ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРИ ОБЛАЧНЫХ ВЫЧИСЛЕНИЯХ Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК.004.75

О. Серикулы

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРИ ОБЛАЧНЫХ ВЫЧИСЛЕНИЯХ

Облачных вычислений - это усовершенствованная платформа предоставляющая удобные услуги по запросу для запрашиваемых конечных пользователей. Безопасность в облачных вычислениях это одна из основных тем для обдумывания, поскольку имеются множества проблем. Поставщик облачных услуг и потребитель должны принимать меры предосторожности от любых внешних угроз, чтобы впоследствии клиент не столкнулся с проблемой кражи данных. В данной статье рассмотрены общие понятия об облачных вычислениях, таких как реализация и модели облачных технологий. Выделены основные проблемы, связанные с обеспечения информационной безопасности в облачных вычислениях. Показан обзор методов обеспечения безопасной обработки данных, обсуждается выбор наиболее безопасной модели облачных вычислений, предлагаются способы повышения безопасности в облаке.

Ключевые слова: информационная безопасность, облачные вычисления, облачные технологии, виртуализация, угрозы безопасности.

В последние года множества организаций все больше и больше предпочитают использовать технологии облачных вычислений, нежели иметь свои серверы и суперкомпьютеры на предприятии. Облачные вычисления подразумевают удаленный доступ пользователей к программным приложениям, вычислительным ресурсам и хранилищам данных. Под облаком принято понимать единый с точки зрения клиента виртуальный сетевой узел, реализующий вычислительные службы, который физически может представлять собой географически распределенную совокупность взаимосвязанных аппаратных узлов компьютерной сети. Основные преимущества облачных вычислений являются: масштабируемость предоставляемых услуг, удобство доступа с различных, в том числе и мобильных, устройств, невысокая стоимость, в сравнение с созданием вычислительного кластера или же прямой аренды вычислительных ресурсов в центрах обработки данных. Благодаря предоставляемых провайдером услуг, клиенты облачных сервисов могут платить за тот объем вычислительных ресурсов, который им нужен. Поставщик услуг объединяет все ресурсы в едино, чтобы после динамический распределять мощности между большим количеством потребителями, потому что спрос пользователей на мощность постоянно изменчив. Из чего следует, что одним из ведущих принципов в облачных технологиях является предоставление возможности использования одних и тех же вычислительных ресурсов различными пользователями. Но при таком раскладе появляются новые трудности. С одной стороны, экономически очень выгодно предоставлять в аренду одни и те же ресурсы пользователям. Но в противовес этому, подобный подход требует повышенного внимания к безопасности, разграничению прав, изолированию данных и программных продуктов, а также к балансировке нагрузки на аппаратную часть, что является весьма непростой задачей [1].

Разнообразность устройств, используемые в облачных вычислениях, кардинальным образом уменьшает стоимость использования вычислительных мощностей [2]. Уменьшающаяся стоимость общей памяти, систем хранения и распределенных вычислений данных основательно меняют экономику обработки данных. Благодаря этому облачные вычисления кажется очень привлекательными большинству клиентов. Но при этом многие не обращают внимание на тот факт, что как только данные клиента оказываются в облаке, всё управление ими, и, в том числе, забота об их безопасности становится зоной ответственности провайдера облачных вычислений. Между тем провайдеры не торопятся взять на себя ответственность за безопасность предоставляемых данных. После передачи данных в облако владелец практически не имеет возможности контролировать безопасность данных.

Технология в облачных вычислениях. Для воссоздания облачной инфраструктуры используется виртуализация. Виртуализация - это предоставления вычислительных ресурсов, которые абстрагированные от аппаратной реализации, а также обеспечивающее логическую изоляцию друг от друга вычислительных процессов, к примеру, использование нескольких операционных систем в одно время. Совокупность компьютерных ресурсов, эмулирующую работу отдельных компонентов программного или аппаратного обеспечения, порой даже целого компьютера, принято называть виртуальной машиной. Наличие нескольких виртуальных машин на реальном компьютере дают возможность работать независимо нескольким операционным системам и приложениям на одном физическом сервере.

© Серикулы О., 2019.

