Исследование механизмов защиты облачных сервисов

DOI:

В современном информационном обществе каждый человек сталкивается с проблемой безопасного хранения различных паролей, логинов и других данных. Кто-то записывал их в блокноте или просто на бумаге, которая была приклеена к компьютеру, с которого и проходили аутентификацию. Все это давно в прошлом. Любая утечка данных нанесет мо-

ральный и материальный вред как простому человеку, так и крупной компании. Сегодня для этого используют облачные вычисления, как основной метод хранения данных на работе или дома. Лидерами в облачных технологиях являются такие интернет-сервисы, как Dropbox, OneDrive, Google Drive, iCloud, Ян-декс.Диск, Облако Mail.Ru, МегаДиск, Mega,

Не только провайдеры облачных услуг должны защитить своих клиентов, сетевую инфраструктуру, приложения и платформы, но и сам пользователь должен использовать надежные и индивидуальные пароли и меры аутентификации для обеспечения безопасности своих данных и приложений.

По сути, облачные сервисы представляют собой разновидность кластерных систем. Основное отличие облачных сервисов в том, что основное взаимодействие происходит через сеть Интернет.

Основные функции кластерной системы:

• 1.    Дублирование критически важных компонентов.

• 2.    Автоматический перехват функций.

• 3.    Высокая надежность.

• 4.    Постоянная доступность сервисов и ресурсов (приложений и данных) [2].

При создании кластерных систем используется один из двух подходов.

Первый подход применяется для построения небольших кластерных систем, например, на базе небольших локальных сетей организаций или их подразделений. В таком кластере каждая ВМ продолжает работать как самостоятельная единица, одновременно выполняя функции узла кластерной системы.

Второй подход ориентирован на использование кластерной системы в роли мощного вычислительного ресурса. Узлами кластера служат только системные блоки вычислительных машин, компактно размещаемые в специальных стойках. Управление системой и запуск задач осуществляет полнофункциональный хост-компьютер. Он же поддерживает дисковую подсистему кластера и разнообразное периферийное оборудование. Отсутствие у узлов собственной периферии существенно удешевляет систему [3].

Облачные сервисы предоставляют возможность гибкого управления предоставленной инфраструктурой. Виртуализация позволяет в кратчайшее время осуществить сбор необходимого набора серверов с нужными характеристики производительности. Такие параметры, как RAM, GPU, объем диска и так далее, можно очень быстро настроить. Через панель управления возможно добавить необходимые ресурсы, если настроенная конфигурация не справляется с возложенной на нее нагрузкой. К тому же, автоматизация процесса может быть осуществлена при помощи функции автомасштабирования.

Таким образом, нет необходимости покупать оборудование, которое фактически большую часть времени не будет использоваться. Более рациональной является аренда необходимого оборудования у облачного провайдера. Использование облачных вычислений дает возможность эффективно использовать имеющиеся ресурсы и снижать время, когда оборудование не эксплуатируется [5]. Компании, различающиеся в размерах, типах и отраслях своего функционирования, особое внимание уделяют облачным моделям работы ввиду простоты и эффективности технологии.

Также облачные сервисы дают возможность облегчить организацию информационной системы. Всегда можно получить необходимое число серверов, СУБД или кластеров Kubernetes. Провайдеры облачных услуг выполнят все нужные настройки и обновления. При использовании облачных сервисов мы получаем изменяемую и работоспособную инфраструктуру, которая может быстро включать и выключать виртуальные машины, менять конфигурацию и переносить данные между ними. Наибольшим спросом на рынке пользуются три модели облачных сервисов: IaaS, PaaS и SaaS.

Задача безопасности облачных сервисов состоит в управлении и контроле облаков – посчитаны ли все ресурсы; нет ли чужих виртуальных машин и процессов; все ли элементы четко между собой взаимодействуют [4].

Учитывая основные угрозы безопасности облачных сервисов необходимо выявить следующие критерии их оценки для оценки механизмов их защиты:

• 1)    обеспечение защищенности от утечки данных (К1);

• 2)    перекрытие угрозы обхода аутентификации (К2);

• 3)    перекрытие угрозы взлома API (К3);

• 4)    нейтрализация уязвимости используемых систем (К4);

• 5)    перекрытие угрозы кражи учетных записей (К5);

• 6)    перекрытие угрозы воздействия инсайдеров (К6);

• 7)    перекрытие угрозы целевых кибератак (К7);

• 8)    обеспечение защищенности от потери данных (К8);

• 9)    перекрытие угрозы DDoS-атаки (К9).

В таблице 1 представлены значения, которые может принимать каждый из механизмов.

Таким образом, выявленные критерии позволяют оценить надежность используемого механизма защиты по отношению к основным угрозам, воздействующих на облачные сервисы.

Различные опросы показали, что еще есть проблемы кибербезопасности облачных сервисов. Особое внимание необходимо уделить защите облачных сервисов на основе свободного ПО, также компании должны регулярно проводить аудит подключенных к Сети хранилищ и заботиться о повышении квалификации администраторов, обслуживающих облачные сервисы [1].

