Кадан А.М.
Гродненский государственный университет им. Я.Купалы, г.Гродно, Беларусь, к.т.н., заведующий кафедрой системного программирования и компьютерной безопасности, 1^ап@ т£ grsu. Ьу
ОБЛАЧНЫЕ ИНФРАСТРУКТУРНЫЕ РЕШЕНИЯ НА ПЛАТФОРМЕ OPENNEBULA В ПОДГОТОВКЕ СПЕЦИАЛИСТОВ ПО ЗАЩИТЕ ИНФОРМАЦИИ
КЛЮЧЕВЫЕ СЛОВА
Облачные вычисления, облачные технологии, защита информации, компьютерная безопасность, виртуальная лаборатория, инфраструктурные решения, учебный стенд, лабораторный практикум, OpenNebula.
АННОТАЦИЯ
В статье рассматривается подход, связанный с созданием современной учебной инфраструктуры для подготовки специалистов в области защиты информации и компьютерной безопасности на базе облачных технологий. В качестве программно-технической базы выступает облачный кластер Гродненского государственного университета, построенный на платформе OpenNebula. Использование кластера позволяет реализовать современные подходы для моделирования инфраструктурных решений, обеспечивающих решение практических задач в области обучения студентов вузов и слушателей системы переподготовки методам защиты информации и компьютерной безопасности.
Прерогатива обучения и переподготовки по специальностям, связанным с компьютерной и информационной безопасностью и защитой информации, в последние годы вышла из компетенции специальных учебных заведений, в силу принципиального изменения масштаба и характера использования в обществе средств вычислительной техники и связанных с этим фактом масштаба и проявлений современных киберугроз.
В то же время, при обучении студентов современным высокотехнологичным специальностям, к которым в полной мере можно отнести специальности, связанные с защитой компьютерной информации, учебные заведения часто не располагают современной программно-технической инфраструктурой, которая позволила бы вести практико-ориентированное обучение на современном уровне.
Если, в большинстве случаев, университеты и учреждения переподготовки слушателей могут предложить достаточный уровень теоретической подготовки в этой сфере, то обеспечение практикума по защите компьютерной информации сталкивается с нехваткой и недостаточной мощностью технической базы, с ограниченным доступом обучаемых к ее компонентам, либо с нехваткой или отсутствием средств моделирования инфраструктур объектов защиты и формирования модельных инцидентов компьютерной безопасности.
Также немаловажно обеспечение необходимой гибкости используемых инфраструктурных решений и возможности индивидуализировать используемые лабораторные комплексы. Время от времени возникают нетипичные задачи, требующие переконфигурирования программно-аппаратного обеспечения учебной лаборатории или выделения вычислительных ресурсов на короткий срок. Например, для установки и изучения некоторого программного обеспечения может потребоваться оборудование на платформе нетрадиционной для вуза операционной системы. Такое лабораторное оборудование не будет сильно нагружено, поэтому специальное конфигурирование или обеспечение мультизагрузки представляется нерациональным.
Проведение учебных занятий, в силу ограниченности выделенных временных ресурсов требует высокой надежности всех компонентов учебной лаборатории, высокой доступности сервисов и служб. В то же время проведение собственных исследований и разработок в области защиты компьютерной информации, наоборот, может приводить к непредвиденным последствиям, результаты которых могут вызвать длительные перерывы в работе используемого оборудования и программного обеспечения.
Путь частичного решения данной проблемы видится в создании специализированных лабораторий и тесном взаимодействии с компаниями, производителями специализированного
программного обеспечения. Это позволяет использовать в учебном процессе современные программные системы специального назначения [1].
Также только частичное решение обеспечивает использование технологии виртуальных машин, так как наряду с вопросами высоких требований к аппаратным характеристикам базового компьютера и недостаточной производительности такого подхода, сложности контроля полученных обучаемым результатов, не решается проблема обучения методам защиты нетривиальных по инфраструктуре информационных систем и других объектов защиты.
В итоге, можно утверждать, что используемые в настоящее время подходы не обеспечивают решение многих из указанных выше проблем, возникающих в ходе практико-ориентированного обучения методам защиты компьютерной информации.
