloud”, precum și problemele de gestionare a personalului și așa mai departe.

Noul document încorporează în mare măsură materiale dezvoltate anterior în industria IT.

Guvernul australian

După câteva luni de brainstorming, guvernul australian a lansat un set de ghiduri de migrare cloud computing. Aceste ghiduri au fost postate pe blogul Australian Government Information Management Office (AGIMO) pe 15 februarie 2012.

Pentru a facilita migrarea companiilor către cloud, au fost făcute recomandări cu privire la cele mai bune practici pentru utilizarea serviciilor cloud, în lumina cerințelor din 1997, Ghidurile de bune practici pentru managementul financiar și Actul de responsabilitate din 1997. Ghidurile tratează în general probleme financiare, juridice și de protecție a datelor.

Orientările vorbesc despre necesitatea de a monitoriza și controla în mod constant utilizarea serviciilor cloud prin analiza zilnică a facturilor și a rapoartelor. Acest lucru va ajuta la evitarea „trișurilor” ascunse și a deveni dependentă de furnizorii de servicii cloud.

Primul ghid se numește Privacy and Cloud Computing pentru agențiile guvernamentale australiene, 9 pagini. Acest document se concentrează pe probleme de confidențialitate și securitate a datelor.

Pe lângă acest ghid, Negotiating the Cloud - Legal Issues in Cloud Computing Agreements, 19 pagini a fost, de asemenea, pregătit pentru a vă ajuta să înțelegeți prevederile incluse în contracte.

Ultimul, al treilea ghid, Considerații financiare pentru utilizarea cloud computing de către guvern, pagina 6, analizează problemele financiare pe care o companie ar trebui să le ia în considerare dacă decide să folosească cloud computing în activitățile sale de afaceri.

În plus față de cele acoperite în ghid, există o serie de alte probleme care trebuie abordate atunci când se utilizează cloud computing, inclusiv probleme legate de guvern, achiziții și politica de management al afacerilor.

Comentariul public asupra acestui document de politică oferă părților interesate o oportunitate de a lua în considerare și de a comenta următoarele probleme de îngrijorare:

· Acces neautorizat la informații clasificate;

Pierderea accesului la date;

neasigurarea integrității și autenticității datelor și

· Înțelegerea aspectelor practice asociate cu furnizarea de servicii cloud.

11. Afilierea teritorială a datelor

Există o serie de reglementări în diferite țări care impun ca datele sensibile să rămână în țară. Și deși stocarea datelor într-un anumit teritoriu, la prima vedere, nu este o sarcină dificilă, furnizorii de servicii cloud adesea nu pot garanta acest lucru. În sistemele cu un grad ridicat de virtualizare, datele și mașinile virtuale se pot muta dintr-o țară în alta pentru diverse scopuri - echilibrare a încărcăturii, toleranță la erori.

Unii jucători importanți de pe piața SaaS (cum ar fi Google, Symantec) pot oferi o garanție a stocării datelor în țara respectivă. Dar acestea sunt mai degrabă excepții; în general, îndeplinirea acestor cerințe este încă destul de rară. Chiar dacă datele rămân în țară, clienții nu au nicio modalitate de a verifica acest lucru. În plus, nu trebuie să uităm de mobilitatea angajaților companiei. Dacă un specialist care lucrează la Moscova este trimis la New York, atunci este mai bine (sau cel puțin mai rapid) pentru el să primească date de la un centru de date din SUA. Asigurarea acestui lucru este o sarcină de ordin de mărime mai dificilă.

12. Standarde de stat

În prezent, în țara noastră nu există un cadru de reglementare serios pentru tehnologii cloud deși dezvoltările în acest domeniu sunt deja în curs. Deci, prin ordinul președintelui Federației Ruse nr. 146 din 8 februarie 2012. a stabilit că autoritățile executive federale autorizate în domeniul securității datelor în sisteme de informare, create folosind tehnologii de supercomputer și grid, sunt FSB-ul Rusiei și FSTEC-ul Rusiei.

În legătură cu acest decret, competențele acestor servicii au fost extinse. FSB al Rusiei elaborează și aprobă acum documente de reglementare și metodologice privind aspectele asigurării securității acestor sisteme, organizând și desfășurând cercetări în domeniul securității informațiilor.

