Особенности обеспечения безопасности облачных систем Текст научной статьи по специальности «Компьютерные и информационные науки»

Особенности обеспечения безопасности облачных систем

М.В. Шатурный

Финансовый университет при Правительстве Российской Федерации, Москва

Аннотация: В статье проведен анализ особенностей защиты современных облачных систем и распределения ответственности между взаимодействующими сторонами, предложены рекомендации повышению безопасности облачных ресурсов. На основании проведенного анализа предложены комплексные меры защиты и рекомендации по повышению безопасности облачных ресурсов, которые могут быть полезны специалистам по информационной безопасности и ИТ-специалистам для понимания особенностей защиты облачных систем, а также в выборе облачного провайдера и для подготовки к переходу в облако.

Ключевые слова: облачные вычисления, облачный провайдер, модель совместной ответственности, безопасность облачных ресурсов.

Введение

Мировой рынок облачных технологий год от года демонстрирует стабильный рост [1]. Это связано с увеличением объема обрабатываемых данных, а также с простотой масштабируемости, гибкостью и экономической эффективностью облачных решений по сравнению с построением локальной инфраструктуры внутри организации. Облачные технологии дают возможность делегировать провайдеру облачных услуг задачи по поддержке и обслуживанию инфраструктуры, что тем самым позволяет организациям сконцентрироваться на решении собственных бизнес - задач [2].

На сегодняшний день существует следующие основные подходы по использованию облачной инфраструктуры в организации:

- использование инфраструктуры исключительно одной организацией (частное облако);

- использование стандартной модели облачных ресурсов для развертывания собственных приложений и работе с данными (публичное облако);

- использование организацией одновременно частной облачной инфраструктуры и публичного облака (гибридное облако) [3].

Среди плюсов использования облачных технологий можно выделить: получение необходимых вычислительных мощностей без закупки и настройки дополнительного оборудования, быстрый запуск своего приложения, масштабируемость;

Помимо вычислительных мощностей, облако предлагает расширенные возможности по обеспечению безопасности ресурсов, что может существенно повысить эффективность защиты и снизить расходы для организаций, использующих локальную среду, за счет экономии на средствах защиты и содержании большого количества специалистов по информационной безопасности. Это наиболее актуально для среднего и малого бизнеса, стремящегося оптимизировать бюджет и в тоже время обеспечить безопасность своих ресурсов, и соответствовать требованиям законодательства. Однако, воспользоваться данными преимуществами организация может только в случае понимания возможностей и обязанностей провайдера по обеспечению безопасности облачных услуг и корректировке собственной инфраструктуры и политик безопасности, а также элементов управления в соответствии с ними.

Цель исследования - анализ особенностей обеспечения безопасности облачных систем с учетом, разделяемой между клиентом и провайдером ответственности и формулировка рекомендаций для организаций, планирующих переход в облако.

Модель совместной ответственности При миграции систем и данных в облачную инфраструктуру между клиентом в лице организации и поставщиком в лице провайдера возникают совместные обязательства по обеспечению безопасности облачного ресурса, что является одной из основных особенностей облачных систем [4].

Зона ответственности зависит от выбранной клиентом услуги: IaaS, PaaS, SaaS.

М Инженерный вестник Дона, №7 (2024) ivdon.ru/ru/magazine/arcliive/n7y2024/9390

IaaS (infrastructure as a service) - услуга по предоставлению клиенту вычислительных мощностей (сервера, хранилища, каналы связи).

PaaS (platform as a service) - услуга по предоставлению клиенту готовой платформы с уже настроенным программным обеспечением (операционная система, система управления базой данных, среда машинного обучения, среда разработки) и включающая весь перечень услуг IaaS.

SaaS (software as a service) - услуга, предоставляющая клиенту готовый программный продукт, разработанный для решения определенных задач (CRM системы, почтовые сервисы, конструкторы сайтов).

Разделяемая ответственность между клиентом и провайдером является главной особенностью использования облачных ресурсов. Обязательства по обеспечению безопасности конкретизируются в модели совместной ответственности.

