В 2010 году CSA провела анализ основных угроз безопасности в облачных технологиях. Результатом их труда стал документ "Top threats of Cloud Computing v 1.0" в котором наиболее полно на данный момент описываются модель угроз и модель нарушителя. На данный момент разрабатывается более полная, вторая версия этого документа.

Текущий документ описывает нарушителей для трёх сервисных моделей SaaS, PaaS и IaaS. Выявлены 7 основных направлений атак. По большей части все рассматриваемые виды атак - это атаки, присущие обычным, "необлачным" серверам. Облачная инфраструктура накладывает на них определенные особенности. Так, например, к атакам на уязвимости в программной части серверов добавляются атаки на гипервизор, тоже являющийся их программной частью.

Угроза безопасности №1

Неправомерное и нечестное использование облачных технологий.

Описание:

Для получения ресурсов у облачного провайдера IaaS пользователю достаточно иметь кредитную карту. Простота регистрации и выделения ресурсов позволяет спамерам, авторам вирусов и т.п. использовать облачный сервис в своих преступных целях. Раньше подобного рода атаки наблюдались лишь в PaaS, однако последние исследования показали возможность использования IaaS для DDOS-атак, размещения вредоносного кода, создания ботнет сетей и прочего.

IaaS сервисы были использованы для создания ботнет сети на основе троянской программы "Zeus”, хранения кода троянского коня "InfoStealer" и размещения информации о различных уязвимостях MS Office и AdobePDF.

К тому же ботнет сети используют IaaS для управления своими пирами и для рассылки спама. Из-за этого некоторые IaaS сервисы попали в чёрные списки, а их пользователи полностью игнорировались почтовыми серверами.

Усовершенствование процедур регистрации пользователя

Усовершенствование процедур верификации кредитных карт и мониторинг использования платежных средств

Всестороннее исследование сетевой активности пользователей сервиса

Отслеживание основных черных листов на предмет появления там сети облачного провайдера.

Затронутые сервис-модели:

Угроза безопасности №2

Небезопасные программные интерфейсы (API)

Описание:

Провайдеры облачной инфраструктуры предоставляют пользователям набор программных интерфейсов для управления ресурсами, виртуальными машинами или сервисами. Безопасность всей системы зависит от безопасности этих интерфейсов.

Анонимный доступ к интерфейсу и передача учетных данных открытым текстом являются основными признаками небезопасных программных интерфейсов. Ограниченные возможности мониторинга использования API, отсутствие систем журналирования, а так же неизвестные взаимосвязи между различными сервисами только повышает риски взлома.

Выполнить анализ модели безопасности облачного провайдера

Убедиться, что используются устойчивые алгоритмы шифрования

Убедится, что используются надежные методы аутентификации и авторизации

Понять всю цепочку зависимости между различными сервисами.

Затронутые сервис модели:

Угроза безопасности №3

Внутренние нарушители

Описание:

Проблема неправомерного доступа к информации изнутри чрезвычайно опасна. Зачастую, на стороне провайдера не внедрена система мониторинга за активностью сотрудников, а это означает, что злоумышленник может получить доступ к информации клиента, используя своё служебное положение. Так как провайдер не раскрывает своей политики набора сотрудников, то угроза может исходить как от хакера-любителя, так и от организованной преступной структуры, проникшей в ряды сотрудников провайдера.

На данный момент нет примеров подобного рода злоупотреблений.

Внедрение строгих правил закупок оборудования и использование соответствующих систем обнаружение несанкционированного доступа

Регламентирование правил найма сотрудников в публичных контрактах с пользователями

Создание прозрачной системы безопасности, наряду с публикациями отчетов об аудите безопасности внутренних систем провайдера

Затронутые сервис модели:

Рис. 12

Угроза безопасности №4

Уязвимости в облачных технологиях

Описание:

Провайдеры IaaS сервиса используют абстракцию аппаратных ресурсов с помощью систем виртуализации. Однако аппаратные средства могут быть спроектированы без учета работы с разделяемыми ресурсами. Для того, что бы минимизировать влияние данного фактора, гипервизор управляет доступом виртуальной машины к аппаратным ресурсам, однако даже в гипервизорах могут существовать серьезные уязвимости, использование которых может привести к повышению привилегий или получению неправомерного доступа к физическому оборудованию.

Для того, что бы защитить системы от такого рода проблем необходимо внедрение механизмов изоляции виртуальных сред и систем обнаружения сбоев. Пользователи виртуальной машины не должны получить доступ к разделяемым ресурсам.

Есть примеры потенциальных уязвимостей, а так же теоретические методы обхода изоляции в виртуальных средах.

Внедрение самых передовых методов установки, настройки и защиты виртуальных сред

Использование систем обнаружение несанкционированного доступа

Применение надежных правил аутентификации и авторизации на проведение административных работ

Ужесточение требований к времени применения патчей и обновлений

Проведение своевременных процедур сканирования и обнаружения уязвимостей.

Затронутые сервис модели:

Угроза безопасности №5

Потеря или утечка данных

Описание:

Потеря данных может произойти из-за тысячи причин. Например, преднамеренное уничтожение ключа шифрования приведет к тому, что зашифрованная информация не будет подлежать восстановлению. Удаление данных или части данных, неправомерный доступ к важной информации, изменение записей или выход из строя носителя так же являются примером подобных ситуаций. В сложной облачной инфраструктуре вероятность каждого из событий возрастает ввиду тесного взаимодействия компонентов.

Неправильное применение правил аутентификации, авторизации и аудита, неверное использование правил и методов шифрования и поломки оборудования могут привести к потере или утечке данных.

Использование надежного и безопасного API

Шифрование и защита передаваемых данных

Анализ модели защиты данных на всех этапах функционирования системы

Внедрение надежной системы управления ключами шифрования

Отбор и приобретение только самых надежных носителей

Обеспечение своевременного резервного копирования данных

Затронутые сервис модели:

Угроза безопасности №6

Кража персональных данных и неправомерный доступ к сервису

Описание:

Подобный вид угрозы не нов. С ним сталкиваются каждый день миллионы пользователей. Основной целью злоумышленников является имя пользователя (логин) и его пароль. В контексте облачных систем, кража пароля и имени пользователя увеличивает риск использования данных, хранящихся в облачной инфраструктуре провайдера. Так злоумышленник имеет возможность использовать репутацию жертвы для своей деятельности.

Запрет на передачу учетных записей

Использование двух факторных методов аутентификации

Внедрение проактивного мониторинга несанкционированного доступа

Описание модели безопасности облачного провайдера.

Затронутые сервис модели:

Угроза безопасности №7

Прочие уязвимости

Описание:

Применение облачных технологий для ведения бизнеса позволяет компании сосредоточиться на своем деле, предоставив заботу об IT-инфраструктуре и сервисах облачному провайдеру. Рекламируя свой сервис, облачный провайдер стремится показать все возможности, раскрывая при этом детали реализации. Это может составлять серьезную угрозу, так как знание внутренней инфраструктуры дает злоумышленнику возможность найти незакрытую уязвимость и провести атаку на систему. Для того, чтобы избежать подобных ситуаций, облачные провайдеры могут не предоставляют информацию о внутреннем устройстве облака, однако, такой подход также не способствует повышению доверия, поскольку потенциальные пользователи не имеют возможности оценить степень защищенности данных. К тому же подобный подход ограничивает возможности в своевременном нахождении и устранении уязвимостей.

Отказ компании Amazon от проведения аудита безопасности EC2 cloud

Уязвимость в процессинговом ПО, приведшая к взлому системы безопасности дата центра Hearthland

Раскрытие журнальных данных

Полное или частичное раскрытие данных об архитектуре системы и деталей об установленном ПО

Использование систем мониторинга уязвимостей.

Затронутые сервис модели:

1. Юридическая база

По заявлениям экспертов 70% проблем с безопасностью в облаке можно избежать, если грамотно составить договор о предоставлении услуг.

Базой для такого договора может послужить "Билль о правах облака"

"Билль о правах облака" был разработан еще в 2008 г. Джеймсом Уркухартом (James Urquhart). Этот материал он опубликовал в своем блоге, который вызвал столько интереса и споров, что автор периодически обновляет свой "манускрипт" в соответствие с реалиями.

Статья 1 (частично): Клиенты владеют своими данными

· Ни один производитель (или поставщик) не должен в процессе взаимодействия с клиентами любого плана обсуждать права на любые данные, загруженные, созданные, сгенерированные, модифицированные или любые другие, права на которые имеет клиент.

· Производители должны изначально обеспечивать минимальную возможность доступа к данным клиентов еще на стадии разработки решений и сервисов.

· Клиенты владеют своими данными, что означает, что они отвечают за то, что данные эти соответствуют законодательным нормам и законам.

· Поскольку вопросы соответствия регуляторным нормам по использованию данных, обеспечению безопасности и соблюдению безопасности являются очень важными, необходимо, чтобы клиент определял географическое месторасположение своих собственных данных. В противном случае, производители должны предоставить пользователям все гарантии, что их данные будут храниться в соответствии со всеми нормами и правилами.

