Анализ облачных сервисов с точки зрения информационной безопасности
Самая последняя тенденция в мире инфокоммуникаций - "облака". Облачные вычисления, облачные услуги и даже - облачная безопасность (cloud security). На сегодняшний день облачный сервис включает три основных характеристики, которые отличают его от обычного сервиса: режимность "ресурсы по запросу", эластичность, независимость от элементов управления. Среди крупных инфокоммуникационных компаний господствует мнение о недостаточной защищенности облач-ных сервисов, что и являлось одной из основных причин недостаточно динамичного развития рынка облачных сер-висов, но уже сейчас эти представления не соответствуют действительности - об этом и пойдет речь в данной статье.
В настоящее время облачные сервисы также применяются как одно из средств обеспечения защиты информации (например, антивирусное программное обеспечение "из облака"). Зачем же нужны сервисы облачной безопасности? Сегодня множество людей используют удаленный доступ в Интернет через ноутбук смартфон, планшетный компьютер для работы вне офиса, в том числе и с конфиденциальной информацией. Такой способ работы имеет преимущество, однако несет за собой увеличение рисков информационной безопасности. Одним из методов снижения этих рисков и является применение облачных сервисов безопасности.
Ключевые слова:
инфокоммуникационные технологии, защита информации, облачные сервисы, услуги информационного общества.
Прудникова АА, Садовникова Т.М.
Самая последняя тенденция в мире инфокоммуникаций - “облака”. Облачные вычисления, облачные услуги и даже - облачная безопасность (cloud security).
Рассматривая облачные сервисы, необходимо начать с основополагающего понятия — “облачные вычисления”. Облачные вычисления - это технология распределенной обработки данных, в которой компьютерные ресурсы и мощности предоставляются пользователю как интернет-сервис. [1] Данный термин получил широкое применение лишь в 2007 году, хотя в том или ином виде облачные вычисления получили распространение значительно раньше. Одной из основных технологических инноваций, лежащих в основе облачных вычислений, являются технологии виртуализации, которые впервые были предложены IBM еще в 1960-х годах, однако широкое распространение получили лишь в 2000-х годов.
Сам же термин “облачный сервис” подразумевает под собой особую пользователь-серверную технологию
— использование пользователем ресурсов (процессорное время, оперативная память, дисковое пространство, программное обеспечение и т.д.) группы серверов в сети, взаимодействующих таким образом, что:
- для пользователя вся группа выглядит как единый виртуальный сервер;
- пользователь может прозрачно и с высокой гибкостью менять объемы потребляемых ресурсов в случаях изменения своих потребностей. [2]
Таким образом, чтобы систему назвать облачной, она должна удовлетворять нескольким характеристикам: автоматически изменять объем сервиса по запросу пользователя, доступ к сервисам должен быть организован
через стандартные протоколы Интернет, сервисы должны быть организованы таким образом, чтобы одно и тоже оборудование могло быть основой для предоставления сервисов разным пользователям, а стоимость такого сервиса должны быть намного ниже, чем стоимость похожего сервиса на выделенном оборудовании (на традиционных технологиях).
Существует три основных модели обслуживания облачных сервисов [1]:
1. Software as a Service (SaaS) - программное обеспечение как услуга. Пользователю предоставляется возможность использования прикладного программного обеспечения провайдера, работающего в облачной инфраструктуре и доступного из различных клиентских устройств при помощи различных клиентов (браузеров, интерфейсов программ). Контроль и управление основной физической и виртуальной инфраструктурой облака, в том числе сети, серверов, операционных систем, хранения, или даже индивидуальных возможностей приложения (за исключением ограниченного набора пользовательских настроек конфигурации приложения) осуществляется облачным провайдером.
2. Platform as a Service (PaaS) - платформа как услуга. Пользователю представляется возможность использования облачной инфраструктуры для размещения базового программного обеспечения для последующего размещения на нем своих приложений. В состав таких платформ входят инструментальные средства создания, тестирования и выполнения прикладного программного обеспечения — системы управления базами данных, связующее программное обеспечение, среды исполнения языков программирования — предоставляемые облачным провайдером. Контроль и управление основной физической и виртуальной инфраструктурой облака, в том числе сети, серверов, операционных систем, хранения осуществляется облачным провайдером, за исключением разработанных или установленных приложений, а также, по возможности, параметров конфигурации платформы.
