БЕЗОПАСНОСТЬ, ОРИЕНТИРОВАННАЯ НА ДАННЫЕ: СПОСОБ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И КОНФИДЕНЦИАЛЬНОСТИ В ОБЛАЧНЫХ ВЫЧИСЛЕНИЯХ

Аннотация. Облачные вычисления - это феномен, который позволяет использовать общий пул сконфигурированных ресурсов с минимальным трудом администрирования, часто в Интернете, и эта парадигма совместного использования порождает множество проблем, и одна из них заключается в том, что ясность передачи данных не прозрачна в облаке и даже не обеспечивает ясности относительно владения данными. Модели облачных вычислений получают всемирное признание благодаря разнообразной помощи, которую они могут предложить. Эта помощь включает в себя экономическую эффективность, экономию времени, оптимальное использование вычислительных ресурсов и т.п. Конфиденциальность данных и их безопасность являются двумя основными проблемами, которые препятствуют внедрению этой новой технологии. Различные исследования фокусируются на повышении безопасности на уровне ОС, виртуальной машины / оборудования или на уровне приложений, но по-прежнему не предлагается широкого решения этих проблем. И все же меры по обеспечению безопасности данных принимаются поставщиками облачных услуг. Помимо опасений, связанных с атаками на внешние устройства, в некоторых случаях данные и приложения могут нуждаться в защите от взломов самими облачными провайдерами. В связи с чем существует направление исследований, основанное на концепциях доверительных вычислений. Эта концепция предоставляет доверенному стороннему поставщику определенный набор технологий для защиты от облачных провайдеров. Эта концепция предоставляет пользователю различные инструменты для мониторинга и оценки данных в безопасном режиме, но с большим количеством управляемых средств. Подход называют безопасностью, ориентированной на данные (Data Centric Security, DCS), который предоставляет владельцу данных полный контроль над безопасностью данных, предоставляемый с самого начала до момента их удаления, то есть на протяжении всего жизненного цикла. Технология DCS упоминалась в литературе по-разному, но до сих пор нет единой основы для ее применения к облачной модели.

Ключевые слова: DCS, доверяемые вычисления, защита данных

1. Введение

Облачные вычисления [1, c. 7] предлагают концепцию совместного использования и распространения информации в сети. Виртуализация дает общую основу для повышения доступности, масштабируемости, управляемости и безопасности. В соответствии с его функциями владение отделено от администрирования данных в облаке, что одновременно создает некоторые серьезные проблемы с защитой конфиденциальности данных. Облачные вычисления обеспечивают значительную прибыль за счет снижения затрат и упрощения доступа к данным. Безопасность на уровне данных может быть достигнута с помощью концепции DCS [2, c. 7]. Таким образом, данные становятся самоописываемыми, поддерживаются и, самое главное, защищаются в течение всего своего существования в облачных средах. В этой технологии тот, кто использует данные, несет полную ответственность за управление их конфиденциальностью и мерами безопасности. Эта задача может быть выполнена без использования сторонних технологий. Предлагаемым решением для этого может быть использование китайской теоремы об остатках (Chinese Remainder Theorem, CRT) [3, c. 7], которая может использовать концепции или методы симметричного и асимметричного шифрования. Китайская теорема об остатках хорошо управляет списком отзыва, управляет его ключом, сокращая вычислительные затраты и объем памяти. Алгоритм генерации индекса подстроки сокращает пространство хранения по сравнению с нечетким алгоритмом подстановочных знаков. В дополнение к снижению вычислительных накладных расходов, применение политики управления доступом и выделение симметричного ключа может быть выполнено эффективно и результативно на основе концепции CRT. Все необходимые параметры безопасности, включая ее целостность и аутентичность, прилагаются к зашифрованным данным и образуют защищенную папку, которую можно назвать файлом DCS.

2. Тенденции в безопасности облачных вычислений

Различные проблемы в сфере облачных вычислений могут быть решены только некоторыми традиционными решениями. Сложность заключается в необходимости приспосабливаться к уникальности, определенной инновационной вычислительной парадигмы. Безопасность становится наиболее важным моментом, когда идет речь об изоляции виртуальных машин на одной физической машине. Различные исследования утверждают, что главные споры в облачной безопасности находятся в области инфраструктуры облака, программного обеспечения и пользователя данных. Также было замечено, что доверенные или частично доверенные облака имеют сильные механизмы конфиденциальности, но ненадежный облачный сервер может изображать защищенные данные клиентов или шаблоны активности. Кроме того, ненадежный поставщик облачных услуг может манипулировать допустимым шаблоном пользователей в соответствии с их преимуществами. Можно отметить, защита данных, особенно их конфиденциальности и целостности от внутренних и внешних атак, является наиболее сильной архитектурой для облачной безопасности, применимую к различным облачным службам.