Статья 2: Производители и Клиенты совместно владеют и управляют уровнями сервиса в системе

· Производители владеют, а также должны делать все для того, чтобы соответствовать уровню сервиса для каждого клиента в отдельности. Все необходимые ресурсы и усилия, приложенные для достижения должного уровня сервиса в работе с клиентами, должны быть бесплатны для клиента, то есть не входить в стоимость сервиса.

· Клиенты, в свою очередь отвечают за и владеют уровнем сервиса, предоставляемого их собственным внутренним и внешним клиентам. При использовании решений производителя для предоставления собственных сервисов - ответственность клиента и уровень такого сервиса не должен целиком зависеть от производителя.

· В случае необходимости интеграции систем производителя и клиента, производители должны предлагать клиентам возможности мониторинга процесса интеграции. В случае, если у клиента существуют корпоративные стандарты по интеграции информационных систем, производитель должен соответствовать этим стандартам.

· Ни при каких условиях производители не должны закрывать учетные записи клиентов за политические высказывания, некорректную речь, религиозные комментарии, если это не противоречит специфическим законодательным нормам, не является выражением ненависти и т.п.

Статья 3: Производители владеют своими интерфейсами

· Производители не обязаны предоставлять стандартные интерфейсы или интерфейсы с открытым кодом, если обратное не прописано в соглашениях с клиентом. Правами на интерфейсы обладают производители. В случае, если производитель не считает возможным предоставить клиенту возможности по доработке интерфейса на привычном языке программирования, клиент может приобрести у производителя либо сторонних разработчиков услуги по доработке интерфейсов в соответствии с собственными требованиями.

· Клиент, однако, обладает правом использовать приобретенный сервис в собственных целях, а также расширять его возможности, реплицировать и улучшать. Данный пункт не освобождает клиентов от ответственности патентного права и права на интеллектуальную собственность.

Приведенные выше три статьи - основа основ для клиентов и производителей "в облаке". С их полным текстом вы можете ознакомиться в открытом доступе в сети Интернет. Конечно, данный билль не является законченным юридическим документом, а уж тем более официальным. Статьи его могут меняться и расширяться в любое время, равно как и билль может дополняться новыми статьями. Это попытка формализовать "право собственности" в облаке, чтобы хоть как-то стандартизировать эту свободолюбивую область знаний и технологий.

Взаимоотношения между сторонами

На сегодняшний день лучшим экспертом в сфере облачной безопасности является Cloud Security Alliance (CSA). Эта организация выпустила и недавно обновила руководство, включающее описание сотни нюансов и рекомендаций, которые необходимо принимать во внимание при оценке рисков в облачных вычислениях.

Еще одной организацией, деятельность которой затрагивает аспекты безопасности в облаке, выступает Trusted Computing Group (TCG). Она является автором нескольких стандартов в этой и других сферах, в том числе широко используемых сегодня Trusted Storage, Trusted Network Connect (TNC) и Trusted Platform Module (TPM).

Эти организации совместно выработали ряд вопросов, которые заказчик и провайдер должны проработать при заключении договора. Данные вопросы позволят решить большую часть проблем при использовании облака, форс-мажорных обстоятельствах, смене провайдера облачных услуг и прочих ситуациях.

1. Сохранность хранимых данных. Как сервис-провайдер обеспечивает сохранность хранимых данных?

Лучшая мера по защите расположенных в хранилище данных - использование технологий шифрования. Провайдер всегда должен шифровать хранящуюся на своих серверах информацию клиента для предотвращения случаев неправомерного доступа. Провайдер также должен безвозвратно удалять данные тогда, когда они больше не нужны и не потребуются в будущем.

2. Защита данных при передаче. Как провадйер обеспечивает сохранность данных при их передаче (внутри облака и на пути от/к облаку)?

Передаваемые данные всегда должны быть зашифрованы и доступны пользователю только после аутентификации. Такой подход гарантирует, что эти данные не сможет изменить или прочитать ни одно лицо, даже если оно получит к ним доступ посредством ненадежных узлов в сети. Упомянутые технологии разрабатывались в течение "тысяч человеко-лет" и привели к созданию надежных протоколов и алгоритмов (например TLS, IPsec и AES). Провайдеры, должны использовать эти протоколы, а не изобретать свои собственные.

3. Аутентификация. Как провайдер узнает подлинность клиента?

Наиболее распространенным способом аутентификации является защита паролем. Однако провайдеры, стремящиеся предложить своим клиентам более высокую надежность, прибегают к помощи более мощных средств, таких как сертификаты и токены. Наряду с использованием более надежных к взлому средств аутентификации провайдеры должны иметь возможность работы с такими стандартами как LDAP и SAML. Это необходимо для обеспечения взаимодействия провайдера с системой идентификации пользователей клиента при авторизации и определении выдаваемых пользователю полномочий. Благодаря этому провайдер всегда будет располагать актуальной информацией об авторизованных пользователях. Худший вариант - когда клиент предоставляет провайдеру конкретный список авторизованных пользователей. Как правило, в этом случае при увольнении сотрудника или его перемещении на другую должность могут возникнуть сложности.

4. Изоляция пользователей. Каким образом данные и приложения одного клиента отделены от данных и приложений других клиентов?

Лучший вариант: когда каждый из клиентов использует индивидуальную виртуальную машину (Virtual Machine - VM) и виртуальную сеть. Разделение между VM и, следовательно, между пользователями, обеспечивает гипервизор. Виртуальные сети, в свою очередь, развертываются с применением стандартных технологий, таких как VLAN (Virtual Local Area Network), VPLS (Virtual Private LAN Service) и VPN (Virtual Private Network).

Некоторые провайдеры помещают данные всех клиентов в единую программную среду и за счет изменений в ее коде пытаются изолировать данные заказчиков друг от друга. Такой подход опрометчив и ненадежен. Во-первых, злоумышленник может найти брешь в нестандартном коде, который позволит ему получить доступ к данным, которые он не должен видеть. Во-вторых, ошибка в коде может привести к тому, что один клиент случайно "увидит" данные другого. За последнее время встречались и те, и другие случаи. Поэтому для разграничения пользовательских данных применение разных виртуальных машин и виртуальных сетей является более разумным шагом.

5. Нормативно-правовые вопросы. Насколько провайдер следует законам и правилам, применимым к сфере облачных вычислений?

В зависимости от юрисдикции, законы, правила и какие-то особые положения могут различаться. Например, они могут запрещать экспорт данных, требовать использования строго определенных мер защиты, наличия совместимости с определенными стандартами и наличия возможности аудита. В конечном счете, они могут требовать, чтобы в случае необходимости доступ к информации смогли иметь государственные ведомства и судебные инстанции. Небрежное отношение провайдера к этим моментам может привести его клиентов к существенным расходам, обусловленными правовыми последствиями.

Провайдер обязан следовать жестким правилам и придерживаться единой стратегии в правовой и регулятивной сферах. Это касается безопасности пользовательских данных, их экспорта, соответствия стандартам, аудита, сохранности и удаления данных, а также раскрытия информации (последнее особенно актуально, когда на одном физическом сервере может храниться информация нескольких клиентов). Чтобы это выяснить, клиентам настоятельно рекомендуется обратиться за помощью к специалистам, которые изучат данный вопрос досконально.

6. Реакция на происшествия. Как провайдер реагирует на происшествия, и насколько могут быть вовлечены его клиенты в инцидент?

Иногда не все идет по плану. Поэтому провайдер услуг обязан придерживаться конкретных правил поведения в случае возникновения непредвиденных обстоятельств. Эти правила должны быть задокументированы. Провайдеры обязательно должны заниматься выявлением инцидентов и минимизировать их последствия, информируя пользователей о текущей ситуации. В идеале им следует регулярно снабжать клиентов информацией с максимальной детализацией по проблеме. Кроме того, клиенты сами должны оценивать вероятность возникновения проблем, связанных с безопасностью, и предпринимать необходимые меры.

Облачные вычисления и проблема безопасности

Маслов Владимир Алексеевич

Пензенский государственный университет

Аннотация:

В статье рассматриваются основные вопросы, связанные с проблемой безопасности и защиты информации при использовании технологий облачных вычислений.

The article examines the main issues related to the problem of security in cloud computing.

Ключевые слова:

безопасность, облачные вычисления, защита информации

security, cloud computing

УДК 004.75

Облачные вычисления - это модель обеспечения удобного и повсеместного сетевого доступа по требованию к конфигурируемым вычислительным ресурсам, которые могут быть оперативно предоставлены и освобождены с минимальными эксплуатационными затратами.

Сегодня облачные вычисления (ОВ) являются объектом пристального внимания. Пользователи видят его потенциал, но также есть много связанных с ними проблем. Эта новая парадигма предлагает привлекательные финансовые и технологические преимущества. Однако, хотя концепция разделения времени удаленных сервисов не нова, инфраструктура ОВ еще не полностью исследована с точки зрения безопасности.

Использование ОВ ставит несколько основных вопросов и проблем: защита данных, достоверность, регулирование и производительность. Целью данного исследования является изучение вопросов, затрагивающих безопасность облачных систем.