Многие ведущие в отрасли провайдеры (AWS, Azure, Google Cloud Platform) публикуют ее на своих ресурсах. Она позволяет клиентам выбрать подходящее для них решение в зависимости от специфики бизнеса, обрабатываемой информации, возможностей собственной системы информационной безопасности и ИТ - зрелости организации [5;6]. В таблице 1 приведены основные аспекты этих моделей совместной ответственности.

Таблица 1

Зона ответственности Модель облачной услуги

IaaS PaaS SaaS

Данные клиент

Управление доступом

Приложение клиент облачный провайдер

Операционная система клиент облачный провайдер

Виртуальные сети

Средства виртуализации облачный провайдер

Физическая инфраструктура (сети, сервера, хранилища)

По сути разделение ответственности за безопасность определяется наличием контроля над компонентом облачной инфраструктуры. Клиент для защиты системы в своей зоне ответственности может использовать как собственные локальные средства, так и доступные сервисы провайдера за дополнительную плату. В любом случае, вне зависимости от выбранной модели облачной услуги и дополнительного сервиса, невозможно полностью переложить ответственность за обеспечение безопасности своей системы в облаке на провайдера, ввиду сложности и специфичности многих процессов, например, управление доступом пользователей и управление правами на ресурсы.

Особенности обеспечения безопасности

Для защиты облачных систем в большинстве случаев используются те же методы и подходы, что и для локальных систем, но есть и некоторые различия, связанные с изменением характера риска, ролей и обязанностей.

Для эффективного предотвращения и минимизации угроз безопасности облачных систем следует использовать комплексный подход к защите. Среди компонентов комплексной безопасности выделяются следующие:

- Физическая безопасность. Заключается в совокупности средств и мер по контролю доступа к оборудованию и помещениям дата - центров провайдера, обеспечение отказоустойчивости и катастрофоустойчивости инфраструктуры. В случае с услугами в публичном облаке, ответственность за обеспечение безопасности физической инфраструктуры полностью ложится на провайдера.

- Безопасность инфраструктуры. Включает в себя самые низкие уровни безопасности. Это фундамент, на котором строится безопасность облачной платформы, включая безопасность вычислений, сети и хранилища. В связи с отсутствием возможности прямого управления инфраструктурой у клиента,

ответственность за обеспечение безопасности на этом уровне несет провайдер.

- Безопасность на уровне виртуализации. Безопасность виртуальной инфраструктуры по сравнению физической охватывает два дополнительных компонента: безопасность технологии виртуализации (гипервизора), средства управления безопасностью виртуальных ресурсов. Несанкционированный доступ к гипервизору создает риски получения доступа к виртуальным машинам и перехвату трафика [7]. Безопасность уровня виртуализации связана с особенностями виртуальной инфраструктуры: использование таких абстракций, как контейнеры (виртуальная среда выполнения с изолированным пространством пользователя), возможность информационного обмена в виртуальных сетях без прохождения трафика через реальную сеть. Ответственность за обеспечение безопасности уровня виртуализации будет зависеть от выбранной клиентом платформы, но в любом случае, провайдер несет ответственность за безопасность физической инфраструктуры и платформы виртуализации. Пользователь отвечает за настройку средств безопасности виртуальной инфраструктуры (виртуальная сеть и межсетевой экран, выделенный хостинг и т.д.).

- Безопасность на уровне управления (API). В этом заключается основное отличие облачных систем от «традиционной инфраструктуры», размещенной локально [8].

- Безопасность приложений. Состоит из сложного и многочисленного набора мер: от проектирования и моделирования угроз до тестирования, обслуживания и защиты. Модель совместной ответственности зависит от используемого сервиса. Вне зависимости от выбранной услуги, обеспечение безопасности приложения для клиента означает определенную зависимость от провайдера. При использовании IaaS, это может заключатся в отсутствии видимости сетевых журналов, при использовании PaaS, в отсутствии

видимости журналов сервера и служб и отсутствии контроля над балансировщиком нагрузки. Все особенности платформы провайдера и модели совместной ответственности необходимо учитывать при моделировании угроз на этапе разработки.