3. Защита конфиденциальности данных в облачных провайдерах

Основной проблемой после хранения данных является их защита от несанкционированных пользователей. В ряде случаев было отмечено, что риск утраты данных, их порчи или кражи является неприемлемым. Эта безопасность данных в DCS может поддерживаться и осуществляться поставщиком данных только в том случае, если внешние и внутренние атаки могут быть сведены к минимуму благодаря механизму авторизации.  С развитием технологий было замечено, что безопасность данных поддерживается поставщиком данных только для безопасности, поддерживаемой третьей стороной. Основная проблема заключается в том, что ресурсы, находящиеся за пределами домена пользователя, и ресурсы, не контролируемые пользователем или третьей стороной, подвержены риску несанкционированного доступа и могут быть подделаны. Эта концепция может быть названа инсайдерской угрозой.

Рисунок 1. Базовая архитектура сохранения конфиденциальности данных в облаке

4. Безопасность, ориентированная на данные (DCS)

Под ориентированностью на данные понимается разбиение данных и файлов от инициализации до их разрушенного состояния, причем даже если данные и информация считаются дискретной сущностью. Это необходимо для расширяемых сред облачных вычислений. Данные, передаваемые в облако организациями, и дальнейший их контроль предоставляются облачным провайдерам, которые отслеживают возможности их ресурсов. Обычные методы защиты данных предоставляются серверами. Методы, используемые для защиты данных, а также для управления защищенными данными, контролируются администраторами каждого сервера, и этот тип подход считается системно-ориентированным подходом, который не подходит для защиты данных в менее надежной облачной среде. Ориентированный на данные подход, вероятно, будет более оперативным и пригодным для использования различными облачными сервисами. Термин «безопасность, ориентированная на данные» обозначает направленность методов на защиту самих данных, а не аппаратных и программных системных компонент–носителей этих данных. Для облачных вычислений подход Data-Centric Security заключается только в защите данных от эксклюзивности, чтобы данные, в соответствии с их важностью и расположением, могли иметь свои требования безопасности, встроенные в фактические данные для обеспечения наилучшей безопасности данных в любой момент времени жизни данных, независимо от места их хранения.

Кристофер Тарновски (Christopher Tarnovsky) на конференции BlackHat 2010 поставил под сомнение надежность TPM-чипов. В следствие чего решения, основанные на TPM, могут потребовать повторного рассмотрения. Несмотря на утвержденную безопасность, предоставляемую технологией TPM (Trusted Platform Module) [4, c. 7], фокус инструмента не может предоставить пользователям предпочтительную степень защищенности и изоляции данных. Вместо этого, с точки зрения заказчика, реализация концепции ТС позволяет заказчикам осуществлять мониторинг или аудит операционных задач, включая все политики контроля доступа, облачного сервера с помощью надежных инструментов, которые могут предложить пользователю подтверждение выполнения восприятия ТС. Различные исследователи считали, что решение проблем безопасности облачных вычислений лежит в смещении центра защиты с клиента на сами данные, и эта модель называется «Безопасность, ориентированная на данные» (Data Centric Security, DCS), которая также известна как Information Centric Security ( ICS).

Концепцию DCS можно классифицировать по двум критериям: один основан на безопасности, а другой - на поставщике безопасности.

Также существует три уровня ответственности за безопасность:

а. Уровень поставщика услуг: - Безопасность обеспечивается поставщиком облачных услуг (Service provider).

б. Уровень доверенных вычислений: - Безопасность обеспечивается третьей стороной (Third party).

с. Уровень собственной безопасности: - Безопасность обеспечивается владельцем данных (Data owner).

Рисунок 2. Модель Data Centric Security

Рисунок 3. Уровни ответственности за безопасность в DCS

5. Заключение

Технология DCS обеспечивает прозрачность процесса передачи данных в облаке, кроме того, делает упор на защиту от утечки данных и на управление жизненным циклом информации, т.е. становится возможным обеспечение шифрования данных от одного конца к другому. Технологии движутся к учету происхождения данных, значительного следа по жизненному циклу и транспортировке данных, наиболее важных ресурсов облака конечных пользователей.

Список литературы:

1. Материал из Википедии — свободной энциклопедии, Облачные вычисления, URL: https://ru.wikipedia.org/wiki/Облачные_вычисления (дата обращения: 11.01.2019)
2. От защиты периметра к защите данных, Леонид Черняк, 2009, URL: https://www.osp.ru/os/2009/03/8114363/ (дата обращения: 11.01.2019)
3. Материал из Википедии — свободной энциклопедии, Chinese remainder theorem, URL: https://en.wikipedia.org/wiki/Chinese_remainder_theorem (дата обращения: 11.01.2019)
4. Материал из Википедии — свободной энциклопедии, Trusted Platform Module, URL: https://ru.wikipedia.org/wiki/Trusted_Platform_Module (дата обращения: 11.01.2019)