Облачные системы достаточно экономичны и удобны для предприятий разных размеров. Эта технология характеризуется следующими свойствами:

• Гибкость - доступ к миллионам различных баз данных с возможностью комбинирования их в конфигурируемые сервисы.
• Высокая надежность и безопасность - пользователю не нужно беспокоиться об аппаратных ошибках или утрате оборудования.
• Расширенные возможности совместной работы - благодаря общему доступу, пользователи получают новые способы совместной работы.
• Переносимость - пользователи могут получить доступ из любой точки.
• Упрощение клиентских устройств - пользователям нужен лишь интерфейс для доступа и использования этих данных.
• Неограниченный объем хранимых данных
• Возможность почти мгновенно нарастить вычислительные мощности

ОВ весьма интересны и перспективны, но есть много открытых вопросов в области безопасности . Одна из проблем заключается в том, что управление данными может оказаться недостаточно надежным; риск вредоносных вторжений в облако и сбои облачных сервисов получили сильное внимание со стороны многих компаний .

Исследование, проведенное группой компаний IDC, подтверждает, что безопасность - одна из главных проблем пользователей ОВ .

Современные проблемы и пути их решения

Основными проблемами, возникающие при ОВ, являются сохранение конфиденциальности и целостности данных. Первичным решением этих проблем является шифрование данных, хранящихся в облаке. Но шифрование данных поднимает новые проблемы. Вот краткий обзор некоторых из основных проблем:

Доверие между поставщиком услуг и клиентом является одним из главных вопросов ОВ, который встает сегодня. У клиента нет никаких оснований, чтобы быть уверенным, что поставщик сервиса заслуживает доверия, и нет риска инсайдерских атак.

Правовые вопросы. Есть несколько нормативных требований, законов о конфиденциальности и безопасности данных, которым должны соответствовать облачные системы. Одна из основных проблем, в правовом аспекте, в том, что законы варьируются от страны к стране, и пользователи не имеют никакого контроля над своими данными там, где они физически расположены.

Конфиденциальность - предотвращение ненадлежащего раскрытия информации. Сохранение конфиденциальности является одним из основных вопросов, с которыми сталкиваются пользователи облачных систем, так как информация хранится в удаленном месте, куда поставщик услуг имеет полный доступ. Основной метод, используемый для сохранения конфиденциальности данных, - шифрование данных, однако шифрование приводит к другим проблемам, которые будут рассмотрены далее.

Подлинность (Целостность и полнота)

Целостность это предотвращение неправильной модификации информации. Сохранение целостности, как и конфиденциальность, является еще одним важным вопросом, который должен быть решен. Обычно это также обеспечивается за счет использования шифрования данных.

В СУБД могут быть пользователи с разными правами. Пользователь с ограниченным набором прав может осуществлять доступ к подмножеству данных, и также должен быть уверенным в том, что эти данные подлинные .

Общий подход к решению такой проблемы заключается в использовании цифровых подписей, однако, проблема с цифровыми подписями в том, что не все пользователи имеют доступ к полному набору данных (ПНД) и не могут проверить любое подмножество данных, даже если у них есть цифровая подпись ПНД.

Основное предложение по решению данной проблемы заключается в предоставлении клиентам подписи ПНД и некоторых метаданных вместе с результатами запроса. Эти метаданные, «проверочные объекты», позволяют клиентам заполнить пробелы данных, к которым нет доступа, и проверить целостность. Существуют две основные вариации этой идеи: основанная на деревьях Меркле и основанная на подписи агрегации .

Шифрование — основной метод, используемый для обеспечения безопасности данных в облаке. Оно кажется идеальным решением, но не лишено недостатков. Шифрование требует вычислительных мощностей и значительно влияет на производительность СУБД. Есть несколько подходов к шифрованию, каждый имеет свои недостатки: одни лучше обеспечивают безопасность, а другие сосредоточены на производительности.

Ранние подходы просто применяли шифрование перед записью в базу данных и расшифровку перед чтением.

Запросы зашифрованных данных. Есть несколько способов, которые были предложены для обработки запросов зашифрованных данных [n]. В предложенной схеме используется шифрование данных в каждой ячейке каждой таблицы. Во время запроса данных, его параметры шифруются и проверяются на сохраненных данных. Расшифровки информации не происходит в облаке, что обеспечивает подлинность и целостность информации.

Управление ключами — другая задача, которая возникает при использовании шифрования. Ключ шифрования не может быть сохранен в облаке, поэтому клиент должен контролировать систему управления ключами . Для простых схем шифрования, это может не быть проблемой, так как один ключ может быть использован для всей системы. Тем не менее, практически любая реальная база данных требует более сложной системы .

Разделение данных ( Data Splitting) - методы, которые служат в качестве альтернативы шифрования. Эти методы, как правило, быстрее, чем шифрование, но имеют свои недостатки. Идея состоит в том, чтобы разделить данные на несколько хостов, которые не могут общаться друг с другом, и только владелец, который может получить доступ на оба хоста может, воссоздать из них исходные данные. Этот способ очень быстр, но он требует, по крайней мере, двух отдельных, но однородных поставщиков услуг.

Множество клиентов облачных систем используют разделяемые вычислительные ресурсы. Это снижает стоимость, однако, это совместное использование ресурсов может нарушать конфиденциальность, если степень изоляции пользователей недостаточная. Что делает многопользовательскую модель небезопасной . Возможные проблемы:

Атака на виртуальную машину на которых, как правило, в облаке хранятся и обрабатываются данные. Эти виртуальные машины выполняется на сервере с другими виртуальными машинами, некоторые из которых могут быть вредоносными. Исследования показали, что атаки между виртуальными машинами возможны.

Разделяемые ресурсы. Если сама облачная система не работает на виртуальной машине, то внимание необходимо уделить оборудованию. Исследования показали, что приложение, работающее на одном ядре, может получить доступ к информации приложения, запущенного на другом ядре. Также процессоры часто имеют сложные и большие кэши. И если данные расшифровываются в облаке хотя бы на мгновение, то они существуют незашифрованном виде в памяти, теоретически доступной любой виртуальной машине. Тем не менее, вероятность этих аппаратных атак очень мала .

Заключение

ОВ предлагают большие преимущества: неограниченные хранилища, быстрый доступ к вычислительной мощности, возможность легкого обмена информацией и ее обработки. Но есть вопросы, и большинство из которых связаны с безопасностью. Облачные системы должны преодолеть множество препятствий, прежде чем получат широкое распространение, но они могут быть использованы уже сейчас с некоторыми оговорками. Был рассмотрен ряд вопросов безопасности, актуальных для облачных систем, однако, это список может быть неполон.

Важным вопросом облачных систем является шифрование, поскольку это основной способ обеспечения безопасности данных, хранящихся в облаке. Однако, шифрование требует больших вычислительных затрат. Разработаны методы, специфичные для DaaS, однако, более эффективные методы по-прежнему необходимы, чтобы помочь ускорить внедрение облачных систем.

Библиографический список:

1. J.Weis, 2011. Securing Database as a Service. IEEE Security and Privacy, 49-55.
2. М.AlZain, B.Soh, & E.Pardede, 2012. A New Approach Using Redundancy Technique to Improve Security in Cloud Computing. IEEE.
3. A.Behl, 2012. An Analysis of Cloud Computing Security Issues. IEEE, 109-114.
4. B.Purushothama, & B.Amberker, 2013. Efficient Query Processing on Outsourced Encrypted Data in Cloud with Privacy Preservation.

Рецензии:

8.12.2013, 20:29 Назарова Ольга Петровна
Рецензия : Рекомендуется к печати

3.02.2015, 9:55 Оладько Владлена Сергеевна
Рецензия : Рекомендуется к печати

17.02.2015, 18:53 Гужвенко Елена Ивановна
Рецензия : Актуальность темы несомненна, в статье раскрыты проблемы облачных вычислений и указаны пути их разрешения. Рекомендуется к печати.

Центр обработки данных (ЦОД) представляет собой совокупность серверов, размещенных на одной площадке с целью повышения эффективности и защищенности. Защита центров обработки данных представляет собой сетевую и физическую защиту, а также отказоустойчивость и надежное электропитание. В настоящее время на рынке представлен широкий спектр решений для защиты серверов и ЦОД от различных угроз. Их объединяет ориентированность на узкий спектр решаемых задач . Однако спектр этих задач подвергся некоторому расширению вследствии постепенного вытеснения классических аппаратных систем виртуальными платформами. К известным типам угроз (сетевые атаки, уязвимости в приложениях операционных систем, вредоносное программное обеспечение) добавились сложности, связанные с контролем среды (гипервизора), трафика между гостевыми машинами и разграничением прав доступа. Расширились внутренние вопросы и политики защиты ЦОД, требования внешних регуляторов. Работа современных ЦОД в ряде отраслей требует закрытия технических вопросов, а также вопросов связанных с их безопасностью. Финансовые институты (банки, процессинговые центры) подчинены ряду стандартов, выполнение которых заложено на уровне технических решений. Проникновение платформ виртуализации достигло того уровня, когда практически все компании, использующие эти системы, весьма серьезно занялись вопросами усиления безопасности в них. Отметим, что буквально год назад интерес был скорее теоретический .
В современных условиях становится все сложнее обеспечить защиту критически важных для бизнеса систем и приложений.
Появление виртуализации стало актуальной причиной масштабной миграции большинства систем на ВМ, однако решение задач обеспечения безопасности, связанных с эксплуатацией приложений в новой среде, требует особого подхода. Многие типы угроз достаточно изучены и для них разработаны средства защиты, однако их еще нужно адаптировать для использования в облаке.