Перспективный путь решения проблем в данном направлении разрабатывается сотрудниками Гродненского государственного университета им. Янки Купалы, Гродно, Беларусь (далее — ГрГУ) в связи с созданием в университете облачного кластера.
Облачный кластер ГрГУ был создан в 2014 году в рамках проекта международной технической помощи «Содействие социально-экономическому развитию и поддержка предпринимательства путем создания трансграничной инновационной научно-исследовательской сети в сфере облачных вычислений» [2]. Бенефициар проекта — Вильнюсский университет, партнерами выступили Литовский институт инноваций и технологий (Вильнюс), ГрГУ имени Янки Купалы (Гродно) и Научная технологическая ассоциация «ИНФОПАРК» (Минск).
Проект направлен в первую очередь на улучшение приграничных научно-исследовательских и инновационных ИТ-сетей среди научных учреждений Гродно, Минска и Вильнюса и усиление их связей с компаниями, которые работают в сфере информационных технологий. В рамках проекта в университетах было установлено оборудование и создана ИТ-инфраструктура, необходимая для программирования облачных вычислений, а также для реализации современных дистанционных форм обучения в высшем образовании. В Вильнюсе и Гродно были созданы два близких по характеристикам облака, использовать инфраструктуру которых могут обе страны. Предусмотрена подготовка будущих специалистов в сфере разработки программного обеспечения для облачных платформ, для чего на кафедре системного программирования и компьютерной безопасности ГрГУ разработан учебный курс для прикладных ИТ-специальностей.
Высокоуровневая архитектура компоненты облачного кластера, размещенной в Гродно, представлена на рис.1. Она включает 19 серверных узлов, каждый из которых имеет 2 процессора (общее количество ядер — 12), 128 GB RAM, 2x10 Gb Ethernet для высокоскоростного подключения к хранилищу данных и сети. Все сервера размещены в двух корпусах с сетевыми коммутаторами на 10 Gb и 1 Gb. Хранилище данных имеет 150 TB дискового пространства, реализованного в 4 TB NL SAS дисках.
Инфраструктурные решения, расположенные в Вильнюсе и Гродно идентичны по возможностям вычислительных узлов, конфигурации хранения данных и перспективам использования.
DMflaS] KW1 Efitrtpmi BbliOhiMti»
Nidt, '» СИ,1 Xeon <SC
es-24:oi:igbra.\l
nic bej
lontroîlrr «
(MMlU^iB 10»
UlktpwtfJ IBM По Svium;»iKh ЕКИК iiiinrii^rf д■■ H
||SM Пп Г|Ь« 51жЬ.Е.Ч<»Л I «H> I
__I «.irai
MMOiim iwiiiiot
mniluaihl ni™i:™it4Tf
UUtiB^
IBM M«S% flnnEetfFpriK
stow ceeiputr
NffJr. 2 * CP! Jiron iC
EJ-:»:O-itiauM
IllOCk NIC BEi '">«1
ibm fin SVH™ EN:»: ЮЬ
T«td IfclMb^nd.wdlJ.faM L*L
IBM naSynonFibfic S»iirt EN-WR
Trtd ]ЫШ nmilatiw;
Mtlhllk nmd, 1 wllht
Я in Цг IBM SMOTUi V) JOO JiU Gb.-4»1G1>. JIHTBHDD»
Рис. 1. Архитектура компоненты облачного кластера
Рис. 2. Окно панели управления приложения OpenNebula 4.6.0
В качестве базовой среды для облачных вычислений выбран продукт OpenNebula [3]. Проект OpenNebula развивается с 2005 года как исследовательский проект в Complutense University of Madrid. Это свободно распространяемый продукт с открытым исходным кодом (распространяется по лицензии Apache), то есть полностью открытая платформа (рис.2). Программное обеспечение OpenNebula используется рядом европейских научно-исследовательских организаций, в частности CERN, для управления облачной инфраструктурой класса IaaS. В качестве системы виртуализации возможно использование Xen, KVM, VMware и Hyper-V Программные средства OpenNebula поддерживают API для доступа к публичным облачным окружениям, таким как Amazon EC2 Query, OGF OCCI, vCloud и др. Таким образом, OpenNebula может использоваться для создания частных облачных сред, обеспечивать работу с внешними, публичными облачными сервисами таких провайдеров, как Amazon EC2, а также развертывать гибридные облачные системы, сочетающие сервисы публичных и частных инфраструктур.