- Управление доступом. Облачные технологии оказывают большое влияние на управление идентификацией, авторизацией и правами доступа пользователей [9]. Главной особенностью IAM в облачных вычислениях являются отношения между провайдером и клиентом. Управление контролем доступа требует взаимодействия провайдера и клиента облачных услуг по вопросам распределения обязанностей в обеспечении его функционирования. Проблема взаимодействия усугубляется при распространении своего IAM организацией на нескольких облачных провайдеров. В зависимости от выбранного клиентом сервиса, провайдер отвечает за управление контролем доступа к соответствующей инфраструктуре.

- Безопасность данных. Является ключевым аспектом обеспечения безопасности облачных ресурсов. В связи с использованием виртуализации, облачное хранилище имеет особенности в типах хранения данных. Примерами могут служить хранилище объектов, хранилище экземпляров виртуальных машин. Основными методами защиты данных являются контроль доступа и шифрование. Главными требованиями к безопасности данных являются: конфиденциальность, целостность и доступность [10]. Ответственность за безопасность данных вне зависимости от используемого облачного сервиса несет клиент.

- Реагирование на инциденты. Особенностями реагирования на инциденты информационной безопасности при использовании облачных ресурсов является необходимость активного взаимодействия между клиентом и провайдером, точное распределение ролей и обязанностей, а также заранее оговоренные меры по совместному реагированию на инцидент

М Инженерный вестник Дона, №7 (2024) ivdon.ru/ru/magazine/arcliive/n7y2024/9390

[11]. Отличием от реагирования на инциденты в «традиционной инфраструктуре» являются источники данных (журналы), многие из которых находятся в ведении провайдера. Помимо системных и сетевых журналов облачные платформы используют журналы API (для протоколирования вызовов API). Ответственность и обязанность сторон устанавливаются в договоре об оказании услуг.

- Соответствие требованиям законодательства. Соблюдение законодательства при использовании облачных вычислений - это общая ответственность и обязанность клиента и провайдера. При решении о миграции в облако, клиент должен оценить уровень защиты информации у поставщика облачных услуг и проверить наличие соответствующих сертификатов, аттестатов и оценок соответствия требованиям нормативно -правовым актам и стандартам.

В ходе исследования предложены следующие меры обеспечения безопасности облачных систем с учетом ответственности каждой из сторон, приведенные в таблице 2.

Таблица 2

Компонент безопасности облачных систем Меры обеспечения безопасности со стороны провайдера Меры обеспечения безопасности со стороны клиента Рекомендации по обеспечению безопасности для клиента

1 2 3 4

- контроль доступа в

помещение дата - центра и

его сегментированные

структуры;

Физическая - резервирование источников

безопасность электропитания; - использование системы видеонаблюдения; - противопожарная безопасность

1 2 3 4

- физическая и логическая

изоляция пользовательских

ресурсов;

- защита периметра сети

облака;

- обнаружение и

предотвращение атак;

- использование межсетевых

экранов:

Безопасность инфраструктуры - фильтрация нежелательного трафика; - использование списка № адресов; - отключение неиспользуемых портов и протоколов; - использование средств антивирусной защиты; - использование средств AntiDDoS; - тестирование на проникновение

- изоляция вычислительных - безопасная настройка - использование

процессов клиентов; виртуализации с учетом выделенного хостинга,

-поддержание безопасной рекомендаций если он доступен, в

инфраструктуры провайдера; зависимости от условий

виртуализации от внешних - управление безопасности ресурса;

