Cea mai mare preocupare pentru companii este protecția serviciilor cloud externe. Astfel, respondenții sunt îngrijorați că pot apărea incidente cu furnizorii care externalizează procesele de afaceri, cu terți. servicii cloud sau în infrastructura IT, unde compania închiriază putere de calcul. Cu toate acestea, în ciuda acestei preocupări, doar 15% dintre companii efectuează verificări de conformitate cu securitatea de la terți.

„În ciuda faptului că cele mai recente hack-uri la scară largă au avut loc în interiorul centrului de date, sistemele tradiționale de securitate încă se concentrează doar pe protejarea perimetrului rețelei și controlul drepturilor de acces. În același timp, impactul negativ al soluțiilor pentru protejarea infrastructurii fizice asupra performanței mediilor virtuale este rareori luat în considerare, - a explicat Veniamin Levtsov, vicepreședinte pentru vânzări corporative și dezvoltare de afaceri la Kaspersky Lab. - Prin urmare, în mediile convergente, este atât de important să folosiți o protecție cuprinzătoare adecvată, asigurând securitatea sistemelor virtuale cu soluții special concepute. Implementăm o abordare în care, indiferent de tipul de infrastructură, toate sistemele sunt prevăzute cu o acoperire uniformă de securitate a întregului rețeaua corporativă. Și aceasta este tehnologia noastră și evoluții moderne VMware (cum ar fi micro-segmentarea) se completează perfect.”

2014: date Ponemon și SafeNet

Majoritatea organizațiilor IT nu știu cum sunt protejate datele corporative în cloud, expunând astfel companiile la riscuri. Conturiși informații confidențiale ale utilizatorilor săi. Aceasta este doar una dintre concluziile unui studiu recent din toamna anului 2014, comandat de Institutul Ponemon pentru SafeNet. Studiul, intitulat „The Challenges of Information Management in the Cloud: A Global Data Security Study”, a chestionat peste 1.800 de profesioniști în tehnologia informației și securitate IT din întreaga lume.

Printre alte constatări, studiul a constatat că, în timp ce organizațiile îmbrățișează din ce în ce mai mult puterea cloud computing-ului, departamentele IT corporative se confruntă cu provocări în gestionarea și securizarea datelor în cloud. Sondajul a constatat că doar 38% dintre organizații au roluri și responsabilități clar definite pentru securizarea informațiilor confidențiale și a altor informații sensibile în cloud. Pentru a înrăutăți lucrurile, 44% din datele corporative stocate în cloud nu sunt controlate sau gestionate de IT. În plus, mai mult de două treimi (71%) dintre respondenți au declarat că se confruntă cu provocări tot mai mari în utilizarea mecanismelor și practicilor tradiționale de securitate pentru a proteja datele sensibile în cloud.

Pe măsură ce popularitatea infrastructurilor cloud crește, la fel crește și riscul scurgerii de date confidențiale Aproximativ două treimi dintre profesioniștii IT chestionați (71%) au confirmat că cloud computing este important pentru corporații de astăzi și mai mult de două treimi (78%) cred că relevanța cloud computing va continua și în doi ani. În plus, potrivit respondenților, aproximativ 33% din toate nevoile organizațiilor lor în tehnologia de informație iar infrastructura de procesare a datelor de astăzi poate fi satisfăcută resurse cloud, iar în următorii doi ani această pondere va crește la o medie de 41%.

Cu toate acestea, majoritatea respondenților (70%) sunt de acord că devine din ce în ce mai dificil să se respecte cerințele de confidențialitate și protecție a datelor în mediul cloud. În plus, respondenții notează că tipurile de date corporative stocate în cloud, cum ar fi adresele, sunt cele mai expuse riscului de scurgeri. E-mail, date despre consumatori și clienți și informații de facturare.

În medie, mai mult de jumătate din toate serviciile cloud din întreprinderi sunt implementate de departamente terțe, nu de departamentele IT corporative și, în medie, aproximativ 44% din datele întreprinderii găzduite în cloud nu sunt controlate sau gestionate de departamentele IT. Drept urmare, doar 19% dintre cei chestionați ar putea pretinde că sunt încrezători în cunoașterea tuturor aplicațiilor, platformelor sau serviciilor de infrastructură cloud utilizate în prezent în organizațiile lor.

