Риски облаков: угрозы и решения

Основная причина, по которой компании не решаются переходить на облачные решения, это вопросы безопасности. Опасения относительно сохранности конфиденциальных данных, относящихся не только к коммерческой тайне, но и персональным данным клиентов, до сих пор остаются главным препятствием широкого внедрения облачных технологий. Между тем, сами провайдеры уже давно уделяют первостепенное внимание безопасности, читая необходимым не только неформальное соответствие современным требованиям, но и получение формальных сертификатов соответствия, например, стандарту ISO/IEC 27001.

Насущные угрозы

В чём же сегодня состоят основные угрозы безопасности облачных решений? Как нетрудно догадаться, часть из них типична для любых дата-центров, но есть и специфические угрозы, связанные непосредственно с облачными технологиями.

dc-safety-03

Прежде всего, речь идёт об организации инфраструктуры и о возможности как физического, так и виртуального несанкционированного проникновения в систему. Поэтому чрезвычайно важно обеспечить многоуровневую защиту, в частности, несколько периметров безопасности, самый слабый из которых, к примеру, доступен любому штатному персоналу объекта, а самый сильный может быть ограничен даже не просто машинным залом, а конкретным набором оборудования с защитой, преодолеть которую уполномочены только отдельные представители заказчика.

Виртуальная угроза связана с возможностью удалённого проникновения в «чужую» часть облака с использованием неправильно организованной инфраструктуры провайдера. Имеется в виду, в частности, эксплуатация известных уязвимостей в несвоевременно обновляемом системном ПО, использование backdoor («чёрных ходов») в приложениях, распределённых по разным серверам облака, проникновение с одних виртуальных машин на другие в инфраструктуре того же провайдера.

С этой проблемой непосредственно связаны и угрозы на основе пресловутого «человеческого фактора», то есть инсайдерские угрозы как от сотрудников оператора, так и от представителей самого заказчика, что тоже не редкость. И если в последнем случае проблема 
в кадровой политике заказчика, то в первом причина кроется в отсутствии должной организации работы персонала провайдера, который в силу служебных обязанностей способен получать расширенный доступ к информации клиентов. 

Не стоит сбрасывать со счетов и случайные ошибки персонала, в результате которых снижается уровень безопасности системы и злоумышленники могут получить доступ к «облаку» и хранящимся в нём данным.

Наконец, угрозы, непосредственно относящиеся к облачным технологиям, связаны с их сетевой основой: поскольку облака по определению расположены в публичной части интернета, которая при наличии средств аутентификации должна быть доступна клиентам, они уязвимы и для сетевых атак. За последние годы одним из самых распространённых типов таких атак стали DDoS, при которых страдает не только сама жертва, но и вся инфраструктура: мусорным трафиком забиваются сетевые каналы, а производительность оборудования максимально снижается из-за обработки мусорных запросов. 

Поскольку в дата-центрах вместо независимых хостов широко используются виртуализированные, так как они обеспечивают высокую производительность работы с большими массивами данных, с этим также связан целых ряд возможных уязвимостей. Дело в том, что приложения с разной степенью активности, расположенные на одном виртуальном хосте, способны чрезвычайно жёстко соперничать за вычислительные ресурсы, что существенно снижает производительность. Для предотвращения таких ситуаций создаются дополнительные экземпляры виртуальных машин, а увеличение числа компонентов само по себе снижает безопасность, поскольку появляется целый ряд новых объектов атак — от гипервизоров до виртуальных коммутаторов.

dc-safety-02

Результат — создание целого ряда специфических типов атак, направленных именно на виртуальную среду. В частности, злоумышленники могут перехватывать контроль на гипервизорами, что позволяет управлять виртуальными хостами, похищать сами виртуальные машины и монтировать их образы на других системах. Вирусы, запущенные в виртуальной машине, способны «перепрыгивать» из одной виртуальной машины в другую (VM Hopping) или даже «сбегать» за её пределы (VM Escape), внедряя и исполняя вредоносный код непосредственно на гипервизоре.

Экспертное мнение

Вячеслав Вовкогон, специалист по информационной безопасности DataLine

— Каковы, по вашему мнению, самые главные риски для облачных систем? Связаны ли они с уязвимостями архитектуры, инсайдерскими угрозами и утечками или с проникновением извне и DDoS-атаками на облака?

— Можно выделить угрозы, характерные для большинства облачных информационных систем, так и специфичные проблемы. Так, проблема уязвимости облачной архитектуры характерна для высокоуровневых моделей (PaaS, SaaS). Она особенно актуальна для организаций госсектора. Например, используемое ПО должно обязательно иметь сертификаты ФСТЭК по отсутствию НДВ (недокументированные возможности).
Для интернет-магазинов с внешней системой приема платежей угрозы утечек и инсайда не столь опасны, но, в то же время, DDoS-атаки сайта длительностью в три дня может привести к финансовым потерям, грозящим магазину банкротством. При тех же условиях, банк, хранящий резервные копии своих информационных систем в облаке легко переживет недельную DDoS-атаку, но угроза утечки или инсайда для банка будет весьма критична.

Возможные решения

Постоянно модифицирующиеся многоуровневые угрозы заставляют отвергать стандартные способы защиты, выстраивая из знакомых элементов сложные системы противодействия злоумышленникам. К таким традиционным элементам прежде всего относятся брандмауэры, антивирусное программное обеспечение, системы предотвращения утечек информации (DLP) и защищённые хранилища. При этом для каждого инструмента существуют свои нюансы применительно именно к облачным системам.

