Технологии защиты облаков. Как снизить риски ИБ
Информационная безопасность Информационная безопасность

Переход к cloud-технологиям несет в себе как выгоды, так и новые угрозы, связанные с ИБ

Главная>Информационная безопасность>Технологии защиты облаков. Как снизить риски ИБ
Информационная безопасность Обзор

Технологии защиты облаков. Как снизить риски ИБ

Дата публикации:
30.05.2013
Посетителей:
84
Просмотров:
78
Время просмотра:
2.3

Авторы

Автор
Николай Арефьев В прошлом - эксперт Центра информационой безопасности компании "Инфосистемы Джет"

Переход к cloud-технологиям несет в себе как выгоды, так и новые угрозы, связанные с ИБ. Помимо классических рисков безопасности, присущих любой информационной системе, специфика облачной инфраструктуры добавляет новую головную боль. В связи с этим, задумываясь об использовании облачных технологий, необходимо уделить особое внимание выявлению, анализу и поиску решений по минимизации рисков. В этой статье мы выделим их наиболее значимые категории, а также опишем пути и способы их нивелирования.

 

 

 

Кража аутентификационных данных

 

Реализация облачных технологий требует проведения большой работы по интеграции множества различных сервисов в рамках единой платформы. Помимо своего основного функционала, каждый из них может обладать уникальной системой идентификации и аутентификации. При этом, если провайдер не позаботится о внедрении решений класса Single Sign-On, клиенту придется запоминать пароли для каждого сервиса в отдельности. Такая ситуация часто возникает при построении облака с использованием технологий различных производителей, тяжело интегрируемых между собой.

Помимо случаев, когда клиент пользуется услугами только одного провайдера, возможен вариант, при котором ему необходимы сервисы, предоставляемые сразу несколькими независимыми поставщиками. Дело в том, что любой провайдер реализует ограниченное число сервисов, поэтому клиентам зачастую приходится использовать сразу несколько облаков, составляя требуемый им функциональный набор. Например, клиент может интегрировать в рамках своего web-ресурса облачные сервисы Salesforce для организации CRM-системы, Google Apps для работы с офисными пакетами и WebEx для организации web-конференций.

 

Использование группы облачных сервисов с различными механизмами идентификации и авторизации ведет к тому, что сотрудникам компании приходится помнить учетные данные ко всем им сразу. Держать в голове несколько комбинаций записей и паролей к ним – не всем под силу, в связи с чем сотрудники будут стараться либо применять одинаковые учетные данные во всех сервисах, либо делать их наиболее простыми и легкими для запоминания. Использование индивидуальных аутентификационных данных для различных сервисов усложняет управление ими, что, в свою очередь, снижает уровень мониторинга и контроля действий пользователей. Помимо клиентских, объектом атаки также могут быть и административные учетные записи. Кража административных аккаунтов, обладающих расширенным набором прав доступа к платформе облака, способна повлечь за собой вмешательство со стороны злоумышленника в ее работу и, как следствие, компрометацию данных клиентов. Также, рассматривая категорию рисков, связанных с кражей аутентификационной информации, не следует забывать о группе сервисных учетных записей. С их использованием реализуется взаимодействие между системами, обеспечивающими работу облака. Зачастую данная группа выпадает из рассмотрения при написании политик безопасности, а также разработке механизмов контроля действий пользователей.

 

Как правило, кража пользовательских, административных или сервисных аутентификационных данных является первым этапом в развитии атаки на платформу, обеспечивающую функционирование облака, поэтому как провайдеру, так и клиенту важно изначально минимизировать эту категорию рисков. Для их снижения провайдеру рекомендуется:

 

  • разработать, внедрить и контролировать выполнение парольных политик для сервисных и административных учетных записей, которые заведены в системах, реализующих функционал облака;
  • внедрить средства многофакторной аутентификации административного персонала;
  • на базе протокола авторизации OAuth обеспечить возможность предоставления доступа клиентов к облачным сервисам без необходимости передачи логина и пароля;
  • обеспечить хранение аутентификационных данных клиентов, используемых для доступа к сервисам, только в виде хешей, сгенерированных с применением криптостойких алгоритмов и добавлением модификаторов (salt).

