Анализ безопасности облачных вычислений

Облачные вычисления — информационно-технологическая концепция, подразумевающая обеспечение повсеместного и удобного сетевого доступа по требованию к общему пулу конфигурируемых вычислительных ресурсов, которые могут быть оперативно предоставлены и освобождены с минимальными эксплуатационными затратами [1].

В облачных вычислениях важнейшую роль платформы выполняет технология виртуализации. Для сохранения целостности данных и обеспечения защиты рассмотрим основные известные угрозы для облачных вычислений.

• 1.    Трудности при перемещении обычных серверов в вычислительное облако. Требования к безопасности облачных вычислений не отличаются от требований безопасности к центрам обработки данных. Доступ через Интернет к управлению вычислительной мощностью один из ключевых характеристик облачных вычислений. В большинстве традиционных ЦОД доступ инженеров к серверам контролируется на физическом уровне, в облачных средах они работают через Интернет.

• 2.    Динамичность виртуальных машин. Виртуальные машины динамичны. Данная изменчивость сильно влияет на разработку целостности системы безопасности. Однако, уязвимости операционной системы или приложений в виртуальной среде распространяются бесконтрольно и часто проявляются после произвольного промежутка времени (например, при восстановлении из резервной копии).

• 3.    Уязвимости внутри виртуальной среды. Серверы облачных вычислений и локальные серверы используют одни и те же операционные системы и приложения. Для облачных систем угроза удаленного взлома или заражения вредоносным ПО высока. Риск для виртуальных систем также

• 4.    Защита периметра и разграничение сети. При использовании облачных вычислений периметр сети размывается или исчезает. Для разграничения сегментов с разными уровнями доверия в облаке виртуальные машины должны сами обеспечивать себя защитой, перемещая сетевой периметр к самой виртуальной машине [2].

высок. Параллельные виртуальные машины увеличивает «атакуемую поверхность».

Атаки на облака и решения по их устранению.

• 1.    Традиционные атаки на ПО. Уязвимости операционных систем, модульных компонентов, сетевых протоколов и др. — традиционные угрозы, для защиты от которых достаточно установить межсетевой экран, firewall, антивирус, IPS и другие компоненты, решающие данную проблему.

• 2.    Функциональные атаки на элементы облака. Этот тип атак связан с многослойностью облака, общим принципом безопасности. Для защиты от функциональных атак для каждой части облака необходимо использовать следующие средства защиты: для прокси – эффективную защиту от DoS-атак, для веб-сервера — контроль целостности страниц, для сервера приложений — экран уровня приложений, для СУБД — защиту от SQL-инъекций, для системы хранения данных – правильные резервные копии, разграничение доступа.

• 3.    Атаки на клиента. Большинство пользователей подключаются к облаку, используя браузер. Здесь рассматриваются такие атаки, как Cross Site Scripting, кража паролей, перехваты веб-сессий и многие другие. Единственная защита от данного вида атак является правильная аутентификация и использование шифрованного соединения (SSL) с взаимной аутентификацией.

• 4.    Атаки на гипервизор. Гипервизор является одним из ключевых элементов виртуальной системы. Основной его функцией является разделение ресурсов между виртуальными машинами. Атака на гипервизор может привести к тому, что одна виртуальная машина сможет получить доступ к памяти и ресурсам другой. Также она сможет перехватывать сетевой трафик, отбирать физические ресурсы и даже вытеснить виртуальную машину с сервера.

• 5.    Атаки на системы управления. Большое количество виртуальных машин, используемых в облаках требует наличие систем управления, способных надежно контролировать создание, перенос и утилизацию виртуальных машин. Вмешательство в систему управления может привести к появлению виртуальных машин — невидимок, способных блокировать одни виртуальные машины и подставлять другие [3].

Решения по защите от угроз безопасности.

• 1.    Сохранность данных. Шифрование. Шифрование – один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным должен шифровать информацию

• 2.    Защита данных при передаче. Зашифрованные данные при передаче должны быть доступны только после аутентификации. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec.

• 3.    Аутентификация. Аутентификации — защита паролем. Для обеспечения более высокой надежности, используются токены и сертификаты. Для прозрачного взаимодействия провайдера с системой идентификации при авторизации, рекомендуется использовать LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language).

• 4.    Изоляция пользователей. Использование индивидуальной виртуальной машины и виртуальную сеть. Виртуальные сети должны быть развернуты с применением таких технологий, как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service) [3].

клиента, хранящуюся в ЦОД, а также в случаи отсутствия необходимости, безвозвратно удалять.

Описанные решения по защите от угроз безопасности облачных вычислений являются весьма эффективными, и их применение значительно снижает количество инцидентов о несанкционированном доступе. Однако с развитием технологий появляются новые уязвимости, которые требуют тщательного анализа и эффективного решения.