Более половины предприятий из числа так и не решившихся сделать шаг в сторону облаков указывают опасения по поводу безопасности в качестве главной — и вполне справедливо — причины отказа от переноса приложений в облако. Кроме того, исследование показало, что 46% организаций, уже использующих облачные технологии, сталкиваются с подобными проблемами. Многие предприятия, еще не принявшие окончательного решения по данному вопросу, дали четко понять, что они станут рассматривать облачные вычисления, только если сервис-провайдеры начнут внедрять более агрессивные стратегии для обеспечения защиты данных.
ТРУДНАЯ ЗАДАЧА
С точки зрения архитектуры многоуровневые приложения, выполняемые в традиционных ЦОД и на локальных компьютерах, являются относительно защищенными. Миграция этих приложений в облако означает, что они распределяются между различными вычислительными центрами, локальными (LAN) и глобальными (WAN) сетями, а значит, данные становятся более доступными и подвергаются большему риску. Поэтому сервис-провайдеры обязаны обеспечить надежную защиту своих услуг от воздействия множества вредоносных программ (таких как вирусы, черви, трояны, инструменты Rootkit, шпионское ПО и мошеннические программы Scareware Scam) и гарантировать их приемлемую производительность.
Любое злонамеренное вмешательство может отрицательно сказаться на работе компьютеров и повысить их восприимчивость к угрозам вроде атак DDoS, что приведет к снижению производительности систем и ограничению доступа к ним. У облачных решений есть несколько слабых мест, которые могут стать объектом для атак (см. Рисунок 1):
- «черные ходы» в приложениях, компоненты которых распределены по разным серверам в одном или нескольких ЦОД и соединяются друг с другом посредством сетей, доступ к которым можно получить через Интернет или другие приложения;
- непреднамеренное открытие доступа для злоумышленников при недостаточно надежном контроле во время технического обслуживания в облаке, что подвергает риску сохранность данных;
- решения виртуализации, в которых несколько виртуальных машин параллельно выполняются на одной и той же хост-системе, а передаваемые по сети данные хранятся на одном и том же носителе.
Рисунок 1. Помимо традиционных угроз, облачные системы подвержены и новым видам атак. |
Изолировать приложения и данные отдельных клиентов становится все сложнее, поскольку количество заказчиков и размеры ЦОД непрерывно увеличиваются.
Используемые в облачных ЦОД виртуализированные хост-системы способны предоставить большие емкости для хранения данных благодаря подключенным к ним высокопроизводительным массивам хранения. Теоретически виртуальные машины, размещенные на этих хост-системах, способны обеспечить значительно более высокую производительность, чем заменяемые ими независимые хосты, а значит, улучшается восприятие предоставляемых сервисов пользователями. На практике приложениям из различных источников, размещенным на виртуальном хосте, обычно приходится делить процессорные мощности и ресурсы памяти с не слишком активными приложениями, однако периодически они сталкиваются и с очень активными приложениями, предъявляющими высокие требования к ресурсам. Кроме того, соперничество за ресурсы виртуальных хост-систем могут вызвать и виртуальные коммутаторы.
Чтобы справиться с возрастающей нагрузкой, экземпляры виртуальных машин иногда размещают в том же самом или втором ЦОД, что, однако, приводит к возникновению дополнительных задержек. К тому же появление дополнительных компонентов открывает новые возможности для атак: гипервизоры, виртуальные машины, виртуальные коммутаторы и управляющие серверы подвергают приложения и данные дополнительным рискам.
Эти слабые места уже привели к появлению новых разновидностей атак:
- «побег из виртуальной машины» (VM Escape) — вредоносные программы проникают за пределы гостевой виртуальной машины, внедряют код на гипервизоре и запускают его;
- «перескакивание» с одной виртуальной машины на другую (VM Hopping) — программы в гостевой виртуальной машине используют слабые места виртуальной инфраструктуры или гипервизора, чтобы запустить выполнение кода на других гостевых виртуальных машинах;
- хищение виртуальных машин — украденные образы виртуальных машин можно смонтировать и запустить на других системах;
- захват контроля над гипервизором (Hyperjacking) — злоумышленники заменяют гипервизоры, контролирующие виртуальные хост-системы, на собственные модифицированные версии, чтобы получить доступ к виртуальным машинам.
Безопасность — основная проблема
Если для малых и средних предприятий обеспечение информационной безопасности при использовании облачных вычислений не является насущной проблемой, то перед крупными компаниями и теми организациями, которым необходимо строго соблюдать нормативные документы в области информационной безопасности, она стоит достаточно остро. В настоящий момент это одно из основных препятствий на пути использования облачных сервисов организациями, обрабатывающими информацию ограниченного доступа.