Alături de lipsa de control asupra instalării și utilizării serviciilor cloud, nu a existat un consens în rândul celor chestionați cu privire la cine este de fapt responsabil pentru securitatea datelor stocate în cloud. Treizeci și cinci la sută dintre respondenți au spus că responsabilitatea este împărțită între utilizatori și furnizorii de servicii cloud, 33% cred că responsabilitatea revine în întregime utilizatorilor, iar 32% cred că furnizorul de cloud este responsabil pentru siguranța datelor.

Mai mult de două treimi (71%) dintre respondenți au declarat că devine din ce în ce mai dificil să protejeze datele sensibile ale utilizatorilor stocate în cloud folosind instrumente și metode tradiționale de securitate, iar aproximativ jumătate (48%) au spus că le este din ce în ce mai dificil de controlat sau restricționați accesul utilizatorilor finali la datele din cloud. În cele din urmă, mai mult de o treime (34%) dintre profesioniștii IT intervievați au declarat că organizațiile lor aveau deja politici corporative care necesită mecanisme de securitate, cum ar fi criptarea, ca o condiție prealabilă pentru anumite servicii de cloud computing. Șaptezeci și unu (71) la sută dintre respondenți au indicat că capacitatea de a cripta sau tokeniza datele confidențiale sau sensibile în alt mod este de mare importanță pentru ei, iar 79% cred că importanța acestor tehnologii va crește în următorii doi ani.

La întrebarea ce fac companiile lor pentru a proteja datele în cloud, 43% dintre respondenți au spus că organizațiile lor folosesc rețele private pentru a transfera date. Aproximativ două cincimi (39%) dintre respondenți au declarat că companiile lor folosesc criptarea, tokenizarea și alte metode pentru a proteja datele din cloud. mijloace criptografice. Alți 33% dintre cei chestionați nu știu ce soluții de securitate sunt implementate în organizațiile lor, iar 29% au spus că folosesc servicii cu plată securitate oferită de furnizorii lor de servicii cloud.

Respondenții cred, de asemenea, că gestionarea cheilor de criptare a întreprinderii este esențială pentru păstrarea datelor în siguranță în cloud, având în vedere numărul tot mai mare de platforme de gestionare a cheilor și de criptare utilizate de companiile lor. Mai exact, 54% dintre respondenți au spus că organizațiile lor păstrează controlul asupra cheilor de criptare atunci când stochează date în cloud. Cu toate acestea, 45% dintre respondenți au spus că își stochează cheile de criptare în software, în același loc în care sunt stocate datele în sine, și doar 27% stochează cheile în medii mai sigure, cum ar fi dispozitivele hardware.

În ceea ce privește accesul la datele stocate în cloud, șaizeci și opt (68) la sută dintre respondenți spun că gestionarea conturilor de utilizator într-un mediu cloud devine din ce în ce mai dificilă, în timp ce șaizeci și doi (62) la sută dintre respondenți au spus că organizațiile lor au acces către cloud-ul oferit terților. Aproximativ jumătate (46 la sută) dintre cei chestionați au spus că companiile lor folosesc autentificarea cu mai mulți factori pentru a proteja accesul terților la datele stocate în cloud. Aproximativ același număr (48 la sută) de respondenți au spus că companiile lor folosesc tehnologii de autentificare cu mai mulți factori, inclusiv pentru a proteja accesul angajaților lor la cloud.

De ce sunt clienții nemulțumiți de furnizorii de cloud?

nor opac

Un studiu recent al Forrester Consulting arată că multe organizații consideră că furnizorii de servicii cloud nu le oferă suficiente informații despre interacțiunile lor cu cloud-ul, iar acest lucru le dăunează afacerii.

Pe lângă lipsa de transparență, există și alți factori care reduc entuziasmul pentru trecerea la cloud: acesta este nivelul de serviciu pentru clienți, costurile suplimentare și adaptarea în timpul migrării (on-boarding). Organizațiile sunt foarte pasionate de cloud, dar nu și furnizorii săi - cel puțin nu la fel de mult.

Studiul, comandat de iland, un furnizor de găzduire cloud pentru întreprinderi, a fost realizat în luna mai și a acoperit profesioniști în infrastructură și întreținere continuă din 275 de organizații din Singapore și Singapore.