атак и внутреннего идентификационными - изоляция контейнеров,

неправомерного данными для доступа к с помощью виртуальных

Безопасность виртуализации использования; - обеспечение защиты процессов запуска виртуальной машины пользователя из образа; - защита энергозависимой памяти от несанкционированного мониторинга; - сегрегация и изоляция виртуальной машине; - мониторинг и ведение журнала (состояние виртуальной машины); - управление образами (контейнер, виртуальная машина); - развертывание безопасной конфигурации образа или физических машин

1 2 3 4

пользовательского сетевого виртуальной машины;

трафика; - безопасная настройка

- исключение отслеживания используемой

пакетов, утечек метаданных виртуальной сети, в том

сетевой инфраструктуры; числе настройка

- использование межсетевых виртуального

экранов; межсетевого экрана при

- уточнение в договоре об необходимости;

оказании услуг модификации - сегментация сетей с

сети и перехвата сетевого помощью

трафика клиентов виртуализации;

- шифрование физического - развертывание

хранилища для исключения безопасного и

утечек при смене накопителя; проверенного образа

- изоляция функции контейнера;

шифрование от функций - использование строгой

управления данными; аутентификации и

- удаление потенциально контроля доступа для

конфиденциальной управления

информации при передаче контейнерами и

экземпляра клиента обратно в репозиториями

гипервизор

- защита периметра шлюзов - контроль учетных - использование

API и веб-консолей, включая данных; многофакторной

защиту от атак на уровнях - настройка безопасности аутентификации;

L3/L4, L7; уровня управления - отдельный аккаунт для

- предоставление безопасной сервисом root и обычного

аутентификации (OAuth, администратора;

Безопасность на подпись HTTP запросов); - использование

уровне - использование принципа минимальных

управления исключительно привилегий

(API) многофакторной

аутентификации при

управлении облачными

ресурсами;

- мониторинг и

журналирование процессов,

связанных с управлением

1 2 3 4

облачными ресурсами;

- предоставление доступа

клиенту к настройке

безопасности уровня

управления сервисом

- использование межсетевого - моделирование угроз с - проверка вызовов API к

экрана уровня приложения; учетом модели угроз облачному сервису и

- защита API и веб - сервисов; провайдера; сохраненных учетных

- мониторинг необычной - использование практик данных API при

активности API; безопасной разработки с проведении статического

- тестирование сервиса учетом особенностей использования в облачной инфраструктуре; анализа; - разграничение прав доступа для каждой службы приложения

Безопасность приложений - настройка динамического тестирования с учетом работы в облаке; - оценка уязвимостей; - тестирование на проникновение с учетом ограничений и разрешений провайдера; - автоматизированное отслеживание изменений в приложении - изменение политики безопасности организации с учетом использования облачных ресурсов

- обеспечение безопасной - определение и - использование

аутентификации корректная настройка многофакторной

пользователей; прав; аутентификации;

- обеспечение авторизации и - сопоставление - использование системы

контроля доступа; атрибутов, включая роли единого входа;

Управление - поддержка и группы при - использование групп

доступом детализированных атрибутов использовании доступа;

для обеспечения ABAC федеративной - использование брокера

(доступ на основе атрибутов) идентификации; - определение идентификационных данных и атрибутов; идентификации; - использование принципа минимальных привилегий;

1 2 3 4

- мониторинг; - разработка матрицы

- учет в плане прав доступа

реагирования на

инциденты сценария

захвата учетных записей

пользователей, в том

числе и

привилегированных

- применение политики - контроль доступа (для - создание матрицы прав

запрета доступа по пользователей и для контроля доступа;

умолчанию; приложений); - использование разных

- провайдер может предлагать мониторинг изменения вариантов шифрования

инструменты по прав хранимые данные; (хранилища, базы

предотвращению утечки - локальное резервное данных, при передаче

данных, мониторинга копирование; данных, резервной

активности(базы данных), - мониторинг активности копии) на основе модели

Безопасность данных управление ключами шифрования базы данных; - мониторинг активности файлов; - использование систем для предотвращения утечек данных; - защита данных при перемещении в облачное хранилище; - шифрование и управление ключами угроз и бизнес-процессов; - использование СЛ8Б (брокер безопасности облачного доступа)

