УДК 330.47
Обеспечение безопасности данных в облачных средах
Рассматриваются основные вопросы обеспечения безопасности данных при работе в облачных средах. Анализируются риски на этапе выбора перспективных облачных сервисов до передачи конфиденциальных данных провайдерам, предлагающим услуги по размещению информации в среде облачных технологий.
Ключевые слова: облачные технологии; анализ рисков; безопасность данных.
Basic issues of data security in cloud environment operations are considered. Subject to analysis are the risks arising at the stage of selecting prospective cloud services before the transfer of confidential data to providers who offer services of information placement in the cloud technologies environment.
Keywords: cloud technologies; risk analysis; data safety.
Царегородцев Анатолий Валерьевич
д-р техн. наук, профессор, зав. кафедрой «Информационная безопасность»
Финансового университета, Е-таИ: [email protected]
Савельев Иван Андреевич
канд. техн. наук, доцент кафедры «Информационная безопасность»
Финансового университета E-mail: [email protected]
Романовский Сергей Валерьевич
доцент кафедры
«Информационная
безопасность»
Финансового университета E-mail: [email protected]
Предоставление ИТ-сервисов в отдаленном доступе
В настоящее время создание собственной ^-инфраструктуры обходится организациям малого и среднего бизнеса очень дорого. Но денежные средства могут быть сэкономлены посредством использования компьютерной техники в отдаленном доступе в так называемой облачной среде на условиях аренды. Причем облачная модель вычислений подразумевает предоставление ИТ-ресурсов как стандартизированных сервисов с возможностью динамического масштабирования их объема.
Например, для обработки запроса пользователя поставщику услуг необходимо привлечь ресурсы провайдера по заявленному требованию, а затем отказаться от ненужных ресурсов, как правило, после того, как работа выполнена.
В отличие от традиционных вычислений, реализуемых под контролем пользователя, в облачной среде информация обрабатывается службой провайдера, что заставляет пользователя задуматься о защите как от внутренних, так и внешних угроз после передачи конфиденциальной информации.
Как правило, при использовании облаков хранение и обработка данных выполняются в едином центре обработки данных. Но, как показано на рис. 1, информация может обрабатываться на нескольких географически распределенных узлах в облаке. Причем существует вероятность скачивания информации из нескольких точек.
Рис.1. Типичные контрольно-пропускные пункты защиты информации в облачной среде
Обеспечение информационной безопасности в облачных средах
В облачной среде действуют три модели услуг: ІааБ (инфраструктура как услуга), РааБ (платформа как услуга) и БааБ (программное обеспечение как услуга). От каждой из этих моделей зависит обеспечение безопасности обрабатываемых данных. Но при использовании любой модели услуг потребители могут столкнуться со следующими трудностями: недоступность методов и средств обеспечения безопасности данных, безопасность и устойчивость ко взломам программного кода.
В облачных средах принято считать, что качество обслуживания напрямую зависит от стоимости услуги, которую запрашивает провайдер у потребителя. Безопасность, доступность и надежность являются основными характеристиками, по которым можно судить о качестве облачного сервиса.
Преимущества облачных технологий
Работа сервисов, предоставляемых провайдерами, связана с использованием сложных систем, требующих высококвалифицированных специалистов, каждый из которых в отдельности не может иметь полного доступа к информационным ресурсам в целом, что позволяет пользоваться в облачной среде прямыми и косвенными преимуществами
по сравнению с другими технологиями в обеспечении информационной безопасности:
• централизация данных. В облачной среде сервис-провайдер заботится о хранении данных, и предприятиям малого и среднего бизнеса нет необходимости тратить средства на приобретение и эксплуатацию аппаратной составляющей хранения данных. Кроме того, хранение данных в облаке позволяет обеспечить быструю и дешевую обработку информации, что особенно важно для предприятий малого бизнеса, которые не имеют возможности нанимать специалистов по безопасности и администрированию систем хранения данных;
• реагирование на инциденты: поставщики 1ааБ услуги могут использовать по требованию «контрольный сервер», служащий в качестве реплицирующего устройства. Всякий раз, когда зафиксировано нарушение безопасности, этот сервер может переходить на режим «онлайн». В некоторых случаях резервная копия сервиса может быть легко сгенерирована и помещена на облако, не затрагивая нормальный ход бизнеса;
• контрольное время проверки изображения ^^Т). Некоторые продукты облачных технологий хранения данных обеспечиваются дополнительной защитой с применением криптографических атрибутов, таких как определение контрольной суммы или вычисление
хэш-функции. Например, Amazon S31 вычисляет MD5 (Message-Digest Algorithm 5)2 автоматически при сохранении объекта. Поэтому в теории внешние инструменты, требующие много времен на генерирование контрольных сумм MD5, не используются;
• журналирование3. В традиционной модели вычислительных систем журналирование часто осуществляется задним числом. Причем из-за недостаточности выделенного места на диске оно либо не проводится, либо делается в минимальном объеме. Однако в облаке такой проблемы не возникает.