Serviciul efectuează, de asemenea, expertiză criptografică, inginerie-criptografică și studii speciale ale acestor sisteme informaționale și pregătește opinii de specialitate cu privire la propunerile de lucru la crearea acestora.

Documentul mai precizează că FSTEC din Rusia elaborează o strategie și determină domeniile prioritare pentru asigurarea securității informațiilor în sistemele informaționale create cu ajutorul tehnologiilor de supercomputer și rețea care procesează date cu acces restricționat și, de asemenea, monitorizează starea lucrărilor pentru a asigura securitatea numită.

FSTEC a comandat un studiu, în urma căruia a apărut o versiune beta a sistemului de terminologie în domeniul „tehnologiilor cloud”

După cum puteți înțelege, întregul sistem terminologic este o traducere adaptată a două documente: „Focus Group on Cloud Computing Technical Report” și „The NIST Definition of Cloud Computing”. Ei bine, faptul că aceste două documente nu sunt foarte consistente unul cu celălalt este o problemă separată. Și vizual, este încă clar: în „sistemul terminologic” rusesc, autorii pur și simplu nu au furnizat link-uri către aceste documente în limba engleză pentru început.

Faptul este că, pentru o astfel de muncă, trebuie mai întâi să discutați despre conceptul, scopurile și obiectivele, metodele de soluționare a acestora. Sunt multe întrebări și comentarii. Principala remarcă metodologică: este necesar să se formuleze foarte clar ce problemă rezolvă acest studiu, scopul său. Voi observa imediat că „crearea unui sistem terminologic” nu poate fi un scop, este un mijloc, ci realizarea a ceea ce nu este încă foarte clar.

Ca să nu mai vorbim de faptul că un studiu normal ar trebui să includă o secțiune „revizuire a stării actuale a lucrurilor”.

Este dificil să discutăm rezultatele studiului fără a cunoaște formularea originală a problemei și modul în care autorii ei au rezolvat-o.

Dar o greșeală fundamentală a Sistemului de Terminologie este clar vizibilă: nu se poate discuta „subiecte tulburi” izolat de cele „neînnorate”. În afara contextului IT general. Dar acest context nu este vizibil în studiu.

Și rezultatul este că în practică un astfel de sistem terminologic va fi imposibil de aplicat. Nu poate decât să încurce și mai mult situația.

13. Instrumente de securitate în cloud

Sistemul de securitate cloud server în configurația sa minimă ar trebui să asigure securitatea echipamentelor de rețea, stocarea datelor, serverului și hypervisorului. În plus, este posibil să plasați un antivirus într-un nucleu dedicat pentru a preveni infectarea hypervisorului printr-o mașină virtuală, un sistem de criptare a datelor pentru stocare informații despre utilizatorîn formă criptată și mijloace pentru implementarea tunelului criptat între serverul virtual și mașina client.

Pentru a face acest lucru, avem nevoie de un server care acceptă virtualizarea. Soluții de acest fel sunt oferite de Cisco, Microsoft, VMWare, Xen, KVM.

De asemenea, este permisă utilizarea server clasic, și oferă virtualizare pe acesta folosind un hypervisor.

Orice servere cu procesoare compatibile sunt potrivite pentru virtualizarea sistemului de operare pentru platformele x86-64.

O astfel de soluție va simplifica tranziția la virtualizarea computerelor fără a face investiții financiare suplimentare în upgrade-uri hardware.

Schema de lucru:

Orez. 11. Un exemplu de server „cloud”.

Orez. 12. Reacția serverului la defecțiunea echipamentului

În acest moment, piața pentru protecția cloud computing este încă destul de goală. Și acest lucru nu este surprinzător. În absența unui cadru de reglementare și a incertitudinii viitoarelor standarde, companiile de dezvoltare nu știu unde să-și concentreze eforturile.

Cu toate acestea, chiar și în astfel de condiții, apar sisteme software și hardware specializate care fac posibilă securizarea structurii cloud de principalele tipuri de amenințări.

Încălcarea integrității

Hacking prin hypervisor

Insideri

Identificare

· Autentificare

Criptare

Acord-V

Sistem hardware și software Acord-V. conceput pentru a proteja infrastructura de virtualizare VMware vSphere 4.1, VMware vSphere 4.0 și VMware Infrastructure 3.5.

Acord-V. oferă protecție pentru toate componentele mediului de virtualizare: servere ESX și mașinile virtuale în sine, servere de management vCenter și servere suplimentare cu servicii VMware (de exemplu, VMware Consolidated Backup).

