Безопасность хранения данных в облаке кратко. Используйте надежные пароли и двухфакторную идентификацию. Центр обработки данных

“Мне кажется, что чем больше данных мы отдаем в сеть, в облака, тем меньше мы на самом деле их контролируем”.

Можно ли доверять облачным хранилищам?

Думаю, большинство ответит отрицательно на первый вопрос, но при этом положительно на второй.

В настоящее время облачные сервисы стали настолько распространены и тесно интегрированы с оборудованием ведущих производителей компьютеров и различных гаджетов, что многие даже не задумываются о том, где именно хранятся их данные и что с ними может произойти.

Так ли страшны облака, и так ли безопасны наши домашние компьютеры?

Давайте посмотрим на аргументы Стива.

Аргумент первый — «в облаках тебе ничего не принадлежит». Информация, созданная вами, тем более, информация о вас самих (персональные данные), всегда принадлежит вам, независимо от того, где она расположена. Передав ее на хранение в облачный сервис, вы не передаете его владельцу никаких прав на информацию. Она была и остается вашей.

Аргумент второй — «чем больше данных мы отдаем в сеть, в облака, тем меньше мы на самом деле их контролируем». Вы не сталкивались с такой ситуацией: пытаетесь загрузить компьютер, он не грузится, а на экране высвечивается предложение заплатить денег за разблокировку, или обращаетесь к файлу, а он зашифрован, и за расшифровку опять-таки требуют определенную сумму? Миллионы компьютеров в мире заражены и являются частью бот-сетей. Возможно, и ваш компьютер находится уже не под вашим контролем, а соответственно, и все данные, которые на нем находятся.

Есть ли у нас основания не доверять облачным сервисам?

Теория учит, что для защиты информации необходимо обеспечить ее конфиденциальность, целостность и доступность. Посмотрим, обеспечиваются ли эти свойства при использовании облаков.

Правовые аспекты

В пользовательских соглашениях облачных сервисов практически никогда не содержатся обязательства по сохранению конфиденциальности и целостности ваших данных. Организациям следует помнить, что как операторам ПДн им необходимо обеспечивать весь комплекс требований по обработке и , что не всегда реализуемо в облаке.

Помимо этого в ближайшее время должен вступить в силу запрет на хранение ПДн в базах данных, размещенных не на территории России (данное положение должно вступить в силу с 01.09.2016 г., хотя в настоящее время активно лоббируется перенос этого срока на 01.09.2015 г.).

В части доступности облачного сервиса на первый взгляд все хорошо. Большинство поставщиков облачных услуг гарантируют высокую доступность сервиса. Но давайте прикинем, где кончается зона ответственности поставщика облачных услуг и где находитесь вы со своими устройствами доступа в Интернет.

Существуют десятки причин, по которым вам могут быть недоступны ваши данные, хранящиеся в облаке, при том что сам по себе облачный сервис будет полностью работоспособным. Поэтому реальная доступность облачного сервиса значительно ниже заявленных в пользовательском соглашении цифр.

К этому еще следует добавить риски, связанные с западными санкциями в отношении России. Большинство, я думаю, слышали об указе президента США о дополнительных санкциях в отношении Крыма, последствиями которого может стать блокировка на полуострове сервисов, типа Gmail, Skype или iCIoud. В условиях сложившейся сложной политической обстановки нельзя быть уверенным, что в один прекрасный момент вас просто не отключат от облачного сервиса, особенно если этот сервис предоставляется американской компанией.

Попробуем оценить, каково же реальное положение с обеспечением целостности и конфиденциальности информации в облаке.

Несмотря на то, что формальных обязательств по обеспечению данных свойств информации у провайдера нет, все известные мировые IT-компании при организации облачных сервисов обеспечивают достаточно высокий уровень как от несанкционированного доступа к ним, так и от уничтожения по каким-то техническим причинам. Т.е. прямой атакой на ресурсы провайдера облачных услуг злоумышленники вряд ли смогут достигнуть цели. Хотя, как говорится, и на старуху бывает проруха, о чем свидетельствуют периодически появляющиеся в СМИ громкие заявления об утечке пользовательских данных у крупных IT-компаний и интернет-сервисов.

Основная уязвимость интернет-сервисов заключается в использовании практически исключительно парольной аутентификации и применении не вполне надежных способов восстановления забытых аутентификационных данных — логинов и паролей (прежде всего — через электронную почту). Правда, в последнее время в части восстановления аутентификационных данных есть явная тенденция к их усложнению.

Организациям при подключении облачных сервисов стоит сразу озаботиться реализацией какого-либо механизма двухфакторной аутентификации. Зрелость облачных сервисов в части обеспечения информационной безопасности на данный момент оставляет желать лучшего. Вы вряд ли найдете в них большой спектр способов аутентификации, очень гибкую систему разграничения доступа, развитый аудит событий с поддержкой SIEM-систем, встроенные средства работы с криптографией и т.д.

Если вы не доверяете поставщику облачного сервиса или хотите обеспечить дополнительную защиту информации в облаке, то следует применять . Такой способ защиты возможен, если вы не планируете обрабатывать информацию в облаке (например, редактировать фото или текст), а только хранить и передавать данные в исходном виде.

При этом надо учесть сложности с распределением и управлением криптографическими ключами (особенно для больших организаций) и потери в мобильности (для доступа к данным у вас на устройстве должен быть актуальный криптографический ключ, хранящийся безопасным способом, а с этим могут возникнуть технические или технологические проблемы).

Да, у нас есть основания не доверять облачным сервисам. Да, крупные организации, которые вкладывают серьезные средства в обеспечение безопасности данных, могут обеспечить более высокий уровень их защиты при размещении информации в своем ЦОД, чем в облаке.

Но в то же время очевидно, что использование облачных сервисов будет только расширяться. Удобно, когда тебе не надо задумываться о создании того или иного IT-сервиса и поддержании его в работоспособном состоянии, а можно использовать облака практически мгновенно.