Cуществующие угрозы облачных вычислений

Контроль и управление облаками - является проблемой безопасности. Гарантий, что все ресурсы облака посчитаны и в нем нет неконтролируемых виртуальных машин, не запущено лишних процессов и не нарушена взаимная конфигурация элементов облака нет. Это высокоуровневый тип угроз, т.к. он связан с управляемостью облаком, как единой информационной системой и для него общую защиту нужно строить индивидуально. Для этого необходимо использовать модель управления рисками для облачных инфраструктур.

В основе обеспечения физической безопасности лежит строгий контроль физического доступа к серверам и сетевой инфраструктуре. В отличии от физической безопасности, сетевая безопасность в первую очередь представляет собой построение надежной модели угроз, включающей в себя защиту от вторжений и межсетевой экран. Использование межсетевого экрана подразумевает работу фильтра, с целью разграничить внутренние сети ЦОД на подсети с разным уровнем доверия. Это могут быть отдельно серверы, доступные из Интернета или серверы из внутренних сетей.
В облачных вычислениях важнейшую роль платформы выполняет технология виртуализации. Для сохранения целостности данных и обеспечения защиты рассмотрим основные известные угрозы для облачных вычислений.

1. Трудности при перемещении обычных серверов в вычислительное облако

Требования к безопасности облачных вычислений не отличаются от требований безопасности к центрам обработки данных. Однако, виртуализация ЦОД и переход к облачным средам приводят к появлению новых угроз.
Доступ через Интернет к управлению вычислительной мощностью один из ключевых характеристик облачных вычислений. В большинстве традиционных ЦОД доступ инженеров к серверам контролируется на физическом уровне, в облачных средах они работают через Интернет. Разграничение контроля доступа и обеспечение прозрачности изменений на системном уровне является одним из главных критериев защиты.

2. Динамичность виртуальных машин

Виртуальные машины динамичны. Создать новую машину, остановить ее работу, запустить заново можно сделать за короткое время. Они клонируются и могут быть перемещены между физическими серверами. Данная изменчивость трудно влияет на разработку целостности системы безопасности. Однако, уязвимости операционой системы или приложений в виртуальной среде распространяются бесконтрольно и часто проявляются после произвольного промежутка времени (например, при восстановлении из резервной копии). В средах облачных вычислениях важно надежно зафиксировать состояние защиты системы, при этом это не должно зависить от ее состояния и местоположения.

3. Уязвимости внутри виртуальной среды

Серверы облачных вычислений и локальные серверы используют одни и те же операционные системы и приложения. Для облачных систем угроза удаленного взлома или заражения вредоносным ПО высока. Риск для виртуальных систем также высок. Параллельные виртуальные машины увеличивает «атакуемую поверхность». Система обнаружения и предотвращения вторжений должна быть способна обнаруживать вредоносную активность на уровне виртуальных машин, вне зависимости от их расположения в облачной среде.

4. Защита бездействующих виртуальных машин

Когда виртуальная машина выключена, она подвергается опасности заражения. Доступа к хранилищу образов виртуальных машин через сеть достаточно. На выключенной виртуальной машине абсолютно невозможно запустить защитное программное обеспечение. В данном случаи дожна быть реализована защита не только внутри каждой виртуальной машины, но и на уровне гипервизора.

5. Защита периметра и разграничение сети

При использовании облачных вычислений периметр сети размывается или исчезает. Это приводит к тому, что защита менее защищенной части сети определяет общий уровень защищенности. Для разграничения сегментов с разными уровнями доверия в облаке виртуальные машины должны сами обеспечивать себя защитой, перемещая сетевой периметр к самой виртуальной машине (Рис 1.). Корпоративный firewall - основной компонент для внедрения политики IT безопасности и разграничения сегментов сети, не в состоянии повлиять на серверы, размещенные в облачных средах.

Атаки на облака и решения по их устранению

1. Традиционные атаки на ПО

Уязвимости операционных систем, модульных компонентов, сетевых протоколов и др - традиционные угрозы, для защиты от которых достаточно установить межстевой экран, firewall, антивирус, IPS и другие компоненты, решающие данную проблему. При этом важно, чтобы данные средства защиты эффективно работали в условиях виртуализации.

2. Функциональные атаки на элементы облака

Этот тип атак связан с многослойностью облака, общим принципом безопасности. В статье об опасности облаков было предложено следующее решение : Для защиты от функциональных атак для каждой части облака необходимо использовать следующие средства защиты: для прокси – эффективную защиту от DoS-атак, для веб-сервера - контроль целостности страниц, для сервера приложений - экран уровня приложений, для СУБД - защиту от SQL-инъекций, для системы хранения данных – правильные бэкапы (резервное копирование), разграничение доступа. В отдельности каждые из этих защитных механизмов уже созданы, но они не собраны вместе для комплексной защиты облака, поэтому задачу по интеграции их в единую систему нужно решать во время создания облака.

3. Атаки на клиента

Большинство пользователей подключаются к облаку, используя браузер. Здесь рассматриваются такие атаки, как Cross Site Scripting, «угон» паролей, перехваты веб-сессий, «человек посредине» и многие другие. Единственная защита от данного вида атак является правильная аутентификация и использование шифрованного соединения (SSL) с взаимной аутентификацией . Однако, данные средства защиты не очень удобны и очень расточительны для создателей облаков. В этой отрасли информационной безопасности есть еще множество нерешенных задач.

4. Атаки на гипервизор

Гипервизор является одним из ключевых элементов виртуальной системы. Основной его функцией является разделение ресурсов между виртуальными машинами. Атака на гипервизор может привести к тому, что одна виртуальная машина сможет получить доступ к памяти и ресурсам другой. Также она сможет перехватывать сетевой трафик, отбирать физические ресурсы и даже вытеснить виртуальную машину с сервера. В качестве стандартных методов защиты рекомендуется применять специализированные продукты для виртуальных сред, интеграцию хост-серверов со службой каталога Active Directory, использование политик сложности и устаревания паролей, а также стандартизацию процедур доступа к управляющим средствам хост-сервера, применять встроенный брандмауэр хоста виртуализации. Также возможно отключение таких часто неиспользуемых служб как, например, веб-доступ к серверу виртуализации.

5. Атаки на системы управления

Большое количество виртуальных машин, используемых в облаках требует наличие систем управления, способных надежно контролировать создание, перенос и утилизацию виртуальных машин. Вмешательство в систему управления может привести к появлению виртуальных машин - невидимок, способных блокировать одни виртуальные машины и подставлять другие.

Решения по защите от угроз безопасности от компании Cloud Security Alliance (CSA)

Наиболее эффективные способы защиты в области безопасности облаков опубликовала организация Cloud Security Alliance (CSA) . Проанализировав опубликованную компанией информацию, были предложены следующие решения .

1. Сохранность данных. Шифрование

Шифрование – один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным должен шифровать информацию клиента, хранящуюся в ЦОД, а также в случаи отсутствия необходимости, безвозвратно удалять.

2. Защита данных при передаче

Зашифрованные данные при передаче должны быть доступны только после аутентификации. Данные не получится прочитать или сделать изменения, даже в случаи доступа через ненадежные узлы. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно используются провайдерами.

3. Аутентификация

Аутентификации - защита паролем. Для обеспечения более высокой надежности, часто прибегают к таким средствам, как токены и сертификаты. Для прозрачного взаимодействия провайдера с системой индетификациии при авторизации, также рекомендуется использовать LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language).

4. Изоляция пользователей

Использование индивидуальной виртуальной машины и виртуальную сеть. Виртуальные сети должны быть развернуты с применением таких технологий, как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service). Часто провайдеры изолируют данные пользователей друг от друга за счет изменения данных кода в единой программной среде. Данный подход имеет риски, связанные с опасностью найти дыру в нестандартном коде, позволяющему получить доступ к данным. В случаи возможной ошибки в коде пользователь может получить данные другого. В последнее время такие инциденты часто имели место.

Заключение

Описанные решения по защите от угроз безопасности облачных вычислений неоднократно были применены системными интеграторами в проектах построения частных облаков. После применения данных решений количество случившихся инцидентов существенно снизилось. Но многие проблемы, связанные с защитой виртуализации до сих требуют тщательного анализа и проработанного решения. Более детально рассмотрим их в следующей статье.

Огромные вычислительные мощности облачных инфраструктур открывают перед пентестерами и блекхатами множество новых возможностей. Сегодня мы посмотрим на cloud computing с новой стороны и рассмотрим конкретные кейсы использования облачных мощностей для взлома и пентестинга.

IaaS на службе у хакера

Облачные вычисления представлены для пользователя следующими услугами:

• SaaS (Software as a Service)
• PaaS (Platform as a Service)
• HaaS (Hardware as a Service)
• WaaS (Workplace as a Service)
• IaaS (Infrastructure as a Service)
• EaaS (Everything as a Service)
• DaaS (Data as a Service)
• SaaS (Security as a Service)

В первую очередь нас интересует сервис IaaS, так как он предоставляет в данный момент наиболее востребованную и «реалистичную» среду для пентестера. Сервис IaaS предоставляет пользователю возможность создания виртуального сервера на основе оборудования провайдера облачных вычислений. Самое очевидное преимущество данного сервиса - практически неограниченные возможности по масштабированию вычислительных мощностей.