Următoarele mecanisme de protecție sunt implementate în sistemul hardware și software Akkord-V:

· Controlul pas cu pas al integrității hypervisorului, mașinilor virtuale, fișierelor din interiorul mașinilor virtuale și serverelor de gestionare a infrastructurii;

· Diferențierea accesului pentru administratorii de infrastructură virtuală și administratorii de securitate;

· Diferențierea accesului utilizatorilor în cadrul mașinilor virtuale;

· Identificarea hardware a tuturor utilizatorilor și administratorilor infrastructurii de virtualizare.

· INFORMAȚII DESPRE PREZENȚA CERTIFICATELOR:

Certificatul de conformitate al FSTEC din Rusia nr. 2598 din 20 martie 2012 atestă că complexul software și hardware Akkord-V. pentru protejarea informațiilor împotriva accesului neautorizat este un instrument software și hardware pentru protejarea informațiilor care nu conține informații care constituie un stat secret împotriva accesului neautorizat, respectă cerințele documentelor de reglementare „Facilități computerizate. Protecție împotriva accesului neautorizat la informații. Indicatori de securitate împotriva accesului neautorizat la informații” (Comisia tehnică de stat a Rusiei, 1992) - conform 5 clasa de securitate, "Protecția împotriva accesului neautorizat la informații. Partea 1. Software de securitate a informațiilor. Clasificarea după nivelul de control al absenței capacităților nedeclarate" (Comisia Tehnică de Stat a Rusiei, 1999) - conform 4 nivelul de control și specificațiile tehnice TU 4012-028-11443195-2010, putând fi, de asemenea, utilizat pentru a crea sisteme automatizate până la clasa de securitate 1G inclusiv și pentru a proteja informațiile din sistemele de informații cu date cu caracter personal până la clasa 1 inclusiv.

vGate R2

vGate R2 este un mijloc certificat de protejare a informațiilor împotriva accesului neautorizat și de monitorizare a implementării politicilor de securitate a informațiilor pentru infrastructura virtuală bazată pe VMware vSphere 4 și VMware vSphere 5.S R2 este o versiune de produs aplicabilă pentru protejarea informațiilor în infrastructurile virtuale ale statului. companiile al căror IP este revendicat cerințe pentru utilizarea facilităților de securitate a informațiilor cu un nivel ridicat de certificare.

Vă permite să automatizați munca administratorilor pentru configurarea și operarea sistemului de securitate.

Ajută la rezistența erorilor și abuzurilor în gestionarea infrastructurii virtuale.

Vă permite să aduceți infrastructura virtuală în conformitate cu legislația, standardele din industrie și cele mai bune practici mondiale.

