Проблемы информационной безопасности при использовании "облачных" технологий
В статье проводится обзор проблем информационной безопасности и потенциальных угроз, которым могут быть подвергнуты данные и приложения, развернутые в "облаке"
Облачные вычисления (англ. cloud computing) -- технология распределенной обработки данных, в которой компьютерные ресурсы и мощности предоставляются пользователю как Интернет-сервис.
По оценкам экспертов потенциал облачных вычислений очень высок. Несмотря на очевидные преимущества, главные проблемы использования облачных технологий связаны с безопасностью.
Проанализируем некоторые проблемы информационной безопасности, возникающие при использовании облачных вычислений
Пользовательский доступ. Эта проблема возникает из-за того, что данные обрабатываются вне предприятия. Соответственно, невозможно контролировать людей, которые обслуживают данные в облаке.
Соответствие установленным требованиям. Клиент данных сервисов все равно в конечном итоге оказывается ответственным за сохранность своей информации, даже когда сохранность обеспечена провайдером. Конечно, поставщики услуг подвергаются аудитам и сертификации, но некоторые могут от них уклониться. Соответственно проверка сертификации провайдеров ложится полностью на клиентов.
Расположение данных. Когда используется облако, неизвестно, на каких серверах будут расположены данные, и под какую юрисдикцию они попадут.
Сегрегация данных. Поскольку данные из облака могут перемешиваться с данными других пользователей, то возникает проблема перемешивания данных.
Восстановление. Пользователи не знают, на каких серверах расположены их данные, то внезапная чрезвычайная ситуация может все данные уничтожить.
Поддержка исследований. Специалисты предупреждают, что в облаке особенно трудно отследить незаконную деятельность.
Жизнеспособность. Клиенты не могут быть уверены, что случится с их данными, если у провайдера что-то сломается или он будет поглощен более крупной фирмой.
Как можно заметить "облачные" вычисления, несмотря на явное удобство, обладают и существенными недостатками в области безопасности, Чтобы быть готовыми ко всем неожиданностям данных сервисов, нужно серьезно проанализировать все возможные угрозы.
Хотя изначально облачные вычисления были связаны с общедоступными веб-проектами - порталами, однако по мере развития распределенных отказоустойчивых веб-систем их начали использовать и для решения внутрикорпоративных задач. В то же время корпоративные системы начали консолидироваться в центры обработки данных, которые было проще и дешевле обслуживать.
Однако выделять на каждый элемент облака отдельный сервер было бы неэффективно - не все элементы облака нагружены одинаково, поэтому параллельно начала развиваться индустрия виртуализации. В публичных облаках она оказалась достаточно популярной, поскольку позволила разграничивать права доступа и обеспечивала быстрый перенос элемента распределенной системы на другой аппаратный носитель. Без виртуализации облачные вычисления были бы менее динамичными и масштабируемыми, поэтому сейчас облака, как правило, состоят из виртуальных машин.
Следует выделить следующие классы угроз при использовании облачных вычислений:
Традиционные атаки на ПО. Они связанные с уязвимостью сетевых протоколов, операционных систем, модульных компонент и других. Это традиционные угрозы, для защиты от которых достаточно установить антивирус, межсетевой экран и др. Важно, чтобы эти средства защиты были адаптированы к облачной инфраструктуре и эффективно работали в условиях виртуализации.
Функциональные атаки на элементы облака. Этот тип атак связан с многослойностью облака, общим принципом безопасности, что общая защита системы равна защите самого слабого звена. Так успешна DoS-атака на обратный прокси, установленный перед облаком, заблокирует доступ ко всему облаку, не смотря на то, что внутри облака все связи будут работать без помех. Для защиты от функциональных атак для каждого слоя облака нужно использовать специфичные для него средства защиты: для прокси - защиту от DoS-атак, для веб-сервера - контроль целостности страниц, для сервера приложений - экран уровня приложений, для слоя СУБД - защиту от SQL-инъекций, для системы хранения - резервное копирование и разграничение доступа. В отдельности каждые из этих защитных механизмов уже созданы, но они не собраны вместе для комплексной защиты облака, поэтому задачу по интеграции их в единую систему нужно решать во время создания облака.