3. Infrastructure as a Service (IaaS) - инфраструктура как сервис. Пользователю предоставляется возможность использования облачной инфраструктуры для самостоятельного управления ресурсами обработки, хранения, сетей и другими фундаментальными вычислительными ресурсами, например потребитель может устанавливать и запускать произвольное программное обеспечение, которое может включать в себя операционные системы, платформенное и прикладное программное обеспечение. Потребитель может контролировать операционные системы, виртуальные системы хранения данных и установленные приложения, а также ограниченный контроль набора доступных сервисов. Контроль и управление основной физической и виртуальной инфраструктурой облака, в том числе сети, серверов, типов используемых операционных систем, систем хранения осуществляется облачным провайдером.
Модели развертывания облачных сервисов [1]:
1. Частное облако — инфраструктура, предназначенная для использования одной организацией, включающей несколько потребителей (например, подразделений одной организации), возможно также клиентами и подрядчиками данной организации. Частное облако может находиться в собственности, управлении и эксплуатации как самой организации, так и третьей стороны (или какой-либо их комбинации), и она может физически существовать как внутри так и вне юрисдикции владельца.
2. Публичное облако — инфраструктура, предназначенная для свободного использования широкой публикой. Публичное облако может находиться в собственности, управлении и эксплуатации коммерческих, научных и правительственных организаций (или какой-либо их комбинации). Публичное облако физически существует в юрисдикции владельца — поставщика услуг.
3. Гибридное облако— это комбинация из двух или более различных облачных инфраструктур (частных, публичных или коммунальных), остающихся уникальными объектами, но связанных между собой стандартизованными или частными технологиями передачи данных и приложений.
4. Общественное облако — вид инфраструктуры, предназначенный для использования конкретным сообществом потребителей из организаций, имеющих общие задачи (например, миссии, требований безопасности, политики, и соответствия различным требованиям). Общественное облако может находиться в кооперативной (совместной) собственности, управлении и эксплуатации одной или более из организаций сообщества или третьей стороны (или какой-либо их комбинации), и она может физически существовать как внутри так и вне юрисдикции владельца.
В связи с вышеизложенным можно сделать следующие выводы о преимуществах применения облачных сервисов:
- снижение затрат - отсутствие необходимости приобретения собственного серверного оборудования (для компаний), программного обеспечения, поддержания работоспособности, настройки и т.д. Пользователь оплачивает только те услуги, которые он использует и тогда, когда они ему необходимы;
- масштабируемость, отказоустойчивость — автоматическое выделение и освобождение необходимых ресурсов в зависимости от потребностей приложения, все техническое обслуживание проводит провайдер услуги;
- удаленный доступ к данным в облаке - возможность работать из любой точки планеты, где есть доступ в сеть Интернет (это и есть основный плюс).
Преимущества применения облачных сервисов являются прозрачными, с недостатками же дело обстоит сложнее. В качестве основных недостатков следует выделить:
- для получения качественных услуг пользователю необходимо иметь надежный и быстрый доступ в Интернет (недостаток актуальный для российских пользователей);
- пользователь не является владельцем инфраструктуры и не имеет доступа к внутренней инфраструктуре, т.е. сохранность пользовательских данных зависит напрямую от провайдера;
- отсутствие общепринятых стандартов в направлении безопасности облачных технологий.
Два последних недостатка мы и рассмотрим подробнее.
Поскольку в настоящее время информация, как ресурс, приобретает всю большую ценность, при рассмотрении любой новой технологии или сервиса, необходимо учитывать вопросы обеспечения информационной безопасности. При этом данный вопрос имеет знамение, как для крупной компании, так и для отдельно взятого пользователя.
Обеспечение информационной безопасности облачных услуг - задача, которая стоит перед провайдером услуги. Проблемы облачных сервисов, с точки зрения информационной безопасности, можно разделить на три группы [4]:
1. Проблемы технологические и физические.
В первую очередь, необходимо принимать в расчет, в каком центре обработки данных (далее - ЦОД) находится оборудование. ЦОД должен быть защищен от приостановки предоставления услуги в результате перебоев с электропитанием, катастроф техногенного характера, физического повреждения оборудования в результате аварий, неосторожных действий персонала, диверсий злоумышленников и т.д. Примерами мер необходимой физической защиты могут быть:
- несколько периметров безопасности на территории ЦОД;
- “модульная” система построения серверных помещений;
- разграничение прав доступа персонала в соответствии с выполняемыми служебными обязанностями;
- установка системы видеонаблюдения и пожаротушения и др.