Виртуализация может улучшить гибкость, масштабируемость и адаптивность ИТ-среды и значительно уменьшить расходы. При обслуживании большого количество клиентов, виртуализация способствует очень эффективному использованию вычислительных мощностей и совместному использованию ресурсов различных аппаратных устройств. А также виртуализация ускоряет развертывание рабочих нагрузок, повышает их доступность и производительность, а также позволяет автоматизировать большинство процессов.

В настоящее момент существует две основных технологии по созданию систем облачных вычислений, основанные на виртуализации серверов. В первом виде виртуализации используются гипервизор, обеспечивающий изоляцию операционных систем друг от друга, безопасность и защиту, разделение мощностей между различными запущенными операционными системами и управление ресурсами, а также разделяет виртуальные машины от сервера и при надобности динамически предоставляет ресурсы для каждой виртуальной машины (VMWare, Azure) [3]. Во второй технологии используются изолированные контейнеры (Docker, LXC (Linux Containers). Каждой из данных подходов имеют свои преимущества и недостатки. При первом варианте с использованием гипервизора позволяет запускать в облаке разные операционные системы, но при таком раскладе производительность снижается от 8 до 12 процентов по сравнению с использованием физического сервера. Второй способ выглядит более выгоднее, если принять в соображение экономию дисковых ресурсов и вычислительную производительность системы, поскольку контейнеры используют ядро основной системы. Но в этом варианте пользователи могут использовать операционные системы семейства GNU/Linux, данное ограничение для многих пользователей является серьезным недостатком. Несмотря на это, из-за существенного выигрыша в производительности можно использовать мощность облака для высокопроизводительных вычислений.

Еще одним недостатком является проблема в безопасности, потому что каждый из контейнеров имеется доступ к ядру основной системы и в этом раскладе потенциальный злоумышленник может заполучить привилегированные права в основной системе всего лишь взломав один из контейнеров в облаке. Впрочем, ИТ-технологии не стоят на месте и, например, в последних разработках системы виртуализации LXC появилась возможность запускать непривилегированные контейнеры, взломав которые, злоумышленник получит только ограниченные права пользователя в основной системе [4].

Виды угроз для информационной безопасности. Облачные технологии на сегодняшний день не являются новой технологией, однако вопросы к обеспечению их информационной безопасности продолжают оставаться слабым местом. Из-за технологических особенностей, используемыми для построения структуры облачных вычислений, к стандартным типам угроз прибавились сложности, связанные с контролем облачной среды виртуализации, трафика между гостевыми машинами и разграничением прав доступа. Более того, распределенная и открытая структура облачных вычислений с мультидоменной и многопользовательской структурой стала очень привлекательной мишенью для потенциальных злоумышленников.

Архитектура облачных сервисов состоит из трёх взаимозависимых уровней: инфраструктура, платформа и приложения. Каждый из этих уровней может быть уязвим к программным и конфигурационным ошибкам, допущенным пользователями или провайдерами сервиса. Система облачных вычислений может подвергаться нескольким видам угроз безопасности - включая угрозы целостности, конфиденциальности и доступности её ресурсов, данных и виртуальной инфраструктуры, которые могут быть использованы нецелевым образом, например, в качестве площадки для распространения новых атак [5]. Хранение данных в облаке означает, что эти данные содержатся на общедоступных серверах. Если компания перейдёт в облако без учёта непредвиденных последствий, критические корпоративные данные, такие, как, информация о клиентах или интеллектуальная собственность, подвергнутся повышенному риску. При этом юридическая ответственность за сохранность информации по-прежнему лежит на организации, разместившей эти данные в облаке, а не на провайдере облачных услуг. Рассмотрим, к примеру, компанию медицинского страхования. Если клиент предоставляет персональную информацию страховой компании, он ожидает, что компания её защитит. И для клиента не важно, что страховая компания доверила хранение этих данных облачному провайдеру, слабо контролирующему свою информационную безопасность. Важна их сохранность и защита от неправомерного распространения.

Другая серьёзная проблема с защитой данных в облаке - это неспособность для клиента облачных услуг самому проводить аудит и контролировать события службы безопасности, например, посредством проверки лог-файлов, что может серьёзно ограничить возможности по поиску происшествий, повлёкших к нарушению безопасности системы.

В облачных вычислениях важную роль выполняет технология виртуализации. Однако принципы виртуализации содержат потенциальные угрозы информационной безопасности облачных вычислений, к примеру, связанные с использованием общих хранилищ данных разными виртуальными машинами. Каждая виртуальная машина хранится в виде образа, который представляет собой отдельный файл. Размеры

этих файлов могут быть изменены в зависимости от текущих нужд пользователя сервиса. Уменьшение размера раздела одной из виртуальных машин облака и увеличение раздела другой, могут привести к тому, что физические сектора, содержащие информацию об удалённых файлах, переместятся с одной виртуальной машины на другую. В результате пользователь второй виртуальной машины может получить доступ и восстановить данные, которые ранее принадлежали другой организации. Одним из возможных решений является шифрование всей информации. В этом случае зашифрованная информация не сможет быть восстановлена без подходящих ключей, однако следует учитывать, что шифрование может потребовать дополнительных вычислительных ресурсов и значительно замедлять процесс чтения и записи данных[6]. В противоположность физическому серверу виртуальной машины с такой же операционной системой и приложениями с идентичными настройками подвержена гораздо большему риску. Если провайдер облака резервирует, управляет или манипулирует виртуальными машинами для клиентов на основе своих собственных конфигурационных шаблонов, то контроль доступа и базовые конфигурации не будут соответствовать таковым в собственном дата-центре организации. Даже в рамках одного провайдера облака, может возникать ситуация, когда настройки экземпляра виртуальной машины в одном размещении будут отличаться от настроек в другом размещении.

Виртуальные машины динамичны. Они клонируются и могут перемещаться между физическими серверами. Данная изменчивость влияет на разработку целостности системы безопасности. Однако уязвимости операционной системы или приложений в виртуальной среде распространяются бесконтрольно и часто проявляются после произвольного промежутка времени (например, при восстановлении из резервной копии). В среде облачных вычислений важно надёжно зафиксировать состояние защиты системы, независимо от её местоположения.

Уязвимости внутри виртуальной среды. Серверы облачных вычислений и локальные серверы используют одни и те же ОС и приложения. Для облачных систем угроза удалённого взлома или заражения вредоносным ПО высока. Система обнаружения и предотвращения вторжений должна быть способна обнаруживать вредоносную активность на уровне виртуальных машин, вне зависимости от их расположения в облачной среде.

Защита бездействующих виртуальных машин. Даже когда виртуальная машина выключена, она также подвергается опасности заражения. Доступа к хранилищу образов виртуальных машин через сеть для этого вполне достаточно, при этом на выключенной виртуальной машине невозможно запустить защитное программное обеспечение. В данном случае должна быть реализована защита не только внутри каждой виртуальной машины, но и на уровне гипервизора.

Защита периметра и разграничение сети. При использовании облачных вычислений периметр сети размывается или исчезает. Это приводит к тому, что менее защищённая часть сети определяет общий уровень защищенности. Для разграничения сегментов с разными уровнями доверия в облаке виртуальные машины должны сами обеспечивать себя защитой, перемещая сетевой периметр к самой виртуальной машине. Корпоративный firewall (межсетевой экран) - основной компонент для внедрения политики ИТ-безопасности и разграничения сегментов сети - не в состоянии повлиять на серверы, размещённые в облачных средах [7].

Обеспечение информационной безопасности при облачных вычислениях. Стандартно выделяют три основные задачи информационной безопасности: конфиденциальность, целостность и доступность [8]. Конфиденциальность - это скрытие информации и ресурсов. Целостность - это достоверность данных или ресурсов, обычно связана с предотвращением любых некорректных или неавторизованных изменений. Доступность определяется способностью использовать информацию или ресурсы. Принципиально ожидается, что доступ к данным могут получить только люди, прошедшие аутентификацию в качестве клиента сервиса и владельца именно этих данных.

Один из основных моментов, который необходимо учитывать применительно к безопасности в облаке, состоит в том, что ответственность за использование ресурсов разделяется между клиентом и поставщиком облачного сервиса. И необходимо понимать, где кончается ответственность провайдера облачных вычислений и начинается ответственность клиента.

При построении сложных систем (одной из разновидностей которых являются облака) применяют архитектурную концепцию многоуровневой безопасности (Defense -in-Depth) - механизм, который использует несколько уровней защиты, чтобы увеличить время атакующего, затрачиваемое на попытки взломать систему; а также вести подсчёт количества попыток взлома для принятия решения о блокировке атакующего [9].

Соответственно, при построении системы безопасности среды облаков также можно выделить свои слои контроля и доступа. Облако комбинирует возможности пользователя и поставщика, брандмауэры и разновидности способов изоляции. При этом отдельные элементы безопасности могут контролироваться пользователем независимо от провайдера (рис. 1).

NIST в своей специальной публикации [10] выделяет три модели облачных вычислений: инфраструктура как сервис (IaaS), платформа как сервис (PaaS) и программное обеспечение как сервис (SaaS); при этом для каждого типа управление данными меняется.

Как можно увидеть из рисунка 1, возможности пользователя по управлению системой безопасности зависят от выбора сервисной модели. В модели IaaS (например, IBM SoftLayer или Amazon Web Services) на стороне заказчика можно построить свои собственные технические средства обеспечения безопасности. Клиент может иметь полный контроль над реальной конфигурацией сервера, что гарантирует ему больший контроль рисков безопасности окружения и данных.

В PaaS (IBM Bluemix, Microsoft Windows Azure) поставщик управляет лишь аппаратной платформой и операционной системой, что ограничивает способности предприятия заказчика в управлении рисками на этих уровнях.

В модели SaaS (Salesforce.com, Google) как платформа, так и инфраструктура полностью управляется провайдером облачных услуг. Это означает, что, если операционная система или сервис не настроены должным образом, то данные на более высоком прикладном уровне могут быть в опасности. Пользователям в этом случае не обязательно знать, как предоставляются эти услуги (которые включают в себя сеть, серверы, операционные системы, хранилища и даже отдельные функции приложений). Пользователю важно, чтобы сервис был достаточно дёшев и доступен в любое время, когда он необходим. Поэтому многие детали функционирования сервиса и его инфраструктура оказываются скрытыми для пользователя. В возможностях управления клиент оказывается ограниченным только минимальным набором настроек конфигурации приложения под свои нужды.

РааБ

Рис. 1. Многоуровневая система безопасности облаков на примере трёх моделей облачных сервисов.

Ответственность поставщика облачного сервиса начинается с физической безопасности и безопасности среды. Этот уровень безопасности - высокоуровневый, так как он связан с управляемостью облаком как единой информационной системой. Именно поставщик облачного сервиса осуществляет эксплуатацию физических серверов центров обработки данных, поэтому клиент так же, как и в случае с обычным ЦОД, должен рассмотреть следующие ключевые моменты: физический доступ персонала к серверам и сетевой инфраструктуре, средства пожарной сигнализации и пожаротушения, климатический и температурный контроль над серверами и другими аппаратными средствами, уничтожение выводимых из эксплуатации устройств хранения данных.

В отличие от физической безопасности, сетевая безопасность в первую очередь представляет собой построение надёжной модели угроз, включающей в себя защиту от вторжений и межсетевой экран. Использование межсетевого экрана подразумевает работу фильтра с целью разграничить внутренние сети ЦОД на подсети с разным уровнем доверия. Это могут быть отдельно серверы, доступные из Интернета, или серверы из внутренних сетей.

Доступ через Интернет к управлению вычислительной мощностью облака - одна из ключевых характеристик облачных вычислений. В большинстве традиционных ЦОД доступ инженеров к серверам кон-

тролируется на физическом уровне, в облачных средах они работают через Интернет. Разграничение контроля доступа и обеспечение прозрачности изменений на системном уровне являются одними из главных критериев защиты.

Аналогичным образом на общий уровень безопасности влияет выбор модели развёртывания облачной среды: частное облако, инфраструктура, подготовленная для эксклюзивного использования единой организацией; публичное облако, инфраструктура, предназначенная для свободного использования широким кругом пользователей; общественное облако, вид инфраструктуры, предназначенный для использования конкретным сообществом потребителей из организаций, имеющих общие задачи; и гибридное облако, комбинация из двух или более различных облачных инфраструктур.