„Printre complexitățile cloud-ului de astăzi, există câteva defecte enervante”, a scris Lilac Schoenbeck, vicepreședinte de întreținere a produselor și marketing pentru iland. „Aceste metadate importante nu sunt comunicate, împiedicând în mod semnificativ adoptarea cloud-ului, totuși organizațiile construiesc planuri de creștere bazate pe presupunerea că resursele cloud sunt nelimitate.”

Unde este cheia pentru atingerea armoniei în relațiile de afaceri? Iată ce trebuie să știe VAR-urile pentru a încerca să rezolve problemele și să aducă părțile la reconciliere.

Nerespectarea clienților

Aparent, mulți utilizatori de cloud nu simt aceeași abordare individuală.

Astfel, 44% dintre respondenți au răspuns că furnizorul lor nu își cunoaște compania și nu înțelege nevoile lor de afaceri, iar 43% cred că dacă organizația lor ar fi pur și simplu mai mare, atunci furnizorul le-ar acorda probabil mai multă atenție. Pe scurt, simt răceala chilipirului cumpărând servicii cloud și nu le place.

Și încă ceva: există o practică, care a fost subliniată de o treime dintre companiile chestionate, care insuflă și un sentiment de meschină în tranzacție - sunt taxate pentru cea mai mică întrebare sau neînțeles.

Prea multe secrete

Reticența furnizorului de a furniza toate informațiile nu numai că irită clienții, dar îi costă adesea bani.

Toți respondenții la sondajul Forrester au răspuns că se confruntă cu un anumit impact financiar și operațional din cauza datelor lipsă sau nepublice despre utilizarea cloud-ului.

„Lipsa datelor clare despre utilizarea cloud-ului duce la probleme de performanță, dificultăți de raportare către management cu privire la costul real de utilizare, taxe pentru resurse pe care utilizatorii nu le-au consumat niciodată și facturare neașteptată”, afirmă Forrester.

Unde sunt metadatele?

Directorii CIO responsabili de infrastructura cloud din organizațiile lor doresc să aibă metrici de cost și performanță care să ofere claritate și transparență, dar evident că le este greu să comunice acest lucru furnizorilor.

Participanții la sondaj au remarcat că metadatele pe care le primesc despre sarcinile de lucru în cloud sunt de obicei incomplete. Aproape jumătate dintre companii au răspuns că nu există date de conformitate, 44% nu au raportat date de utilizare, 43% nu au date istorice, 39% nu au date de securitate și 33% nu au raportat date de facturare și cost.

Problema transparenței

Lipsa metadatelor cauzează tot felul de probleme, spun respondenții. Aproape două treimi dintre cei chestionați au spus că lipsa de transparență îi împiedică să înțeleagă pe deplin beneficiile cloud-ului.

„Lipsa de transparență dă naștere la diverse probleme, în special problema parametrilor de utilizare și întreruperile”, se arată în raport.

Aproximativ 40% încearcă să umple ei înșiși aceste lacune prin achiziționarea de instrumente suplimentare de la propriii furnizori de cloud, în timp ce ceilalți 40% pur și simplu achiziționează servicii de la un alt furnizor unde este prezentă o astfel de transparență.

Respectarea reglementărilor

La urma urmei, organizațiile sunt responsabile pentru toate datele lor, indiferent dacă sunt on-premise sau trimise în cloud.

Peste 70% dintre respondenții la sondaj au spus că organizațiile lor sunt auditate în mod regulat și trebuie să confirme conformitatea cu reglementările existente oriunde se află datele lor. Și asta pune un obstacol în calea adoptării cloud-ului pentru aproape jumătate dintre companiile chestionate.

„Dar aspectul conformității dumneavoastră trebuie să fie transparent pentru utilizatorii finali. Când furnizorii de servicii cloud rețin sau nu dezvăluie aceste informații, nu vă permit să realizați acest lucru”, se arată în raport.

Probleme de conformitate

Peste 60% dintre companiile chestionate au răspuns că problemele de conformitate cu reglementările limitează adoptarea în continuare a cloud-ului.

