ОБЗОР УГРОЗ СИСТЕМ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ

Сети облачного вычисления представляют собой совокупность выделенных серверов, объединённых для достижения единой цели, поставленной организатором сети.

Для успешного функционирования подобных систем необходимо обеспечивать физическую и программную защиту, а также обеспечивать непрерывность подачи электропитания.

На современном рынке программного обеспечения уже представлен большой выбор соответствующего ПО, позволяющего обеспечить защиту серверов от большинства известных видов угроз. Как правило, такие программы направлены на закрытие определённых угроз безопасности, однако в последнее время появляются более универсальные решения.

Помимо прямых угроз, реализованных посредством разного рода атак и уязвимостей, постепенно набирают популярность угрозы, связанные с несанкционированным доступом к гипервизору и служебному трафику между машинами, состоящими в распределённой сети.

Современные условия существенно усложняют обеспечение защиты подобных систем и приложений. Одной из набирающих тенденций является массовый перенос большинства систем на виртуальные машины, что требует особого подхода для обеспечения безопасности подобных систем.

Не смотря на разработанные на данный момент средства защиты от большинства угроз, остаётся актуальной необходимость их адаптации для использования в облачных системах.

Обеспечение контроля использования ресурсов облачными системами является довольно сложной задачей. На практике сложно обнаружить несанкционированный процесс или виртуальную машину, действующую в интересах злоумышленников.

Подобные угрозы следует относить к угрозам высокого уровня в связи с тем, что управляемость системой серверов, образующих облачную систему, является более сложной задачей, нежели обеспечение безопасности одного выделенного сервера.

Для обеспечения физической защиты системы необходимо установить строгий контроль доступа к отдельным серверам, состоящим в распределённой сети. Также необходимо принять комплекс мер по обеспечению защиты устройств сетевой инфраструктуры.

Основным отличием сетевой безопасности от физической является необходимость построения надёжной модели угроз, в рамках которой реализована система защиты от вторжений и конфигурирование межсетевого экрана.

Межсетевой экран используется для фильтрации и разграничения трафика между подсетями облачной системы, имеющими разный уровень доверия.

Большинство положений безопасности облачных систем не отличаются от требований к защите отдельных центров обработки данных. Тем не менее активно выявляются новые угрозы и уязвимости в связи с переходом на виртуализацию и облачные среды.

Основной отличительной особенностью распределённых систем является возможность удалённого доступа к интерфейсам конфигурирования и отслеживания работы облачных сервисов [1].

В отличие от обычных центров обработки данных, где доступ инженеров контролируется на физическом уровне и может считаться достаточно надёжным, в распределённых системах они вынуждены подключаться из сети Интернет, что требует внедрения дополнительных мер обеспечения безопасности.

Основным преимуществом виртуальных машин является их динамичность. За короткий промежуток времени можно создать, запустить, остановить или клонировать виртуальную машину, что позволяет оперативно реагировать на обстановку внутри системы и принимать меры по обеспечению стабильности работы облака.

Недостатком динамичности виртуальных машин является их существенное влияние на усложнение разработки целостной системы безопасности.

Следует отметить, что уязвимости операционной системы или приложений в виртуальной среде распространяются бесконтрольно и часто проявляются после произвольного промежутка времени (например, при восстановлении из резервной копии). В средах облачных вычислениях важно надежно зафиксировать состояние защиты системы, при этом это не должно завесить от ее состояния и местоположения [2].

Как правило, сервера облачных вычислений используют аналогичное с локальными программное обеспечение. Однако в связи с общедоступностью самого веб-ресурса, угрозы несанкционированного доступа или внедрения вредоносного кода к таким системам остаются на высоком уровне.

Технологии виртуализации также расширяют список уязвимостей целой системы, так как добавляются дополнительные потоки данных и структуры взаимодействия.

Когда виртуальная машина выключена, она подвергается опасности заражения. Доступа к хранилищу образов виртуальных машин через сеть достаточно. На выключенной виртуальной машине абсолютно невозможно запустить защитное программное обеспечение. В данном случае должна быть реализована защита не только внутри каждой виртуальной машины, но и на уровне гипервизора.

При использовании облачных вычислений периметр сети размывается или исчезает. Это приводит к тому, что защита менее защищенной части сети определяет общий уровень защищенности. Для разграничения сегментов с разными уровнями доверия в облаке виртуальные машины должны сами обеспечивать себя защитой, перемещая сетевой периметр к самой виртуальной машине. Корпоративный firewall — основной компонент для внедрения политики IT безопасности и разграничения сегментов сети, не в состоянии повлиять на серверы, размещенные в облачных средах.