Статистики по инцидентам в облачных сервисах мало и уровень угроз еще не определен, а существующие методы защиты инфраструктуры неприменимы, так как в облачном сервисе нет четкого понятия инфраструктуры. Но надо понимать, что в настоящее время предусмотреть атаку от сетевых атак так же необходимо, как и обеспечить физическую защиту периметра. Одной из характерных проблем в области сетевой безопасности являются ООоБ атаки (распределенная атака типа “отказ в обслуживании”, выполняется с целью вывести систему из строя путем подачи множества ложных запросов). Последствия такой атаки для облачного провайдера могут быть крайне серьезными, вплоть до полного разорения, в результате массового обращения клиентов за денежной компенсацией. В связи с этим облачный ЦОД
необходимо обязательно обезопасить от DDoS. Делается это аппаратными средствами, например Juniper Net-Screen или Cisco Guard DDoS, с помощью которых в трафике распознаются и блокируются ложные запросы типа DDoS. Также такое оборудование должно быть установлено и в ЦОД, и непосредственно у провайдера.
Дополнительно облачному провайдеру необходимо предусмотреть брандмаузеры как программные, так и аппаратные. Из дополнительных средств защиты также можно отметить системы, которые способны выявлять аномалии трафика, характерные для попыток вторжения, и заранее отсекать их.
В целом, эффективная защита достигается только путем применения комплексных мер [4]. Соответствующее оборудование стоит очень дорого, поэтому для малых компаний имеет смысл пользоваться облачными сервисами, нежели использовать инфраструктуру, развернутую собственными силами, т.к. крупные облачные провайдеры должны обладать соответствующими средствами защиты и могут обеспечить должный уровень обслуживания.
Самым безопасным типом облачных услуг можно считать SaaS, подразумевая конечно, что провайдер сервиса обеспечил должный уровень защиты программного продукта - отсутствие уязвимостей в коде, снабжено базовой защитой от взлома, поддерживает изоляцию учетных записей и т.д. Объясняется это тем, что сервисы PaaS и IaaS позволяют пользователям вносить в облачную инфраструктуру практически любое программное обеспечение, вплоть до приложений с вредоносным кодом, тогда как SaaS позволяет работать только с существующими приложениями в инфраструктуре [4]. Возможным решением проблемы безопасности сервисов PaaS и IaaS является принятие общего стандарта, который бы оговаривал условия привнесения программных продуктов в инфраструктуру облака, а также определял инсгрументы, при помощи которых эти продукты создавались. В 2004 году был создан подобный документ Application Packaging Standard (APS), который определял определенные рамки для разработчиков программного обеспечения, однако, повсеместного применения так и не приобрел. Еще одним способом защиты сервисов PaaS и IaaS — это изоляция различных визуальных сред, чтобы “падение” сервиса у одного пользователя не могло отразиться на работоспособности приложений у других пользователей.
2. Проблемы психологические. Если говорить о России, то у нас практически отсутствует культура аутсорсинга, использование внешних сервис провайдеров. Кроме того, технология новая, сложна и ее использование достаточно рискованно. При использовании сервиса облачных вычислений у пользователя к провайдеру возникает ряд вопросов, связанных с информационной безопасностью, на которые провайдер еще не готов полностью ответить. Например, каким будет размер ущерба в случае нарушения работы сервиса, как расследовать инциденты безопасности, надежно ли удаляются данные, где будут храниться данные, как выполнять требования регуляторов и т.д. Провайдеру облачного сервиса необходимо решить несколько вопросов, которые будут возникать у пользователей, связанных с обеспечением информационной безопасности: как убедить пользователя, что его данные в безопасности, до какой степени доверять пользователю, как разграничить доступ между
пользователями в облаке, как защищать облачные инфраструктуры и от кого и т.д.
При использовании облачных сервисов есть свои плюсы и минусы с точки зрения психологии пользователя. К плюсам моно отнести: уменьшение затрат на защиту информации, перенесение части рисков на провайдера. Минусы: не ясно, что ожидать от новой технологии, утечка информации может привести к большому ущербу для компании клиента, возникает вопрос доверия к сервис провайдерам.
3. Проблемы юридические. Основная проблема облачных технологий - это отсутствие общепринятых стандартов по безопасности [3].
С точки зрения оценки провайдера в области обеспечения им информационной безопасности западными компаниями рекомендовано придерживаться определенной методологии. В первую очередь, это аудит по стандарту 8А8 70 Туре II, плюсом является сертификация провайдера по 180 27001 или следование практикам КО 27002. К формальным способам оценки безопасности относится аттестация по требованиям ФСТЭК, наличие сертифицированных средств защиты (хотя пока не понятно, как применять их для виртуализированных средств защиты), наличие лицензий ФСТЭК и ФСБ, наличие сертификата Е1А/Т1А-492 для ЦОД.