Principalele probleme sunt:

• 55% dintre companiile obligate de astfel de cerințe au răspuns că le este cel mai dificil să implementeze controale adecvate.
• Aproximativ jumătate spun că le este greu să înțeleagă nivelul de conformitate oferit de furnizorul lor de cloud.
• O altă jumătate dintre respondenți au spus că le este greu să obțină documentația necesară de la furnizor cu privire la respectarea acestor cerințe pentru a trece auditul. Iar pentru 42% le este dificil să obțină documentație privind propria conformitate cu sarcinile de lucru care rulează în cloud.

Probleme de migrație

Procesul de on-boarding pare a fi un alt domeniu de nemulțumire comună, puțin peste jumătate dintre companiile chestionate răspunzând că nu sunt mulțumite de procesele de migrare și suport oferite de furnizorii lor de cloud.

Dintre cei 51% nemulțumiți de procesul de migrare, 26% au răspuns că a durat prea mult, iar 21% s-au plâns de lipsa participării active a personalului furnizorului.

Mai mult de jumătate au fost, de asemenea, nemulțumiți de procesul de asistență: 22% au menționat o așteptare îndelungată pentru un răspuns, 20% o lipsă de cunoștințe a personalului de asistență, 19% un proces îndelungat de rezolvare a problemelor și 18% au primit facturi cu o valoare mai mare decât cea așteptată. costul suportului.

Obstacole în drumul spre nor

Multe dintre companiile chestionate de Forrester își rețin planurile de extindere a cloud-ului din cauza problemelor pe care le întâmpină cu serviciile existente.

Un centru de procesare a datelor (DPC) este o colecție de servere situate la un singur site pentru a crește eficiența și securitatea. Protecția centrului de date oferă protecție fizică și rețelei, precum și toleranță la erori și alimentare fiabilă. În prezent, piața oferă o gamă largă de soluții pentru protejarea serverelor și centrelor de date de diverse amenințări. Ei sunt uniți prin concentrarea pe o gamă restrânsă de sarcini de rezolvat. Cu toate acestea, gama acestor sarcini a suferit o oarecare extindere din cauza deplasării treptate a sistemelor hardware clasice de către platformele virtuale. La tipurile cunoscute de amenințări (atacuri de rețea, vulnerabilități în aplicații sisteme de operare, rău intenționat software) complexitate adăugată legată de controlul mediului (hypervisor), traficul între mașinile invitate și diferențierea drepturilor de acces. Problemele interne și politicile de protecție a centrelor de date, cerințele autorităților externe de reglementare s-au extins. Activitatea centrelor de date moderne dintr-o serie de industrii necesită închiderea problemelor tehnice, precum și a problemelor legate de siguranța acestora. Instituțiile financiare (bănci, centre de procesare) sunt supuse unui număr de standarde, a căror implementare este stabilită la nivelul soluțiilor tehnice. Pătrunderea platformelor de virtualizare a ajuns la punctul în care aproape toate companiile care folosesc aceste sisteme au abordat destul de serios problema consolidării securității în ele. Rețineți că literalmente în urmă cu un an interesul era mai degrabă teoretic.
În mediul actual, devine din ce în ce mai dificil să protejați sistemele și aplicațiile critice pentru afaceri.
Apariția virtualizării a devenit un motiv real pentru migrarea pe scară largă a majorității sistemelor către VM, totuși, rezolvarea problemelor de securitate asociate cu funcționarea aplicațiilor într-un mediu nou necesită o abordare specială. Multe tipuri de amenințări au fost studiate și dezvoltate pentru protecție, dar acestea trebuie încă adaptate pentru utilizare în cloud.

Amenințări existente la adresa cloud computing

Controlul și managementul cloudului este o problemă de securitate. Garantează că toate resursele cloud sunt contorizate și că nu există necontrolate mașini virtuale, nu a început procese suplimentare iar configurația reciprocă a elementelor cloud nu este întreruptă. Acesta este un tip de amenințare la nivel înalt, deoarece este asociat cu gestionabilitatea cloud-ului ca sistem informatic unic, iar pentru acesta protecția generală trebuie construită individual. Pentru a face acest lucru, trebuie să utilizați modelul de management al riscului pentru infrastructurile cloud.