- информирование клиентов о - создание плана - автоматизация

типах, полноте и возможности реагирования на некоторых процессов

предоставления инциденты безопасности при возникновении

регистрируемых на в своей организации; оповещения (снимок

Реагирование на инциденты платформе облачных услуг событий, а также их формате для подготовки клиентами - отражение в договоре об оказании услуг вопросов, связанных с хранилища виртуальной машины, захват метаданных) для

планов по реагированию на реагированием на обеспечения более

инциденты и, возможно, инциденты с учетом всех эффективного

настройки собственных этапов (анализ, расследования инцидента

средств для мониторинга и локализацию,

М Инженерный вестник Дона, №7 (2024) ivdon.ru/ru/magazine/arcliive/n7y2024/9390

1 2 3 4

оповещения на уровне ликвидацию и

виртуальной машины или восстановление);

приложения; - оценка достаточности

- описание в договоре об предоставляемых

оказании услуг порядка провайдером данных;

взаимодействия с клиентом в - при необходимости

случае возникновения использование средств

инцидента, распределение мониторинга и

ролей, обмен данными; оповещения

- предоставление клиенту в

рамках договора об оказании

услуг информации для

реагирования на инциденты

- проведения аттестации и - оценка поставщика - проведение аудита

аудитов и предоставление облачных услуг при собственных

заказчикам данных о наличии: выборе платформы как информационных систем

- аттестата ФСТЭК о минимум по критерию

соответствии требованиям для наличия документов,

работы с персональными подтверждающих

Соответствие данными; соблюдение требований

требованиям - оценке соответствия ГОСТ Р законодательства или

законодательства 57580.1-2017; соответствия иным

или иным - сертификата соответствия стандартам

стандартам требованиям PCI DSS; безопасности;

безопасности - аттестатов, сертификатов, - приведение в

аудиторских отчетов на соответствие внутренней

соответствие требованиям документации и средств

других стандартов защиты для соблюдения

обеспечения безопасности требований

облачных вычислений законодательства;

Для помощи организациям и облачным провайдерам в выборе мер защиты существуют стандарты обеспечения информационной безопасности в облаке:

- Cloud Security Aliance «Security guidance for critical areas of focus in cloud computing v4.0».

- Cloud Security Aliance «Cloud controls matrtix».

- NIST «Cloud computing security reference architecture».

- ГОСТ Р ИСО/МЭК 27001-2021.

- ГОСТ Р ИСО/МЭК 27018-2020.

- ГОСТ Р ИСО/МЭК 27017-2021.

Заключение

В работе были проанализированы особенности обеспечения безопасности облачных систем, главными из которых являются:

- разделение ответственности между клиентом и провайдером за безопасность облака;

- доступность инфраструктуры облачного провайдера;

- безопасность API - программного интерфейса приложения;

- управление безопасностью виртуальных ресурсов;

- безопасность передаваемых в облако данных;

- отсутствие прозрачности облачной инфраструктуру и меньший контроль для клиента;

- небезопасная конфигурация облачной инфраструктуры клиентом. Для повышения эффективности защиты ресурсов клиента можно

предложить следующие рекомендации:

- При выборе провайдера облачных услуг производить его проверку и оценку (доступная документация и политики, аудиторский отчет, сертификаты и аттестаты, подтверждающие соблюдение требований законодательства).

- Разработать матрицу обязанностей.

- Включить в модель угроз организации частную модель угроз облачного провайдера;

- Разработать план реагирования на инциденты с учетом взаимодействия с облачным провайдером;

- Разработать матрицу прав доступа к облачным ресурсам.

Литература

1. Саиткамолов М. С. У., Карабаев Р. З. Рационализация потребления ресурсов компании с помощью облачных технологий //ЭФО: Экономика. Финансы. Общество. - 2024. - №. 1 (9). - С. 73-80.