 

В свою очередь, минимизировать риск клиент может за счет разработки, внедрения и контроля выполнения парольных политик, применения средств многофакторной аутентификации, отказа от использования разделяемых учетных записей и хранения аутентификационных данных в облаке в зашифрованном виде.

 

Доступ привилегированных пользователей

 

Обеспечение функционирования cloud’а – сложный комплекс мер, включающий применение большого числа технологических процессов, контролируемых как специализированными системами мониторинга, так и административным персоналом провайдера. В общем случае администраторы, выполняя свои функциональные обязанности, имеют расширенный доступ к платформе, обеспечивающей предоставление облачных услуг, а также к циркулирующим в ней клиентским данным. В связи с этим, говоря о переходе в облако, необходимо выделить категорию рисков, связанных с неправомерными действиями администраторов, результатом которых может быть получение доступа к клиентским данным. Для минимизации данных рисков могут быть предприняты следующие шаги:

 

  • поставщик услуг обеспечивает внедрение и эксплуатацию средств разграничения доступа, а также контроля и журналирования действий своих администраторов;
  • в свою очередь, в рамках SLA клиент получает возможность ознакамливаться с журналами действий специалистов провайдера, связанных с функционированием предоставляемых ему сервисов;
  • необходимо разработать, внедрить и контролировать исполнение регламентов работы администраторов;
  • нужно свести к необходимому минимуму вмешательство персонала в процесс функционирования облачной платформы;
  • целесообразно реализовать ролевое разделение обязанностей административного персонала, отвечающего за администрирование приложений, хранение данных, процесс резервного копирования, виртуальную и физическую сеть, виртуальную инфраструктуру.

 

Уязвимости в ПО оркестрации и предоставления сервисов

 

Процесс предоставления cloud-услуг контролирует разнообразное ПО. Провайдер, реализуя облако, может использовать решения как одного производителя, так и множество продуктов разных вендоров, функционирующих в рамках единой платформы. Также могут применяться самописные программы и скрипты, отвечающие за функционирование отдельных сервисов или интегрирующие решения различных производителей.

 

Любое программное обеспечение содержит в себе ошибки и ПО оркестрации, ПО предоставления сервисов не является исключением. Пользуясь имеющимися в программном коде ошибками, злоумышленник может получить доступ к системе управления cloud-сервисами как отдельного клиента, так и всего облака целиком. К примеру, воспользовавшись уязвимостями в коде портала самообслуживания или применяя методы социальной инженерии, он организует доступ к ресурсам компании. Далее, опираясь на клиентский портал как на базу для развития атаки, злоумышленник способен развить ее в нижестоящем слое облака – ПО оркестрации, в результате чего получить доступ к ресурсам всех клиентов cloud’а.

 

Минимизация этих рисков целиком ложится на провайдера. Первоочередными мерами, направленными на их снижение, могут являться:

 

  • внедрение процедур контроля качества разрабатываемых провайдером скриптов автоматизации, ПО и программных интерфейсов;
  • поддержка процедур установки обновлений системы безопасности платформы, предоставляющей облачные услуги;
  • внедрение систем межсетевого экранирования и криптографической защиты каналов связи;
  • развертывание систем IDS/IPS, реализующих анализ протоколов сетевого уровня;
  • развертывание специализированных IDS/IPS, обеспечивающих контроль прикладных протоколов, в рамках которых выполняются вызовы API-функций ПО оркестрации и предоставления сервисов.

 

Уязвимости разделяемой среды

 

Архитектура облака подразумевает одновременное использование общих ресурсов несколькими клиентами. К сожалению, не всегда можно обеспечить надежную изоляцию сред между ними. Изолирующий слой представляет собой ПО, но любая программа может иметь уязвимости, реализуя которые, можно нарушить защиту и получить несанкционированный доступ к ресурсам другого клиента.

 

Снизить риски этой категории довольно тяжело, так как на данный момент отсутствуют дополнительные средства, направленные непосредственно на защиту ПО изоляции и особенно гипервизоров при использовании виртуализации. Однако минимизировать их возможно.

На этапе определения структурных элементов, перемещаемых в облако или покупаемых в качестве услуги, клиенту необходимо убедиться в том, что используемые в них программные решения разработаны с учетом современных требований ИБ и что производитель реализует их поддержку, выпуская, в том числе, обновления системы безопасности.