Что же такое сервис IaaS для пентестера? Это уникальная возможность использовать десятки идентичных по возможностям серверов с целью эффективной реализации классических задач в области пентеста:

• обман IPS при удаленном сканировании портов;
• распределенный перебор паролей;
• атаки на отказ в обслуживании;
• сканирование сетевого периметра;
• автоматизированный поиск уязвимостей.

Само собой, использование инновационных технологий облачных вычислений может быть направлено как в полезное русло, так и в не очень полезное. Как плохие парни могут использовать сервис в своих целях? Этот вопрос мы постараемся рассмотреть в данной главе на примере наиболее частых злоупотреблений.

Анонимность

Вопрос анонимности при использовании сервисов облачных вычислений стоит крайне остро. Дело в том, что вся информация, которая необходима для получения доступа к такого рода сервисам, ограничивается лишь номерами кредитной карты и сотового телефона. Большинство провайдеров верят пользователю «на слово» и не задумываются в настоящий момент о вопросах, возникающих после того, как их сервис стал одной из ключевых цепочек в истории взлома какого-либо ресурса. Чтобы выгодно продать свои услуги, провайдеры охотно предлагают пользователям промо-программы, предоставляющие возможность бесплатного использования сервисов в течение определенного промежутка времени. Вся информация о пользователе, получившем доступ к сервису, в таком случае сводится к адресу электронной почты и IP-адресу, который был использован пользователем для управления услугами. Совершенно понятно, что в этих условиях существует много способов абсолютно анонимного использования облачных мощностей.

Сетевая разведка

Термин «сетевая разведка» подразумевает под собой мероприятия, направленные на автоматизированный сбор информации для дальнейшего анализа. Облачные вычисления позволяют создать отличную площадку для проведения такого рода мероприятий, потому что обеспечивают несколько важных факторов, которые необходимы для автоматизации сбора данных. А именно: разные IP-адреса, с которых производится сбор данных, скорость канала связи и вычислительные ресурсы, позволяющие быстро обрабатывать полученную в результате сбора данных информацию.

Сканирование портов

Использование возможностей сервиса IaaS позволяет злоумышленнику преодолевать такие защитные средства, как IPS/IDS. Идея возможности скрытого от IPS/IDS сканирования портов на удаленной системе заключается в том, что сканирование проходит с более чем десятка различных IP-адресов с временными интервалами, по частям. В результате - даже хорошо настроенная IPS/IDS не сможет идентифицировать событие сканирования портов, а если идентифицирует его, то заблокирует только один IP-адрес из множества адресов, сканирующих серверов. Естественно, для реализации такой задачи необходимо разработать программное обеспечение, позволяющее удаленно управлять процессами на серверах, запущенных на площадке провайдера облачных вычислений.

Проведение атак

IaaS-площадки идеально подходят и для атак на удаленные сервисы. Например, для перебора паролей, а также различных видов client-side-атак. Во-первых, на площадке достаточно легко и просто «развернуть» любой боевой арсенал, например, metasploit или canvas. Во-вторых, перебор паролей может быть осуществлен распределенно, как и в случае со сканированием портов удаленного хоста, во избежание блокировки IP-адреса атакующего. В третьих, площадка IaaS может послужить отличным посредником между атакующим и целью с точки зрения того, что история всех действий, совершенных с площадки IaaS, будет уничтожена после выключения сервера.

Брутфорс

Возможность использовать условно «неограниченные» ресурсы облачных вычислений позволяет продуктивно проводить мероприятия по брутфорсу хешей и генерации радужных таблиц с последующим восстановлением по ним зашифрованных строк. Явным плюсом генерации радужных таблиц на базе облачных сервисов является возможность использования огромного устройства хранения данных. На практике генерация радужных таблиц для алгоритма ntlm (mixalpha-numeric-all-space, 8 символов) сводится только к вопросу времени и финансовым затратам. Для генерации такой таблицы на топовом домашнем компьютере потребуется порядка 1290 лет. В случае же облачных вычислений, прямо здесь и сейчас можно купить «машину времени», которая будет создаваться примерно 1,5 года и ее стоимость составит порядка $320k. Я хочу сказать, что такую таблицу, используя облачные вычисления, на практике можно создать всего за 1,5 года. В таблице 1 показана детальная статистика по финансовым затратам для такой разработки. В данном случае использовалось 20 серверов со следующими техническими характеристиками: 2xIntel Xeon X5570 quad-core «Nehalem» architecture, 2 ядра NVidia Tesla M2050, 23 Гб ОЗУ.

Цифры говорят о том, что пора менять парольную политику - расшифровать NTLM-хеш пароля из 8 символов вполне реально и доступно для плохих парней. Но это только теория. На практике же политика безопасности паролей более лояльна и ограничивает пользователя лишь длиной пароля - 8 символов в лучшем случае. Статистика используемых паролей в крупных компаниях, составленная Дмитрием Евтеевым и приведенная в его докладе «Анализ проблем парольной защиты в российских компаниях «, говорит о том, что большинство пользователей всеми возможными способами пытаются обойти ограничения парольной политики и использовать простой пароль.

В таблице 2 представлены необходимые для генерации различных радужных таблиц ресурсы.

Как видно, генерация «универсальной» радужной таблицы для паролей, состоящих из символов английского алфавита (lowcase) и цифр (от 1 до 12 символов) занимает целый миллениум и порядка 80 млн долларов. Для частного лица это на грани фантастики, но для государств и даже крупного бизнеса - вполне подъемно. Если же задаться целью, то используя всего 20 000 серверов вместо 20, можно создать такую таблицу всего за год.

Облачный DDoS

В первую очередь необходимо разобраться со схемой проведения эффективной ДДоС-атаки на сервер/сервис. Гаранты эффективности ДДоС-атаки:

• большое количество атакующих машин;

IaaS в скопе со специализированным DDoS-софтом - этой убойная конструкция, позволяющая осуществлять очень эффективные ДДоС-атаки. Сервис IaaS удовлетворяет пункт о необходимом множестве атакующих машин. Специализированный софт должен отвечать за «умную» нагрузку атакуемых систем с целью «отказа в обслуживании».

Специалистами нашей компании было разработано техническое задание для подобного рода софта. Требования к распределенной системе нагрузочного тестирования:

• мультиплатформенность (Linux/Windows);
• модульность;
• централизованное управление (клиент<->сервер).

Необходимые на первых парах модули:

• SYN flood
• UDP flood
• ICMP flood
• Application flood
• HTTP/HTTPS (GET/POST)
• SMTP/SMTP+SSL/TLS
• POP3/POP3+SSL

Параллельно с разработкой распределенной системы нагрузочного тестирования, мы провели испытания уже существующего софта для нагрузочного тестирования. Большая часть публичного ПО не удовлетворяла пункту централизованного управления, в связи с чем пришлось самостоятельно писать управляющие скрипты для централизации управления атакующими приложениями.

Из публичных утилит мы использовали два продукта:

• Mauszahn - утилита для генерации трафика (как валидного, так и невалидного). В большинстве случаев используется для проведения тестирования сетей VoIP или больших сетей, а также для проведения аудита безопасности в отношении систем, возможно уязвимых для специфических атак на отказ в обслуживании.
• SlowPost.pl (аналог для SlowLoris HTTP DoS Tool) - небольшой скрипт, позволяющий провести атаку на протокол HTTP через POST-запросы к веб-серверу, с целью вызвать отказ в обслуживании (исчерпав максимальное количество подключений к серверу). Более подробное описание данной атаки представлено на странице SlowLoris HTTP DoS . Аналогичный способ Application Flood для протокола HTTP через POST-запросы с использованием облачных вычислений был представлен Дэвидом Брайеном и Михаилом Андерсоном на хакерской конференции Defcon 18 . Они реализовали функционал распределенной системы Application Flood’а для протокола HTTP, но, к сожалению, практический результат в виде «отказа в обслуживании» реального сервера (парнями был использован для презентации один из веб-серверов Defcon’а) не был получен, хотя задумка в теории действительно должна была отлично работать. К такой заминке могло привести либо недостаточно эффективное осуществление Application Flood, либо недостаточное количество атакующих серверов. В разработке скрипта SlowPost.pl основной качественной характеристикой являлось эффективное осуществление Application Flood. В итоге, скрипт позволяет создать и поддерживать одновременно более 900 подключений к атакуемому веб-серверу с одной атакующий машины. Такие характеристики позволяют с помощью всего одной атакующей машины обеспечить атаку на «отказ в обслуживании» для большинства веб-серверов, работающих под управлением веб-сервера Apache. Ведь директива MaxClients по умолчанию равна 256: веб-сервер обеспечивает возможность работы только с 256 пользователям одновременно. Веб-сервер IIS (Windows 2003 Server), в отличие от Apache, использует значение по умолчанию, равное приблизительно 20 000.

Разработка системы распределенного нагрузочного тестирования была проведена в соответствии с от провайдера Amazon . Выбор пал на данного провайдера не случайно. Во-первых, Amazon - достаточно быстро развивающийся крупный проект, позволяющий своим пользователям одними из первых получать доступ к новым «фичам» функционала облачных вычислений. Во-вторых, после проведения сравнения бюджета на реализацию атак на отказ в обслуживании, который приведен ниже в таблице 3, оказалось, что сервис от Amazon наиболее демократичен и гибок.

