Защита информации на облачных ресурсах

Не смотря на все преимущества облачных технологий, многие руководители компаний с опаской относятся к их использованию, поскольку не желают доверять обработку и хранение своей корпоративной информации третьей стороне, беспокоясь за ее сохранность. Кроме того, если данные хранятся на облаке, то кому они принадлежат — вам или провайдеру данной услуги, на серверах которого они размещены? И может ли провайдер в какой-то момент отказать вам в доступе к размещенным файлам?

Еще один немаловажный вопрос - насколько защищенной оказывается ваша информация после ее размещения на облаке? Провайдеры облачных услуг утверждают, что причин для беспокойства нет, поскольку защита информации клиентов для них — вопрос первостепенной важности. Однако, даже если провайдеру и удастся защитить ваши данные от атаки извне, можно ли быть уверенным, что сотрудники самого облачного сервиса не превысят должностные полномочия и не получат доступ к вашей информации? Даже в том случае, если на облаке предусмотрено шифрование, ключи шифрования также хранятся на облачном сервере, а значит каждый, кто имеет к ним доступ, может получить доступ и к вашим зашифрованным данным.

Какой подход в данном случае выбрать? Отказываться от использования облачных технологий, конечно, неразумно. Но и полностью полагаться на облачные ресурсы также навряд ли стоит. Можно, например, не конфиденциальные файлы больших размеров (видео, аудио и фото) хранить на облаке, доверившись средствам защиты самого провайдера и не держать их на своем компьютере, разгрузив его тем самым от значительного объема данных. В то же время все конфиденциальные документы будет лучше хранить у себя на жестком диске, а на облако отправлять их зашифрованные резервные копии. Одно только шифрование файлов с клиентской стороны добавляет дополнительный важный барьер защиты — ведь на сервере хранения они не расшифровываются. Другим вариантом может быть использование более защищенных сервисов.

Шифрование более надежный метод, но накладывает определенные ограничения на работу с файлами. В частности зашифрованные файлы нельзя просматривать онлайн, их сложнее передавать другим пользователям — для того чтобы просмотреть содержание зашифрованного файла понадобится как минимум пароль, а в некоторых случаях еще и программа для расшифровки.

• 1)    Создать контейнер.

Для создания контейнеров существует open-source криптографическое ПО, которое создает на жестком диске криптографический контейнер, в который вы помещаете файлы, или папки с файлами. Контейнер отображается как папка или отдельный подраздел на жестком диске и “снаружи” виден как большой массив бинарных данных, к которым без программы и знания кодовой фразы получить доступ невозможно. При помощи программы вы можете работать с данными внутри зашифрованного архива так, как будто это обычная папка. Операции шифрования/дешифрования выполняются “на лету”. В таком архиве вы можете спокойно работать, не опасаясь, что к важным данным получит доступ кто-то посторонний, а для большей сохранности (в конце концов, потеря информации из-за технического сбоя — также распространенное явление) такой архив есть смысл хранить в вашей папке [1].

• 2)    Создать архив в облаке.

Если уж все равно использовать в качестве хранилища облачный сервис, то почему бы не создать криптоархив сразу там? Программа создает в папке выбранного сервиса криптоархив, где хранятся все файлы, которые вы можете туда добавлять и изменять через создаваемый программой виртуальный диск. Также имеются приложения для мобильных платформ, что позволит вам получить доступ к криптоархиву со своего планшета/телефона. Существуют приложения для Android и iOS [1].

• 3)    Использовать облачный сервис c поддержкой шифрования на стороне клиента.

До сих пор речь шла только о действиях по защите информации со стороны клиента, которые вам необходимо предпринимать самостоятельно. Однако есть и облачные сервисы, где этот процесс автоматизирован. Принцип работы их клиентов таков, что перед пересылкой информации на сервер она шифруется клиентом локально, как результат - что хранится на их серверах не знают даже сами хозяева сервиса, так как ключ хранится в клиентском ПО. Процесс установки и настройки клиента не прост, зато присутствуют уникальные возможности, например защита паролем расшариваемых файлов и т.д. [2].

• 4)    Шифровать отдельные файлы.

Если у вас не так много файлов или вам нужно только переслать файлы в зашифрованном виде, то есть смысл просто запаковать необходимые файлы в шифрованный архив. Для таких задач отлично подходит популярные архиваторы — просто выберите при создании архива опцию “шифрование” и укажите пароль.

• 5)    Полнодисковое шифрование.

Рассмотрим обратную ситуацию - вы постоянно работаете с конфиденциальной информацией значительного объема. В этом случае есть смысл использовать решения для полнодискового шифрования. Такие решения могут применяться как для создания отдельного шифрованного раздела на жестком диске, так и для шифрования всего диска целиком. В последнем случае незашифрованным остается только небольшой раздел, который содержит загрузочные файлы системы, а в качестве методов авторизации могут применяться как пароли, так и более сложные методы аутентификации и авторизации, например USB-брелок, на котором записан ключ. Такие методы защиты замедляют работу системы и делают восстановление файлов весьма проблематичным в случае сбоя, но обеспечивают наибольшую безопасность данных. Разумеется, все данные, хранимые в облачных сервисах, также будут зашифрованы, так как они загружаются в облако уже шифрованными, правда получить к ним доступ через веб-клиент будет невозможно [2].