Позиция компаний в вопросах ИБ определяется требованиями нормативной базы в области защиты информации, роль которых будет только возрастать. Чтобы нивелировать этот фактор, поставщикам облачных услуг предстоит решить огромный спектр технических, юридических и организационных вопросов, включая сертификацию продуктов и сервисов, аттестацию объектов и т. п. Надо отметить, что для охвата новых моделей и технологий оказания облачных услуг нормативная база в области защиты информации будет постоянно изменяться.
Основные методы обеспечения безопасности в облаке хорошо известны операторам коммерческих ЦОД и системным интеграторам, которые строили эти ЦОД и запускали в эксплуатацию. Основная разница между коммерческим ЦОД и облаком заключается в гибкости предоставления, эффективности и доступности услуги. И тут приходится решать дилемму. С одной стороны, стандартные специализированные средства обеспечения безопасности (межсетевые экраны, системы предотвращения вторжений и т. п.) существенно снижают эту гибкость и эффективность. С другой — облачные продукты безопасности не обладают пока нужным уровнем доверия пользователей и не прошли сертификацию в соответствующих ведомствах. Так что сейчас очень важно найти разумный баланс и активно участвовать в развитии продуктов, решений и поиске новых подходов к обеспечению защиты данных в облаке.
Михаил Кадер — заслуженный системный инженер Cisco.
ПОВЫШЕНИЕ БЕЗОПАСНОСТИ С САМОГО НАЧАЛА
Приступая к разработке стратегии безопасности, полезно представить себе облачный ЦОД в виде уменьшенной копии сети Интернет. Благодаря интерфейсу виртуальных рабочих станций (Virtual Desktop Interface, VDI) в виртуальных средах могут выполняться самые разнообразные приложения. Кроме того, необходимо обеспечить поддержку Web-серверов Intranet, а также многочисленных SaaS-приложений и социальных медиа.
Несмотря на все многообразие клиентов, поддерживаемых в облачных ЦОД, для их защиты применяются схожие стратегии. Как правило, корпоративный брандмауэр выполняет роль «входной двери» и отвечает за то, чтобы попасть в сеть или покинуть ее могли только определенные виды сетевого трафика. На помощь брандмауэру приходят шлюзы VPN, системы обнаружения/предотвращения вторжений (IDS/IPS), программы фильтрации спама, антивирусы и системы защиты от потери данных. Часто все эти функции объединены в одной системе для унифицированного управления угрозами (Unified Threat Management System, UTM), которая выполняется на одной-единственной виртуальной хост-системе.
Однако для обеспечения надежной защиты облачных ЦОД и ее поддержания на надлежащем уровне потребуются дополнительные элементы: аппаратные средства безопасности (Security Appliance), гипервизоры, виртуальные системы управления, а также сетевые компоненты: коммутаторы, маршрутизаторы, системы распределения нагрузки (Load Balancer) и средства глубокого анализа пакетов (Deep Packet Inspection, DPI).
В рамках реализации стратегий безопасности часто применяются следующие методы:
- Использование виртуальных локальных сетей (VLAN), в которых клиенты изолированы друг от друга за счет отнесения их к сетям с разными идентификаторами VLAN (VLAN-ID), при этом коммутаторы запрограммированы таким образом, что трафик данных из других VLAN не виден. Однако этот метод не только подвержен ошибкам при ручной настройке, но и имеет другие слабые места в конфигурации гипервизоров и виртуальных коммутаторов, что может сделать трафик данных видимым для злоумышленников.
- Алгоритмы шифрования данных для обеспечения их защиты и аутентификации отправителя.
- «Низкоуровневые» брандмауэры, которые позволяют с помощью «ловушек» гипервизора (Hypervisor Hook) создавать правила безопасности для изолирования VLAN, аутентификации пользователей
Все эти методы играют важную роль, однако наиболее эффективными средствами противодействия угрозам являются постоянная оценка, проверка, мониторинг и дальнейшее совершенствование мер безопасности для облачных систем.
Знать друг друга
При решении задач информационной безопасности в облачных сервисах, как, впрочем, и в любой инфраструктуре, одним из первых стоит вопрос аутентификации. Да, именно с осуществления аутентификации начинается реализация защищенного доступа к услугам. Все остальные механизмы ИБ при своем функционировании учитывают информацию о том, какой именно пользователь работает в данном сеансе.
Самой надежной является аутентификация с применением криптографических методов (открытой криптографии). Для большего удобства при максимальном уровне безопасности используются USB-токены и смарт-карты с реализованной криптографией «на борту». Именно они позволяют скрыть от посторонних глаз закрытый ключ пользователя, при этом критически важные операции с данным ключом выполняются внутри такого устройства, а не в оперативной памяти компьютера. Подобная процедура сводит угрозы компрометации ключевой информации к минимуму.
Аутентификация по цифровым сертификатам и электронная подпись (ЭП) фактически основываются на одних и тех же механизмах открытой криптографии. ЭП позволяет установить целостность и авторство документа, записи в базе данных и т. д. В большинстве облачных сервисов для аутентификации и ЭП используется один сертификат пользователя — это помогает оптимизировать процессы управления.