2. Фомин А. А., Фомина М. А. Цифровизация и облачные технологии: деньги на ветер или конкурентное преимущество для малого бизнеса //Московский экономический журнал. - 2020. - №. 9. - С. 249-254.

3. Немировская-Дутчак О. Э., Морозова Т. А., Кузнецова Е. А., Пронина Е. В. Обеспечение информационной безопасности при применении облачных технологий в производственных информационных системах //Международный журнал прикладных наук и технологий «Integral». - 2022. - №. 5. - С. 1805-1818.

4. National Institute of Standards and Technology, Special Publication 500299 «Cloud Computing Security Reference Architecture». - 2013. - P. 88.

5. Разделение ответственности в облаке // leam.microsoft.com: статья 18.10.2023. URL: leam.microsoft.com/m-m/azure/security/fundamentals/shared-responsibility (дата обращения 10.05.2024).

6. Shared responsibilities and shared fate on Google Cloud // cloud.google.com: Cloud Architecture Center 21.08.2023. URL: cloud.google. com/architecture/framework/security/shared-responsibility-shared-fate (дата обращения 10.05.2024).

7. Шанцов А. В. Особенности построения комплексной системы защиты информации облачных ресурсов. - 2021. - С. 103-106.

8. Джалалов М. Э. Стратегии управления версионностью API в микросервисной архитектуре //Экономика и качество систем связи. - 2024. - №. 1 (31). - С. 136-143.

9. Санников А. В., Бобичев Р. Е. Аспекты защиты информации в облачных системах электронного документооборота //Измерение, контроль, информатизация. - 2023. - С. 244-249.

10. Huang C-T, Huan L, Qin Z, Yuan H, Zhou L, Varadharajan V, Jay Kuo C.-C. Survey on securing data storage in the cloud. APSIPA Transactions on Signal and Information Processing, V. 3, 2014. - P. 175.

11. Cloud Security Alliance. Security Guidance for Critical Areas of Focus in Cloud Computing - 2021. - P. 101-107.

References

1. Saitkamolov M. S. U., Karabaev R.Z. EFO: E'konomika. Finansy\ Obshhestvo. 2024. №. 1 (9). pp. 73-80.

2. Fomin А. А, Fomina М. А. Moskovskij e'konomicheskij zhurnal. 2020. №. 9. pp. 249-254.

3. Nemirovskaya-Dutchak О. E., Morozova T. A., Kuznetsova E. Y., Pronina E. V. Mezhdunarodny'j zhurnal prikladnyx nauk i texnologij «Integral». 2022. №. 5. pp 1805-1818.

4. National Institute of Standards and Technology, Special Publication 500299 «Cloud Computing Security Reference Architecture». 2013. P. 88.

5. Razdelenie otvetstvennosti v oblake [Sharing responsibilities in the cloud]. URL: leam.microsoft.com/ru-ru/azure/security/fundamentals/shared-responsibility (accessed 10.05.2024).

6. Shared responsibilities and shared fate on Google Cloud. URL: cloud.google. com/architecture/framework/security/shared-responsibility-shared-fate (accessed 10.05.2024).

7. Shanczov A. V. Osobennosti postroeniya kompleksnoj sistemy' zashhity' informacii oblachnyx resursov. [Features of building a comprehensive information protection system for cloud resources]. 2021. pp. 103-106.

8. Jalalov М. E. Ekonomika i kachestvo sistem svyazi. 2024. №. 1 (31). pp. 136-143.

9. Sannikov A. V., Bobichev R. E. Izmerenie, kontrof, informatizaciya. 2023. P. 244-249.

10. Huang C-T, Huan L, Qin Z, Yuan H, Zhou L, Varadharajan V, Jay Kuo C.-C. Survey on securing data storage in the cloud. APSIPA Transactions on Signal and Information Processing, V. 3, 2014. P. 175.

11. Cloud Security Alliance. Security Guidance for Critical Areas of Focus in Cloud Computing. 2021. pp. 101-107.

Дата поступления: 20.05.2024 Дата публикации: 11.07.2024