Securitatea fizică se bazează pe controlul strict al accesului fizic la servere și infrastructura de rețea. Spre deosebire de securitatea fizică, securitatea rețelei se referă în primul rând la construirea unui model robust de amenințare care include protecție împotriva intruziunilor și un firewall. Utilizarea unui firewall presupune operarea unui filtru pentru a distinge rețelele interne ale centrului de date în subrețele cu diferite niveluri de încredere. Acestea pot fi servere separate accesibile de pe Internet sau servere din rețelele interne.
În cloud computing, cel mai important rol al platformei este jucat de tehnologia de virtualizare. Pentru a păstra integritatea datelor și a asigura protecția, să ne uităm la principalele amenințări cunoscute la adresa cloud computing.

1. Dificultăți la mutarea serverelor convenționale în cloud de calcul

Cerințele de securitate pentru cloud computing nu sunt diferite de cerințele de securitate ale centrului de date. Cu toate acestea, virtualizarea centrelor de date și tranziția către mediile cloud duc la apariția de noi amenințări.
Acces la internet pentru control putere de calcul una dintre caracteristicile cheie ale cloud computingului. În majoritatea centrelor de date tradiționale, accesul inginerilor la servere este controlat la nivel fizic; în mediile cloud, aceștia lucrează prin Internet. Delimitarea controlului accesului și asigurarea transparenței modificărilor la nivel de sistem este unul dintre principalele criterii de protecție.

2. Mașini virtuale dinamice

Mașinile virtuale sunt dinamice. Crea mașină nouă, opriți-l să funcționeze, începeți din nou se poate face în scurt timp. Sunt clonate și pot fi mutate între servere fizice. Această variabilitate afectează cu greu proiectarea integrității sistemului de securitate. Cu toate acestea, vulnerabilitățile din sistemul de operare sau din aplicațiile dintr-un mediu virtual se propagă în mod necontrolat și adesea se manifestă după o perioadă de timp arbitrară (de exemplu, la recuperarea de la backup). În mediile de cloud computing, este important să capturați în siguranță starea protecției unui sistem, iar aceasta ar trebui să fie independentă de starea și locația acestuia.

3. Vulnerabilități în interiorul mediului virtual

Servere de cloud computing și servere locale utilizați aceleași sisteme de operare și aplicații. Amenințare pentru sistemele cloud hacking de la distanță sau infecția cu malware este mare. Riscul pentru sistemele virtuale este, de asemenea, mare. Mașinile virtuale paralele măresc suprafața de atac. Un sistem de detectare și prevenire a intruziunilor trebuie să fie capabil să detecteze activitatea rău intenționată la nivelul mașinilor virtuale, indiferent de locația acestora în mediul cloud.

4. Protejați mașinile virtuale inactive

Când o mașină virtuală este oprită, riscă să fie infectată. Accesul în rețea la depozitul de imagini al mașinii virtuale este suficient. Este absolut imposibil să rulați software de securitate pe o mașină virtuală oprită. În acest caz, protecția trebuie implementată nu numai în cadrul fiecărei mașini virtuale, ci și la nivel de hypervisor.

5. Protecția perimetrului și demarcarea rețelei

Cu cloud computing, perimetrul rețelei se estompează sau dispare. Acest lucru duce la faptul că protecția părții mai puțin sigure a rețelei determină nivelul general de securitate. Pentru a distinge segmentele cu niveluri diferite de încredere în cloud, mașinile virtuale trebuie să se protejeze prin mutarea perimetrului rețelei la mașina virtuală în sine (Fig. 1.). Firewall-ul corporativ este componenta principală pentru implementarea politicilor de securitate IT și delimitarea segmentelor de rețea care nu sunt capabile să afecteze serverele găzduite în medii cloud.

Atacurile asupra norilor și soluții pentru a le elimina

1. Atacurile tradiționale asupra software-ului

Vulnerabilitățile sistemelor de operare, componentelor modulare, protocoale de rețeași altele - amenințări tradiționale, pentru protecție împotriva cărora este suficient să instalați un firewall, firewall, antivirus, IPS și alte componente care decid această problemă. În același timp, este important ca aceste instrumente de protecție să funcționeze eficient în condiții de virtualizare.