Недостатки обеспечения безопасности данных в облачной среде
Несмотря на вышеуказанные преимущества, облачные технологии не лишены ряда недостатков:
• расположение данных. Концепция реализации облачных технологий основана на том, что пользователи не знают точного местонахождения центров обработки данных и не осуществляют контроля за физическим доступом к этим данным. Наиболее известные провайдеры облачных сервисов располагают центрами обработки данных, расположенными по всему миру. Однако приложения и данные могут храниться в странах, где поставщики услуг должны подчиняться требованиям безопасности и правовым нормам страны пребывания, что нередко затрудняет деятельность пользователя, незнакомого с законодательством страны, где обрабатываются его данные;
• расследование инцидентов. Получение информации о деятельности поставщика услуг может оказаться невозможным или трудно реализуемым в облачной среде ввиду того, что данные нескольких клиентов могут распределяться и размещаться во многих центрах обработки
1 Онлайновая веб-служба, предлагаемая Amazon Web Services, предоставляет возможность хранения и получения любого объема данных в любое время из любой точки сети, так называемый файловый хостинг.
2 128-битный алгоритм хеширования, разработанный профессором Рональдом Л. Ривестом из Массачусетского технологического института.
3 Журналирование — процесс записи информации о происходящих с каким-то объектом (или в рамках какого-то процесса) событиях в журнал (например, в файл).
данных. Пользователи услуг имеют мало информации о топологии сети, лежащей в основе облачной среды. Поставщик услуг также может налагать ограничения на сетевую безопасности пользователей услуг;
• сегрегация данных4. В облаке все данные хранятся вместе. При этом посредством шифрования данных невозможно достичь полной информационной безопасности, что связано с сегрегацией данных. В некоторых ситуациях клиенты могут не шифровать свои данные из-за вероятности их повреждения при сбоях, например, электропитания;
Безопасность, доступность и надежность являются основными характеристиками, по которым можно судить о качестве облачного сервиса
4) долгосрочная жизнеспособность данных. Поставщики услуг должны обеспечить безопасность данных в случаях возможного изменения юридического статуса, таких как слияние и поглощение;
5) компрометация серверов5. В среде облачных технологий в ситуации, при которой сервер находится под угрозой, пользователи должны выключать сервер и не включать его до того момента, пока не будут восстановлены предыдущие работоспособные резервные копии данных;
6) соответствие нормативам. Традиционные поставщики услуг подвергаются проверкам внешних аудиторов. Если этого не делается, кредит доверия со стороны клиентов снижается;
7) восстановление данных. Провайдеры облачных услуг должны обеспечить безопасность данных в случае естественных и техногенных катастроф. Как правило, это достигается репликацией6 данных на нескольких узлах. Однако в случае такого нежелательного события поставщик услуг дол-
4 Распределение данных по категориям.
5 Разглашение сведений или осуществление атаки с возможной модификацией данных.
6 Повторение, дублирование, зеркалирование аппаратных
средств.
Таблица 1
Крупнейшие поставщики облачных услуг
Услуга Фирма-провайдер
IaaS Amazon EC2, Amazon S3, GoGrid
PaaS Google App Engine, Microsoft Azure Services, Amazon, Elastic Map Reduce
SaaS Salesforce, Google Docs
Таблица 2
Механизмы обеспечения безопасности, реализованные крупнейшими поставщики облачных услуг
Механизм безопасности Результат
Восстановление пароля 90 % провайдеров используют стандартные методы для большинства предоставляемых услуг, в то время как 10 % применяют сложные методы и механизмы
Механизм шифрования 40 % провайдеров используют стандартное шифрование SSL*, при этом 20 % применяют механизмы шифрования за дополнительную плату. 40 % также используют методы, реализованные по принципу протокола HTTPS
Расположение данных 70 % провайдеров определили местонахождение своих ЦОДов, в то время как 10 % имеют единственное местоположение. 20 % относят данный вид информации к конфиденциальной
Доступность истории В 40 % приведено заявленное время простоя, в то время как в 60 % доступность данных высока
Частная собственность/Открытость Только 10 % провайдеров имеют открытые механизмы
Мониторинг сервисов 70 % провайдеров оказывают услуги мониторинга за дополнительную плату, в то время как 10 % используют автоматические методы, а 20 % не предоставляют эту информацию
* Как и HTTPS, протокол защищенной передачи информации в сетях общего назначения.