Значительная часть угроз связана с влиянием человеческого фактора, однако это влияние возможно минимизировать путем повышения квалификации администраторов баз данных, грамотного выстраивания процессов контроля за информацией (в том числе аудитов безопасности), использования инструментов администрирования сервисов хранения информации, позволяющих правильно организовать массивы данных и настроить корректные параметры доступа, не забывая об установке ограничений, отслеживания появившихся уязвимостей и своевременной установки патчей.

Кроме того, постоянное подключение к интернету требует новых мер безопасности. В рамках экспериментальных исследований анализируются следующие механизмы защиты информации в облачных сервисах: шифрование (М1), конфигурирование (М2), общие принципы безопасности (М3), сегментация (М4).

На сегодняшний день лучшим способом защиты облачных систем является шифрование (М1): шифрование всех сообщений в облаке; шифрование конфиденциальных (учетных) данных; сквозное шифрование данных.

Еще одно средство защиты облака от элементарной уязвимости – конфигурирование (М2). Ошибки конфигурации, такие как настройка по умолчанию, открытый контейнер облачного хранилища и т. д. очень часто приводят к утечки данных из облака.

Нельзя забывать про общие принципы безопасности (М3): надежные и индивидуальные пароли; защита клиентов; резервное копирование; разграничение доступа; антивирус; VPN и др.

Осуществлять контроль над хранением данных организации и выполнение правовых положений о защите информации поможет разделение данных – сегментация (М4).

Для определения, какие механизмы защиты облачных сервисов более эффективны, необходимо сопоставить их с угрозами (таблица 2).

Из таблицы видно, что ни один из механизмов не обладает наилучшим набором значений критериев, поэтому необходимо разработать программу для автоматизации выбора наилучшего механизма защиты облачных сервисов.

Для оценки качества механизмов защиты облачных сервисов была разработана математическая модель, в которой присвоены числовые значения критериям и введена скалярная величина, равная Евклидову расстоянию между наилучшим вектором и вектором критериев, полученным для оцениваемого механизма. Механизм, для которого расстояние до наилучшего

Таблица 1

Критерии оценки

Критерий Значение 1 2 Обеспечение защищенности от утечки данных Отсутствует (0) Частично (0,5) Полное (1) Перекрытие угрозы обхода аутентификации Перекрытие угрозы взлома API Нейтрализация уязвимости используемых систем Перекрытие угрозы кражи учетных записей Перекрытие угрозы воздействия инсайдеров Перекрытие угрозы целевых кибератак Обеспечение защищенности от потери данных Перекрытие угрозы DDoS-атаки вектора окажется наименьшим, можно считать наилучшим механизмом защиты облачных сервисов. Разработаны архитектура программы и интерфейс программного для выбора наилучшего механизма защиты облачных сервисов.

Было проведено 4 эксперимента (табл. 3).

Эксперимент 1. Шифрование.

Согласно характеристикам, полученным в результате анализа, механизм обладает следующими частными показателями: К1 = 1; K2= 0; K3 = 0; K4 = 0,5; K5 = 0; К6 = 0; К7 = 1; К8 = 0; К9 = 0.

В результате оценка шифрования будет иметь значение:

P =, Z ( K, - K,) =

V j = 1

= 4 (1-1)² + 1² + 1² + (1- 0,5) 2 + 1² + 1² +

V + (1-1)² + 1² + 1² = 2,5.

В соответствии с характеристиками, полученными в результате анализа, в форму программы были введены данные, и результат вычислений оценки механизма с помощью формулы совпадает с результатом, полученным в разработанной программе.

Эксперимент 2. Конфигурирование (табл. 4).

Таблица 2

Значения критериев оценки для каждого механизма

Критерий	Механизм
	М1	М2	М3	М4
Обеспечение защищенности от утечки данных	Полное	Отсутствует	Отсутствует	Частичное
Перекрытие угрозы обхода аутентификации	Отсутствует	Отсутствует	Полное	Частичное
Перекрытие угрозы взлома API	Отсутствует	Отсутствует	Полное	Частичное
Нейтрализация уязвимости используемых систем	Частичное	Полное	Частичное	Отсутствует
Перекрытие угрозы кражи учетных записей	Отсутствует	Отсутствует	Полное	Частичное
Перекрытие угрозы воздействия инсайдеров	Отсутствует	Отсутствует	Полное	Частичное
Перекрытие угрозы целевых кибератак	Полное	Отсутствует	Частичное	Частичное
Обеспечение защищенности от потери данных	Отсутствует	Отсутствует	Полное	Отсутствует
Перекрытие угрозы DDoS-атаки	Отсутствует	Частичное	Отсутствует	Полное

Таблица 3

Характеристики шифрования

Критерий	Значение
1	2
Обеспечение защищенности от утечки данных	Полное
Перекрытие угрозы обхода аутентификации	Отсутствует
Перекрытие угрозы взлома API	Отсутствует
Нейтрализация уязвимости используемых систем	Частичное
Перекрытие угрозы кражи учетных записей	Отсутствует
Перекрытие угрозы воздействия инсайдеров	Отсутствует
Перекрытие угрозы целевых кибератак	Полное
Обеспечение защищенности от потери данных	Отсутствует
Перекрытие угрозы DDoS-атаки	Отсутствует