2. Atacurile funcționale asupra elementelor cloud

Acest tip de atac este asociat cu stratificarea norului, principiu general Securitate. Într-un articol despre pericolele cloud-urilor, s-a propus următoarea soluție: Pentru a proteja împotriva atacurilor funcționale, pentru fiecare parte a cloud-ului ar trebui utilizate următoarele protecții: pentru un proxy - protecție eficientă împotriva atacurilor DoS, pentru un server web - pagină controlul integrității, pentru un server de aplicații - un ecran de nivel aplicații, pentru un DBMS - protecție împotriva injecțiilor SQL, pentru un sistem de stocare a datelor - backup-urile corecte (backup), controlul accesului. Separat, fiecare dintre aceste mecanisme de protecție a fost deja creat, dar ele nu sunt reunite pentru o protecție completă a cloud-ului, astfel încât sarcina de a le integra în sistem unic trebuie să fie decis în momentul creării cloud-ului.

3. Atacurile asupra clientului

Majoritatea utilizatorilor se conectează la cloud folosind un browser. Acesta acoperă atacuri precum Cross Site Scripting, deturnarea parolelor, deturnarea sesiunii web, man in the middle și multe altele. Singura apărare împotriva acestui tip de atac este autentificarea adecvată și utilizarea unei conexiuni criptate (SSL) cu autentificare reciprocă. Cu toate acestea, aceste protecții nu sunt foarte convenabile și foarte risipitoare pentru creatorii de cloud. Există încă multe probleme nerezolvate în această ramură a securității informațiilor.

4. Atacurile la hypervisor

Hipervizorul este unul dintre elementele cheie sistem virtual. Funcția sa principală este de a împărți resursele între mașini virtuale. Un atac asupra unui hypervisor poate duce la o mașină virtuală capabilă să acceseze memoria și resursele alteia. De asemenea, va fi capabil să intercepteze traficul de rețea, să ia resurse fizice și chiar să elimine mașina virtuală de pe server. Ca metode standard de protecție, se recomandă utilizarea produselor specializate pentru medii virtuale, integrarea serverelor gazdă cu un serviciu de director Director activ, să impună politicile privind complexitatea și vechimea parolelor și să standardizeze procedurile de accesare a controalelor serverului gazdă, să aplice firewallul încorporat al gazdei de virtualizare. De asemenea, este posibil să se oprească atât de des servicii neutilizate cum ar fi accesul web la serverul de virtualizare.

5. Atacurile asupra sistemelor de control

Un număr mare de mașini virtuale utilizate în cloud necesită sisteme de management care pot controla în mod fiabil crearea, transferul și eliminarea mașinilor virtuale. Intervenția în sistemul de control poate duce la apariția unor mașini virtuale invizibile care pot bloca unele mașini virtuale și pot înlocui altele.

Soluții de protecție împotriva amenințărilor de securitate de la Cloud Security Alliance (CSA)

Cloud Security Alliance (CSA) a publicat cele mai eficiente apărări de securitate în cloud. În urma analizei informațiilor publicate de companie, au fost propuse următoarele soluții.

1. Securitatea datelor. Criptare

Criptarea este una dintre cele mai multe moduri eficiente protejarea datelor. Furnizorul care oferă acces la date trebuie să cripteze informațiile clientului stocate în centrul de date, iar în cazul în care nu este nevoie să le ștergă definitiv.

2. Protecția datelor în tranzit

Datele criptate în tranzit ar trebui să fie disponibile numai după autentificare. Datele nu pot fi citite sau modificate, chiar dacă sunt accesate prin gazde nede încredere. Astfel de tehnologii sunt bine cunoscute, algoritmii și protocoalele fiabile AES, TLS, IPsec sunt folosite de mult timp de furnizori.

3. Autentificare

Autentificare - protecție prin parolă. Pentru a asigura o fiabilitate mai mare, ei recurg adesea la mijloace precum jetoane și certificate. Pentru interacțiunea transparentă a furnizorului cu sistemul de identificare în timpul autorizării, se recomandă și utilizarea LDAP (Lightweight Directory Access Protocol) și SAML (Security Assertion Markup Language).

