МЕТОДЫ  И  СРЕДСТВА  ИНФОРМАЦИОННОЙ  БЕЗОПАСНОСТИ  В  ОБЛАЧНЫХ  СЕРВИСАХ

Курчатов  Михаил  Юрьевич

студент  4  курса,

Московский  государственный  университет  информационных  технологий,  радиотехники  и  электроники,

РФ,  г.  Серпухов

E-mail:  kaaelss@gmail.com

Нурматова  Елена  Вячеславовна

канд.  техн.  наук,  зав.  кафедрой  «Приборы  и  информационные  технологии»,  доцент, 
Филиал  МИРЭА  в  г.  Серпухове,

РФ,  г.  Серпухов

E-mail: 

METHODS  AND  RESOURCES  OF  INFORMATION  SECURITY  IN  CLOUD  SERVICES

Michael  Kurchatov

student  4  course,

Moscow  State  University  of  Information  Technologies,  Radio  Engineering  and  Electronics,  Serpukhov, 
Russia,  Serpukhov

Elena  Nurmatova

Moscow  State  University  of  Information  Technologies,  Radio  Engineering  and  Electronics,

Candidate  of  Science,

head  of  the  department  "Devices  and  Information  Technologies", 
Russia,  Serpukhov

АННОТАЦИЯ

В  данной  статье  вы  можете  узнать  о  методах  и  средствах  защиты  информации  в  облачных  сервисах,  а  так  же  кратко  о  достоинствах  и  недостатках  самих  облачных  сервисов.

ABSTRACT

In  this  article  you  can  learn  about  the  resources  and  the  methods  of  Cloud  services’  data  protection,  also  you  can  learn  about  the  pros  and  the  cons  of  cloud  services.

Ключевые  слова:  информационная  безопасность;  облачные  сервисы.

Keywords:  information  security;  cloud  services.

В  современном  бизнесе  основным  лозунгом  является  максимальное  использование  имеющихся  ресурсов,  при  этом  стараясь  найти  наиболее  выгодный  вариант  решения  проблемы.  Хранение  информации  не  является  исключением.  В  погоне  за  выгодой  предприниматели  решились  пойти  на  серьёзный  шаг  —  использование  облачных  сервисов  в  качестве  основных  для  хранения  информации.  Облачные  сервисы  представляют  собой  набор  распределённых  виртуальных  серверов,  находящихся  на  одном  физическом  сервере,  который  предоставляется  дата-центром.  Ключевой  особенностью  облачных  сервисов  является  распределение  информации  разных  клиентов  на  разных  виртуальных  серверах,  что  позволяет  исключить  возможность  форс-мажорных  обстоятельств,  например  в  связи  с  выходом  и  строя  сервера  по  вине  одного  клиента  (все  остальные  клиенты  так  же  не  могут  получить  доступ  к  своей  информации).  Помимо  того,  что  уменьшается  риск  форс-мажорных  обстоятельств  в  связи  с  выходом  из  строя  сервиса,  так  же  уменьшается  и  цена  за  использование  сервиса  по  очень  простой  причине  —  поставщик  услуг  имеет  только  один  физический  сервер  и  использует  его  с  максимальной  эффективностью,  распределяя  ресурсы  между  виртуальными  серверами.  Все  в  плюсе.  Однако  есть  и  негативные  стороны…  Удалённый  доступ  к  информации  является  одним  из  недостатков,  поскольку  нет  возможности  нажать  на  кнопку  «Аварийного  останова»,  нужно  связаться  с  оператором,  объяснить  проблему  и  подождать  пока  техник  выключит  виртуальный  сервер...  Потеряны  драгоценные  секунды,  что  может  быть  серьёзной  проблемой  в  зависимости  от  ситуации.  Следующим  недостатком  является  возможность  соседства  рядом  с  виртуальными  серверами  потенциальных  конкурентов,  что  повышает  риск  утечки  информации  вследствие  взлома  со  стороны  конкурирующих  компаний.  Подведём  итог: 

Достоинства:

1.  Цена

2.  Снижение  риска  выхода  из  строя

Недостатки:

1.  Отсутствие  возможности  оперативного  останова  сервера

2.  Риск  взлома  со  стороны  соседствующих  конкурентов

Теперь  о  методах  и  средствах  защиты  информации  в  облачных  сервисах.