Проводя аналогию, большинство предпочитают покупать торт, а не печь его сами. Причем облачный сервис, как правило, позволяет оперативно изменять параметры сервиса, что не просто удобно, а для большинства организаций необходимо при существенно возросших темпах изменений в требованиях бизнеса. Нельзя не отметить и значительно большую приспособленность облачных сервисов для мобильных пользователей, а бизнес и мы сами с каждым годом становимся все более мобильными.

Поэтому независимо от того, доверяете вы облакам или нет, они уже вошли или скоро войдут в вашу жизнь. И стоит уже сейчас стоит задуматься о том, какую информацию вы готовы доверить облакам и как можно минимизировать те риски, которые мы обсудили в данной статье.

Анатолий Скородумов

Важные данные можно хранить на внешних носителях – жёстких дисках, USB-флешках, даже на дискетах. Однако сохранность информации в этом случае будет постоянно находиться под угрозой, ведь физический объект легко потерять. Если на USB-карточке находятся конфиденциальные сведения о деятельности организации, флешку могут выкрасть конкуренты – что нанесёт компании гигантский ущерб.

По этим причинам USB-носители уходят в прошлое – как в своё время диски и дискеты. Им на смену приходят облачные хранилища данных, позволяющие получить доступ к файлам в любое время и с любого компьютера. В этом статье мы приведём рейтинг облачных хранилищ и расскажем о преимуществах и слабых сторонах различных сервисов.

Облачное хранилище – это онлайн-хранилище, в пределах которого пользовательские данные распределяются по многочисленным серверам. Структуры и расположения серверов пользователь не знает; с его точки зрения «облако» — это большая виртуальная флэш-карта, информация на которой защищена паролем.

Использовать облачное хранилище достаточно просто: человеку нужно пройти регистрацию на одном из сайтов, предлагающих услуги хранения данных, запомнить логин / пароль, затем выгрузить ценную информацию «в интернет». Когда сведения оказываются ему необходимы, он заходит на тот же сайт с любого ПК или мобильного гаджета, авторизуется и получает к информации доступ.

У «облачных» сервисов есть масса преимуществ по сравнению с иными способами хранения данных:

• Пользователь не рискует потерять информацию безвозвратно в случае выхода из строя компьютера или гаджета.
• Информацией из «облака» удобно делиться – можно отправлять ссылки на отдельные файлы посредством почты или соцсетей.
• Пользователю приходится платить только за большие объёмы памяти. Если же его потребности невелики, он вправе ограничиться бесплатной квотой, которую предоставляют почти все хранилища.
• Пользователь может настроить общий доступ к файлам и, как следствие, организовать совместную работу с данными в онлайн-режиме.

Когда речь заходит о недостатках облачных хранилищ, пользователи первым делом выражают сомнения, способны ли подобные сервисы гарантировать конфиденциальность информации, вверенной им. В качестве примера приводят известный инцидент, случившийся с Dropbox в 2011 году – когда после обновления любой желающий мог зайти в любой аккаунт, используя случайный пароль. Безусловно, поручиться за надёжность всех облачных хранилищ нельзя – именно поэтому так важно подходить к выбору сервиса для хранения информации внимательно и скрупулёзно.

Топ облачных хранилищ: какой сервис выбрать?

В число лучших облачных хранилищ входят следующие сервисы:

Google Drive

• Бесплатное место : 15 Гб.
• : 5 Тб.
• : 30 Тб.
• : поддерживается на Android выше 4.4 и iOS выше 8.0.

Сервис является достаточно молодым – его запуск состоялся лишь в 2012 году. Однако несмотря на это Google Drive (он же Google Диск ) уже сумел добиться заслуженной мировой популярности и лавров одного из самых удобных облачных хранилищ.

Удобство Google Drive заключается в том, что это «облако» интегрировано со всеми другими сервисами от Google – коих огромное количество. Пользователь, например, может всего одним кликом отправить в хранилище письмо, поступившее на почтовый ящик Gmail , сохранить фотографию, выгруженную в «облако», в приложении Google Фото . Кроме того, Google Drive позволяет пользователю открывать и редактировать документы Google Docs .

Любопытной особенностью может похвастать приложение Google Диск для Android – оно способно сканировать документы . Достаточно нажать кнопку «Скан» и сделать фото документа – PDF-файл окажется в разделе «Мой диск».

В пользу Google Drive говорят большое количество поддерживаемых форматов файлов (свыше 30), возможность настроить офлайн-доступ к документам, поддержка протокола SSL, который гарантирует безопасность хранящейся информации. Активным пользователям сервисов экосистемы Google даже не нужно задумываться о поиске другого облачного хранилища – Google Drive устроит их на 100%!

Стоимость премиум-подписки:

139 руб. / месяц	699 руб. / месяц	6 990 руб. / месяц	13 990 руб. / месяц	20 990 руб. / месяц

Яндекс.Диск

• Бесплатное место : 3 Гб с возможностью расширения до 10 Гб.
• Максимальный размер одного файла : 10 Гб (при использовании программы) / 2 Гб (при загрузке через браузер).
• Максимальный объём пространства : 1 Тб.
• Совместимость с мобильными ОС : поддерживается на Android выше 4.0.3, iOS выше 8.0, Windows Phone 7 / 8 и на Symbian 9.3.

С точки зрения ограничений дискового пространства российский сервис Яндекс.Диск выглядит совершенно неконкурентоспособным в сравнении с облачным хранилищем Google Drive . В частности, вместо 15 «бесплатных» гигабайтов пользователю предоставляются только 3 гигабайта. Ещё 7 ГБ можно получить за участие в программе рефералов, однако далеко не каждый пользователь желает закидывать своих друзей спамом. Максимальный объём дискового пространства для одного аккаунта тоже невелик – всего 1 Тб (у Google 30 Тб). Тем не менее, именно Яндекс.Диск считается среди отечественных пользователей наиболее популярным «облаком». По каким причинам?