 

На стадии формирования SLA компании следует прописать необходимость, а провайдеру – предоставить технологическую возможность размещения структурных элементов, обрабатывающих критичные данные, на выделенных хостах. В зависимости от используемой модели предоставления сервисов из облака (PaaS, IaaS, SaaS) клиенту и провайдеру целесообразно обеспечить процедуры обновления применяемого системного и прикладного ПО.

 

Кража данных, размещаемых в облаке

 

Используя cloud-технологии, клиенты не только переносят часть структурных элементов своей системы на сторону провайдера, но и размещают у него обрабатываемые ими данные. В свою очередь, провайдер может и сам пользоваться услугами третьей стороны, предоставляющей ему сервис по хранению, резервному копированию и восстановлению данных. В связи с этим возможны риски, связанные с кражей клиентской информации – как циркулирующей в рамках самого облака, так и находящейся на носителях резервных копий. Снижение рисков этой категории – задача, которую нужно решать на стороне как провайдера, так и клиента.

 

Для защиты данных от кражи провайдеру целесообразно обеспечить физическую безопасность ЦОД, регламентировать и внедрить процедуры работы с носителями резервных копий, а также следить за их выполнением. В связи с тем, что облако позволяет динамически распределять ресурсы между клиентами, ему стоит задуматься об обеспечении полного удаления их данных, расположенных на высвобождающихся ресурсах. Также можно обеспечить надлежащий контроль над утилизацией вышедших из строя носителей информации и защиту каналов связи между платформой предоставления сервисов и клиентом.

 

В свою очередь, компания должна обезопасить свои данные от кражи, реализовав следующие меры защиты:

 

    • определение категории данных, передаваемых в облако, и обеспечение шифрования для наиболее критичных из них;
    • одним из факторов, влияющих на вероятность возникновения инцидентов, связанных с кражей информации, является уровень преступности в регионе, в котором располагается облако. Исходя из этого клиент еще на этапе выбора поставщика услуг должен знать, где географически расположены ЦОД провайдера и размещаются резервные копии данных;
    • если же клиент приобретает услугу предоставления среды разработки из облака, он должен обеспечить маскирование передаваемых данных.

 

И напоследок

 

Применение cloud-технологий по любой из моделей, будь то PaaS, IaaS или SaaS, не избавляет вас от необходимости оценивать и принимать решения по минимизации рисков, присущих классической ИТ-инфраструктуре. Наоборот, переход к использованию облаков добавляет новые риски, снижение которых зависит уже не только от вас, но и от вашего провайдера. В связи с этим и поставщику услуг, и вам очень важно понимать возникающие вопросы информационной безопасности и совместно находить их решения в рамках установленных договоренностей.

Уведомления об обновлении тем – в вашей почте

«Облачные» решения как способ предоставления вычислительных ресурсов

В последние годы в сфере информационных технологий появилось и бурно развивается направление, получившее название «Cloud Computing» («облачные» вычисления).

Как перейти в облако и не облажаться

Свой дата-центр vs публичное облако. Кто кого? Варианты использования публичных облаков в корпоративном ИТ-ландшафте? Что нужно учитывать при переносе приложения в cloud-среду?

«Облачные» решения от EMC

Корпорация EMC в числе первых начала разработку продуктов, предназначенных для построения «облачной» инфраструктуры. В настоящее время EMC является лидером на рынке решений Cloud Ready для СХД.

Приложения размером с интернет

Основные черты современных информационных систем – гибкость и динамика

Миграция в облако: наш опыт

На сегодняшний день создание частного облака — очень популярное направление развития ИТ-инфраструктуры во многих компаниях.

Проблемы безопасности виртуальных сред: заплаточный подход

Прошедший 2012-й год показал, что компании в России начали вести реальную работу в области обеспечения защиты своих виртуальных сред (ВС)

Как «Яндекс.Облако» разрабатывает свои сервисы

На что стоит обращать внимание при выборе облачной платформы

Аудит готовности ИТ- инфраструктуры к внедрению частного «облака»

«Облако» – это способ предоставления ИТ-услуг пользователям. Оно не является конкретной технологией или набором ПО, не привязано к аппаратной платформе. Особенность «облачных» вычислений состоит в определенных пользовательских качествах.

Курс на облако с минимальным PUE

Если сравнивать современные принципы ЦОДостроения с теми, что были на коне лет 5 назад, можно проследить принципиальные отличия

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня