CC BY
64
05.13.19
Васильева О.В. ©
Аспирант, кафедра мониторинга и прогнозирования информационных угроз Санкт-Петербургский национальный исследовательский университет информационных
технологий, механики и оптики
МЕРЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ВИРТУАЛЬНОЙ ЧАСТНОЙ СЕТИ
Аннотация
В статье представлены результаты изучения виртуальной частной инфраструктуры. Установлены уровни построения виртуальной частной сети, для каждого из которых выявлены возможные угрозы информационной безопасности и соответствующие способы защиты от их реализации. Определены минимальные требования к обеспечению информационной безопасности виртуальной частной сети.
Ключевые слова: информационная безопасность, виртуальная частная сеть, информационные потоки.
Keywords: information security, virtual private network, information flows.
Виртуальные частные сети (англ. Virtual Private Network) представляют собой потоки данных, защищенные от влияния потоков данных других организаций (пользователей), передающиеся по публичной сети между удаленными площадками одной организации. Технологии, посредствам которых реализуется данные взаимодействия, принято называть технологиями виртуализации.
В связи с высоким качеством информационного обмена, масштабируемой поддержкой удаленного доступа к ресурсам локальной вычислительной сети (ЛВС) соответствующей организации, легкостью в управлении информационными потоками, экономией на оборудовании и обслуживающем персонале и многими другими факторами, переход на технологии виртуализации не избежен, как в кредитных организациях, так и в органах государственной власти.
Построение VPN в подобных сферах нуждается в обеспечении определенного уровня конфиденциальности, целостности и доступности обрабатываемой посредствам технологий виртуализации информации.
Конфиденциальность потоков данных в VPN обеспечивается алгоритмами шифрования, средствами защиты информации от несанкционированного доступа (СЗИ от НСД) и т. д.
Целостность подразумевает под собой неизменность потоков данных при прохождении по защищенному каналу VPN.
Доступность информации в VPN обеспечивается:
надежностью (непрерывное резервное копирование);
эффективностью использования средств вычислительной техники (технология виртуализации, сети хранения данных и т.д.);
степенью защищенности используемой технологии от внешних атак.
Безопасность облачных вычислений зависит от совокупности мер, используемых для обеспечения информационной безопасности каждой составляющей.
Построение облачной инфраструктуры происходит послойно. Выделяются три основных уровня:
1. Комплекс технических средств (КТС), на которых разворачиваются серверные компоненты (центр обработки данных (ЦОД)).
© Васильева О.В., 2014 г.
2. Программное обеспечение для виртуализации, посредствам которого можно создать виртуальные составляющие (сервера, базы данных и т.д.).
3. Управление виртуальной инфраструктурой (технологии при помощи которых, можно сформировать WAN, VPN).
На каждом выделенном уровне существуют специфические угрозы информационной безопасности и соответствующие им способы защиты информации (Табл. 1).
Таблтца 1
Соответствие угроз ИБ уровням реализации VPN и способы защиты
№ п/п Уровень облачной инфраструктуры Составляющие Возможные угрозы ИБ Способы защиты
1 Комплекс технических средств Средства вычислительной техники Сбой/отказ технических средств; Ограничение доступа в помещение, где размещен КТС
Коммутатор СЗИ от НСД
Маршрутизатор Установка системы кондиционирова ния воздуха
Волоконно-оптический кабель
2 Программное обеспечение для виртуализации Устройства обслуживания виртуального хозяйства (гипервизор) Хищение парольной информации; Ограничение доступа к административн ым интерфейсам
Виртуальная машина Система видеонаблюдени я в помещении, где развернут КТС
Паравиртуализация
Мониторинг, учет и анализ событий
Сервер управления
Защита паролем
Антивирус
3 Управление виртуальной инфраструктурой Каналы межпрограммного и межплатформенного взаимодействия Недостаточная пропускная способность сети; Кража конфиденциальны х данных; Массовая утечка данных из облачных сервисов; Вредоносные скрипты или iframe-теги; Разделение и изоляция сетевого трафика виртуальных машин
Взаимодействия физической инфраструктуры (ИХД, сетевое взаимодействие, резервное копирование, аутентификация пользователей) Шифрование данных, посредствам разрешенных для применения, алгоритмов шифрования
№ п/п Уровень облачной инфраструктуры Составляющие Возможные угрозы ИБ Способы защиты
Шпионские приложения; Угрозы INF/autorun; Информационные системы использующие механизмы виртуализации снабжаются большим набором механизмов безопасности и правил их использования (может быть отрицательный эффект)
Требования к обеспечению безопасности информационных потоков VPN:
1. Ограничение доступа в помещения ЦОД с использованием систем контроля доступа (система кондиционирования воздуха, противопожарные меры обеспечения безопасности, круглосуточное наблюдение).
2. Организация обработки критической (конфиденциальной) информации должна быть сегментирована от общих потоков данных.
3. Средства антивирусной защиты.
4. Должна быть установлена система обнаружения атак от вторжения.
5. Доступ к базам данных хранилища информации и установление обновлений версий ПО, должен фиксироваться в соответствующем журнале событий.
6. Аутентификация и идентификация должны реализовываться посредствам алгоритмов шифрования, а также необходимо предусмотреть блокировку данных пользователя не проходившего аутентификацию в течении трех месяцев.
7. Должны вестись журналы, в которых отражается информация об изменениях виртуальной инфраструктуры и на платформах, развернутых посредствам системы виртуализации.
8. Хранение и обработка ПДн должна осуществляться в соответствии с требованиями законодательства Российской Федерации.
Информация, передаваемая посредствам технологий виртуализации, должна быть доступна только после аутентификации. Для этого используется взаимная аутентификация пользователя и серверов облака, которая должна быть построена на основе криптографии с открытым ключом (TLS, IPSec, AES).
Важным нюансом в обеспечении безопасности VPN, является необходимость использования единой политики безопасности для всех объединенных в VPN сетей, так как если хоть одна ЛВС входящая в VPN позволит осуществить незащищенный доступ, под угрозой будет находиться вся VPN.
Также необходимо учитывать, что VPN не обеспечивает защиту данных в конечных точках, это должно обеспечиваться посредствам криптографической защиты файлов, дисков, почты, средствами защиты информации от несанкционированного доступа (должны быть идентичны средствам, установленным на VPN-устройствах), антивирусами.
Литература
1. Е. Гребнев, «Облачные сервисы. Взгляд из России». -М.: CNews, 2011. - 282 c.
2. М. Захватов, «Построение виртуальных частных сетей (VPN) на базе технологии MPLS». -М.: Cisco Systems, 2001. -52 с.
3. С.В. Запечников, Н.Г. Милославская, А.И. Толстой, «Основы построения виртуальных частных сетей». Учебное пособие для вузов. - 2-ое изд., стереотип. -М.: Горячая линия-Телеком, 2011. -248 с.
4. М. Хорвард, Д. Лебланк, Д. Виега, «19 смертных грехов, угрожающих безопасности программ. Как не допустить типичных ошибок». -М.: Издательский Дом ДМК-пресс, 2006. - 288 с.