Технические характеристики запускаемого Instance, выступающего в роли атакующего звена, представляют собой следующее:

• система x86/x64 (1 CPU);
• 613 Мб ОЗУ;
• 10 Гб HDD.

Технические характеристики Instance были выбраны минимальными в силу того, что для реализации атаки на «отказ в обслуживании» приоритет отдается количеству атакующих машин, а не их вычислительным характеристикам. Каждый Instance снабжен каналом с пропускной способностью 100 Mb/s, поэтому проблем в скорости передачи данных до атакуемого сервера теоретически быть не должно.

В первую очередь было очень интересно увидеть реальную мощность предполагаемого «ботнета» на облачных технологиях. Для теста был выбран сценарий упомянутого Брайена Андерсона, представляющий из себя реализацию атаки на «отказ в обслуживании» для HTTP-сервера.

Как было выяснено, связка 1 «Instance» + скрипт SlowPost.pl позволяет эмулировать более чем 900 клиентов веб-сервера. Таким образом, этой связки достаточно, чтобы вывести из строя любой веб-сервер, поддерживающий максимальное число подключений менее чем 900. Бюджет, необходимый для реализации такой атаки сводится к минимуму за счет потребления лишь компьютерного времени, а не ресурсов и трафика. Себестоимость атаки для таких веб-серверов - меньше 7 рублей в час! (см. таблицу 4)

При тестировании в реальных условиях мишенью выступал веб-сайт, обслуживаемый сервером IIS. Балансировка нагрузки была разделена на два IP-адреса. Таким образом, чтобы положить этот сервер, потребовалось создать более чем 20 000 подключений к каждому из IP-адресов. Настройки атакуемого веб-сервера были установлены по умолчанию. В итоге, для обеспечения всех условий для удачной атаки «отказ в обслуживании» было запущено 46 «Instance», каждый из которых эмулировал одновременную работу 900 пользователей. Кстати, обычным пользователям Amazon позволяется работать одновременно только с 20 «Instance». Чтобы полностью пройти путь плохого парня, задумавшего DDoS-атаку, мы просто зарегистрировали три различных аккаунта. Кроме этого, для регистрации нам понадобилось три сим-карты. Естественно, были куплены анонимные карты с балансами 300 рублей - причем абсолютно легально. К каждой сим-карте была приобретена карта оплаты (Prepaid Card For Internet Shopping) с балансами $5 - карта необходима при регистрации на площадке Amazon и верификации. В итоге, бюджет для атаки «отказ в обслуживании» на веб-сайт достаточно крупной компании составил всего 1150 рублей. Детальная стоимость представлена в таблице 5.

Атака проводилась в отношении веб-сервера на протяжении двух часов, чего вполне достаточно для ощутимых потерь в сфере интернет-бизнеса.

Трояны в Instance

Удобство облачных сервисов заключается также в гибкости выбора ОС и ее компонентов через приятный веб-интерфейс. Пользователь может использовать как стандартные решения, предоставленные провайдером, так и образы ОС, созданные пользователями провайдера. Например, сервис от Амазон очень активно использует данную систему. Именно в ней и кроится опасность - провайдер не гарантирует того, что образы систем, предоставленные пользователями для общего использования, не выполняют никаких скрытых действий: например, не ведут логи, не копируют личную информацию, не становятся частью ботнета, не распространяют вредоносное ПО. Проведенные тесты показали, что многие пользователи действительно не следят за такими вещами.

Для проведения теста потребовалось:

• создать образ популярной ОС в формате AMI и выложить его в открытый доступ в интерфейс Амазона;
• составить хорошее описание настроенной системы (установленный софт, полезные «плюшки» и т.д.);

Кроме этого мелким шрифтом в описании программы было написано, что при старте этого образа ОС в автоматическом режиме происходит HTTP-GET-отстук на сервер, собирающий статистику. Хотя об этом можно было и не говорить в описании образа, мелкий текст не испортил картины. Как результат - более 1000 отстуков за месяц! Представь, какой хороший и бесплатный ботнет можно собрать. Размещаешь протрояненный образ с красивым описанием - пользователи устанавливают его, а ты анонимно пользуешься их серверами за их же деньги.

Abuse-практика

Теоретически, оперативное реагирование на жалобы должно быть правилом для любого провайдера. В реальности же все обстоит несколько иначе. Проведя небольшое исследование, было выявлено, что даже серьезные провайдеры облачных сервисов (например, Amazon), не спешат реагировать на abuse и расследовать инциденты. Фактически, дело не заходит дальше учета сообщений об инцидентах. Во-первых, чтобы инцидент был рассмотрен провайдером, необходимо предоставить, помимо IP-адреса атакующего, точную дату и время атаки. После предоставления необходимой информации о злоумышленнике, переписка с провайдером будет продолжаться. Но это будет односторонняя переписка: провайдер с радостью выслушает ответы на интересующие его вопросы, но вот на твои - не ответит, за редким исключением, любезно игнорируя.

Что делать в случаях атак

При первом обращении к провайдеру, служба безопасности просит предоставить следующую информацию:

• IP-адрес атакующего;
• IP-адрес жертвы;
• атакуемый порт и протокол, по которому происходила атака;
• точную дату, время и временную зону жертвы;
• логи с машины жертвы, подтверждающие факт атаки (не более 4 Кб);
• контактные данные.

Крайне важны точное время атаки и временная зона атакуемой машины. Это связано с тем, что IP-адрес атакующего может менять владельца более одного раза за сутки, что усложняет идентификацию злоумышленника. Кроме этого следует точно идентифицировать вид атаки и создать слепок лог-файлов атакуемого сервиса для предоставления службе безопасности провайдера.

Заключение

Облачные технологии, предоставив пользователям доступ к огромным вычислительным возможностям, также дали возможность плохим парням использовать свои мощности в корыстных целях. Панацеи от этого не существует. Но, зная возможные векторы атаки с использованием облачных вычислений, можно защитить свои информационные ресурсы от возможных инцидентов.

Облачные технологии и соответствующие решения помогают добиться как значительной экономии, так и повышения гибкости. Однако при внедрении этих технологий на предприятиях не следует оставлять без внимания традиционные процессы - их необходимо оптимизировать в расчете на новые условия. Из-за отсутствия физического доступа к серверам в публичных облачных средах вопросы безопасности становятся еще более важными, ведь в чрезвычайной ситуации не будет возможности нажать кнопку экстренного отключения.

В публичных облаках для создания новых клиентских учетных записей и облачных серверов потребуется лишь несколько минут времени и действующая кредитная карточка. Опыт показывает, что предприятиям не удается предотвращать ситуации, когда их сотрудники, к примеру, приобретают ресурсы для целей моделирования, включая их стоимость в командировочные расходы или оплачивая с помощью корпоративных кредитных карт. К сожалению, в результате реальное число облачных серверов, на которых хранятся конфиденциальные корпоративные данные, может значительно превосходить то количество, которое находится под контролем ответственных специалистов.

КОНТРОЛИРУЕМОЕ ИСПОЛЬЗОВАНИЕ РЕСУРСОВ

Поэтому гораздо безопаснее обеспечить сотрудникам предприятия контролируемый доступ к этим ресурсам - разумеется, только в действительно необходимых пределах. Это позволит не только упорядочить доступ, но и управлять им. Многие брокеры внешних и внутренних облаков предлагают широкие возможности администрирования доступа для отдельных лиц в соответствии с пользовательской, ролевой или мандантной моделью в рамках общего доступа. С одной стороны, в этом случае предоставляются только те права, которые действительно необходимы пользователям, а с другой - повышается безопасность на предприятии, поскольку права распределяются централизованно и дифференцированно.

Такие функции предоставляют все наиболее популярные облачные брокеры, такие как vCloud Director, Amazon/ IAM, OpenStack и CloudStack. Во многих случаях возможна даже комбинация локальных и внешних ресурсов. Отказ от этих функций равносилен наличию одного общего пароля для всех сотрудников компании, работающих за общим компьютером, - очевидно, не самый благоприятный сценарий. Поэтому создание и использование ролей, индивидуальных учетных записей или мандантов следует считать обязательным.

Независимо от того, под управлением какой операционной системы функционирует облачный сервер, доступ к нему необходимо защитить. Конечно, можно положиться на предоставленные брокером облачных сервисов случайные пароли, но обычно пользователи эти пароли либо где-нибудь записывают, либо заменяют их простыми стандартными комбинациями. Оба варианта не самые удачные.

ДОСТУП К ОБЛАЧНЫМ СЕРВЕРАМ

Один из подходов заключается в разделении внутреннего и внешнего подтверждения прав доступа (Credentials). Это можно реализовать на базе собственных серверов доступа/SSH/ RDP Proxy или с помощью специализированных коммерческих решений. При этом сотрудники указывают свой внутренний пароль для регистрации на сервере доступа, а после проверки предоставленных им прав получают доступ к облачному серверу. Таким образом, при обращении к внешним ресурсам они смогут использовать свои собственные (доменные) пароли без угрозы для безопасности.