<#"783809.files/image017.gif"> <#"783809.files/image018.gif"> <#"783809.files/image019.gif"> <#"783809.files/image020.gif"> Orez. 13 Caracteristici declarate ale vGate R2 Astfel, în rezumat, iată principalele instrumente pe care le are vGate R2 pentru a proteja centrul de date al furnizorului de servicii de amenințările interne venite de la propriii administratori: Separarea tehnică și organizatorică a puterilor administratorilor vSphere Alocarea unui rol separat al administratorului de securitate a informațiilor care va gestiona securitatea resurselor centrului de date bazate pe vSphere Separarea cloud-ului în zone de securitate, în care operează administratorii cu nivelul corespunzător de autoritate Monitorizarea integrității mașinilor virtuale Posibilitatea oricând de a primi un raport privind securitatea infrastructurii vSphere, precum și de a audita evenimentele de securitate a informațiilor În principiu, acesta este aproape tot ceea ce este necesar pentru a proteja infrastructura unui centru de date virtual de amenințările interne din punctul de vedere al infrastructurii virtuale în sine. Desigur, veți avea nevoie și de protecție la nivel de hardware, aplicații și OS invitat, dar aceasta este o altă problemă, care este rezolvată și prin intermediul produselor Security Code.<#"783809.files/image021.gif"> Orez. 14. Structura serverului. Pentru a asigura siguranța la un astfel de obiect, este necesar să se asigure siguranța, conform Tabelului 2. Pentru aceasta vă sugerez să utilizați software vGate R2. Vă va permite să rezolvați probleme precum: · Autentificare mai puternică a administratorilor de infrastructură virtuală și a administratorilor de securitate a informațiilor. · Protecția instrumentelor de management al infrastructurii virtuale împotriva accesului neautorizat. · Protejarea serverelor ESX împotriva accesului neautorizat. · Controlul accesului obligatoriu. · Monitorizarea integrității configurației mașinilor virtuale și a pornirii de încredere. · Controlul accesului administratorilor VI la datele mașinilor virtuale. · Înregistrarea evenimentelor legate de securitatea informațiilor. · Controlul integrității și protecția împotriva accesului neautorizat la componentele IPS. · Gestionare și monitorizare centralizată. Tabelul 2. Potrivirea nevoilor de securitate pentru modelul PaaS Certificatul FSTEC al Rusiei (SVT 5, NDV 4) permite utilizarea produsului în sisteme automatizate nivelul de securitate până la clasa 1G inclusiv și în sistemele de informații cu date personale (ISPD) până la clasa K1 inclusiv. Costul acestei soluții va fi de 24.500 de ruble pentru 1 procesor fizic pe gazda protejată. În plus, pentru a vă proteja împotriva persoanelor din interior, va trebui să instalați o alarmă antiefracție. Aceste soluții sunt furnizate bogat pe piața de protecție a serverelor. Prețul unei astfel de soluții cu acces limitat la o zonă controlată, un sistem de alarmă și supraveghere video variază de la 200.000 de ruble și mai mult De exemplu, să luăm suma de 250.000 de ruble. Pentru a proteja mașinile virtuale de infecții virale, un nucleu de server va rula McAfee Total Protection for Virtualization. Costul soluției este de la 42.200 de ruble. Pentru a preveni pierderea datelor de pe stocare, vor fi utilizate Sistemul Symantec netbackup. Vă permite să faceți copii de siguranță ale informațiilor și imaginilor sistemului. Costul total al unui astfel de proiect va fi: O implementare bazată pe Microsoft a unei astfel de soluții de proiectare poate fi descărcată de aici: http://www.microsoft.com/en-us/download/confirmation. aspx? id=2494 Ieșire „Tehnologiile cloud” este una dintre zonele cele mai în curs de dezvoltare ale pieței IT în prezent. Dacă ritmul de creștere a tehnologiei nu scade, atunci până în 2015 vor aduce peste 170 de milioane de euro pe an în trezoreria țărilor europene. În țara noastră, tehnologiile cloud sunt tratate cu prudență. Acest lucru se datorează parțial rigidității opiniilor conducerii, parțial neîncrederii în securitate. Dar această specie tehnologiile, cu toate avantajele și dezavantajele lor, este o nouă locomotivă a progresului IT. Pentru aplicația „de cealaltă parte a norului” nu contează dacă îți faci cererea pe un computer cu procesor x86 de la Intel, AMD, VIA sau o faci pe un telefon sau smartphone bazat pe Freescale, OMAP, procesor Tegra ARM. În plus, în general, nu va conta pentru el dacă rulați sisteme de operare Linux. Google Chrome, OHA Android, Intel Moblin, Windows CE, Windows Windows mobil XP/Vista/7 sau folosiți ceva și mai exotic pentru asta. Dacă cererea a fost făcută corect și înțeles, iar sistemul dumneavoastră ar putea „stăpâni” răspunsul primit. Problema securității este una dintre principalele în cloud computing și soluția acesteia va îmbunătăți calitativ nivelul serviciilor în sfera computerelor. Cu toate acestea, mai sunt multe de făcut în această direcție. La noi, merită să începem cu un singur glosar de termeni pentru întregul domeniu IT. Dezvoltați standarde bazate pe experiența internațională. Prezentați cerințe pentru sistemele de protecție. Literatură 1. Considerații financiare pentru utilizarea de către guvern a cloud computing - Guvernul australian 2010. 2. Confidențialitate și cloud computing pentru agențiile guvernamentale australiene 2007. Negocierea cloud - probleme legale în acordurile de cloud computing 2009. Jurnalul „Știința modernă: probleme actuale de teorie și practică” 2012. Lucrări similare cu - Securitatea informațiilor în cloud computing: vulnerabilități, metode și mijloace de protecție, instrumente pentru auditarea și investigarea incidentelor

GRIGORIEV1 Vitaly Robertovich, candidat la științe tehnice, profesor asociat KUZNETSOV2 Vladimir Sergeevich

PROBLEME DE IDENTIFICARE A VULNERABILITĂȚII ÎN MODELUL DE CLOUD COMPUTING

Articolul oferă o privire de ansamblu asupra abordărilor pentru construirea unui model conceptual de cloud computing, precum și o comparație a opiniilor existente privind identificarea vulnerabilităților care sunt inerente sistemelor construite pe baza acestui model. Cuvinte cheie Cuvinte cheie: cloud computing, vulnerabilitate, nucleu amenințării, virtualizare.