Ключевые особенности частных облаков в структуре обеспечения информационной безопасности:

•ответственность клиента за инфраструктуру;

•возможность детальной настройки управления безопасности;

•хорошая видимость внутридневных операций;

•лёгкий доступ к системным логам и политикам;

•приложения и данные остаются внутри сетевого экрана.

Принято считать, что частные облака являются наиболее безопасными, поскольку они позволяют внедрить собственные средства шифрования и защиты ещё на этапе их создания, а также из-за того, что данные остаются в существующей инфраструктуре компании. Однако, если данные не защищены должным образом в облаке они могут быть потеряны или повреждены независимо от того частное это облако или публичное. В частности, недобросовестные лица внутри компании, имеющие доверенный доступ к системе могут просматривать, повреждать и похищать незащищённые данные. Внутренние угрозы не являются какими-то новыми типами угроз, но при переходе корпоративных дата-центров в виртуальные, традиционные механизмы контроля доступа становятся менее эффективными, не будучи приспособленными к виртуальному пространству. Например, когда требуется установить экземпляр базы данных на новый физический сервер, применяются процедуры управления изменениями. Управление изменениями представляет собой процесс прогнозирования и планирования будущих изменений, регистрации всех потенциальных изменений для детального изучения, оценки последствий, одобрения или отклонения, а также организации мониторинга и координации исполнителей, реализующих изменения в проекте. В виртуальном частном облаке новый экземпляр базы данных может быть создан простым клонированием уже существующего виртуального сервера. Если данные с защищаемого сервера передаются на незащищённый, то эти данные смогут просмотреть пользователи, имеющие меньшие права доступа в этом частном облаке.

Интересно наличие неконтролируемой системами безопасности слепой зоны - трафика между виртуальными серверами в облаке. Традиционные средства мониторинга работают с использованием зерка-лирования трафика с портов сетевых устройств и сенсоров, которые способные захватывать и анализировать этот трафик. Однако каналы передачи данных между ВМ создаются в гипервизоре. Вредоносный трафик и данные могут перемещаться между виртуальными машинами без выхода в реальную сеть, что означает, что атака будет не замечена традиционными инструментами.

Данные, хранящиеся на выключенных виртуальных машинах, также являются уязвимыми, в случаях, когда в основной операционной системе, на которой они размещаются, контроль доступа не настроен должным образом, или не установлены обновления, исправляющие критические уязвимости.

На другом полюсе (в сторону уменьшения безопасности) принято располагать публичные облака. Можно отметить следующие особенности публичных облаков: •за инфраструктуру отвечает провайдер; •меньшая настраиваемость управления безопасностью; •нет видимости внутридневных операций; •трудный доступ к логам и политикам; •приложения и данные используются публично.

Используя публичное облако, организации могут воспользоваться инфраструктурой провайдера в облаке (IaaS), платформой (PaaS) и программным обеспечением (SaaS). Данные сохраняются в среде облачного провайдера, с использованием арендуемой инфраструктуры коммерческих ЦОД. В большинстве случаев экономия средств в публичном облаке достигается за счёт более эффективного использования общих физических ресурсов. Это может означать как предоставление клиентам разных ВМ, размещённых на одном и том же физическом сервере, так и организация доступа клиентов к одному и тому же сервису или приложению под разными учётными записями. Например, популярное облачное СЯМ-приложение salesforce.com является примером предоставления одного и того же сервиса разным клиентам с использованием уникальных логинов для предотвращения неавторизованного доступа, хотя при этом данные раз-

ных пользователей оказываются перемешанными на одном хранилище. В любом случае при использовании виртуализации приходится принимать во внимание весь комплекс проблем информационной безопасности, связанный с этой технологией.

Конечно, в рамках публичного облака возможно и предоставление клиенту целиком отдельного, выделенного компьютерного ресурса, что, в частности, даёт возможность более качественного мониторинга и аудита. Однако такой дополнительный уровень комфорта в обеспечении безопасности часто сопровождается существенным увеличением цены использования облачных ресурсов, что может в целом снизить преимущества таковых перед собственным дата-центром.