Атаки на клиента. Этот тип атак отработан в веб-среде, но он также актуален и для облака, поскольку клиенты подключаются к облаку, как правило, с помощью браузера. В него попадают такие атаки как Cross Site Scripting (XSS), перехваты веб-сессий, воровство паролей, "человек посредине" и другие. Защитой от этих атак традиционно является строгая аутентификации и использование шифрованного соединения с взаимной аутентификацией, однако не все создатели "облаков" могут себе позволить столь расточительные и, как правило, не очень удобные средства защиты. Поэтому в этой отрасли информационной безопасности есть еще нерешенные задачи и пространство для создания новых средств защиты.
Угрозы виртуализации. Поскольку платформой для компонент облака традиционно являются виртуальные среды, то атаки на систему виртуализации также угрожают и всему облаку в целом. Этот тип угроз уникальный для облачных вычислений. Сейчас начинают появляться решения для некоторых угроз виртуализации, однако отрасль эта достаточно новая, поэтому пока сложившихся решений пока не выработано.
Комплексные угрозы "облакам". Контроль облаков и управление ими также является проблемой безопасности. Нет гарантии, что все ресурсы облака посчитаны, и в нем нет неподконтрольных виртуальных машин, не запущено лишних бизнес-процессов, и не нарушена взаимная конфигурация слоев и элементов облака. Этот тип угроз связан с управляемостью облаком как единой информационной системой и поиском злоупотреблений или других нарушений в работе облака, которые могут привести к излишним расходам на поддержание работоспособности информационной системы. Этот тип наиболее высокоуровневый и, вполне вероятно, что для него нет универсального средства защиты - для каждого облака защиту нужно строить индивидуально.
Первые два типа угроз уже достаточно изучены и для них выработаны средства защиты, однако их еще нужно адаптировать для использования в облаке. Например, межсетевые экраны предназначены для защиты периметра, однако в облаке непросто выделить периметр для отдельного клиента, что значительно затрудняет защиту. Поэтому технологию межсетевого экранирования нужно адаптировать к облачной инфраструктуре. Работу в этом направлении сейчас активно ведет, например, компания Check Point.
Новым для облачных вычислений типом угроз является проблемы виртуализации. Дело в том, что при использовании этой технологии в системе появляются дополнительные элементы, которые могут быть подвергнуты атаке. К ним можно отнести гипервизор, систему переноса виртуальных машин с одного узла на другой и систему управления виртуальными машинами. Рассмотрим подробнее, каким же атакам могут подвергнуться перечисленные элементы.
Атаки на гипервизор. Ключевым элементом виртуальной системы является гипервизор, который обеспечивает разделение ресурсов физического компьютера между виртуальными машинами. Вмешательство в работу гипервизора может привести к тому, что одна виртуальная машина может получить доступ к памяти и ресурсам другой, перехватывать ее сетевой трафик, отбирать ее физические ресурсы и даже совсем вытеснить виртуальную машину с сервера.
Перенос виртуальных машин. Следует отметить, что виртуальная машина представляет собой файл, который может быть запущен на исполнение в разных узлах облака. В системах управления виртуальными машинами предусмотрены механизмы переноса виртуальных машин с одного узла на другой. Однако файл виртуальной машины можно и вообще украсть и попытаться запустить ее за пределами облака. Вынести физический сервер из ЦОДа невозможно, а вот виртуальную машину можно украсть по сети, не имея физического доступа к серверам. Правда, отдельная виртуальная машина за пределами облака не имеет практической ценности, тем не менее, виртуализация вполне допускает воровство частей или всего облака целиком.