У Яндекс.Диска иные преимущества, нежели у сервиса от Google , и для россиянина они важны. В «облако» от Яндекс, например, возможно выгрузить фото и видео из соцсетей «Вконтакте » и «Одноклассники » напрямую , без применения дополнительного софта. Облачное хранилище интегрировано со всевозможными сервисами от «Яндекс», способно интегрироваться с офисным пакетом Microsoft Office 2013 , а также подключаться к телевизорам, оснащённым функцией SmartTV .

Кроме того, Яндекс.Диск имеет право похвастать своей кроссплатформенностью – существуют веб-клиенты и мобильные приложения не только под iOS , Android , Windows , но и под Linux и Symbian .

В то же время специалисты Google над Linux -версией своего облачного хранилища только трудятся, а для Windows Phone и Symbian приложения выпускать, видимо, и вовсе не намереваются. Среди отечественных пользователей мобильной техники масса поклонников фирмы Nokia и её смартфонов, работающих именно на двух ОС, названных ранее – этим пользователям мобильный Google Drive недоступен.

Как итог, можно сказать, что популярность Яндекс.Диска в России обусловлена не только стремлением пользователей поддержать отечественный бренд, но и наличием довольно ощутимых преимуществ перед зарубежными сервисами.

Стоимость премиум-подписки:

	100 Гб
300 руб. / год	800 руб. / год	2000 руб. / год

One Drive

• Бесплатное место : 5 Гб.
• Максимальный размер одного файла : 10 Гб.
• Максимальный объём пространства : 5 Тб.
• Совместимость с мобильными ОС : поддерживается на Android выше 4.0, iOS выше 9.0, Windows Phone 7 / 8, на Symbian Belle и на MeeGo 1.2.

Среди облачных хранилищ OneDrive от Microsoft – настоящий «динозавр». Этот сервис функционирует ещё с 2007 года, однако до 2014-го пользователям он был знаком под названием SkyDrive . На ренейминг пришлось пойти из-за судебного разбирательства с телевизионной компанией BSkyB , которая обвинила Microsoft в плагиате.

К сожалению, в последнее время «облако» OneDrive стало всё стремительнее сдавать позиции и уступать аналогичным сервисам от Google и других разработчиков. Тот факт, что в 2016 году Microsoft сократила объём бесплатного места в своём облачном хранилище с 15 Гб до 5 Гб, явно не добавил OneDrive популярности. «Облако» Microsoft не имеет каких-либо выдающихся преимуществ перед аналогами – главными достоинствами этого сервиса считаются интеграция c пакетом Office 365 и возможность организовать одновременную работу над документами в режиме онлайн. Увы, прочие сервисы тоже дают доступ к документам, но помимо этого предлагают массу других «плюшек».

Продолжать хранить информацию в OneDrive целесообразно лишь тем пользователям, которые обратились к услугам этого сервиса до реформ 2016 года. Владельцам старых учётных записей по-прежнему доступны 15 бесплатных гигабайтов.

Стоимость премиум-подписки:

Mega

• Бесплатное место : 50 Гб.
• Максимальный размер одного файла : не ограничен (при загрузке из браузера – 2 Гб).
• Максимальный объём пространства : 4 Тб.
• Совместимость с мобильными ОС : поддерживается на Android выше 4.0, iOS выше 7.0, Windows Phone 7 / 8, BlackBerry 10.

Только вдумайтесь – 50 бесплатных гигабайтов ! Тогда как конкуренты предлагают всего 10-15 Гб ! Об облачном хранилище Mega – детище одноимённой новозеландской компании – хочется рассказать столько, что хватило бы и на несколько статей.

«Облако» Mega примечательно не только большим объёмом свободного места. Его главным преимуществом всегда считалась безопасность. Собственно, на создание Mega разработчика Кима Доткома натолкнули скандальные разоблачения Эдварда Сноудена, который рассказал, что о конфиденциальности информации американским гражданам приходится только мечтать. Mega использует сквозное шифрование : данные шифруются ещё в браузере – как следствие, программа Mega сама не знает, какую именно информацию пользователь загрузил на диск.

Однако сам же Ким Дотком и подорвал доверие к своему детищу, заявив в 2015 году, что личной информации грозит опасность и пользователям следует в срочном порядке сделать резервные копии.

По словам создателя сервиса, компания испытывала существенное давление со стороны правительства США, и давление это выражалось главным образом в отказе от сотрудничества с Mega всех платёжных систем, включая PayPal . Фактически старт-ап был обречён существовать вообще без денежных поступлений. В конце концов Ким Дотком заявил о недружественном захвате компании китайскими инвесторами и ушёл – по собственным словам, разрабатывать программу-конкурента для Mega .

История с Mega напоминает конспирологический триллер. Каждый пользователь должен сам для себя решать, стоит ли доверять личные данные компании с такой неоднозначной репутацией. Стоит отметить, что кроме самого Доткома на сохранность информации в Mega пока никто не жаловался.

Стоимость премиум-подписки:

200 Гб	500 Гб
4,99 евро / месяц	9,99 евро / месяц	19,99 евро / месяц	29,99 евро / месяц

Облако Mail.ru

• Бесплатное место : 25 Гб.
• Максимальный размер одного файла : 2 Гб (при покупке места – 32 Гб).
• Максимальный объём пространства : 4 Тб.
• Совместимость с мобильными ОС : поддерживается на Android выше 4.0, iOS выше 7.0, Windows Phone выше 8-ой версии.

Сервис «Облако Mail.ru» , появившись в 2013 году, сразу порадовал пользователей аттракционом невиданной щедрости – каждому предоставлялось по 100 бесплатных гигабайтов. Позже объём свободного места был снижен до 16 Гб, потом увеличен до 25 Гб – этот лимит актуален до сих пор.

В число преимуществ «Облако Mail.ru » входит не только большой объём бесплатного пространства. Сервис способен похвастать высокой скоростью загрузки и выгрузки для отечественных пользователей, а также кроссплатформенностью – «Облако Mail.ru », например, доступно продвинутым пользователям, на компьютерах которых «стоит» Linux .

Стоит упомянуть и о недостатках сервиса. Согласно отзывам пользователей, «Облако Mail.ru » сильно «глючит» и часто вылетает при запуске на старых версиях Windows.