Классические угрозы информационной безопасности в публичном облаке становятся особенно актуальными. Так, например, администратор крупного облачного ресурса имеет доступ к данным множества клиентов. Он легко может осуществить несанкционированные действия над этими данным, при этом такие события в принципе могут быть никогда не обнаружены. Существуют и внешние угрозы безопасности, такие как, например, удалённые хакерские атаки. В публичных облаках размещается огромное количество корпоративных данных, что делает их привлекательными для злоумышленников. Обнаруживать уязвимости в веб-приложении ресурса, содержащего данные 100 компаний гораздо интереснее, чем взламывать веб-приложение одиночной компании. Аналогично атака на сетевое хранилище резервных копий множества крупных компаний может дать больше данных, чем взлом хранилища, принадлежащего только одной организации.

И даже когда хранилище данных достаточно хорошо защищено от внешних атак, а контроль и разграничение доступа предоставляет только минимальные полномочия особенно доверенным лицам, все ещё остаются открытыми вопросы безопасности при передаче данных между клиентом и облачной инфраструктурой. Сегодня существует множество стандартов и технологий передачи данных по информационным сетям, и задача обеспечения безопасности информации в них является абсолютно нетривиальной, особенно в случае использования беспроводных сетей. Злоумышленники могут перехватить данные множеством способов, например, с помощью поддельных серверов доменных имён, перехвата маршрутов и трафика при использовании сотрудниками компании не доверенных облаков и общественных Wi-Fi точек доступа и др.

Организации могут повысить уровень безопасности при использовании гибридного подхода к облачным вычислениям, который сочетает в себе публичные и частные облака. Часть данных, которые классифицируются организацией как наиболее критические остаются в частном облаке, тогда как все остальные данные хранятся в публичном облаке. Хотя этот подход может гарантировать большую безопасность, чем стандартная модель публичного облака, гибридные облака несут в себе те же риски, как частные и публичные облака в случаях неправильного их использования. Сохранение критически важных данных внутри предприятия требует вовлечения механизмов и процедур, гарантирующих, что эти данные не попадут наружу, в публичное облако. Таким образом, для облачных технологий наблюдается обратная зависимость: при увеличении степени открытости технологии, гибкости работы с ней и универсальности доступа, уменьшается защищенность системы и усложняется методика обеспечения её безопасности. Для того, чтобы создать более безопасную среду облачных вычислений, организации могут начать с простых шагов, например, с разработки политики и процедуры безопасности, повышения прозрачности в использовании облачных приложений, платформ и инфраструктуры, и защиты данных с шифрованием и усилением процедуры доступа к элементам управления, таких как многофакторная аутентификация. ИТ-организации должны сделать больший акцент на усиление контроля доступа пользователей методом многофакторной аутентификации. Это ещё более важно для компаний, которые дают третьим сторонам и поставщикам доступ к своим данным в облаке. Многофакторные решения аутентификации, управляемые централизованно, обеспечат более безопасный доступ ко всем приложениям и данным - вне зависимости от того, находятся ли они в облаке или в локальной сети. Технически хотя и сложно, но все же вполне реализуемо (в частном облаке - уже сейчас) настроить на всех промежуточных уровнях элементы шифрования, аутентификации, защиты данных. В последние несколько лет, например, переживают бурный рост различные облачные системы медицинской направленности, хотя ещё несколько лет назад из-за проблем обеспечения конфиденциальности и сохранности персональных данных облака не рекомендовались для употребления медициной. В данный момент медицинские облака строятся на основе частных облаков с эшелонированной многослойной защитой и управляемой обычно специальным сервером безопасности данных.

Существует несколько способов защитить данные в облаке. Часть из них уже упоминались - это контроль доступа и мониторинг. Однако наиболее эффективным и при этом универсальным способом обеспечить защиту данных, их конфиденциальность и целостность - это использованием шифрования данных при их передаче по информационным сетям и при хранении внутри облака. Защита данных, основан-

ная на шифровании, делает эти данные бесполезными для любого лица, не имеющего ключей для их дешифровки. И не важно, находятся эти данные в процессе передачи или хранения, они остаются защищён-ными. Владелец ключей шифрования поддерживает безопасность данных, и принимает решения кому, и к каким данным предоставлять доступ. Процедура шифрования может быть встроена в существующий рабочий процесс облачных сервисов. Например, администратор может зашифровывать все данные резервного копирования перед отправкой их в облачное хранилище. Сотрудник организации может защитить корпоративную интеллектуальную собственность, прежде чем положить его в частное облако. Представитель компании может зашифровать личные контракты клиентов, прежде чем отправить их в совместное рабочее место в публичном облаке.