Атаки на системы управления. Огромное количество виртуальных машин, которые используются в облаках, особенно в публичных облаках, требует таких систем управления, которые могли бы надежно контролировать создание, перенос и утилизацию виртуальных машин. Вмешательство в системы управления может привести к появлению виртуальных машин-невидимок, блокирование одних машин и подстановка в слои облака неавторизованных элементов. Все это позволяет злоумышленникам получать информацию из облака или захватывать его части или все облако целиком.
Следует отметить, что пока все перечисленные выше угрозы являются чисто гипотетическими, поскольку сведений о реальных атаках этого типа практически нет. В то же время, когда виртуализация и облака станут достаточно популярными, все эти типы нападений могут оказаться вполне реальными. Поэтому их стоит иметь в виду еще на этапе проектирования облачных систем и одновременно разрабатывать технические решения в сфере in-the-cloud-безопасности.
Информационный безопасность облачный угроза
Вывод
Использование "облачных" технологий дает огромные преимущества с точки зрения использования современных лицензионных программ, с точки зрения хранения большого объема информации на удаленных серверах и ее совместного использования участниками проектов, территориально разделенных друг от друга. С другой стороны выдвигается дополнительные требования к безопасности данных, особенно, когда дело касается конфиденциальной информации.
Список литературы
Риз Джордж. Облачные вычисления Cloud Application Architectures. СПб.: БХВ-Петербург, 2011 год, 288 стр.
Фингар Питер. Dot. Cloud: облачные вычисления - бизнес-платформа XXI века DOT. CLOUD: The 21st Century Business Platform Built on Cloud Computing. М.: Издательство: Аквамариновая Книга, 2011 год, 256 стр.
Похожие статьи
-
Рекомендации по совершенствованию использования информационно-коммуникационных технологий в интернет-среде в сфере здравоохранения для нужд врачей и...
-
Атака, которая заключалась в передаче на хост ложного ICMP Redirect сообщения о смене исходного маршрута приводила как к перехвату атакующим информации,...
-
Информация с точки зрения информационной безопасности обладает следующими категориями: * конфиденциальность -- гарантия того, что конкретная информация...
-
Российская система здравоохранения: текущее состояние, основные проблемы и барьеры для дальнейшего развития Российское здравоохранение на сегодняшний...
-
В связи с увеличением числа сотрудников, работающих в компании, а также с расширением рабочего проекта, возникла проблема, связанная с версионностью...
-
Фирма ООО "Стройдизайн" осуществляет деятельность, связанную с выполнением работ по ремонту помещений. Прайс-лист на выполняемые работы приведен в...
-
В сфере информатизации вопрос: "революция или эволюция?" решается просто. Революционные преобразования в мировом масштабе, связанные с превращением...
-
Как отмечалось ранее, единственным базовым протоколом семейства TCP/IP, в котором изначально предусмотрена функция обеспечения безопасности соединения и...
-
Угроза безопасности информации в сети. Способы борьбы с ними - Средства и технологии интернета
Информационная безопасность - по законодательству РФ - состояние защищенности информационной среды общества, обеспечивающее ее формирование,...
-
Понятие и задачи информационной безопасности - Информационная безопасность на предприятии
Перед описанием стандартов информационной безопасности следует сначала определить: что же такое информационная безопасность. Данное понятие можно...
-
Облачные технологии - Информационные технологии обучения
Одним из перспективных направлений развития современных информационных технологий являются облачные технологии. Облачные технологии (вычисления) (англ....
-
1. Изучение теоретических аспектов использования: MS Word, MS Excel, MS Access, Paint и Photoshop... (ППО) Часть 1 : Руководство по выполнению...
-
- Проектирование автоматизированного рабочего места (АРМ) воспитателя специализированного ДОУ. Информационная среда ДОУ способствует достижению целей...
-
Большинство ученых в наши дни отказываются от попыток дать строгое определение информации и считают, что информацию следует рассматривать как первичное,...
-
Согласно проведенным исследованиям, в отличие от врачей и организаторов здравоохранения, пациенты положительнее относятся к процессу информатизации и...