Этот вариант привлекателен особенно в средах Windows, поскольку, с точки зрения пользователей, доменные пароли пригодны для авторизации на облачных серверах, причем внешние облачные серверы не получают доступа к элементам Active Directory и их не нужно включать в домен. Периодическая смена паролей тоже значительно облегчается (а в некоторых случаях становится наконец-то возможной), поскольку внутренние и внешние процессы авторизации разделены.

ЖУРНАЛЬНЫЕ ЗАПИСИ В ОБЛАКЕ

Как и любая другая система, облачные серверы тоже создают журнальные записи (Log Data). Однако специалисты часто забывают о том, что журнальные записи могут служить важным источником информации при проведении инженерно-технических экспертиз (особенно для динамически запускаемых и останавливаемых облачных серверов). При необходимости такой экспертизы, к примеру, в случае хакерской атаки, эти данные (при их наличии) зачастую оказываются единственной зацепкой, ведь соответствующие облачные серверы уже могут быть выведены из эксплуатации.

Поэтому сохранение важных журнальных записей (вход/выход пользователей, целостность системы, обновления) за весь срок службы облачного сервера является важной и необходимой мерой. Только сбор данных, их объединение и вывод на внешние инструменты, к примеру на сервер Syslog, платформу безопасности с функцией проверки журналов или на систему управления событиями информационной безопасности (Security Information and Event Management, SIEM), позволят осуществить их последующий анализ. Атака на группу облачных серверов может остаться незамеченной, если атаки злоумышленника станут направляться каждый раз на новый сервер, но после вывода журнальных записей за пределы облачных серверов и выполнения их систематизации такое поведение можно будет быстро обнаружить (см. Рисунок 1).

УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ

С точки зрения обеспечения безопасности облака представляют собой лишь одну из разновидностей инфраструктурных платформ, пусть даже с высокой степенью автоматизации. Разумеется, и в облаке не обойтись без процессов, которые хорошо зарекомендовали себя в традиционных физических системах. Такие основополагающие функции, как межсетевой экран, IDS/IPS, виртуальное закрытие уязвимостей (Virtual Patching) и антивирусы, являются обязательными элементами любой концепции безопасности, будь то физические, виртуальные или облачные системы. А вот задачи, возникающие при управлении этими функциями, в различных инфраструктурах отличаются.

Необходимо, чтобы все серверы из локальных, внутренних или внешних облаков были идентифицированы и интегрированы в концепцию управления безопасностью. При использовании облачных сервисов этого можно добиться посредством прямой интеграции с брокером облачных сервисов, который в любой момент может предоставить информацию о наличии различных облачных серверов. Сопоставлять вручную параметры эксплуатируемых серверов с требованиями систем безопасности в динамических средах невозможно, а при попытках такого сравнения возникают многочисленные ошибки.

ФИЛЬТРАЦИЯ ДАННЫХ

К сожалению, в этом случае действует принцип самого слабого звена: если какой-либо облачный сервер не интегрирован в систему управления безопасностью, то есть не защищен в достаточной мере, то для злоумышленников именно он является наиболее привлекательной мишенью. А когда информация о всех облачных серверах предоставляется автоматически, независимо от их расположения, с помощью профилей безопасности можно оперативно вносить изменения для любого количества облачных серверов.

Вместе с тем, это позволяет централизованно контролировать изменения, производимые на облачных серверах (к примеру, в файлах или реестре). Чтобы снизить трудоемкость отслеживания таких событий, необходимо обеспечить автоматическую фильтрацию этих данных посредством специализированного ПО - сортировать вручную все события, к примеру при обновлении стандартной системы Linux или Windows, не получится. Благодаря автоматической фильтрации «положительных» событий появляется возможность подробнее изучить оставшиеся, обнаружить вероятные несанкционированные действия и отследить их.

Балансируя на канате: выбор между новыми возможностями цифровой эпохи и безопасностью

Независимо от того, связан ваш бизнес с Интернетом или нет, в вашей компании все равно есть информационная cеть.

Компьютерные сети упрощают логистику и финансовые операции, способствуют продуктивной работе сотрудников, где бы они ни находились, и обеспечивают сохранение данных. Возрастающие темпы интеграции физического и цифрового мира привели к появлению среды, полной новых возможностей для обучения, ведения совместной деятельности и повышения ее эффективности. В ближайшем будущем почти все устройства, как и люди, будут связаны друг с другом электронными коммуникациями.

Все это ведет к растущей популярности облачных вычислений, виртуализации и мобильности, распространению интеллектуальных датчиков и интересу к использованию персональных устройств для решения бизнес-задач (BYOD).

Однако не все потенциальные цифровые возможности заведомо приводят к успеху. Киберпреступники, хакеры и враждебно настроенные по отношению к другим странам государства стремятся воспользоваться нестабильностью и пробелами в безопасности, возникающими при развитии этих новых тенденций. С ростом взаимозависимости между физическим и электронным мирами крайне важное значение приобретают сбалансированные меры кибербезопасности, которые позволили бы получить максимальный эффект, использовать преимущества новых цифровых моделей и при этом держать под контролем их негативные стороны.

ОБРЕТЕНИЕ СТРАТЕГИИ: В ПОИСКАХ ОРИЕНТИРА

Цифровизация бизнеса - залог успеха, но, увы, у большинства организаций отсутствует какая-либо киберстратегия. Не понимая сопутствующих опасностей, которым они себя подвергают, многие организации не обладают стратегическим пониманием того, как можно свести к минимуму угрозы безопасности и воспользоваться открывающимися возможностями.

Чтобы полностью воспользоваться достоинствами сбалансированной киберстратегии, необходимо разработать два интегрированных плана - реализации цифровых преимуществ и обеспечения безопасности. Для их успешного претворения в жизнь компаниям нужно использовать преимущества стратегического руководства, продемонстрировать стремление к цели и обеспечить постоянный контроль при четком понимании задач и стимулов. Стратегия должна исходить из того факта, что киберфункции приобретают ключевую роль в достижении бизнес-успеха.

РЕАЛИЗАЦИЯ ЦИФРОВЫХ ПРЕИМУЩЕСТВ

Первым шагом к разработке сбалансированной киберстратегии является создание плана реализации преимуществ цифрового мира, для чего необходимо исследовать, какие возможности и выгоды открывают перед организацией новые технологии. Для этого потребуется изучение и углубленный анализ как уже существующих цифровых решений, так и тех, которые будут разработаны в ближайшем будущем.

В первую очередь следует изучить следующее: технологии, обеспечивающие более простой обмен информацией, а также дающие выигрыш в эффективности за счет масштаба, виртуализации и миграции в облако; инновации в области коммуникаций и совместной работы; возможность максимального использования социальных технологий с помощью краудсорсинга и вовлечения заказчиков в процесс исследований и разработок, развития продуктов и маркетинга.

ЦИФРОВАЯ БЕЗОПАСНОСТЬ

Кроме того, чтобы свести к минимуму риски, создаваемые инновационными решениями, нужно разработать план обеспечения безопасности. И прежде всего следует позаботиться об обеспечении устойчивости за счет осведомленности о ситуации, эффективного и действенного управления безопасностью и операциями, а также о создании и поддержке динамичной системы безопасности и противодействия.

Эпоха изолированных решений, нацеленных на защиту отдельных информационных систем, закончилась. Новые подходы должны предусматривать упреждающие стратегии, в рамках которых выявляются и отрабатываются первые признаки опасности, проводится активное тестирование, анализируются поведенческие тенденции, а инструменты и методы противодействия атакам постоянно обновляются в соответствии с изменениями мышления хакеров и применяемых ими методов. Чтобы обеспечить централизованное управление, стандартизацию и быстрое принятие решений безопасности в масштабе всей организации, необходимо целостное (360 градусов, 24/7) представление о всей сетевой инфраструктуре организации, ее ИТ-ресурсах, процессах и событиях.

ЦИФРОВАЯ ГИБКОСТЬ

Последним краеугольным камнем в данной стратегии является способность к гибкости. С развитием цифровых возможностей должна эволюционировать и система информационной безопасности. Выстраивание жестких барьеров и использование статических аппаратно-зависимых технологий позволят лишь идти в ногу с изменениями и инновациями, в то время как хакеры действуют быстрее, опережая способность бизнеса организовать защиту.

Для успешной защиты уровень организации систем безопасности должен быть выше среднего, а условия для проникновения в информационные системы настолько сложными, чтобы затраты времени и усилий, направляемые на взлом, оказывались для хакеров невыгодными. Для компании «лучшая практика» заключается в том, чтобы сравнивать себя с конкурентами и непрерывно развивать не только свою способность к обороне, но и готовность к нападению.

ЦИФРОВАЯ РЕВОЛЮЦИЯ НЕ ДОЛЖНА ЗАСТАТЬ ВРАСПЛОХ

Интернет всегда был и будет великолепным источником и катализатором инноваций. Для успешной конкуренции компаниям следует находить подходящие для себя кибервозможности.

В то же время овладение ими может подвергнуть компанию дополнительному риску, ведь непрерывность бизнес-процессов начинает в большей степени зависеть от надежности сети, партнеры получают доступ к корпоративным данным, а электронное взаимодействие и сотрудничество превращаются в важнейшие элементы взаимодействия с заказчиками. Даже если организация не пользуется Интернетом, игнорировать эти риски нельзя.