Scopul acestui articol este de a revizui abordările de construire a cadrului de cloud computing prezentate în documentul NIST Cloud Computing Reference Architecture și de a compara opiniile organizațiilor de top în domeniu cu privire la vulnerabilitățile acestui model de calcul, precum și ale actorilor importanți din cloud computing. piaţă.

Cloud computing este un model care oferă acces la rețea convenabil, la cerere, la resurse de calcul configurabile partajate (rețele, servere, stocare de date, aplicații și servicii) care este furnizat rapid cu efort minim pentru a gestiona și a interacționa cu furnizorul de servicii. Această definiție a Institutului Național de Standarde (NIST) este acceptată pe scară largă în întreaga industrie. Definiția cloud computing include cinci caracteristici de bază de bază, trei modele de servicii și patru modele de implementare.

Cinci caracteristici principale

Autoservire la cerere

Utilizatorii pot obține, controla și gestiona resursele de calcul fără ajutorul administratorilor de sistem. Acces larg la rețea - serviciile de calcul sunt furnizate prin rețele standard și dispozitive eterogene.

Elasticitate operațională - 1T-

resursele pot fi scalate rapid în orice direcție, după cum este necesar.

Pool de resurse - resursele IT sunt partajate între diferite aplicații și utilizatori într-o manieră fără legătură.

Costul serviciilor - utilizarea resurselor IT este urmărită per aplicație și per utilizator, de obicei pentru a oferi facturare publică în cloud și facturare internă pentru utilizarea cloudului privat.

Trei modele de service

Software ca serviciu (SaaS) - Aplicațiile sunt de obicei furnizate ca serviciu utilizatorilor finali printr-un browser web. Există sute de oferte SaaS astăzi, de la aplicații orizontale pentru întreprinderi până la oferte specifice industriei, precum și aplicații pentru consumatori, cum ar fi e-mailul.

Platform as a Service (PaaS) - O platformă de dezvoltare și implementare a aplicațiilor este oferită ca serviciu dezvoltatorilor pentru a crea, implementa și gestiona aplicații SaaS. Platforma include de obicei baze de date, middleware și instrumente de dezvoltare, toate furnizate ca un serviciu prin Internet. PaaS se concentrează adesea pe un limbaj de programare sau API, cum ar fi Java sau Python. Arhitectura de cluster virtualizată a calculatoarelor distribuite servește adesea drept bază pentru sisteme

1 - Universitatea Tehnică de Stat din Moscova MIREA, conferențiar al Departamentului de Securitate Informațională;

2 - Moscova Universitate de stat Radioelectronică și Automatizare (MGTU MIREA), student.

RaaYa, deoarece structura rețelei a resursei rețelei oferă scalabilitatea elastică și punerea în comun a resurselor necesare. Infrastructură ca serviciu (IaaS) - Serverele, stocarea și hardware-ul de rețea sunt furnizate ca serviciu. Acest hardware de infrastructură este adesea virtualizat, astfel încât virtualizarea, managementul și software-ul sistemului de operare sunt, de asemenea, elemente ale IAA.

Patru modele de implementare

Cloudurile private sunt destinate exclusiv utilizării unei singure organizații și sunt de obicei controlate, gestionate și găzduite de centre de date private. Găzduirea și gestionarea cloud-urilor private pot fi externalizate către un furnizor de servicii extern, dar adesea

Noul cloud rămâne în uzul exclusiv al unei singure organizații. Clouduri publice - partajate de multe organizații (utilizatori), întreținute și gestionate de furnizori externi de servicii.

Nori de grup - folosit de un grup de organizații asociate care doresc să profite de un mediu de cloud computing partajat. De exemplu, un grup ar putea fi format din diferite ramuri ale forțelor armate, din toate universitățile dintr-o anumită regiune sau din toți furnizorii unui mare producător.