-
Использование облачных технологий в образовании Как пример использования облачных технологий в образовании, можно назвать электронные дневники и журналы,...
-
При работе на предприятии я опирался на помощь моего наставника, мнения и советы, которые помогли мне постигнуть основы деятельности в информационном...
-
1.1 Физические средства-различные устройства и системы механического, электрического либо электронного плана, деятельность которых не зависит от...
-
Постановление Правительства Российской Федерации №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах...
-
Основы информационной безопасности
Введение Курс с названием "Основы информационной безопасности" (Information Security) входит в целый ряд государственных образовательных стандартов по...
-
К программным методам защиты в сети Internet можно отнести прежде всего защищенные криптопротоколы, с использованием которых появляется возможность...
-
Аудит безопасности - Информационная безопасность на предприятии
Так как практической частью данного диплома является практическое применение стандарта ISO 27001, который описывает рекомендации к системе управления...
-
Типовая модель нападения В данной главе будет рассмотрен процесс хакерской атаки. Перед тем, как приступить к описанию данного процесса стоит выделить...
-
Информационный безопасность автоматизированный угроза Классификация угроз информационной безопасности Анализ актуальных угроз конфиденциальной...
-
Учебный процесс в ННГАСУ сопровождается значительной информационной базой, развитием компьютерного парка и внедрением в образовательный процесс...
-
Виды информационных технологий - Информационные технологии в деятельности органов внутренних дел
К основным видам информационных технологий относятся следующие. Информационная технология обработки данных предназначена для решения хорошо...
-
В настоящее время можно выделить четыре типа поисковых машин. Первый образуют машины с классифицированными списками ресурсов. Наиболее известный пример...
-
Намечающийся, хотя и контурно, поворот к сильному государству, к упорядочению отношений, как в системе государственной власти, так и в социальной сфере,...
-
Прорыв в сфере информационных технологий, т. е. создание возможностей для принципиально нового использования интеллектуального, организационного,...
-
Функциональные изменения в сфере использования ИТ - Примение информационных технологий в управлении
Рассмотренные изменения требований к группам интересов в сфере ИТ обусловлены динамикой развития предприятий и внешней среды. Основные аспекты этого...
-
Для написания АИС использовались следующие языки программирования, программные средства и библиотеки: - Язык программирования PHP 5.4; -...
-
Как и в любом другом вопросе, отношение к информатизации не может быть у всех пациентов, врачей и организаторов здравоохранения одинаковым. Кто-то...
-
ИСПОЛЬЗОВАНИЕ ИНТЕРНЕТА ПРИ ОРГАНИЗАЦИИ ПЕРЕВОЗОК Толковый словарь по информатике дает следующее определение информационной технологии (ИТ): совокупность...
-
Обновление работы органов государственной власти зависит не только от объективных условий, но и от субъективного фактора в лице государственных служащих....
-
Правил по техники безопасности и гигиенические рекомендации при использовании средств ИКТ в ДОУ и профессиональной деятельности На сегодняшний день для...
-
Безопасность работы в сети Интернет
Введение Одной из главных проблем работы в сети Интернет является безопасность. Неподготовленный пользователь, находясь в сети Интернет может нажать на...
-
Анализ конъюнктуры рынка ИСУ в туризме За две недели было опрошено и обработано порядка 1430 анкет участников туристского рынка. В ходе опроса...
-
Технологии распределенных вычислений (РВ) Современное производство требует высоких скоростей обработки информации, удобных форм ее хранения и передачи....
-
Наиболее распространенная форма - ЭВМ. Раньше чаще использовались вычислительные центры (ВЦ). Вычислительный центр - организуется и специализируется на...
-
Технология клиент-сервер. - Использование компьютерных сетей
Характер взаимодействия компьютеров в локальной сети принято связывать с их функциональным назначением. Как и в случае прямого соединения, в рамках...
Проблемы информационной безопасности при использовании "облачных" технологий