Первым  в  списке  будет  самый  необходимый  метод  защиты  информации  —  Система  ролей.  Данный  метод  заключается  в  том,  что  создаются  группы  пользователей  с  определёнными  правами  на  чтение\добавления  или  редактирования  информации.  Например,  сотрудники  отдела  монтажа  не  будут  иметь  доступ  к  информации  из  бухгалтерии,  но  могут  свободно  добавлять\читать  информацию  о  монтажных  работах.  Объясняется  необходимость  данного  метода  просто  —  представьте  себе  ситуацию,  когда  некий  недобросовестный  и  неквалифицированный  работник  низшего  звена  имеет  доступ  к  чтению\добавлению  и  редактированию  критически  важной  информации,  само  собой  такие  проблемы  никому  не  нужны  и  поэтому  существует  система  ролей.

Рисунок  1.  Схема  работы  ролей

Данный  метод  может  осуществляться  либо  с  помощью  поставщика  (внешние  сервера  аутентификации)  или  с  помощью  самого  клиента  (внутренние),  а  также  с  помощью  таких  технологий  как  RDP  Proxy  \  SSH.  Особой  разницы  между  этими  вариантами  нет,  однако  услуги  поставщика  уже  созданы  в  виде  БД  и  требуют  минимального  участия  со  стороны  клиента  для  их  установки.

Одним  из  наиболее  известных  способов  защиты  информации  и  отслеживания  нарушителей  \  недобросовестных  пользователей  являются  журнальные  записи.  Смысл  данного  метода  заключается  в  том,  что  существует  специальная  таблица  данных  (либо  лог-файл),  которая  хранит  в  себе  перечень  действий  пользователей  совершенных  в  определённый  момент  времени,  направленных  на  изменение\создание  или  удаление  существующих  данных  облачного  сервера.  Анализом  журналов  занимается  специальный  работник  (например  —  системный  администратор). 

Рисунок  2.  Схема  работы  журнала

Наиболее  эффективным  для  выявления  нарушителя  является  метод  сверки  журналов,  когда  сверяют  записи  журналов  клиента  (где  хранятся  записи  действий  исходящих  с  компьютеров  персонала  клиента  )  и  записи  журналов  поставщика  (где  хранятся  все  действия  )  —  таким  образом  можно  легко  определить  статус  нарушителя  (либо  это  недобросовестный  работник,  либо  это  взломщик).  Важно  знать  что  «Только  сбор  данных,  их  объединение  и  вывод  на  внешние  инструменты,  к  примеру  на  сервер  Syslog,  платформу  безопасности  с  функцией  проверки  журналов  или  на  систему  управления  событиями  информационной  безопасности  (Security  Information  and  Event  Management,  SIEM),  позволят  осуществить  их  последующий  анализ»  [1].  Ниже  можно  увидеть  приложение  для  администрирования  (в  т.  ч.  и  журнализации)  одного  из  поставщиков  облачных  сервисов.

Рисунок  3.  Клиент  администрирования

«С  точки  зрения  обеспечения  безопасности  облака  представляют  собой  лишь  одну  из  разновидностей  инфраструктурных  платформ,  пусть  даже  с  высокой  степенью  автоматизации.  Разумеется,  и  в  облаке  не  обойтись  без  процессов,  которые  хорошо  зарекомендовали  себя  в  традиционных  физических  системах.  Такие  основополагающие  функции,  как  межсетевой  экран,  IDS/IPS,  виртуальное  закрытие  уязвимостей  (Virtual  Patching)  и  антивирусы,  являются  обязательными  элементами  любой  концепции  безопасности,  будь  то  физические,  виртуальные  или  облачные  системы.  А  вот  задачи,  возникающие  при  управлении  этими  функциями,  в  различных  инфраструктурах  отличаются.