Nori hibride - apar atunci când o organizație folosește atât un cloud privat, cât și unul public pentru aceeași aplicație, pentru a profita de ambele. De exemplu, în scenariul „averse”, organizația utilizatorului în cazul unei încărcări standard a aplicației

folosește cloud-ul privat, iar atunci când încărcarea atinge vârfuri, de exemplu, la sfârșitul trimestrului sau în perioada sărbătorilor, folosește potențialul cloud-ului public, returnând ulterior aceste resurse în pool-ul general atunci când nu sunt necesare.

Pe fig. 1 este un model conceptual de cloud computing conform documentului NIST Cloud Computing Reference Architecture. Conform celui prezentat în Fig. 1 din modelul din standard, se disting principalii participanți la sistemul cloud: consumator cloud, furnizor cloud, auditor cloud, broker cloud, intermediar cloud. Fiecare participant este o persoană sau organizație care își îndeplinește funcțiile în implementarea sau furnizarea de cloud computing. Un consumator de cloud este o persoană sau o organizație care menține interacțiuni de afaceri cu alții

consumator de cloud

Auditor Cloud

C Audit L I Siguranță J

I Audit de confidențialitate I Confidențialitate J

(Audit al serviciilor prestate J

furnizor de cloud

Complex de niveluri

Nivel de utilizator

^ Serviciu ca serviciu ^ ^ Platformă ca serviciu ^ Infrastructură ca serviciu)

strat de abstractie

Strat fizic

serviciu cloud

^J Suport ^J Personalizare

Portabilitate

Cloud Broker

Mediator cloud

Orez. 1. Model conceptual dezvoltat de specialiștii NIST

rețele și utilizează servicii de la furnizorii de cloud. Furnizor de cloud - o persoană, organizație sau orice persoană responsabilă de disponibilitatea serviciilor oferite consumatorilor interesați. Auditor cloud - un participant care poate efectua evaluări independente ale serviciilor cloud, serviciilor și securității implementării cloud. Un broker cloud este un participant care gestionează utilizarea, performanța și livrarea către un consumator de servicii cloud și negociază interacțiunile dintre furnizorii de cloud și consumatorii de cloud. Intermediar cloud - un intermediar care asigură comunicarea și livrarea de servicii cloud între furnizorii de cloud și consumatorii cloud.

Avantajele și problemele cloud computingului

Sondajele recente ale specialiștilor din domeniul tehnologiilor IT arată că cloud computing oferă două avantaje principale în organizarea serviciilor distribuite – viteza și costul. Cu acces offline la un pool de resurse de calcul, utilizatorii pot fi implicați în procesele de care sunt interesați în câteva minute, și nu în săptămâni sau luni, așa cum era cazul înainte. Schimbarea capacității de calcul se face rapid și datorită arhitecturii grid scalabile elastic a mediului de calcul. Întrucât în ​​cloud computing utilizatorii plătesc doar pentru ceea ce folosesc, iar scalabilitatea și automatizarea ating un nivel ridicat, raportul dintre cost și eficiența serviciilor oferite este, de asemenea, un factor foarte atractiv pentru toți participanții la procesele de schimb.

Aceleași sondaje arată că există o serie de considerente puternice care împiedică unele companii să treacă la cloud. Printre aceste considerații, problemele de securitate cloud computing conduc cu o marjă largă.

Pentru o evaluare adecvată a securității în sistemele cloud, este logic să explorezi opiniile cu privire la amenințările din acest domeniu ale principalilor jucători de pe piață. Comparăm abordările actuale ale amenințărilor din cloud prezentate în Foaia de parcurs pentru standardele de cloud computing NIST cu abordările IBM, Oracle și VmWare.