В настоящий момент обнаружено несколько эффективных методов атаки на подобные системы.

Уязвимости операционных систем, модульных компонентов и сетевых протоколов— традиционные угрозы, для защиты от которых достаточно установить межстевой экран, firewall, антивирус, IPS и другие компоненты, решающие данную проблему. При этом важно, чтобы данные средства защиты эффективно работали в условиях виртуализации [3].

Следует рассматривать также функциональные атаки на отдельные компоненты облака. Данные атаки связаны с многослойностью облака и их общим набором методов безопасности.

Для прокси необходимо обеспечивать надёжную и отказоустойчивую защиту от DOS и DDOS атак. Также необходимо обеспечить контроль целостности для веб сервера и защиту базы данных от SQL инъекций [4].

Не следует пренебрегать и периодическим резервным копированием, как пользовательских данных, так и служебной информации.

Одним из уязвимых мест в облачных системах является клиентское устройство, которое помимо технических уязвимостей, подвержено влиянию человеческого фактора.

Практически все облачные системы имеют веб версию для подключения с помощью браузера. Поэтому при планировании безопасности следует учитывать такие уязвимости, как угон паролей и cookies, перехват веб-сессий и MITM атаки (человек посередине).

Для защиты от подобных атак в большинстве случаев достаточно правильно настроить использование защищённого соединения с применением SSL. Однако использование SSL сертификатов для слишком затратное для облачных систем [5].

Базовым компонентом виртуальной системы является гипервизор, предназначением которого является распределение ресурсов среди нескольких виртуальных машин.

Большинство атак направлены на получение взломанной виртуальной машиной доступа к ресурсам другой. Также возможно проведение подобных атак для перехвата защищённого трафика или занятию всех доступных физических ресурсов сервера [6].

Для защиты от подобных атак разработано специальное программное обеспечение для виртуальных сред. Также рекомендуется правильно подходить к вопросу установления политик безопасности, в том числе регулярную смену пароля и правильное разграничение доступа.

Неиспользуемые службы и сервисы также необходимо отключать, что позволит сократить площадь атаки злоумышленников.

Существенным требованием для большинства облачных серверов с виртуализацией является обеспечение надёжного контроля над системами переноса и создания виртуальных машин. В случае взлома системы управления, злоумышленники смогут создавать невидимые виртуальные машины, которые будут заменять легитимные и использоваться в целях хищения данных.

Таким образом, для обеспечения надёжной и стабильной системы необходимо построить правильную политику безопасности, внедрить защиту от SQL инъекций и от несанкционированного доступа к конфигурации гипервизора. Также особое внимание следует уделить клиентской стороне системы. Правильно настроенное SSL шифрование может обеспечить довольно высокий уровень защиты от перехвата конфиденциальных данных.

Список литературы:

1. Макаров А.М., Ермаков А.С., Постовалов С.С., Современные программно-аппаратные средства защиты информации от несанкционированного доступа //IV Всероссийская Научно-Практическая Конференция "Молодёжь, Наука, Инновации" (Грозный, 20-30 декабря 2015 г.) – Грозный, 2015, стр. 192-196.
2. Губарев В.В., Савульчик С.А., Чистяков Н.А., Введение в облачные вычисления и технологии // Новосибирский государственный технический университет. – 2013. – С. 10-14.
3. Емельянова Ю. Г., Фраленко В. П. Анализ проблем и перспективы создания интеллектуальной системы обнаружения и предотвращения сетевых атак на облачные вычисления [Электронный ресурс] // Программные системы: теория и приложения. 2011. № 4 (8). С. 17-31. URL: http://psta.psiras.ru/read/psta2011_4_17-31.pdf (дата обращения: 10.12.2017).
4. Сердюк В. А., Организация и технологии защиты информации: обнаружение и предотвращение информационных атак в автоматизированных системах предприятий: учебное пособие // Издательский дом Высшей школы экономики. – 2015. - С. 29-45.
5. Лапонина О. Р., Протоколы безопасного сетевого взаимодействия // Национальный Открытый Университет «ИНТУИТ». – 2016. -  С. 162-165.
6. Яковлев В.В., Технологии виртуализации и консолидации информационных ресурсов // Учебно-методический центр по образованию на железнодорожном транспорте. – 2015.  С. 26-29.