Также пользователи жалуются на то, что Mail.ru Group в довесок к своему облачному хранилищу производит скрытую установку различных тулбаров и агентов – однако это уже привычная история.

Стоимость премиум-подписки:

	128 Гб	256 Гб	512 Гб
690 руб. / год	1 490 руб. / год	2 290 руб. / год	3 790 руб. / год	6 990 руб. / год	13 900 руб. / год	27 900 руб. / год

Заключение

Выбор пользователей, которые не боятся того, что их данные украдут зарубежные спецслужбы, очевиден – Google Drive является наиболее удобным облачным хранилищем, дающим внушительный объём свободного места бесплатно. Юзерам, которые желают поддержать отечественного производителя, следует обратить внимание на Яндекс.Диск и Облако Mail.ru. Оба сервиса, впрочем, имеют весьма существенные недостатки: облако от Яндекс предоставляет мало дискового пространства, а продукт от Mail и вовсе ещё довольно «сырой».

Хочется отметить, что в рейтинге нет Dropbox – одного из родоначальников облачных технологий. Недостаток Dropbox в том, что он предлагает всего 2 Гб бесплатного места – пустяк по нынешним временам. Кроме того, облачный сервис не проявляет гибкости в вопросах покупки дополнительного пространства; физическим лицам предлагается всего 1 тариф. Иначе, как неуважение к пользователям, расценить это сложно.

Когда мы говорим о защите данных в облаке, то мы подразумеваем… Простого ответа на этот вопрос нет, так как он в значительной степени возникает из тех инструментов и технологий, которые используются. С точки зрения ИТ-специалистов, обилие потенциальных векторов атаки делает защиту облачных систем куда как более сложной, чем защиту традиционных систем. Но это совсем не значит, что нужно планировать защиту от всех этих факторов - при первоначальной формулировке модели угроз значительная их часть отсеивается.

Логика такова:

Во-первых, нужно понимать, какие модели защиты данных могут применяться в облаке.
Во-вторых, определиться какие из задач защиты информации будут решаться своими силами, а какие - передаваться на аутсорсинг.
И в-третьих, нужен хотя бы приблизительный список инструментов, которые будут использоваться при переносе данных в облако.

И на основе этих суждений определяются задачи, которые будут решаться - внутри компании и извне.

Процессы защиты данных

Резервное копирование и восстановление, обеспечение непрерывности бизнеса, восстановление после ЧП - все это темы, которые наверняка всплывут в обсуждении, которое касается защиты данных. Есть и другие термины - комбинация двух или более техник. Стоит согласовать определения с партнерами и вендорами - если вы подразумеваете под ними разные понятия, то вы можете получить не совсем то что хотите.

Резервное копирование - пожалуй, самый простой в организации процесс. Это защита данных дупликацией, созданием копии данных, которые находятся в работе. Копия хранится в отдельном хранилище, отделенном от основного логически и физически (желательно расстоянием). В случае сбоя, работа сервиса/приложения восстанавливается загрузкой резервной копии с последующим ее восстановлением.

Восстановление в аварийных ситуациях - это процесс восстановления работоспособности всей ИТ-инфраструктуры (которая обеспечивала функционирование приложения/сервиса) после того как инфраструктура стала недоступна на недопустимый промежуток времени. Восстанавливаются не только данные, но и серверы, приложения работающие на серверах, схема сетевых взаимодействий между серверами и так далее.

Определение непрерывности бизнеса включает в себя как оперативное восстановление, так и восстановление в аварийных ситуациях. Оперативное восстановление подразумевает восстановление работы какой-либо из систем ИТ-структуры. Это может быть технический отказ - выход из строя жесткого диска или поломка системы кондиционирования или неполадка, связанная с ПО - сбой сетевого протокола или повреждение базы данных. Главное отличие от восстановления в аварийных ситуациях в том, что усилия по восстановлению проходят в штатном режиме и как правило не подразумевают нарушений в работе сервиса - пока идут работы, нагрузка переносится на другие серверы/площадки, в то время как при ЧП возможно прекращение работы сервисов до устранения ЧП.

Аварийные ситуации способны нанести значительный урон репутации, данным и прибылям, но к счастью они относительно редки, большинство инцидентов можно отнести к ситуациям оперативного восстановления. Хотя некоторые процедуры, которые применяются в сценариях восстановления в аварийных ситуациях также задействуются при оперативном восстановлении, но как правило в этом нет необходимости. В большей части ситуаций, восстановительные работы ограничиваются восстановлением данных из резервной копии.

Определение «облака» и защита данных

Национальный институт стандартов и технологии определяет публичный «облачный» сервис как «инфраструктуру, которая содержится и поддерживается облачным провайдером и предоставляется для свободного использования всем желающим». Частное «облако», согласно определению того же NIST, это «облачная» компьютерная инфраструктура, предоставляемая облачным провайдером для эксклюзивного использования единственной организацией, включающей в себя многочисленных пользователей (например бизнес-подразделения организации). Оно («облако») находится в собственности и управляется организации, которая пользуется его услугами, третьим лицом, либо тем и другим в разной степени и может располагаться на или вне мощностей заказчика.

Защита данных может выполняться как своими силами организации или передаваться третьим лицам - провайдерам сервисов резервного копирования (backup-as-a-service), восстановления данных (recovery-as-a-service) или восстановления в аварийных ситуациях (disaster recovery-as-a-service). Хотя не существует ни одной компании, которая бы предоставляла услуги именно под такими названиями, эти модели существуют, просто, как правило, они включены в состав более общих IaaS, PaaS и так далее. В любом случае участие третьей стороны в создании и выполнении схемы защиты подразумевает определенное (и немалое) доверие к провайдеру, который должен быть включен в состав облачной инфраструктуры организации, причем желательно с самого начала.