Standard de securitate pentru cloud computing adoptat de Institutul Național de Standarde ^ VD SUA

Foaia de parcurs pentru standardele de cloud computing NIST acoperă posibile tipuri potențiale de atacuri asupra serviciilor de cloud computing:

♦ compromiterea confidențialității și disponibilității datelor transmise de furnizorii de cloud;

♦ atacuri care provin din caracteristicile și capacitățile structurale ale mediului de cloud computing pentru a amplifica și crește daunele cauzate de atacuri;

♦ Acces neautorizat al consumatorilor (prin autentificare sau autorizare incorectă, sau vulnerabilități introduse prin periodic întreținere) la software-ul, datele și resursele utilizate de un consumator autorizat serviciu cloud;

♦ creșterea nivelului atacuri de rețea, precum DoS, exploatarea software-ului, a cărui dezvoltare nu a ținut cont de modelul de amenințare pentru resursele distribuite de internet, precum și de vulnerabilitățile din resursele care erau accesibile din rețelele private;

♦ oportunități limitate de criptare a datelor într-un mediu cu un număr mare de participanți;

♦ portabilitatea rezultată din utilizarea API-urilor non-standard care îngreunează migrarea unui consumator de cloud către un nou furnizor de cloud atunci când cerințele de disponibilitate nu sunt îndeplinite;

♦ Atacurile care exploatează abstracția fizică a resurselor cloud și exploatează punctele slabe ale înregistrărilor și procedurilor de audit;

♦ atacuri asupra mașinilor virtuale care nu au fost actualizate corespunzător;

♦ atacuri care exploatează inconsecvențele în politicile globale și private de securitate.

Standardul evidențiază, de asemenea, principalele sarcini de securitate pentru cloud computing:

♦ protecția datelor utilizatorului împotriva accesului, dezvăluirii, modificării sau vizualizării neautorizate; presupune sprijinirea serviciului de identitate în așa fel încât consumatorul să aibă capacitatea de a efectua politica de identificare și control al accesului asupra utilizatorilor autorizați care au acces la serviciile cloud; această abordare implică capacitatea consumatorului de a oferi acces la datele sale în mod selectiv altor utilizatori;

♦ protecție împotriva amenințărilor lanțului de aprovizionare; include confirmarea gradului de încredere și fiabilitate al furnizorului de servicii în aceeași măsură ca și gradul de încredere al software-ului și hardware-ului utilizat;

♦ prevenirea accesului neautorizat la resursele de cloud computing; include crearea de domenii securizate care sunt separate logic de resurse (de exemplu, separarea logic a sarcinilor de lucru care rulează pe același server fizic printr-un hypervisor într-un mediu multi-chiriat) și utilizarea configurațiilor implicite sigure;

♦ dezvoltarea de aplicații web desfășurate în cloud pentru modelul de amenințare al resurselor distribuite de Internet și încorporarea caracteristicilor de securitate în procesul de dezvoltare a software-ului;

♦ protejarea browserelor de internet de atacuri pentru a atenua slăbiciunile de securitate ale utilizatorilor finali; include luarea de măsuri pentru a vă securiza conexiunea la internet calculatoare personale bazat pe utilizarea de software securizat, firewall-uri (firewall-uri) și instalarea periodică a actualizărilor;

♦ implementarea tehnologiilor de control al accesului și de detectare a intruziunilor

furnizor de cloud și efectuarea unei evaluări independente pentru a verifica disponibilitatea acestuia; include (dar nu se limitează la) măsuri tradiționale de securitate a perimetrului combinate cu un model de securitate a domeniului; Securitatea tradițională a perimetrului include restricționarea accesului fizic la rețea și dispozitive, protejarea componentelor individuale împotriva exploatării prin implementarea actualizărilor, setarea implicită a majorității setărilor de securitate, dezactivarea tuturor porturilor și serviciilor neutilizate, utilizarea controlului accesului bazat pe roluri, monitorizarea înregistrărilor de audit, reducerea la minimum a privilegiilor utilizate , folosind pachete antivirus și criptarea conexiunilor;

♦ stabilirea limitelor de încredere între furnizorii de servicii și consumatori pentru a se asigura că responsabilitatea autorizată pentru asigurarea securității este clară;

♦ suport pentru portabilitate, care se realizează astfel încât consumatorul să aibă posibilitatea de a schimba furnizorul de cloud în cazurile în care trebuie să îndeplinească cerințele de integritate, disponibilitate, confidențialitate; aceasta include posibilitatea de a închide un cont în acest moment și de a copia datele de la un furnizor de servicii la altul.

Astfel, NIST Cloud Computing Standards Roadmap adoptată de NIST definește lista de baza atacuri asupra sistemelor cloud și o listă a principalelor sarcini care ar trebui

rezolvate prin utilizare

măsurile relevante.