жен сделать все возможное для полного и быстрого восстановления данных.
Безопасность виртуализации
Существуют два вида виртуализации в парадигме облачных вычислений. При полной виртуализации вся аппаратура архитектуры реплицируется7 виртуально. Тем не менее, в области частичной виртуализации операционная система модифицирована таким образом, что она может быть запущена одновременно с другими операционными системами. VMM (монитор виртуальных машин) представляет собой программный слой, который позволяет абстрагироваться от физических ресурсов, используемых несколькими виртуальными машинами. VMM предусматривает также виртуальный процессор (программную реали-
7 Дублирование происходит не за счет привлечения дополнительного оборудования, а за счет использования программных средств.
зацию) и другие виртуальные системы, такие как устройства ввода/вывода, хранения, памяти и т. д.
Но в VMM обнаружены уязвимости:
• уязвимость в Microsoft Virtual PC и Microsoft Virtual Server, что дает возможность пользователю операционной системы с правами «гостя» запускать код хозяина или другого гостевого пользователя операционной системы;
• уязвимость в общий папке VMware, что дает пользователям гостевой системы право на чтение и запись любой части файловых систем, включая системную папку и другие конфиденциальные файлы;
• уязвимость в Xen8, которая может быть использована гостем для выполнения произвольных команд от имени корневого пользователя домена.
В результате анализа основных поставщиков облачных сервисов для расследования механизмов безопасности за основу взяты десять главных
8 Одна из программ виртуализации.
поставщиков облачных услуг (табл. 1), которые предоставляют услуги по всем основным направлениям облачных вычислений, в том числе SaaS, PaaS и IaaS.
В табл. 2 приводятся результаты оценки текущего состояния механизмов обеспечения безопасности данных.
Оценка рисков
Поставщики облачных технологий используют различные механизмы обеспечения безопасности данных. Однако у клиента возникают определенные трудности с выбором провайдера, а именно: оценка риска для обеспечения безопасности данных и уверенности в том, что данные и программы находятся в безопасности в помещениях провайдера.
Если пользователь облачного сервиса способен оценить риск в обеспечении безопасности данных, то он может определить и уровень доверия к поставщикам услуг.
Современная технология обеспечения безопасности позволяет создавать определенный уровень доверия в области облачных технологий, например посредством SSL (протокола Secure Socket Layer), цифровых подписей и протоколов аутентификации для доказательства методов аутентификации и контроля доступа с целью управления авторизацией.
В то же время она не обладает дополнительными инструментами для определения эффективной достоверности информации. Анализ публикаций отечественных и зарубежных авторов показал, что большинство специалистов определяют доверие следующим образом: «Доверие является определенным уровнем субъективного представления о вероятности, с которой агент будет выполнить определенное действие, в то время как мы можем контролировать такие действия, и в контексте, в котором он касается наших собственных действий» [1]. На основании этого определения можно сделать вывод, что доверие является субъективной оценкой и зависит от действий, которые мы не можем контролировать.
В распределенных системах реализованы три вида моделей доверия:
• прямое (полное) доверие;
• доверительные отношения;
• допустимое доверие.
В облачных технологиях, в которых данные и программы пересекают организационные гра-
ницы, доверительные отношения и допустимое доверие могут иметь решающее значение для определенного типа приложений. Прямое доверие означает, что в облаке выполняются все заявленные аутентификации и генерации учетных данных, которые связаны конкретными лицами.
Современная технология обеспечения безопасности позволяет создавать определенный уровень доверия в отношении облачных технологий
Разница с другими моделями состоит в том, что прямая модель доверия не позволяет делегировать заявленные аутентификации9. Примером такого типа доверия является использование PKI (инфраструктуры публичного ключа), когда проверка подлинности, осуществляемая на основе корневых центров сертификации, обеспечивает реализацию всех видов доверительных отношений. Ответственность за безопасную передачу данных возлагается при этом на сертифицирующие органы (удостоверяющие центры).
Оценка риска.