Многие организации не доверяют облачной модели достаточно, чтобы переходить на нее. В таком случае возможно привлечение вендоров в рамках модели «управляемого частного облака». Это модель взаимодействия, в рамках которой сервис-провайдер предоставляет определенные услуги в рамках своей облачной инфраструктуры но каждому клиенту выделяется отдельный сервер, индивидуальный набор ПО и услуг. Например, услуги защиты данных.

Первые шаги

Когда вопрос об использовании облака в организации только обсуждается, то задачу распределения стоит начать с инвентаризации и классификации выполняемых задач. Какие сейчас исполняются и могут исполняться только на «внутренних» мощностях? Какие могут быть переданы на аутсорсинг? Какие можно вынести в «облако»? Какие приоритеты у каждого класса задач? Как организовывается весь процесс защиты данных сейчас и как он будет организовываться в новой структуре работы с данными?

Простой способ классификации задач предложил Редьярд Киплинг. В поэме он сформулировал основные принципы журналистики в виде «шестерки слуг»-вопросов (кто?, что?, когда?, где?, почему?, как?), эти же вопросы-критерии можно использовать и для работы с информацией в целом. Попробуйте категоризировать имеющиеся задачи по этим принципам. Четкое понимание своих потребностей - то что вам необходимо, когда вы будете проводить переговоры с вендорами, иначе можно потеряться и получить не то что нужно.

Центр обработки данных (ЦОД) представляет собой совокупность серверов, размещенных на одной площадке с целью повышения эффективности и защищенности. Защита центров обработки данных представляет собой сетевую и физическую защиту, а также отказоустойчивость и надежное электропитание. В настоящее время на рынке представлен широкий спектр решений для защиты серверов и ЦОД от различных угроз. Их объединяет ориентированность на узкий спектр решаемых задач . Однако спектр этих задач подвергся некоторому расширению вследствии постепенного вытеснения классических аппаратных систем виртуальными платформами. К известным типам угроз (сетевые атаки, уязвимости в приложениях операционных систем, вредоносное программное обеспечение) добавились сложности, связанные с контролем среды (гипервизора), трафика между гостевыми машинами и разграничением прав доступа. Расширились внутренние вопросы и политики защиты ЦОД, требования внешних регуляторов. Работа современных ЦОД в ряде отраслей требует закрытия технических вопросов, а также вопросов связанных с их безопасностью. Финансовые институты (банки, процессинговые центры) подчинены ряду стандартов, выполнение которых заложено на уровне технических решений. Проникновение платформ виртуализации достигло того уровня, когда практически все компании, использующие эти системы, весьма серьезно занялись вопросами усиления безопасности в них. Отметим, что буквально год назад интерес был скорее теоретический .
В современных условиях становится все сложнее обеспечить защиту критически важных для бизнеса систем и приложений.
Появление виртуализации стало актуальной причиной масштабной миграции большинства систем на ВМ, однако решение задач обеспечения безопасности, связанных с эксплуатацией приложений в новой среде, требует особого подхода. Многие типы угроз достаточно изучены и для них разработаны средства защиты, однако их еще нужно адаптировать для использования в облаке.

Cуществующие угрозы облачных вычислений

Контроль и управление облаками - является проблемой безопасности. Гарантий, что все ресурсы облака посчитаны и в нем нет неконтролируемых виртуальных машин, не запущено лишних процессов и не нарушена взаимная конфигурация элементов облака нет. Это высокоуровневый тип угроз, т.к. он связан с управляемостью облаком, как единой информационной системой и для него общую защиту нужно строить индивидуально. Для этого необходимо использовать модель управления рисками для облачных инфраструктур.

В основе обеспечения физической безопасности лежит строгий контроль физического доступа к серверам и сетевой инфраструктуре. В отличии от физической безопасности, сетевая безопасность в первую очередь представляет собой построение надежной модели угроз, включающей в себя защиту от вторжений и межсетевой экран. Использование межсетевого экрана подразумевает работу фильтра, с целью разграничить внутренние сети ЦОД на подсети с разным уровнем доверия. Это могут быть отдельно серверы, доступные из Интернета или серверы из внутренних сетей.
В облачных вычислениях важнейшую роль платформы выполняет технология виртуализации. Для сохранения целостности данных и обеспечения защиты рассмотрим основные известные угрозы для облачных вычислений.

1. Трудности при перемещении обычных серверов в вычислительное облако

Требования к безопасности облачных вычислений не отличаются от требований безопасности к центрам обработки данных. Однако, виртуализация ЦОД и переход к облачным средам приводят к появлению новых угроз.
Доступ через Интернет к управлению вычислительной мощностью один из ключевых характеристик облачных вычислений. В большинстве традиционных ЦОД доступ инженеров к серверам контролируется на физическом уровне, в облачных средах они работают через Интернет. Разграничение контроля доступа и обеспечение прозрачности изменений на системном уровне является одним из главных критериев защиты.

2. Динамичность виртуальных машин

Виртуальные машины динамичны. Создать новую машину, остановить ее работу, запустить заново можно сделать за короткое время. Они клонируются и могут быть перемещены между физическими серверами. Данная изменчивость трудно влияет на разработку целостности системы безопасности. Однако, уязвимости операционой системы или приложений в виртуальной среде распространяются бесконтрольно и часто проявляются после произвольного промежутка времени (например, при восстановлении из резервной копии). В средах облачных вычислениях важно надежно зафиксировать состояние защиты системы, при этом это не должно зависить от ее состояния и местоположения.

3. Уязвимости внутри виртуальной среды

Серверы облачных вычислений и локальные серверы используют одни и те же операционные системы и приложения. Для облачных систем угроза удаленного взлома или заражения вредоносным ПО высока. Риск для виртуальных систем также высок. Параллельные виртуальные машины увеличивает «атакуемую поверхность». Система обнаружения и предотвращения вторжений должна быть способна обнаруживать вредоносную активность на уровне виртуальных машин, вне зависимости от их расположения в облачной среде.

4. Защита бездействующих виртуальных машин

Когда виртуальная машина выключена, она подвергается опасности заражения. Доступа к хранилищу образов виртуальных машин через сеть достаточно. На выключенной виртуальной машине абсолютно невозможно запустить защитное программное обеспечение. В данном случаи дожна быть реализована защита не только внутри каждой виртуальной машины, но и на уровне гипервизора.

