УГРОЗЫ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ И ЗАЩИТА ОТ НИХ

Акулов А.А., Камбулов Д.А., Прокопайло А.А.

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Донской государственный технический университет» (ДГТУ) г. Ростов-на-Дону, Российская Федерация

УГРОЗЫ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ И ЗАЩИТА ОТ НИХ

Аннотация

Данная работа позволяет ознакомиться с центром обработки данных, угрозами облачных вычислений благодаря подробному описанию каждой из угроз, способами защиты от таких угроз.

Ключевые слова: информационная безопасностью, центр обработки данных, угрозы, атаки.

Keywords: information security, data center, threats, attacks.

Центр обработки данных (ЦОД) представлен в виде совокупности некоторого количества серверов, расположенных на одной площадке в целях увеличения эффективности и защищенности. Организация защиты центров обработки данных представлена в виде комплекса сетевой и физической защиты, а также отказоустойчивости и надежного электропитания. На сегодняшний день существует большое количество способов защиты серверов и ЦОД от различных угроз. Их связывает ориентированность на узкий спектр решаемых задач. Однако данный спектр подвергся расширению, результатом которого стало постепенное вытеснение стандартных аппаратных систем виртуальными платформами. К имеющимся видам угроз добавились трудности, связанные с контролем среды, трафика между гостевыми машинами и разграничением прав доступа. Расширились внутренние вопросы и политики защиты ЦОД, требования внешних регуляторов. В современных условиях гарантировать обеспечение защиты наиболее важных для бизнеса систем и приложений становится все сложнее.

После появления виртуализации большая часть систем переместилась на виртуальные машины, однако обеспечение безопасности в новой среде, требует совершенно нового подхода. На сегодняшний момент известно огромное число угроз, многие из них достаточно исследованы и для защиты от них разработаны современные средства защиты, однако они не адаптированы для применения в облаке. 

Существующие угрозы облачных вычислений.

Контроль и управление облаками — является одной из проблем безопасности. Нельзя гарантировать, что в облаке нет оставленных без внимания виртуальных машин, не проводят свою деятельность лишние процессы и не нарушено взаимодействие элементов облака. Это высокоуровневый вид угроз, т.к. он связан с управляемостью облаком, как единой информационной системой и в таком случае общую защиту необходимо составлять индивидуально. Для этой цели необходимо использовать конкретную модель управления рисками для облачных инфраструктур.

Для обеспечения безопасности и целостности данных необходимо знать основные известные угрозы для облачных вычислений.

  1. Традиционные атаки на ПО.

Традиционными угрозами являются: уязвимости операционных систем, модульных компонентов, сетевых протоколов и другие. Для организации защиты от такого типа угроз достаточно установить firewall, межсетевой экран, IPS, антивирус и другие компоненты, позволяющие решить данную проблему. Необходимым условием работы таких средств является эффективность работы в условиях виртуализации.

  1. Функциональные атаки на элементы облака.

Облако является составным так как включает в себя несколько важных функциональных частей: веб-сервер, прокси, СУБД, сервер приложений, система хранения данных.

Для обеспечения защиты каждой части облака возникает необходимость использования следующих средств защиты: для прокси важно организовать максимально эффективную защиту от DoS-атак, для веб-сервера важен контроль целостности страниц, для сервера приложений — экран уровня приложений, в СУБД необходимо организовать защиту, исключающую SQL-инъекции, для системы хранения данных – правильное резервное копирование и разграничение доступа. Каждые из этих защитных механизмов уже существуют в одиночном виде, однако для обеспечения комплексной защиты облака возникает необходимость собрать их вместе, поэтому во время создания облака важно решить задачу по интеграции защитных механизмов в единый комплекс.

  1. Атаки на клиента.

В большинстве случаев пользователи используют облако через браузер. В таком случае имеет смысл рассматривать такие атаки, как «Man-In-The-Middle», Cross Site Scripting, перехваты веб-сессий, «угон» паролей и многие другие. Для защиты от данного вида атак используют единственный способ, который заключается в использовании правильной аутентификации и использовании шифрованного соединения (SSL) с взаимной аутентификацией. Однако, такие средства защиты неудобны и требуют много затрат для создателей облаков.

  1. Атаки на гипервизор.

Одним из важных элементов виртуальной системы является гипервизор. Его основная функция заключается в разделении ресурсов между существующими виртуальными машинами. Атака на данный элемент приводит к тому, что одна виртуальная машина получает доступ к памяти и ресурсам другой. Помимо этого, у нее появляется возможность перехватывать сетевой трафик, перераспределять физические ресурсы и даже вытеснить виртуальную машину с сервера. В качестве классических методов защиты применяют специализированные продукты для виртуальных сред, используют различные политики сложности и устаревания паролей, а также стандартизацию процедур доступа к управляющим средствам хост-сервера, применяют встроенный брандмауэр хоста виртуализации. Также в целях защиты гипервизора отключают неиспользуемые службы

  1. Атаки на системы управления.

Большинство виртуальных машин, которые используются в облаках требуют обязательное наличие систем управления, способных контролировать действия над виртуальными машинами (создание, перенос, утилизация). Вмешательство в такую систему способно привести к появлению виртуальных машин-невидимок, которые могут блокировать одни виртуальные машины и подставлять другие.

Наиболее эффективные и доступные способы защиты в данной области опубликовала организация Cloud Security Alliance (CSA). Проанализировав информацию, которую опубликовала компания, были предложены следующие решения.

  1. Сохранность данных. Шифрование.

Шифрование является одним из самых эффективных способов защиты информации. Провайдер, который предоставляет доступ к данным, должен шифровать информацию о пользователе, хранящуюся в ЦОД, а также в случаи отсутствия необходимости, безвозвратно удалять. 

  1. Защита данных при передаче.

Все данные, подвергаемые передаче, должны быть зашифрованы. У злоумышленника не получится прочитать данные или сделать в них изменения, даже если будет возможен доступ через ненадежные узлы. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно используются провайдерами.

  1. Аутентификация.

Аутентификация — защита паролем. Для обеспечения высокой надежности, часто прибегают к таким средствам, как токены и сертификаты. Для взаимодействия провайдера с системой идентификации во время авторизации, также рекомендуется использовать LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language).

  1. Изоляция пользователей.

Виртуальные сети должны быть организованы с применением таких технологий, как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service). В большинстве случаев провайдеры скрывают данные пользователей друг от друга за счет изменения данных кода в единой программной среде. Данный подход имеет свои риски, связанные с вероятностью найти дыру в нестандартном коде, позволяющему получить доступ к данным. В случае возможной ошибки в коде пользователь может получить данные другого. В последнее время такие инциденты возникали часто.

Безопасность облачных вычислений обеспечивается благодаря описанным выше способам защиты, которые неоднократно были применены системными интеграторами в проектах построения частных облаков. Применение данных решений существенно снизило количество случившихся инцидентов. Однако, это не «точка» в деятельности злоумышленников, поэтому возникают новые проблемы, связанные с защитой виртуализации, которые требуют тщательного анализа и проработанного решения.

Литература

  1. Радченко Г.И. Распределённые вычислительные системы — Учебное пособие. – 2012. – С. 146-149.
  2. Кондрашин М. Безопасность облачных вычислений — Storage News. – 2010. — №1.
  3. Клементьев И.П. Устинов В.А. Введение в Облачные вычисления. — УГУ, 2013 -233с.
  4. Короткова Е.Е. Использование облаков и облачных вычислений в коммерческой деятельности / Короткова Е.Е., Денисенко В.В. – Научные тенденции: Вопросы точных и технических наук, 2017.