УДК: 004.056.5
ЗАХИСТ В ХМАРНИХ СЕРЕДОВИЩАХ
Дігтяр М. М., Руссін О. С.
Національний технічний університет України «Київський політехнічний інститут», Україна, Київ
Контроль та управління хмарами - це проблема безпеки. Існує багато високорівневих різнотипних загроз, пов'язаних з керованістю хмарою, як єдиною інформаційною системою, тому загальну систему захисту потрібно будувати індивідуально. Для цього необхідно використовувати модель управління ризиками для хмарних інфраструктур. Оскільки хмарні обчислення розвиваються і завойовують все більшу популярність по всьому світу, збереження цілісності даних і забезпечення захисту стає надзвичайно важливим питанням для роботи. В даній статті розглянуті і проаналізовані основні відомі загрози для хмарних обчислень та методи боротьби з ними від різних компаній.
Ключові слова: Хмарні обчислення, захист інформації в хмарах, методи керування хмарою, хмарні типи, безпека в хмарних серверах
Дигтяр М. М., Руссин А. С. Защита в облачных средах / Национальный технический университет Украины «Киевский политехнический институт», Украина, Киев
Контроль и управление облаками - это проблема безопасности. Существует много высокоуровневых разнотипных угроз, связанных с управляемостью облаком, как с единой информационной системой, поэтому общую систему защиты нужно строить индивидуально. Для этого необходимо использовать модель управления рисками для облачных инфраструктур. Поскольку облачные вычисления развиваются и завоевывают все большую популярность по всему миру, сохранение целостности данных и обеспечения защиты становится чрезвычайно важным вопросом для работы. В данной статье рассмотрены и проанализированы основные известные угрозы для облачных вычислений и методы борьбы с ними от различных компаний.
Ключевые слова: облачные вычисления, защита информации в облаках, методы управления облаком, облачные типы, безопасность в облачных серверах.
Dihtiar M. M., Russin A. S. Protection in cloud environments / National Technical University of Ukraine "Kyiv Polytechnic Institute", Ukraine, Kyiv
Control and management of clouds - a problem of security. There are many different types of high-level threats associated with handling the cloud as a single information system, so the overall system protection should be built individually. You must use a risk management model for cloud infrastructures. As cloud computing developing and gaining increasing popularity worldwide, maintaining data integrity and ensuring protection is an extremely important issue for the job. This paper reviewed and analyzed the main known threats to cloud computing and methods of dealing with them by different companies.
Key words: Cloud computing, information security in the clouds, cloud management methods, cloud types, security in cloud servers
Вступ. «Хмара» має унікальні особливості, які відрізняють її від класичної клієнт-серверної архітектури і звичного хостингу. При розміщенні ІТ-систем в хмарній інфраструктурі, клієнт втрачає контроль над частиною інфраструктури за рахунок того, що відмовляється від володіння фізичним обладнанням на користь постачальника IaaS. До провайдера переходять рутинні обов'язки з управління компонентами інфраструктури, включаючи адміністрування мереж, серверів і систем зберігання даних. Тепер саме він цілком відповідає за стабільність і захищеність роботи апаратного забезпечення. Клієнт при цьому позбавляється від необхідності стежити і налаштовувати обладнання, оновлювати і лагодити його. Ті ресурси, які потрібні йому для роботи, уже не обмежуються фізичними можливостями існуючого обладнання, що помітно підвищує ефективність роботи користувачів і компанії в цілому.
Cloud Security Alliance (CSA)
Найбільш ефективні способи захисту в галузі безпеки хмар опублікувала організація Cloud Security Alliance (CSA). Проаналізувавши опубліковану компанією інформацію, були запропоновані наступні рішення.[1]
1. Збереження даних. Шифрування
Шифрування - один з найефективніших способів захисту даних. Провайдер, що надає доступ до даних, повинен шифрувати інформацію клієнта, що зберігається в ЦОД, а також, у випадку відсутності необхідності, безповоротно видаляти.
2. Захист даних при передачі
Зашифровані дані при передачі повинні бути доступні тільки після аутентифікації. Їх не вийде прочитати або змінити, навіть у випадку доступу через ненадійні вузли. Такі технології досить відомі, алгоритми та надійні протоколи AES, TLS, IPsec давно використовуються провайдерами.
3. Аутентифікація
Аутентифікація - захист паролем. Для забезпечення більш високої надійності, часто вдаються до таких засобів як токени та сертифікати. Для прозорої взаємодії провайдера з системою ідентифікації при авторизації, рекомендується використовувати LDAP (Lightweight Directory Access Protocol) і SAML (Security Assertion Markup Language).[1]
4. Ізоляція користувачів
Використання індивідуальної віртуальної машини і віртуальної мережі. Віртуальні мережі повинні бути розгорнуті із застосуванням таких технологій, як VPN (Virtual Private Network), VLAN (Virtual Local Area Network) і VPLS (Virtual Private LAN Service). Часто провайдери ізолюють дані користувачів один від одного за рахунок зміни даних коду в єдиному програмному середовищі. Даний підхід має ризики, пов'язані з небезпекою знайти незахищену частину в нестандартному коді, що дозволяє отримати доступ до даних. У випадку можливої помилки в коді, користувач може отримати дані іншого. Останнім часом часто мали місце такі інциденти.