Итак, можно заключить, что в идеале нам, как минимум, необходимо:

•задействовать между облаком и потребителем облачных услуг функции шифрования;

•наладить адаптивный и динамический выбор ближайшего (по критериям времени отклика, загруженности и другим параметрам) облачного шлюза, при этом ограничивать подключение потребителя одним определенным шлюзом неразумно - сразу теряется большая часть преимуществ от перехода к модели облачных вычислений;

•настроить шифрованную передачу данных внутри облачной среды.

Заключение. Существует множество преимуществ использования облачных сервисов. Экономия средств от использования масштабируемых и разделяемых ресурсов, доступность в любое время с многочисленных мобильных устройств, высокая доступность больших хранилищ для резервного копирования, простота использования. Однако облака, как частные, так и публичные, вводят дополнительный слой абстракции между первоначальным владельцем данных и теми, кто в реальности управляет этими данными. Одним из универсальных способов обеспечения защиты данных в облаке является выбор решения безопасности, основанного на шифровании данных на уровне файлов прежде чем они покинут доверенную зону. Использование подходящих методов шифрования предотвращает неавторизованный доступ к данным независимо от того, где они находятся (в процессе передачи или хранения в облаке), и это означает, что организации могут использовать преимущества облачных вычислений, не подвергая важные данные риску или сводя этот риск к минимуму.

Библиографический список

1. Е.С. Оплачко, Д.М. Устинин, М.Н. Устинин. Облачные технологии и их применение в задачах вычислительной биологии // Математическая биология и биоинформатика, 2013. — Т. 8, № 2. - С. 449 - 466.

2. Е.А. Исаев, В.В. Корнилов. Проблема обработки и хранения больших объемов научных данных и подходы к ее решению // Математическая биология и биоинформатика, 2013. — Т. 8, № 1. - С. 49 - 65.

3. White J.S., Pilbeam A.W. A survey of virtualization technologies with performance testing [Электронный ресурс] // arXiv.org: Cornell University Library: сайт. - URL: http://arxiv.org/pdf/1010.3233.pdf (дата обращения: 22.02.2019).

4. Reshetova E., Karhunen J., Nyman T., Asokan N. Security of OS-level virtualization technologies [Электронный ресурс] // arXiv.org: Cornell University Library: сайт. - URL: http://arxiv.org/pdf/1407.4245v1.pdf (дата обращения: 15.12.2018).

5. Patel A., Taghavi M., Bakhtiyari K., Junior J.C. An intrusion detection and prevention system in cloud computing: A systematic review // Journal of Network and Computer Applications, 2013. - Vol. 36. - P. 25-41.

6. Brenton C. The basics of virtualization security [Электронный ресурс] // Cloud Security Alliance: сайт. - URL: https://cloudsecurityalliance.org/wp-content/uploads/2011/11/virtualization-security.pdf (дата обращения: 15.12.2018).

7. Бердник А.В. Проблемы безопасности облачных вычислений. Анализ методов защиты облаков от cloud security alliance // Альманах современной науки и образования, 2013. - № 10. - С. 35-38.

8. Lubacz J., Mazurczyk W., Szczypiorski K. Principles and Overview of Network Steganography // Communications Magazine. — 2014. Vol. 52. № 5. — P. 225-229.

9. Prescott E. Small. Defense in Depth: An Impractical Strategy for a Cyber World [Электронный ресурс] // SANS Institute: сайт. - URL: https://www.sans.org/reading-room/whitepapers/warfare/paper/33896 (дата обращения: 21.12.2018).

10. Jansen W, Grance T. Guidelines on Security and Privacy in Public Cloud Computing. (NIST Special Publication 800-144) [Электронный ресурс] // NIST: National Institute of Standards and Technology: сайт. - URL: http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf (дата обращения: 09.12.2018).

СЕРИКУЛЫ ОРЫНБЕК - магистрант, Международный университет информационных технологий, Казахстан.