5. Защита периметра и разграничение сети

При использовании облачных вычислений периметр сети размывается или исчезает. Это приводит к тому, что защита менее защищенной части сети определяет общий уровень защищенности. Для разграничения сегментов с разными уровнями доверия в облаке виртуальные машины должны сами обеспечивать себя защитой, перемещая сетевой периметр к самой виртуальной машине (Рис 1.). Корпоративный firewall - основной компонент для внедрения политики IT безопасности и разграничения сегментов сети, не в состоянии повлиять на серверы, размещенные в облачных средах.

Атаки на облака и решения по их устранению

1. Традиционные атаки на ПО

Уязвимости операционных систем, модульных компонентов, сетевых протоколов и др - традиционные угрозы, для защиты от которых достаточно установить межстевой экран, firewall, антивирус, IPS и другие компоненты, решающие данную проблему. При этом важно, чтобы данные средства защиты эффективно работали в условиях виртуализации.

2. Функциональные атаки на элементы облака

Этот тип атак связан с многослойностью облака, общим принципом безопасности. В статье об опасности облаков было предложено следующее решение : Для защиты от функциональных атак для каждой части облака необходимо использовать следующие средства защиты: для прокси – эффективную защиту от DoS-атак, для веб-сервера - контроль целостности страниц, для сервера приложений - экран уровня приложений, для СУБД - защиту от SQL-инъекций, для системы хранения данных – правильные бэкапы (резервное копирование), разграничение доступа. В отдельности каждые из этих защитных механизмов уже созданы, но они не собраны вместе для комплексной защиты облака, поэтому задачу по интеграции их в единую систему нужно решать во время создания облака.

3. Атаки на клиента

Большинство пользователей подключаются к облаку, используя браузер. Здесь рассматриваются такие атаки, как Cross Site Scripting, «угон» паролей, перехваты веб-сессий, «человек посредине» и многие другие. Единственная защита от данного вида атак является правильная аутентификация и использование шифрованного соединения (SSL) с взаимной аутентификацией . Однако, данные средства защиты не очень удобны и очень расточительны для создателей облаков. В этой отрасли информационной безопасности есть еще множество нерешенных задач.

4. Атаки на гипервизор

Гипервизор является одним из ключевых элементов виртуальной системы. Основной его функцией является разделение ресурсов между виртуальными машинами. Атака на гипервизор может привести к тому, что одна виртуальная машина сможет получить доступ к памяти и ресурсам другой. Также она сможет перехватывать сетевой трафик, отбирать физические ресурсы и даже вытеснить виртуальную машину с сервера. В качестве стандартных методов защиты рекомендуется применять специализированные продукты для виртуальных сред, интеграцию хост-серверов со службой каталога Active Directory, использование политик сложности и устаревания паролей, а также стандартизацию процедур доступа к управляющим средствам хост-сервера, применять встроенный брандмауэр хоста виртуализации. Также возможно отключение таких часто неиспользуемых служб как, например, веб-доступ к серверу виртуализации.

5. Атаки на системы управления

Большое количество виртуальных машин, используемых в облаках требует наличие систем управления, способных надежно контролировать создание, перенос и утилизацию виртуальных машин. Вмешательство в систему управления может привести к появлению виртуальных машин - невидимок, способных блокировать одни виртуальные машины и подставлять другие.

Решения по защите от угроз безопасности от компании Cloud Security Alliance (CSA)

Наиболее эффективные способы защиты в области безопасности облаков опубликовала организация Cloud Security Alliance (CSA) . Проанализировав опубликованную компанией информацию, были предложены следующие решения .

1. Сохранность данных. Шифрование

Шифрование – один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным должен шифровать информацию клиента, хранящуюся в ЦОД, а также в случаи отсутствия необходимости, безвозвратно удалять.

2. Защита данных при передаче

Зашифрованные данные при передаче должны быть доступны только после аутентификации. Данные не получится прочитать или сделать изменения, даже в случаи доступа через ненадежные узлы. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно используются провайдерами.

3. Аутентификация

Аутентификации - защита паролем. Для обеспечения более высокой надежности, часто прибегают к таким средствам, как токены и сертификаты. Для прозрачного взаимодействия провайдера с системой индетификациии при авторизации, также рекомендуется использовать LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language).

4. Изоляция пользователей

Использование индивидуальной виртуальной машины и виртуальную сеть. Виртуальные сети должны быть развернуты с применением таких технологий, как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service). Часто провайдеры изолируют данные пользователей друг от друга за счет изменения данных кода в единой программной среде. Данный подход имеет риски, связанные с опасностью найти дыру в нестандартном коде, позволяющему получить доступ к данным. В случаи возможной ошибки в коде пользователь может получить данные другого. В последнее время такие инциденты часто имели место.

Заключение

Описанные решения по защите от угроз безопасности облачных вычислений неоднократно были применены системными интеграторами в проектах построения частных облаков. После применения данных решений количество случившихся инцидентов существенно снизилось. Но многие проблемы, связанные с защитой виртуализации до сих требуют тщательного анализа и проработанного решения. Более детально рассмотрим их в следующей статье.

Наибольшую обеспокоенность у компаний вызывает защита внешних облачных услуг. Так, респонденты переживают, что инциденты могут произойти у поставщиков, на аутсорсинг которым переданы бизнес-процессы , у сторонних облачных сервисов или в ИТ-инфраструктуре , где компания арендует вычислительные мощности. Однако несмотря на все это беспокойство, проверки соблюдения требований к обеспечению безопасности третьих сторон проводят лишь 15% компаний.