Сервіс працює у вигляді надбудови до існуючих рішеннь, тому шифрування інформації відбувається на стороні клієнта, і лише після цього копіюється в «хмару».
nCrypted Cloud
nCryptedCloud використовує стандартні технології шифрування (AES-256-бітове шифрування), технологію повертаючих паролів і концепцію нульових знаннь, щоб переконатися, що ваші дані повністю захищені в «хмарі».[2]
nCrypted Cloud забезпечує найбільш безпечну платформу для обміну на «хмарі». Ви можете застосувати певні налаштування загального доступу до документів і файлів (частка часу, контролю доступу, водяний знак і т.д.), ділитися як з користувачами nCrypted-хмари, так і з тими, хто її не використовує, ділитися з користувачами хмари і звичайними користувачами, заборонити доступ до загальних файлів в будь-який час.
nCryptedCloud дає вам можливість переглядати, коли ваші дані доступні, хто має доступ до них, що вони зробили і з якого пристрою були виконані ці дії.[2]
nCryptedCloud сумісний з Dropbox, Google Drive, OneDrive, Box і Egynte
«Інфосистеми Джет»
Рішення компанії «Інфосистеми Джет»[3] охоплює основні напрямки забезпечення безпеки у віртуальних середовищах, серед яких:
• посилена аутентифікація користувачів;
• контроль доступу до засобів управління;
• моніторинг дій користувачів;
• міжмережеве екранування і аналіз мережевих взаємодій;
• спеціалізована антивірусна система;
• контроль цілісності та забезпечення незмінності способу гіпервізора;
• управління станом захисту віртуального середовища;
• аналіз і кореляція подій ІБ.
Вигоди
Завдяки реалізованим проектам захисту віртуальних середовищ і хмар, компанії-замовники:
• відновлюють рівень інформаційної безпеки після його падіння при переході на використання віртуальних середовищ і хмар, за рахунок компенсації нових актуальних загроз;
• знижують втрати від інцидентів ІБ у віртуальних середовищах і хмарах завдяки потужній автоматизованій системі інцидент-менеджменту;
• знижують вартість підсистеми ІБ за рахунок переходу на сервісну модель надання ІБ-послуг;
• збільшують продуктивність віртуального середовища завдяки використанню спеціалізованих для неї технологічних рішень та їх настройки;
• виконують вимоги регуляторів у галузі захисту інформації.
Співпрацюють з такими компаніями як: Symantec, Cisco, Kaspersky,RSA, Stonesoft, TREND Micro.
VMWare
VMware vCloud Networking and Security Edge реалізує ефективний, зручний і економічний шлюз безпеки, що забезпечує безпеку периметра віртуальних ЦОД. Віртуальні пристрої безпеки цього рішення включають брандмауери, засоби трансформації мережевих адрес і балансування навантаження, VPN і протокол DHCP, а також повністю інтегровані в VMware vCenter Server і VMware vCloud Director.[4]
В умовах віртуальної інфраструктури, компаніям необхідно візуалізувати трафік між віртуальними робочими навантаженнями. Важливі програми і бази даних повинні бути захищені і ізольовані від погроз з боку менш безпечних систем. Також необхідні рішення, які забезпечать відповідність серверів нормативним та аудиторським вимогам.
Брандмауер на рівні гіпервізора, що входить в додаток VMware vCloud Networking and Security App, формує адаптивну систему безпеки, яка переміщується разом з віртуальними машинами при їх перенесення з вузла на вузол. Таким чином, замовники можуть працювати з безпечними віртуальними додатками в динамічних хмарних середовищах.[4]
Переваги використання:
• підтримка програм, що належать до різних рівнів довіри, в одному віртуальному центрі обробки даних;
• необхідна сегментація і застосування зон довіри для всіх додатків;
• візуалізація та контроль мережевих підключень між віртуальними машинами.
Одне з головних завдань при розгортанні важливих додатків в хмарному середовищі - забезпечення відповідності нормативним вимогам, що пред'являються до інфраструктури VMware і віртуальних серверів. Завдяки рішенням VMware, хмарні обчислення можна використовувати без шкоди для відповідності віртуального ЦОД нормативним вимогам. Вони надають компаніям можливість створювати групи безпеки, які відповідають вимогам організаційної структури, і захищати важливі додатки від мережевих погроз.[5]
VMware vRealize Configuration Manager (VCM) - це повноцінне рішення з управління конфігураціями і відповідністю нормативним вимогам для серверів.
• Автоматизація важливих завдань з управління конфігураціями і відповідністю нормативним вимогам, включаючи збір даних про конфігурації, застосування змін та створення звітів, а також аудит змін, оцінка відповідності нормативам, управління виправленнями, ініціалізація ОС і поширення додатків.
• Відповідність інфраструктури, в якій працюють важливі програми, кращим методикам безпеки, рекомендаціям постачальників і нормативним вимогам, таким як PCI, HIPAA і SOX.
Компонент Data Security рішення VMware vCloud Networking and Security надає компаніям можливість виявляти конфіденційні дані в неструктурованих файлових сховищах із загальним доступом і гарантувати їх захист.
Можливості компоненту:
• виявлення та захист конфіденційної ділової інформації;
• вбудовані шаблони державних і галузевих нормативів для швидкого виявлення конфіденційних даних і формування звітів про загрози їх безпеці;
• підвищення продуктивності шляхом перенесення задач виявлення даних на віртуальний пристрій.
Повний текст статті за посиланням