Необходимо,  чтобы  все  серверы  из  локальных,  внутренних  или  внешних  облаков  были  идентифицированы  и  интегрированы  в  концепцию  управления  безопасностью.  При  использовании  облачных  сервисов  этого  можно  добиться  посредством  прямой  интеграции  с  брокером  облачных  сервисов,  который  в  любой  момент  может  предоставить  информацию  о  наличии  различных  облачных  серверов.  Сопоставлять  вручную  параметры  эксплуатируемых  серверов  с  требованиями  систем  безопасности  в  динамических  средах  невозможно,  а  при  попытках  такого  сравнения  возникают  многочисленные  ошибки»  [1].

Теперь  немного  о  шифровании  данных  в  облачных  сервисах.  Этот  метод,  как  и  другие,  не  сильно  отличается  от  шифрования  данных  на  любых  других  системах,  например  —  с  помощью  внешней  программы  (например,  популярной  Fine  Crypt)  шифруются  данные  либо  локально  (на  ЭВМ  клиента)  либо  удалённо  (средствами  поставщика),  ключ  хранится  либо  в  физической  форме  (например,  у  администратора,  для  исключения  удалённого  получения  ключа  злоумышленником)  либо  в  качестве  защищённой  записи  на  одном  из  компьютеров  клиента.  Во  время  дешифрации  информации  используется  сгенерированный  ключ,  если  ключ  оказался  тем,  то  информация  будет  успешно  расшифрована.  По  другому  можно  использовать  KMS  (Key  management  server)  который  использует  набор  данных  таких  как  IP,  код  ПК,  Брандмауэр  и  т.  д.  —  в  случае  успеха  облачный  сервер  даст  доступ  на  работу  с  данными  до  тех  пор  пока  не  будет  нарушена  целостность  набора  данных  указанного  выше.  Ниже  приведён  пример  различных  способов  хранения  ключей  и  их  сравнение.

Рисунок  4.  Схема  работы  хранения  ключей

В  системах  типа  IaaS  (Infrastructure  as  a  Service)  или  в  некоторых  PaaS(Platform  as  a  Service)  используется  нижеуказанная  схема  раздельного  администрирования  ключей  зашифрованных  данных.

А  как  же  быть  с  процессом  передачи  данных,  как  защитить  его?  На  этот  вопрос  отвечают  широко  известные  протоколы  SSL  и  VPN,  которые  выдают  цифровые  сертификаты,  проверяющие  данные  другой  стороны  ещё  до  начала  передачи  данных,  в  случае  успешной  проверки  начинается  передача  данных.  Эти  сертификаты  могут  храниться  в  зашифрованном  виде  и  так  же  проверяться  с  помощью  KMS,  что  делает  возможность  взлома  невероятно  малой.

Рисунок  5.  Схема  раздельного  администрирования  ключей

Подводя  итоги  можно  сказать,  что  рациональное  использование  всех  методов  позволяет  существенно  снизить  риск  взлома  (вплоть  до  0)  и  забыть  об  одном  из  недостатков  облачных  сервисов.  Важно  помнить,  что  безопасность  хранимых  данных  в  первую  очередь  зависит  от  таких  банальных  решений  как  Антивирусы  и  Брандмауэры  на  локальных  машинах,  ведь  эффективность  почти  всех  этих  методов  подразумевает  отсутствие  у  злоумышленника  доступа  к  локальным  компьютерам  клиента.

Список  литературы:

1. Удо  Шнайдер  Безопасность  при  использовании  облачных  сервисов  //  Журнал  сетевых  решений  LAN  —  2013.  —  №  04.  –  С.  72—76.
2. Джордж  Риз  Облачные  вычисления  —  БХВ-Петербург,  2011.  —  288  с.