«Несмотря на то что последние масштабные взломы происходили внутри ЦОД , традиционные системы безопасности по-прежнему фокусируются лишь на защите сетевого периметра и контроле прав доступа. При этом редко учитывается негативное влияние решений для защиты физической инфраструктуры на производительность виртуальных сред, - объяснил Вениамин Левцов , вице-президент по корпоративным продажам и развитию бизнеса «Лаборатории Касперского». - Поэтому в конвергентных средах так важно использовать соответствующую комплексную защиту, обеспечивая безопасность виртуальных систем специально предназначенными решениями. Мы реализуем подход, при котором вне зависимости от типа инфраструктуры для всех систем обеспечивается единое по степени защищенности покрытие всей корпоративной сети. И в этом наши технологии и современные разработки VMware (как, например, микросегментация) прекрасно дополняют друг друга».

2014: данные Ponemon и SafeNet

Большинство ИТ-организаций находятся в неведении относительно того, каким образом осуществляется защита корпоративных данных в облаке – в результате компании подвергают рискам учетные записи и конфиденциальную информацию своих пользователей. Таков лишь один из выводов недавнего исследования осени 2014 года, проведённого институтом Ponemon по заказу SafeNet . В рамках исследования, озаглавленного "Проблемы управления информацией в облаке: глобальное исследование безопасности данных", во всём мире было опрошено более 1800 специалистов по информационным технологиям и ИТ-безопасности.

В числе прочих выводов, исследование показало, что хотя организации всё активнее используют возможности облачных вычислений, ИТ-подразделения корпораций сталкиваются с проблемами при управлении данными и обеспечении их безопасности в облаке. Опрос показал, что лишь в 38% организаций четко определены роли и ответственности за обеспечение защиты конфиденциальной и другой чувствительной информации в облаке. Усугубляет ситуацию то, что 44% корпоративных данных, хранящихся в облачном окружении, неподконтрольны ИТ-подразделениям и не управляются ими. К тому же более двух третей (71%) респондентов отметили, что сталкиваются с всё новыми сложностями при использовании традиционных механизмов и методик обеспечения безопасности для защиты конфиденциальных данных в облаке.

С ростом популярности облачных инфраструктур повышаются и риски утечек конфиденциальных данных Около двух третей опрошенных ИТ-специалистов (71%) подтвердили, что облачные вычисления сегодня имеют большое значение для корпораций, и более двух третей (78%) считают, что актуальность облачных вычислений сохранится и через два года. Кроме того, по оценкам респондентов около 33% всех потребностей их организаций в информационных технологиях и инфраструктуре обработки данных сегодня можно удовлетворить с помощью облачных ресурсов, а в течение следующих двух лет эта доля увеличится в среднем до 41%.

Однако большинство опрошенных (70%) соглашается, что соблюдать требования по сохранению конфиденциальности данных и их защите в облачном окружении становится всё сложнее. Кроме того, респонденты отмечают, что риску утечек более всего подвержены такие виды хранящихся в облаке корпоративных данных как адреса электронной почты, данные о потребителях и заказчиках и платежная информация.

В среднем, внедрение более половины всех облачных сервисов на предприятиях осуществляется силами сторонних департаментов, а не корпоративными ИТ-отделами, и в среднем около 44% корпоративных данных, размещенных в облаке, не контролируется и не управляется ИТ-подразделениями. В результате этого, только 19% опрошенных могли заявить о своей уверенности в том, что знают обо всех облачных приложениях, платформах или инфраструктурных сервисах, используемых в настоящий момент в их организациях.

Наряду с отсутствием контроля за установкой и использованием облачных сервисов, среди опрошенных отсутствовало единое мнение относительно того, кто же на самом деле отвечает за безопасность данных, хранящихся в облаке. Тридцать пять процентов респондентов заявили, что ответственность разделяется между пользователями и поставщиками облачных сервисов, 33% считают, что ответственность целиком лежит на пользователях, и 32% считают, что за сохранность данных отвечает поставщик сервисов облачных вычислений.

Более двух третей (71%) респондентов отметили, что защищать конфиденциальные данные пользователей, хранящиеся в облаке, с помощью традиционных средств и методов обеспечения безопасности становится всё сложнее, и около половины (48%) отмечают, что им становится всё сложнее контролировать или ограничивать для конечных пользователей доступ к облачным данным. В итоге более трети (34%) опрошенных ИТ-специалистов заявили, что в их организациях уже внедрены корпоративные политики, требующие в качестве обязательного условия для работы с определёнными сервисами облачных вычислений применения таких механизмов обеспечения безопасности как шифрование. Семьдесят один (71) процент опрошенных отметили что возможность шифрования или токенизации конфиденциальных или иных чувствительных данных имеет для них большое значение, и 79% считают, что значимость этих технологий в течение ближайших двух лет будет повышаться.

Отвечая на вопрос, что именно предпринимается в их компаниях для защиты данных в облаке, 43% респондентов сказали, что в их организациях для передачи данных используются частные сети. Примерно две пятых (39%) респондентов сказали, что в их компаниях для защиты данных в облаке применяется шифрование, токенизация и иные криптографические средства. Еще 33% опрошенных не знают, какие решения для обеспечения безопасности внедрены в их организациях, и 29% сказали, что используют платные сервисы безопасности, предоставляемые их поставщиками услуг облачных вычислений.

Респонденты также считают, что управление корпоративными ключами шифрования имеет важное значение для обеспечения безопасности данных в облаке, учитывая возрастающее количество платформ для управления ключами и шифрования, используемых в их компаниях. В частности, 54% респондентов сказали, что их организации сохраняют контроль над ключами шифрования при хранении данных в облаке. Однако 45% опрошенных сказали, что хранят свои ключи шифрования в программном виде, там же, где хранятся и сами данные, и только 27% хранят ключи в более защищенных окружениях, например, на аппаратных устройствах.

Что касается доступа к данным, хранящимся в облаке, то шестьдесят восемь (68) процентов респондентов утверждают, что управлять учетными записями пользователей в условиях облачной инфраструктуры становится сложнее, при этом шестьдесят два (62) процента респондентов сказали, что их в организациях доступ к облаку предусмотрен и для третьих лиц. Примерно половина (46 процентов) опрошенных сказали, что в их компаниях используется многофакторная аутентификация для защиты доступа сторонних лиц к данным, хранящимся в облачном окружении. Примерно столько же (48 процентов) респондентов сказали, что в их компаниях применяются технологии многофакторной аутентификации в том числе и для защиты доступа своих сотрудников к облаку.