Для полноценной эксплуатации облачной инфраструктуры OpenNebula, с помощью гипервизора виртуальных машин обеспечивается доступ к сетевому интерфейсу типа «мост». В результате каждая виртуальная машина обладает «реальным» IP-адресом и имеет доступ к вычислительной сети ГрГУ наравне с реальными компьютерами.
В настоящее время, для использования в рамках подготовки специалистов по направлению специальности 1-980101 Компьютерная безопасность (математические методы и программные системы) со специализацией 1-98 01 01-01 03 Защищенные информационные системы, и по специальности 1-26 03 01 Управление информационными ресурсами, на основе облачного кластера ГрГУ созданы виртуальные лаборатории для решения отдельных задач учебного процесса, в том числе реализации современных форм дистанционного обучения.
В частности, каждому студенту предоставляется персональная рабочая станция (под контролем преподавателя), с возможностью удаленного управления для выполнения практических работ по ряду общеобразовательных и специальных дисциплин:
- при изучении студентами младших курсов в рамках учебной программы IT Essentials Сетевой академии Cisco разделов «Операционные системы», «Сети», «Безопасность» с отработкой элементов инсталляции ОС, настройки сети и параметров безопасности;
- при изучении студентами разделов дисциплин «Системное администрирование» и «Операционные системы» для работы с файловыми системами, управления дисками, управления пользователями, изучения элементов ОС Linux.
- в рамках дисциплины «Компьютерные сети» для организации учебных компьютерных сетей и интеграции их с сетевым оборудованием компании Cisco студенту предоставляется «ферма» однотипных рабочих станций для конфигурирования. Данный подход зарекомендовал себя более эффективно, нежели традиционное моделирование в среде пакета Cisco Packet Trace . В то же время он лишен и недостатков использования технологии виртуальных машин,
ограниченной производительностью и объемом оперативной памяти базового компьютера.
- в рамках дисциплины «Теоретические основы информационной безопасности» использование кластера позволило изучить возможности сканеров безопасности и исследовать уязвимости локальной сети. Работы выполняются с использованием «фермы» близких по архитектуре рабочих станций, объединенных в локальную сеть с общими правами администратора, которые формируются в облаке по запросу обучаемого.
- для использования в рамках дисциплины «Управление информационной безопасностью», читаемой для студентов специальности «Управление информационными ресурсами», а также разрабатываемого в настоящее время специального курса «Инструментальные средства контроля информационных потоков» для студентов специальности «Компьютерная безопасность», в облаке, в форме взаимосвязанных шаблонов приложения OpenNebula, реализована инфраструктура учебного стенда DLP-системы InfoWatch Traffic Monitor 4.1 [1]. Студенту предоставляется возможность создания учебного экземпляра DLP-системы, настройки ее баз контекстной фильтрации, базы шаблонов, базы цифровых отпечатков, возможность проведения эксперимента по детектированию ситуаций утечек информации и анализу базы инцидентов.
Кратко остановимся на возможностях учебного стенда программного продукта «InfoWatch Traffic Monitor 4.1», который создан в рамках договора о международном сотрудничестве ГрГУ им. Я.Купалы и компании ЗАО «ИнфоВотч» (Российская Федерация). Стенд представляет собой DLP-систему систему защиты конфиденциальной информации (DLP - Data Leak Protection, защита от утечек информации), адаптированную использованию в условиях факультета вуза.
Подобный учебный стенд создается в вузе Республики Беларусь впервые. Назначение учебного стенда — использование в учебном процессе всех ИТ-специальностей факультета математики и информатики, в первую очередь специальностей 1-98 01 01 «Компьютерная безопасность» и 1-26 03 01 «Управление информационными ресурсами», для проведения курсового и дипломного проектирования, в научно-исследовательской работе преподавателей кафедры системного программирования и компьютерной безопасности, для подготовки новых спецкурсов.