Так, межсетевые экраны должны включать в себя средства предотвращения вторжений во внутренние сети извне, и такие инструменты включаются во все системы нового поколения. Антивирусы должны работать только вне виртуальных машин, размещаясь отдельно в качестве шлюзов или независимых систем сканирования данных — в целях предотвращения перехвата управления и блокировки.

Системы защиты от утечек, как программы мониторинга потоков передаваемой информации, типичны для корпоративных сетей, когда они устанавливаются на клиентских ПК и на шлюзе для выхода во внешние сети. Применительно же к облачным технологиям такие системы могут быть реализованы на независимой виртуальной машине, которая может располагаться в том числе и у другого оператора с целью повышения взломоустойчивости систем.

Поскольку любой ЦОД сам по себе является защищённым хранилищем данных, повышенная защита может означать, к примеру, полное шифрование данных, абсолютная изоляция от других данных и виртуальных машин, возможно и размещение в каком-то удалённом месте или у другого провайдера услуг. Разумеется, при этом должно обеспечиваться полноценное функционирование всей инфраструктуры, безотносительно к физическому расположению оборудования.

Наконец, сами облака могут предоставлять услуги безопасности даже для вычислительных ресурсов, размещённых на территории заказчика — возможно, что с ростом доверия к облакам Security as a Service станет намного более востребованным сервисом. Облачные антивирусы, системы определения вторжений IDS и защиты от DDoS, а также различные межсетевые экраны могут существенно облегчить задачу обеспечения безопасности даже для крупных компаний. 

А ведь уже существуют и гораздо более интересные решения, например, гибридные облака, при которых определённые части инфраструктуры остаются у заказчика, а другие — арендуются в облаке. Здесь в любом случае необходимы услуги облачной безопасности, иначе будет невозможно организовать эффективное взаимодействие между отдельными сегментами облака. 

Другой вариант — распределённые облака, когда отдельные элементы инфраструктуры размещаются у разных облачных провайдеров, а вся система объединяется при помощи защищённых межсетевых экранов. Теоретически такая схема может быть намного отказоустойчивей, чем если бы всё облако арендовалось у одного оператора, хотя могут возникнуть сложности с его администрированием и правовым регулированием.

В любом случае, облака уже сегодня готовы предложить потенциальным клиентам самые разнообразные способы защиты информации, в зависимости от их потребностей. Более того, недоверчивый клиент может самостоятельно установить свои собственные инструменты обеспечения безопасности в арендованной облачной инфраструктуре, при этом они будут подконтрольны исключительно авторизованному персоналу заказчика.

Экспертное мнение

Эдуард Бавижев, руководитель группы виртуализации DataLine

Для надежной защиты облачной инфраструктуры необходимо использовать специализированные программные продукты и решения. В практике DataLine для обеспечения безопасного доступа к облаку используется решение Cisco Easy VPN, в рамках которого применяются устойчивые алгоритмы шифрования. Помимо этого есть возможность разграничения доступа к порталу заказчика, используя различные методы фильтрации.
Для защиты периметра виртуального дата-центра можно использовать как аппаратные решения, так и специализированные программные решения. В компании DataLine для этих целей используется vShield EDGE и Cisco ASA. Оба варианта поддерживают функции VPN (с возможностью шифрования трафика), преобразования сетевых адресов (NAT), также дают возможность настраивать FireWall по определенным протоколам и портам. Для обеспечения антивирусной защиты виртуальных машин можно прибегнуть к продуктовой линейке vShield — в частности, vShield Endpoint, а также к продукту Trend Micro Deep Security. Что касается защиты от DDoS-атак, DataLine предоставляет соответствующий сервис совместно с компанией Highloadlab.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Internet и сети

←+Ctrl+→

Интересные новости
На Южно-Украинской АЭС майнили криптовалюту, - СБУНа Южно-Украинской АЭС майнили криптовалюту, - СБУ
AdSense будет блокировать недействительный трафик ещё до показа рекламыAdSense будет блокировать недействительный трафик ещё до показа рекламы
Facebook покажет пользователям, какие сайты передают данные об их поведенииFacebook покажет пользователям, какие сайты передают данные об их поведении
Googlebot получил поддержку Chrome 76Googlebot получил поддержку Chrome 76
Amazon прекратит уничтожать непроданные товары. Их отдадут нуждающимся
Блок рекламы


Похожие новости

iForum-2019. Роман Прокофьев, Jooble: как игра в покер научила принимать важные решенияiForum-2019. Роман Прокофьев, Jooble: как игра в покер научила принимать важные решения
Facebook следит за теми, кто оставлял угрозы в адрес компанииFacebook следит за теми, кто оставлял угрозы в адрес компании
В ЕС признали перепечатку интернет-фото без разрешения автора незаконнойВ ЕС признали перепечатку интернет-фото без разрешения автора незаконной
В СБУ прокомментировали исход киберкампании BadRabbit в Украине: атака заблокирована, угрозы нет
Мининфраструктуры отключило сайт из-за киберугрозыМининфраструктуры отключило сайт из-за киберугрозы
В Раду внесли законопроект, где есть блокировка сайтов без решения суда и реестр запрещенных сайтов
В США интернет-провайдерам могут позволить продавать персональные данные клиентов без их разрешенияВ США интернет-провайдерам могут позволить продавать персональные данные клиентов без их разрешения
Google запретил своим сотрудникам ездить в РоSSию без специального разрешенияGoogle запретил своим сотрудникам ездить в РоSSию без специального разрешения
Facebook представил новые решения в области маркетинговых измеренийFacebook представил новые решения в области маркетинговых измерений
Yahoo объединила все programmatic-решения под единым брендом BrightRoll
Последние новости

Подгружаем последние новости