Почему заказчики недовольны поставщиками облака?

Непрозрачное облако

Опубликованное недавно исследование Forrester Consulting показывает: многие организации считают, что поставщики облачных услуг предоставляют им недостаточно информации о взаимодействии с облаком, и это вредит их бизнесу.

Помимо недостаточной прозрачности, есть и другие факторы, уменьшающие энтузиазм перехода в облако: это уровень сервиса для заказчиков, дополнительные расходы и адаптация при миграции (on-boarding). Организации очень любят облако, но не его поставщиков - во всяком случае, не столь же сильно.

Исследование было заказано компанией iland, поставщиком корпоративного облачного хостинга, проводилось в течение мая и охватывало профессионалов в области инфраструктуры и текущего сопровождения из 275 организаций в , и Сингапуре.

«Среди всех сложностей сегодняшнего облака кроются и досадные изъяны, - пишет Лайлак Шёнбек (Lilac Schoenbeck), вице-президент по сопровождению и маркетингу продукта iland. - Столь важные метаданные не сообщаются, существенно тормозя принятие облака, и всё же организации строят планы роста исходя из допущения безграничности облачных ресурсов».

Где же ключ к достижению гармонии деловых отношений? Вот что нужно знать VAR’ам, чтобы постараться уладить проблемы и привести стороны к примирению.

Невнимание к клиентам

Судя по всему, многие пользователи облака не ощущают тот самый индивидуальный подход.

Так, 44% респондентов ответили, что их провайдер не знает их компанию и не понимает их деловые потребности, а 43% считают, что если бы их организация просто была крупнее, то, наверно, поставщик уделял бы им больше внимания. Короче говоря, они чувствуют холод рядовой сделки, покупая облачные услуги, и им это не нравится.

И еще: есть одна практика, на которую указала треть опрошенных компаний, также вселяющая ощущение мелочности в сделке, - с них взимают плату за малейший вопрос или непонятность.

Слишком много секретов

Нежелание поставщика предоставлять всю информацию не только раздражает заказчиков, но часто стоит им денег.

Все респонденты, принявшие участие в опросе Forrester, ответили, что ощущают определенные финансовые последствия и влияние на текущую работу из-за отсутствующих или закрытых данных об использовании ими облака.

«Отсутствие ясных данных о параметрах использования облака приводит к проблемам производительности, затруднениям отчетности перед руководством о реальной стоимости использования, оплате за ресурсы, так и не потребленные пользователями, и непредвиденным счетам», - констатирует Forrester.

А где метаданные?

ИТ-руководители, ответственные за облачную инфраструктуру в своих организациях, хотят иметь метрику стоимости и рабочих параметров, обеспечивающую ясность и прозрачность, но, очевидно, им трудно донести это до поставщиков.

Участники опроса отметили, что получаемые ими метаданные об облачных рабочих нагрузках обычно бывают неполными. Почти половина компаний ответила, что данные о соблюдении регулятивных норм отсутствуют, 44% указали на отсутствие данных о параметрах использования, 43% - ретроспективных данных, 39% - данных по безопасности, и 33% - данных биллинга и стоимости.

Вопрос прозрачности

Отсутствие метаданных вызывает всякого рода проблемы, говорят респонденты. Почти две трети опрошенных сообщили, что недостаточная прозрачность не позволяет им в полной мере понять все преимущества облака.

«Отсутствие прозрачности порождает различные проблемы, и в первую очередь это вопрос о параметрах использования и перебои в работе», - говорится в отчете.

Примерно 40% пытаются устранить эти пробелы сами, закупая дополнительный инструментарий у своих же поставщиков облака, а другие 40% просто закупают услуги другого поставщика, где такая прозрачность присутствует.

Соблюдение регулятивных норм

Как ни крути, организации несут ответственность за все свои данные, будь то на локальных СХД или отправленные в облако.

Более 70% респондентов в исследовании ответили, что в их организациях регулярно проводится аудит, и они должны подтвердить соответствие существующим нормам, где бы ни находились их данные. И это ставит препятствие на пути принятия облака почти для половины опрошенных компаний.

«Но аспект соблюдения вами регулятивных норм должен быть прозрачен для ваших конечных пользователей. Когда поставщики облака придерживают или не раскрывают эту информацию, они не позволяют вам достичь этого», - сказано в отчете.

Проблемы соответствия

Более 60% опрошенных компаний ответили, что проблемы соблюдения регулятивных требований ограничивают дальнейшее принятие облака.

Главные проблемы таковы:

• 55% компаний, связанных такими требованиями, ответили, что труднее всего для них реализовать надлежащие средства контроля.
• Примерно половина говорит, что им трудно понять уровень соответствия требованиям, обеспечиваемый их поставщиком облака.
• Еще половина респондентов ответила, что им трудно получить необходимую документацию от провайдера о соблюдении этих требований, чтобы пройти аудит. И 42% затрудняются получить документацию о соблюдении ими самими требований в отношении рабочих нагрузок, запущенных в облаке.

Проблемы миграции

Похоже, что процесс перехода (on-boarding) - еще одна область общей неудовлетворенности: чуть более половины опрошенных компаний ответили, что их не удовлетворяют процессы миграции и поддержки, которые предложили им поставщики облака.

Из 51% неудовлетворенных процессом миграции 26% ответили, что это заняло слишком много времени, и 21% пожаловались на отсутствие живого участия со стороны персонала провайдера.

Более половины были также не удовлетворены процессом поддержки: 22% указали на долгое ожидание ответа, 20% - недостаточные знания персонала поддержки, 19% - на затянувшийся процесс решения проблем, и 18% получили счета с более высокой, чем ожидалось, стоимостью поддержки.

Препятствия на пути в облако

Многие из компаний, опрошенных фирмой Forrester, вынуждены сдерживать свои планы расширения в облаке из-за проблем, которые они испытывают с уже имеющимися услугами.