Очень важно найти баланс между риском и выигрышем. Составляющие такого баланса специфичны для каждой организации и зависят от степени опасности, которую она считает приемлемой для достижения конкретных показателей возврата инвестиций. Однако руководители предприятий должны быть осмотрительны, знать о возможных угрозах и не упускать их из виду, увлекаясь технологическими инновациями, что потенциально может внести негативные коррективы в уже утвержденные стратегии развития, а в конечном счете - повредить способности бизнеса планировать и реализовывать поставленные задачи.

Дмитрий Ушаков - руководитель отдела по подготовке и внедрению технических решений Stonesoft Russia.

ЗАЩИТА ДАННЫХ

Предоставление надежно защищенного облачного сервера для обработки данных - это лишь первый шаг при использовании облачных сервисов. На втором и третьем этапах требуется переместить данные на защищенный облачный сервер и позаботиться о том, чтобы они и в облаке (то есть за пределами сферы физического доступа клиента) оставались в безопасности. Последнее можно обеспечить с помощью полного шифрования виртуальных жестких дисков: в случае необходимости получения доступа данные расшифровываются при считывании, а затем снова зашифровываются при записи на диск. Благодаря этому можно избежать ситуаций, когда незашифрованная информация попадает в системы длительного хранения провайдеров услуг или сохраняется в виде резервных копий.

При шифровании данных всегда возникает вопрос о ключах. Их хранение на облачном сервере нецелесообразно, поскольку каждый, кто имеет доступ к облачным серверам или шаблонам, мог бы получить доступ к ключу - а значит, и к расшифрованным данным. Набор пароля при запуске системы, как это принято в локальных решениях для шифрования данных, затруднен в связи с отсутствием настоящей консоли, однако идея неплоха. Физический ввод ключа заменяется запросом, который облачный сервер отправляет внешнему источнику - серверу управления ключами (Key Management Server, KMS).

ШИФРОВАНИЕ ДАННЫХ Сервер KMS проверяет идентификационные данные (к примеру, по облачному серверу, IP-адресам, шаблонам, ЦОД или местонахождению) и целостность (брандмауэр, установленные заплаты, наличие активного антивирусного сканера) облачного сервера, направившего запрос, - точно так же, как это делает человек при традиционном шифровании жестких дисков. В случае успеха ключ предоставляется либо автоматически, либо после подтверждения вручную уполномоченным лицом. После этого облачный сервер получает доступ к данным - до тех пор, пока не окажется нарушена его целостность или идентичность.

Решающим фактором для обеспечения безопасности такого решения является раздельная эксплуатация облачного сервера и сервера управления ключами (см. Рисунок 2): если оба размещены у (одного и того же) провайдера облачных сервисов, то вся информация снова оказывается собранной в одном месте. Хорошей альтернативой является установка сервера KMS в локальном ЦОД или в качестве внешней услуги у другого сервис-провайдера.

РАЗДЕЛЬНОЕ АДМИНИСТРИРОВАНИЕ КЛЮЧЕЙ

Помимо вышеупомянутого варианта шифрования жестких дисков с раздельным управлением ключами при предоставлении инфраструктуры в качестве сервиса (Infrastructure as a Service, IaaS), эта концепция встречается и при реализации модели предоставления платформы как услуги (Platform as a Service, PaaS). Информация зашифровывается таким образом, что в базы данных, предоставляемые провайдером облачных сервисов, в виде открытого текста она не попадает. В этом случае необходимые для работы с зашифрованными данными ключи тоже контролируются пользователем.

Оба указанных метода не следует путать с шифрованием данных на стороне провайдера, когда данные шифруются провайдером перед их перемещением на системы хранения или при резервном копировании (такой подход применяется, к примеру, в сервисе Amazon S3 Server-Side Encryption). Эта технология позволяет защитить информацию от злоумышленников, даже если те получат физический доступ к жестким дискам (украденные данные будут непригодны для использования), но не убережет от злоупотребления должностными полномочиями со стороны сотрудников провайдера облачных сервисов.

Защита в зависимости от облачной модели

Рынок облачных сервисов растет быстрыми темпами, поэтому и вопросы безопасности их использования стоят очень остро. На территории Российской Федерации работа с такими сервисами имеет свою специфику в силу законодательных требований обязательной защиты информации, например персональных данных, врачебной тайны и т. д. В первую очередь необходимо определиться с подходами к решению вопросов ИБ при различных реализациях облачных сервисов.

Модель «ПО как сервис» (Software as a Service, SaaS) подразумевает обработку и хранение всех данных на стороне провайдера. В данном случае приходится полностью доверять принятым им мерам и технологиям защиты информации. Использование SaaS для обработки, скажем, персональных данных - причем как в техническом плане, так и в организационно-правовом - возможно только в доверенных инфраструктурах. Поэтому единственным применением этой модели представляется реализация частных облаков, когда доверенный провайдер является подразделением или подведомственной организацией вышестоящего органа.

При этом особое внимание следует уделить вопросам доступа к сервису SaaS. Для его защиты необходимы строгая двухфакторная аутентификация пользователей с помощью отчуждаемых носителей (USB-токенов или смарт-карт), например eToken, и передача данных в зашифрованном виде. Для этой цели подходят HTTPS или VPN с поддержкой сертифицированной «российской» криптографии, шифрование выборочных данных на прикладном уровне посредством подключаемого модуля браузера или же описанное автором статьи решение с применением собственных proxy-серверов, которые защищают коммуникацию с провайдером.

Модель «платформа как сервис» (Platform as a Service, PaaS), как и SaaS, при обработке персональных данных применима только при работе с доверенным провайдером. И на нее тоже распространяются все вышеперечисленные подходы (с некоторым расширением).

Кардинальную противоположность SaaS представляет модель «инфраструктура как сервис» (Infrastructure as a Service, IaaS). В данном случае потребителю предоставляется готовая инфраструктура. Это может быть как виртуальная машина, так и целая сеть. При обращении к услугам недоверенного провайдера следует контролировать доступ на уровне гипервизора, иначе все попытки построить эффективную защиту будут сродни построению крепких ворот без забора. При этом задача обеспечения информационной безопасности сводится к комплексной защите удаленного подразделения с применением зарекомендовавших себя традиционных методов, применяемых в физических системах.

В случае недоверенного провайдера при использовании любой модели актуально хранение данных в облаке в зашифрованном виде. Особую остроту этому вопросу придает популярность общедоступных сервисов Data as a Service и Database as a Service, которые не предусматривают защищенного взаимодействия между провайдером и потребителем, нарушая требования регуляторов в области ИБ. Когда HTTPS или VPN с сертифицированной «российской» криптографией не используется, единственно возможным решением представляется передача данных по открытым каналам связи в зашифрованном виде. И такие предложения имеются на рынке - например, «Крипто БД» в режиме работы с шифрующим посредником (proxy). Отличительная особенность этих решений заключается в том, что управление ключами осуществляется администратором ИБ в рамках локальной инфраструктуры, а не в инфраструктуре провайдера.

Максим Чирков - руководитель направления развития сервисов ЭП компании «Аладдин Р.Д.».

ЗАШИФРОВАННАЯ ПЕРЕДАЧА

Но что даст зашифрованное хранение данных даже в сочетании с надежным контейнером, если передача данных осуществляется в незащищенном виде и без проверки целостности? Для безопасной обработки данных обязательным условием является их шифруемая передача. Интересный вариант представляет собой комбинация из зашифрованных данных и технологий защищенной передачи.

Большинство протоколов SSL и VPN в качестве опции поддерживают использование цифровых сертификатов для аутентификации, посредством которых проверяется идентификационная информация другой стороны, причем еще до начала передачи данных. Такие цифровые сертификаты могут храниться на виртуальных жестких дисках в зашифрованном виде, и используются они только после того, как сервер управления ключами проверит идентификационную информацию и целостность системы. Следовательно, такая цепочка взаимозависимостей позволит передавать данные только тем облачным серверам, которые прошли предварительную проверку.

Тема безопасности в облаке очень обширна. Особое внимание следует обратить на контекст, в котором работают облачные серверы: ведь во внешних облаках ближайший сосед может оказаться основным конкурентом, поэтому следует изначально исходить из того, что вы находитесь на «вражеской территории», и обеспечить соответствующие меры безопасности. К сожалению, к обещаниям, которые дают провайдеры облачных сервисов, следует относиться с осторожностью, ведь правовая ответственность за сохранность данных и их утрату возлагается на самих клиентов.

ТЕХНИЧЕСКИЕ МЕРЫ

Помимо общих правовых условий, существуют меры технического характера, соблюдение которых позволит повысить защищенность облачных ЦОД. Прежде всего все действия, направленные на улучшение их защиты и управление ими, не должны становиться помехой для работы пользователей. Это потребует, с одной стороны, применения уже проверенных инструментов и методов - частично в более расширенном формате (как в случае шифрования данных и раздельного управления ключами). С другой стороны, обязательным условием для повышения уровня автоматизации является более тесная интеграция различных функций безопасности с брокером облачных сервисов. Учет этих двух аспектов позволит в полной мере воспользоваться преимуществами облаков и не допускать компромиссов в сфере безопасности.

Удо Шнайдер - системный архитектор по региону ЕМЕА в компании Trend Micro.