Таблица 4

Характеристики конфигурирования

Критерий	Значение
1	2
Обеспечение защищенности от утечки данных	Отсутствует
Перекрытие угрозы обхода аутентификации	Отсутствует
Перекрытие угрозы взлома API	Отсутствует
Нейтрализация уязвимости используемых систем	Полное
Перекрытие угрозы кражи учетных записей	Отсутствует
Перекрытие угрозы воздействия инсайдеров	Отсутствует
Перекрытие угрозы целевых кибератак	Отсутствует
Обеспечение защищенности от потери данных	Отсутствует
Перекрытие угрозы DDoS-атаки	Частичное

Согласно характеристикам, полученным в результате анализа, механизм обладает следующими частными показателями: К1 = 0; K2 = 0; K3 = 0; K4 = 1; K5 = 0; К6 = 0; К7 = 0; К8 = 0; К9 = 0,5.

В результате оценка конфигурирования будет иметь значение:

p = v 1 2 + 1 2 + 1 2 + (1-1) 2 +

V + 1 2 + 1 2 + 1 2 + 1 2 + (1-0,5)² = 2,693.

В соответствии с характеристиками, полученными в результате анализа, в форму программы были введены данные, и результат вычислений оценки механизма с помощью формулы совпадает с результатом, полученным в разработанной программе.

Эксперимент 3. Общие принципы безопасности (табл. 5).

Согласно характеристикам, полученным в результате анализа, механизм обладает следующими частными показателями: К1 = 0; K2 = 1; K3 = 1; K4 = 0,5; K5 = 1; К6 = 1; К7=0,5; К8= 1; К9 = 0.

В результате оценка общих принципов безопасности будет иметь значение:

P = 1² + (1-1)² + (1-1)² + (1- 0,5)² + (1-1)² +

V + (1-1)² + (1-0,5)² + (1-1)² + 1 2 = 1,581.

В соответствии с характеристиками, полученными в результате анализа, в форму программы были введены данные, и результат вычислений оценки механизма с помощью формулы совпадает с результатом, полученным в разработанной программе.

Эксперимент 4. Сегментация (табл. 6).

Согласно характеристикам, полученным в результате анализа, механизм обладает следующими частными показателями: К1 = 0,5; K2= 0,5; K3 = 0,5; K4 = 0; K5 = 0,5; К6 = 0,5; К7 = 0,5; К8 = 0; К9 = 1.

В результате оценка сегментации будет иметь значение:

P = V (1 - 0,5)² + (1- 0,5)² + (1- 0,5)² + 1 + (1- 0,5)² +

7 + (1 - 0,5)² + (1- 0,5)² + 1 + (1-1)² = 1,871.

В соответствии с характеристиками, полученными в результате анализа, в форму программы были введены данные, и результат вычислений оценки механизма с помощью

Таблица 5

Характеристики общих принципов безопасности

Критерий	Значение
1	2
Обеспечение защищенности от утечки данных	Отсутствует
Перекрытие угрозы обхода аутентификации	Полное
Перекрытие угрозы взлома API	Полное
Нейтрализация уязвимости используемых систем	Частичное
Перекрытие угрозы кражи учетных записей	Полное
Перекрытие угрозы воздействия инсайдеров	Полное
Перекрытие угрозы целевых кибератак	Частичное
Обеспечение защищенности от потери данных	Полное
Перекрытие угрозы DDoS-атаки	Отсутствует

Таблица 6

Характеристики сегментации

Критерий Значение 1 2 Обеспечение защищенности от утечки данных Частичное Перекрытие угрозы обхода аутентификации Частичное Перекрытие угрозы взлома API Частичное Нейтрализация уязвимости используемых систем Отсутствует Перекрытие угрозы кражи учетных записей Частичное Перекрытие угрозы воздействия инсайдеров Частичное Перекрытие угрозы целевых кибератак Частичное Обеспечение защищенности от потери данных Отсутствует Перекрытие угрозы DDoS-атаки Полное формулы совпадает с результатом, полученным в разработанной программе.

В результате экспериментов получены следующие обобщенные оценки, изображенные на рисунке, механизмов защиты облачных сервисов:

• а)    шифрование – 2,5;

• б)    конфигурирование – 2,693;

• в)    общие принципы безопасности – 1,581;

• г)    сегментация – 1,871.

Был проведен анализ результатов экспериментов, в ходе которого выяснилось, что наилучшим механизмом защиты облачных сервисов является механизм использования общих принципов безопасности с результатом 1,581, к которым можно отнести:

• 1)    использование надежных паролей;

• 2)    защита конечных клиентов;

• 3)    резервное копирование;

• 4)    разграничение доступа;

• 5)    использование антивирусной защиты;

• 6)    использование VPN.