Să formulăm amenințările la adresa securității informațiilor din sistemul cloud:

♦ Y1 - amenințare (compromis, accesibilitate etc...) la adresa datelor;

♦ U2 - ameninţări generate de caracteristicile structurii şi capacităţile arhitecturii pentru implementarea calculului distribuit;

♦ P4 - ameninţări asociate unui model de ameninţare incorect;

♦ P5 - amenințări asociate cu utilizarea incorectă a criptării (este necesară utilizarea criptării într-un mediu în care există mai multe fluxuri de date);

♦ Y6 - amenințări asociate cu utilizarea API-urilor non-standard în dezvoltare;

♦ V7 - amenințări de virtualizare;

♦ P8 - amenințări care exploatează inconsecvențele în politicile globale de securitate.

O perspectivă IBM asupra securității cloud computing

Documentul Recomandări IBM pentru implementarea securității în cloud ne permite să tragem concluzii despre opiniile privind securitatea formate de experții IBM. Pe baza acestui document, putem extinde lista de amenințări propusă anterior și anume:

♦ У9 - amenințări legate de accesul terților la resurse/sisteme fizice;

♦ U10 - amenințări asociate cu eliminarea incorectă ( ciclu de viață) Informații personale;

♦ U11 - amenințări asociate cu încălcarea legilor regionale, naționale și internaționale referitoare la informațiile prelucrate.

Abordări IBM, Oracle și VmWare pentru securitatea cloud computing

Documentația furnizată de aceste companii și care descrie punctele de vedere privind securitatea în sistemele lor nu oferă amenințări fundamental diferite de cele de mai sus.

În tabel. Tabelul 1 enumeră principalele clase de vulnerabilități formulate de companii în produsele lor. Tab. 1 vă permite să vedeți lipsa acoperirii complete a amenințărilor în companiile studiate și să formulați „nucleul de amenințare” creat de companii în sistemele lor cloud:

♦ amenințarea datelor;

♦ ameninţări bazate pe structura/capacităţile de calcul distribuit;

♦ ameninţări asociate unui model de ameninţare incorect;

♦ amenințări de virtualizare.

Concluzie

O prezentare generală a principalelor clase de vulnerabilități ale platformei cloud ne permite să concluzionam că în prezent nu există soluții gata făcute pentru a proteja pe deplin cloud-ul datorită varietății de atacuri care folosesc aceste vulnerabilități.

Trebuie remarcat faptul că tabelul construit al claselor de vulnerabilitate (Tabelul 1), integrând abordările liderilor

Tabelul 1. Clase de vulnerabilitate

Sursa amenințări declarate

U1 U2 U3 U4 U5 U6 U7 U8 U9 U10 U11

NIST + + + + + + + + - - -

IBM + + + + + - + - + + +

Soare/Oracol + + + + - - + - - + -

VmWare + + + + - - + - - - -

această industrie a jucătorilor nu se limitează la amenințările prezentate în ea. Deci, de exemplu, nu reflectă amenințările asociate cu estomparea granițelor dintre mediile cu diferite niveluri de confidențialitate a datelor, precum și estomparea granițelor de responsabilitate pentru securitatea informațiilor dintre consumatorul de servicii și furnizorul de cloud.

Devine evident că pentru a implementa un sistem cloud complex, trebuie dezvoltată protecția pentru o anumită implementare. De asemenea, importantă pentru implementarea calculului securizat în medii virtuale este lipsa standardelor FSTEC și FSB pentru sistemele cloud. „Miezul amenințării” identificat în lucrare are sens să fie folosit în studiu

rezolvarea problemei construirii unui model unificat de clase de vulnerabilitate. Acest articol este de natură de prezentare generală, în viitor este planificat să se analizeze în detaliu clasele de amenințări asociate virtualizării, să dezvolte abordări pentru crearea unui sistem de protecție care să prevină potențial implementarea acestor amenințări.

Literatură

1. Ghid de securitate în cloud Recomandări IBM pentru implementarea securității în cloud, ibm.com/redbooks, 2 noiembrie 2009.

2. http://www.vmware.com/technical-resources/security/index.html.

3. NIST Cloud. Computing Reference Architecture, Institutul Național de Standarde și. Tehnologie, publicație specială. 500-292, septembrie 2011.

4. NIST Cloud. Computing Standards Roadmap, Institutul Național de Standarde și. Tehnologie, publicație specială. 500-291, iulie 2011.

5. http://www.oracle.com/technetwork/indexes/documentation/index.html.