Программное обеспечение стенда допускает контроль таких каналов утечки, как передача данных по протоколам SMTP, HTTP, HTTPS, копирование файлов на сменные носители, печать документов на локальных и сетевых принтерах, службы обмена мгновенными сообщениями Skype, Jabber, ICQ, хранение документов на рабочих станциях и сетевых папках.
В настоящее время учебный стенд позволяет контролировать перемещение данных на персональных компьютерах, включенных в домен факультета математики и информатики, выполнена настройка его конфигурации и формирование базы данных инцидентов.
Потенциальные возможности учебного стенда, представляющего собой, как было сказано выше, современную DLP-систему, позволяют демонстрировать технологии решения задач защиты данных от внутренних угроз: предотвращения утечек и контроля перемещения конфиденциальной информации за пределы организации; предотвращения утечек персональных данных и клиентских баз; защиты интеллектуальной собственности; применения целевых политик контроля персонала, входящего в т.н. «группы риска»; расследования инцидентов информационной безопасности.
Учитывая потенциальные возможности стенда, должное внимание было уделено конфигурированию подсистемы сбора и анализа данных и ограничению доступа к базе инцидентов. Выполнена, в соответствии с особенностям работы вуза, настройка подсистемы, выполняющей анализ текста перехваченных объектов с помощью методов лингвистического анализа (определение тематики текста на основании найденных терминов), детектирования текстовых объектов (поиск в тексте таких объектов, как номера телефонов, паспортов, кредитных карт и пр.), детектирования цифровых отпечатков (поиск в тексте фрагментов, относящихся к конфиденциальной документации).
Также, поскольку работа в домене факультета предполагает авторизацию пользователей через LDAP-сервер, в учебных целях для снижения потенциального объема инцидентов, из категории детектируемых пользователей были исключены сотрудники факультета.
Очевидно, что традиционный вариант организации лабораторного практикума в учебных лабораториях или компьютерных классах, располагающих ограниченными техническими ресурсами и ограниченным количеством рабочих мест, связанных жестким графиком проведения учебных занятий, не может обеспечить гибкость и эффективность работы, предоставляемые
использованием облачной архитектуры.
По результатам выполнения контрольных заданий по перечисленным выше дисциплинам можно отметить увеличение, по сравнению с традиционным подходом к обучению, количества успешно выполненных задач; заметно повысилось, с учетом использования предоставляемой программно-технической базы, качество подготовки в ходе управляемой самостоятельной работы студентов.
В заключение нужно отметить, что в настоящее время наметилась тенденция создания ИТ-компаниями собственных практико-ориентированных учебных центров, целью которых является повышение квалификации студентов, усиление мотивации к учебе, научной работе и программированию, устранение разрыва между уровнем теоретической подготовки, которую дает классический университет, и потребностями ИТ-бизнеса в разработчиках-практиках.
Одно из направлений развития таких учебных центров — это курсы по обучению разработчиков, использующих современные платформы и технологии программирования, после окончания которых, слушатели должны получать уровень практических знаний, умений и навыков, достаточный для успешного профессионального развития и реализации специалистов в выбранной сфере. Использование облачного кластера университета позволяет решить проблему технического оснащения работы таких Учебных центров. Так, по мере необходимости можно создавать специализированные виртуальные классы и оборудованные рабочие места — «Машина Java-программиста», «Машина С#-программиста» и т.п.
Литература
1. Кадан, А.М. Учебный стенд программного продукта «InfoWatch Traffic Monitor» / А.М. Кадан, Е.Н. Ливак, Е.В. Дирвук // Управление информационными ресурсами: материалы XI Междунар. науч. -практ. конф., Минск, 12 дек. 2014 г. / Акад. упр. при Президенте Респ. Беларусь ; редкол.: А.В. Ивановский, А.И. Шемаров, Б.В. Новыш. — Минск: Акад. упр. при Президенте Респ. Беларусь, 2014 . — С.334-335.
2. LT-BY Cloud [Electronic resource] / Site of EU LLB-2-142 project "Promotion of socioeconomic development and encouragement of entrepreneurship by developing Cross-border R&D and Innovation Network in Cloud Computing Area". — URL: http://www.lt-by-cloud.eu/?page_id=668. — Data access: 20.03.2015.
3. Open Nebula [Electronic resource]. — URL: http://opennebula.org/. — Data access: 20.03.2015.