В России законодательная база в области информационной безопасности лишь начинает свое активное становление. Примером тому является Федеральный закон РФ № 152-ФЗ “О персональных данных”, который вступил в силу в середине 2011 года и вызвал неоднозначную реакцию в профессиональном сообществе. Несмотря на то, что закон ориентирован на обеспечение сохранности персональных данных, его можно расценивать как шаг в сторону правильной организации защиты информации. Ведь сертификация на соответствие его положениям так или иначе затронет всю инфраструктуру телекоммуникационных компаний и облачных провайдеров. Конечно, нельзя говорить, что один лишь факт наличия сертификата гарантирует полную защищенность облачного сервиса, но, по крайней мере, вы будете уверены, что компания осознает возможность угроз и приняла какие-то меры к защите данных.
Также облачные сервисы можно проанализировать и с другой стороны - их применения как облачных сервисов безопасности.
Основная задача облачных сервисов безопасности -это защита “мобильных” пользователей, которые подключается к Интернету удаленно через ноутбуки, планшетные компьютеры, мобильные телефоны и т.д. Такое удаленное подключение значительно увеличивает риски информационной безопасности. Сегодня самой распространенной услугой облачной безопасности является именно безопасность Интернет-контента— М'еЬ
и электронной почты. Суть этих услуг проста — весь \Veb- или е-таП-трафик проходит через облачную инфраструктуру, которая и проверяет его на предмет нарушения информационной безопасности. Надо заметить, что облачная безопасность нужна не только для мобильных пользователей. Она полезна и для любого стационарного офиса любого размера, ибо снижает затраты. В этом случае выгода потребителя — примерно 30-40%, поскольку предприятию не требуется приобретать, развертывать и поддерживать оборудование безопасности, устанавливаемое на территории заказчика.
Для мобильных же пользователей такая услуга в принципе не имеет альтернатив. В целом можно заметить, что выгода от перехода к облачной безопасности обладает рядом неоспоримых достоинств для потребителя такого сервиса:
- снижение капитальных и операционных затрат;
- абсолютная прогнозируемость расходов, ежемесячная оплата, фиксированная при неизменном количестве пользователей;
- безопасность в режиме 24><7. Поставщик услуги обеспечивает защиту в круглосуточном режиме (обычный режим в 99% организаций - 8x5);
- прозрачность модернизации и ее оперативность;
- высокая и гарантируемая надежность;
- гибкость развертывания, простота подключения новых пользователей и площадок заказчика.
Заключение
В настоящее время в России существуют как бесплатные, так и платные облачные сервисы, однако, широкого потребления последние не нашли. Недоверие российского потребителя к новинкам вполне объяснимо, учитывая, все вышесказанное.
Однако, даже в сложившейся на рынке ситуации, облачные сервисы продолжают свое развитие, появляются все новые и новые услуги, появляются новые облачные провайдеры. Учитывая последние тенденции к увеличению “мобильности” пользователей (как в личных интересах, так и в деловых), развитие телекоммуникационного рынка должно сопровождаться расширением облачных сервисов, чему будет способствовать создание четкой общепринятой законодательной базы, регулирующей действия облачных провайдеров, обеспечивающих безопасность пользовательской информации.
Литература
1. Peter Mell, Timothy Grance. The NIST Definition of Cloud Computing. Recommendations of the National Institute of Standarts and Technology, 2010.
2. Облачные сервисы. Взгляд из России. Под ред. Е.Гребнева. - М.: CNews, 2011. - 282 с.
3. Крупнн A. Cloud Computing: высокая облачность.-Компыотерра онлайн, 25.09.2009.
4. Синиченко С. О безопасности облачных сервпсов.-Директора по безопасности, декабрь 2009.
5. CNewCloud. Облачные сервисы. Портал http://cloud.cnews.ru.
6. InformationSecurity. Портал http://www.itsec.ru.
Analysis of Cloud services from the point of view of the Information security
Prudnikova AA., Sadovnikova T.M.
Abstract: The latest tendency of the IT-world is cloud computing, cloud services and even cloud security. Nowadays there are three characteristics of cloud services: On-demand self-service, Rapid elasticity, Measured service. These characteristics make cloud computing different from the other types of services.
There is an opinion in the biggest IT-companies that cloud services are not enough safe lor clients. That is why cloud services are not so popular, as they could be. But somehow this opinion is not quite true - that what is this article about. Nowadays cloud computing also can be used as information security tool. But why do we really need cloud security services? Today a lot of people use their notebooks, cell phones and laptops to work with confidential information in the Internet. This way of working has a lot of advantages, but also can increase security risks. Yo can reduce these risks by using cloud security services.
Keywords: information technology, information security, cloud computing, services of information society.