CC BY
8
УДК 004.75
Гребенник О. Г.
Иваницкий А.В. Николаенко М. А. студенты 4 курса
институт инженерных технологий и естественных наук Белгородский государственный национально исследовательский университет Научный руководитель: Чашин Ю.Г., к.т.н.
ФГАОУ НИУ БелГУ Россия, г. Белгород АНАЛИЗ БЕЗОПАСНОСТИ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ
Аннотация. В статье изучаются и анализируются проблемы уязвимости облачных вычислений. Также в статье рассмотрены основные виды атак и методы обеспечения безопасности облачных вычислений.
Ключевые слова: облачные вычисления, центр обработки данных, безопасность, защита, аутентификация, уязвимости.
Облачные вычисления — информационно-технологическая концепция, подразумевающая обеспечение повсеместного и удобного сетевого доступа по требованию к общему пулу конфигурируемых вычислительных ресурсов, которые могут быть оперативно предоставлены и освобождены с минимальными эксплуатационными затратами [1].
В облачных вычислениях важнейшую роль платформы выполняет технология виртуализации. Для сохранения целостности данных и обеспечения защиты рассмотрим основные известные угрозы для облачных вычислений.
1. Трудности при перемещении обычных серверов в вычислительное облако. Требования к безопасности облачных вычислений не отличаются от требований безопасности к центрам обработки данных. Доступ через Интернет к управлению вычислительной мощностью один из ключевых характеристик облачных вычислений. В большинстве традиционных ЦОД доступ инженеров к серверам контролируется на физическом уровне, в облачных средах они работают через Интернет.
2. Динамичность виртуальных машин. Виртуальные машины динамичны. Данная изменчивость сильно влияет на разработку целостности системы безопасности. Однако, уязвимости операционной системы или приложений в виртуальной среде распространяются бесконтрольно и часто проявляются после произвольного промежутка времени (например, при восстановлении из резервной копии).
3. Уязвимости внутри виртуальной среды. Серверы облачных вычислений и локальные серверы используют одни и те же операционные системы и приложения. Для облачных систем угроза удаленного взлома или заражения вредоносным ПО высока. Риск для виртуальных систем также
высок. Параллельные виртуальные машины увеличивает «атакуемую поверхность».
4. Защита периметра и разграничение сети. При использовании облачных вычислений периметр сети размывается или исчезает. Для разграничения сегментов с разными уровнями доверия в облаке виртуальные машины должны сами обеспечивать себя защитой, перемещая сетевой периметр к самой виртуальной машине [2].
Атаки на облака и решения по их устранению.
1. Традиционные атаки на ПО. Уязвимости операционных систем, модульных компонентов, сетевых протоколов и др. — традиционные угрозы, для защиты от которых достаточно установить межсетевой экран, firewall, антивирус, IPS и другие компоненты, решающие данную проблему.
2. Функциональные атаки на элементы облака. Этот тип атак связан с многослойностью облака, общим принципом безопасности. Для защиты от функциональных атак для каждой части облака необходимо использовать следующие средства защиты: для прокси - эффективную защиту от DoS-атак, для веб-сервера — контроль целостности страниц, для сервера приложений — экран уровня приложений, для СУБД — защиту от SQL-инъекций, для системы хранения данных - правильные резервные копии, разграничение доступа.
3. Атаки на клиента. Большинство пользователей подключаются к облаку, используя браузер. Здесь рассматриваются такие атаки, как Cross Site Scripting, кража паролей, перехваты веб-сессий и многие другие. Единственная защита от данного вида атак является правильная аутентификация и использование шифрованного соединения (SSL) с взаимной аутентификацией.
4. Атаки на гипервизор. Гипервизор является одним из ключевых элементов виртуальной системы. Основной его функцией является разделение ресурсов между виртуальными машинами. Атака на гипервизор может привести к тому, что одна виртуальная машина сможет получить доступ к памяти и ресурсам другой. Также она сможет перехватывать сетевой трафик, отбирать физические ресурсы и даже вытеснить виртуальную машину с сервера.
5. Атаки на системы управления. Большое количество виртуальных машин, используемых в облаках требует наличие систем управления, способных надежно контролировать создание, перенос и утилизацию виртуальных машин. Вмешательство в систему управления может привести к появлению виртуальных машин — невидимок, способных блокировать одни виртуальные машины и подставлять другие [3].
Решения по защите от угроз безопасности.
1. Сохранность данных. Шифрование. Шифрование - один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным должен шифровать информацию
клиента, хранящуюся в ЦОД, а также в случаи отсутствия необходимости, безвозвратно удалять.
2. Защита данных при передаче. Зашифрованные данные при передаче должны быть доступны только после аутентификации. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec.
3. Аутентификация. Аутентификации — защита паролем. Для обеспечения более высокой надежности, используются токены и сертификаты. Для прозрачного взаимодействия провайдера с системой идентификации при авторизации, рекомендуется использовать LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language).
4. Изоляция пользователей. Использование индивидуальной виртуальной машины и виртуальную сеть. Виртуальные сети должны быть развернуты с применением таких технологий, как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service) [3].
Описанные решения по защите от угроз безопасности облачных вычислений являются весьма эффективными, и их применение значительно снижает количество инцидентов о несанкционированном доступе. Однако с развитием технологий появляются новые уязвимости, которые требуют тщательного анализа и эффективного решения.
Использованные источники:
1. Облачные вычисления [Электронный ресурс] - Электрон. текстовые дан. - режим доступа - https://ru.wikipedia.org/wiki/Облачные_вычисления, свободный;
2. Угрозы безопасности в облаке [Электронный ресурс] - Электрон. текстовые дан. - режим доступа -http : //www.tadviser.ru/index.php/Статья:Главные_угрозы_безопасности_в_обл аке , свободный;
3. Угрозы облачных вычислений и методы их защиты [Электронный ресурс] - Электрон. текстовые дан. - режим доступа -http://habrahabr.ru/post/183168/, свободный.