Использование матрицы доверия
Хотя ни одна единица измерения не является адекватной для определения доверия к обеспечению безопасности данных, несколько зависимых переменных (например, данные о затратах) могут быть использованы для его описания. На основании значимых факторов безопасности строится матрица доверия (матрица, каждый элемент которой определяет степень доверия к разным источникам информации), для построения которой могут использоваться некоторые эвристики10, например стоимость данных и история провайдера.
В облачной среде стоимость данных может варьироваться от оценки пользователем, основан-
9 Процедура проверки подлинности должна подтверждаться сертификатом, который не может передаваться от одного пользователя другому или от одной машины к другой.
10 Совокупность показателей, ограничивающая выбор опти-
мального решения.
ной на критичности данных11. Существует много факторов, влияющих на критичность данных. Так, конфиденциальная коммерческая информация может быть важной, и поэтому мы можем назначить ей более высокую стоимость по сравнению с менее критическими данными.
Кроме того, история провайдера может являться допустимым параметром для оценки риска. Она может включать профиль провайдера, его заслуги в прошлом. Если пользователи не удовлетворены качеством конкретной службы (провайдером), они выражают свое мнения, например в Интернете. Если поставщик услуг не обладает хорошей историей обеспечения безопасности данных, то это может уменьшить фактор доверия к нему.
С целью оценки риска могут использоваться другие переменные для создания матрицы доверия. Некоторыми из этих переменных могут быть поддержка шифрования, стоимость услуги, поддержка мониторинга и т. д.
Анализ рисков
Можно предположить, что на основе матрицы доверия, где оси отражают используемые переменные, последние могут быть связаны по значению друг с другом. Например, строится матрица доверия, где по осям располагаются данные стоимости (data cost); история услуг (provider’s history) и данные о местоположении (data location). Практика показывает, что высокая стоимость данных с плохой историей поставщика услуг приводит к более высокому риску / меньшему доверию.
Зона высокого доверия может указывать на имеющийся риск безопасности для осуществления текущих операций, а также для будущих сделок с этой службой провайдера. Как превентивный подход оценка риска рассматривается в качестве части профилактической меры. Например, добавленный уровень аутентификации и/или проверки, выражающийся, например, в применении дополнительных методов шифрования или использовании биометрических систем доступа к облаку, может быть использован для деятельности, которая связана с зоной низкого доверия. Этот метод может применяться для измерения доверия и осуществления всех будущих сделок. На основе этого метода можно определить
11 Данные, потеря которых приведет к нарушению непрерывности бизнеса.
доверительные действия для всех будущих сделок с поставщиком услуг.
Согласно данным, приведенным IDC (International Data Corporation), облачные услуги все еще находятся в ранней стадии развития. В ряде исследований представлены криптографические инструменты, служащие для обеспечения целостности и непротиворечивости данных, которые хранятся в облаках. Некоторые программно-аппаратные решения по-прежнему требуют тестирования в реальном времени для проверки их пригодности к использованию. В техническом описании на AWS (Amazon Web Services)12 представлены требования к обеспечению физической безопасности, резервного копирования и сертификатов в их контексте [2]. Аналогичным образом другие поставщики, такие как Google, Microsoft и т. д., предпринимают подобные действия для обеспечения безопасности в облаке [3, 4].
Джей Хайзер13 выявил семь значимых рисков [5], которые клиент должен оценить, прежде чем использовать инфраструктуру облачных вычислений, таких как IaaS, PaaS, SaaS. В дополнение к этим семи рискам мы предлагаем добавить следующие риски, которые должны оцениваться клиентами облачных сервисов: хранение данных, безопасность сервера, привилегированный доступ пользователей, виртуализация и переносимость данных. Это позволит построить надежную матрицу доверия.
Литература
1. Diego G.: Can we trust Trust? Oxford: Trust Making and Breaking Cooperative Relations, 1990.
2. Overview of Security Processes, 2011.
3. URL: http://appengine.google.com.
4. URL: http://www.mesh.com.
5. Brodkin J.: Seven Cloud Computing Security Risks (2008). URL: http://www.gartner.com/ DisplayDocument?id=685308.
12 Инфраструктура Web Services платформы в облаке, представленная компанией Amazon с начала 2006 г. В данной инфраструктуре представлено много сервисов для оказания различных услуг, таких как хранение данных (файловый хостинг, распределенные хранилища данных), аренда виртуальных серверов, предоставление вычислительных мощностей и др.
13 Исследователь в области облачных вычислений, Лисберг, штат Вирджиния, США.