Согласно действующей редакции Федерального закона № 63-ФЗ «Об электронной подписи», при определенных условиях подпись, сформированная при помощи «западных» алгоритмов (например, RSA), может признаваться аналогом собственноручной подписи, однако во все большем числе систем используется именно квалифицированная подпись, что подразумевает применение сертифицированных средств ЭП с «российскими» криптографическими алгоритмами.
При реализации облачных Web-сервисов, в рамках которых производится обработка документов, подписанных квалифицированной ЭП, остро встают вопросы обеспечения комплексной ИБ в так называемой недоверенной среде и соблюдения требований российского законодательства в отношении использования средств криптографической защиты информации. Ранее в результате решения этих задач возникали значительные неудобства для конечного пользователя, но два года назад компания «Аладдин Р.Д.» предложила рынку технологию JC-WebClient, которая лишена этих недостатков.
Данная технология позволяет организовать безопасную работу с облачными Web-приложениями практически с любого компьютера, имеющего подключение к Интернету. При этом обеспечиваются взаимная двухфакторная аутентификация клиента и сервиса, конфиденциальность передаваемых данных, формирование и проверка квалифицированной электронной подписи Web-форм и файлов с использованием российских криптографических алгоритмов. Безопасность достигается за счет использования электронных ключей — USB-токенов, смарт- и банковских карт, а также карт Secure MicroSD с уже реализованной на них сертифицированной российской криптографией.
При использовании на том или ином портале технологии JC-WebClient работа с криптографией возможна и в случае доступа к нему с мобильных платформ (iOS, Android). Поскольку криптографические операции выполняются внутри электронного ключа, установка специализированного приложения или браузера с поддержкой данных устройств не требует операций по снятию ограничений на доступ к файловой системе (jailbreak). JC-WebClient не является универсальным средством обеспечения информационной безопасности портала, но решает одну из важнейших задач — обеспечение защищенной и удобной коммуникации пользователя с сервисом.
Максим Чирков — руководитель направления развития сервисов ЭП компании «Аладдин Р.Д.»
УСИЛЕНИЕ МЕР БЕЗОПАСНОСТИ
Владельцы ЦОД не могут позволить себе положиться на оценки для сценариев с наилучшим развитием событий (Best Case), поскольку они указывают теоретическую производительность компонентов безопасности. Как и все остальные основополагающие аспекты обеспечения производительности сетей и приложений, решения и меры безопасности тоже нуждаются в тщательной проверке на протяжении всего жизненного цикла инвестиций. Так, после этапа проектирования и внедрения необходимо выполнять регулярные проверки, чтобы подтвердить уровень качества сервисов и соответствие законодательным предписаниям.
Производительность решений безопасности следует анализировать при приближенных к реальности сетевых нагрузках и угрозах. Специализированные системы тестирования позволяют имитировать не только возможные угрозы и состояние сети, но и поведение пользователей. При этом через аппаратные средства безопасности сетевой трафик должен проходить в различной комбинации (голос, видео и другие данные), чтобы суммарный объем вредоносного и обычного трафика позволил создать максимальную нагрузку на интерфейсы устройства. Качество восприятия (Quality of Experience, QoE) сервисов при этом можно измерить с помощью соответствующих инструментов, что позволяет быть уверенным в достаточной удовлетворенности заказчиков.
В идеале аппаратные устройства следует проверять с использованием различных методов тестирования и имитации атак, поскольку они играют ключевую роль для обеспечения безопасности. Так, специалисты компании Ixia, к примеру, рекомендуют следующие методы проверки и имитируемые угрозы:
- воспроизведение атак DDoS, когда проверяется способность устройств отразить атаки при имитации обращений с тысяч компьютеров;
- проверка на наличие известных брешей в безопасности с помощью баз данных вредоносных программ (Malware), попыток проникновения и других видов атак; чтобы убедиться в способности средств безопасности полностью отражать все угрозы и поддерживать при этом удовлетворительный уровень производительности, атаки должны осуществляться с большой частотой и нацеливаться на несколько известных слабых мест одновременно;
- проверка на наличие утечки данных, при которой с помощью исходящего трафика в виде электронных писем, вложений, наборов данных форм, передачи данных FTP и сообщений IM необходимо определить, насколько эффективно устройства распознают и предотвращают возможность утечки информации;
- преднамеренный ввод данных, содержащих ошибки (Fuzzing), что позволяет оценить, смогут ли принимающие программы обрабатывать проблемный трафик.
Вышеназванные методы позволяют обнаружить ранее неизвестные слабые места в операционных системах, протоколах Интернета, графических инструментах и в другом программном обеспечении.
Детлеф Хорн — руководитель по региону EMEA Central в компании Ixia.