4. Izolarea utilizatorului

Utilizarea unei mașini virtuale individuale și a unei rețele virtuale. Rețelele virtuale trebuie să fie implementate folosind tehnologii precum VPN (Virtual Private Network), VLAN (Virtual Local Area Network) și VPLS (Virtual Private LAN Service). Adesea, furnizorii izolează datele utilizatorilor unul de celălalt schimbând datele codului într-un singur mediu software. Această abordare are riscuri asociate cu pericolul de a găsi o gaură în codul non-standard care permite accesul la date. In caz de posibilă eroareîn cod, utilizatorul poate obține datele altuia. Recent, astfel de incidente au avut loc adesea.

Concluzie

Soluțiile descrise pentru a proteja împotriva amenințărilor de securitate cloud computing au fost aplicate în mod repetat integratori de sistemîn proiecte cloud private. După aplicarea acestor soluții, numărul incidentelor care au avut loc a scăzut semnificativ. Dar multe dintre problemele asociate cu protejarea virtualizării necesită încă o analiză atentă și o soluție bine gândită. Le vom analiza mai detaliat în articolul următor.

Shishkin V.M.

adnotare

Articolul analizează situația care se dezvoltă în prezent în legătură cu răspândirea intensivă a așa-numitelor servicii „cloud”. Se remarcă lipsa cercetării și caracterul contradictoriu al înțelegerii securității în „nor”, ​​iar acordarea încrederii este indicată ca principală condiție pentru utilizarea cu succes a acestei tehnologii. Posibilităţile de aplicare a metodologiei autorului şi instrumente software analiza orientată spre risc a obiectelor complexe, insuficient definite pentru studiul securității cloud computing.

Situația care se dezvoltă acum în legătură cu extinderea intensivă a așa-numitelor servicii cloud este analizată în lucrare. Studiul insuficient și discrepanța de înțelegere a securității în „cloud” este marcată și este subliniată menținerea încrederii ca o condiție de bază pentru utilizarea cu succes a acestor tehnologii. Lucrarea are în vedere posibilitățile tehnicii și software-ului autorului orientate spre analiza de risc a obiectelor complexe care nu sunt suficient de sigure pentru cercetarea securității cloud computing.

Introducere

Cloud computing se referă la tehnologiile de procesare a datelor în care resursele (memorie, procesor, spațiu pe disc etc.) sunt furnizate utilizatorului ca servicii de Internet. Utilizatorul are acces la datele sale, în timp ce toată grija de întreținerea infrastructurii revine în totalitate furnizorului de servicii. Termenul „nor” acționează ca o metaforă bazată pe imaginea Internetului în diagrame. retele de calculatoare. În 2008, IEEE a publicat o lucrare care definește cloud computing ca „o paradigmă în care informațiile sunt stocate permanent pe servere externe și temporar stocate în cache pe partea clientului”.

Serviciile cloud sunt un sector al serviciilor IT relativ nou, în dezvoltare rapidă, dar tehnologiile folosite în acestea nu trebuie considerate revoluționare, ele sunt doar o nouă metodă de livrare a serviciilor. Ele reprezintă următoarea etapă, și nu ultima, a tendinței de lungă durată determinată obiectiv către stocarea și procesarea distribuită, virtualizarea resurselor și înstrăinarea utilizatorului final de controlul direct asupra acestora. Noutatea lor esențială se manifestă,

poate organizatoric. Spre deosebire de tehnologiile anterioare, serviciile „cloud” au apărut în primul rând ca un proiect comercial. În consecință, acestea sunt furnizate în principal pe bază comercială, ceea ce creează dificultăți suplimentare pentru analiza utilizării lor; în orice caz, este încă dificil să se obțină date obiective sistematice privind siguranța lor din surse literare.

Pe baza propriei noastre experiențe, să ne alăturăm părerii autoarei: „Astăzi este destul de greu să vorbim despre securitatea cloud computingului”. Desigur, există câteva linii directoare de securitate dezvoltate, de exemplu, de eforturile Cloud Security Alliance (CSA), cu toate acestea, trebuie recunoscut că standardul tehnic pentru cloud computing este încă în stadiile incipiente de dezvoltare.

Totodată, cloud computing, ca una dintre tehnologiile de distribuție și virtualizare a resurselor, în care resursele și capacitățile sunt furnizate utilizatorului ca serviciu de internet, din punct de vedere al securității, la prima vedere, au avantaje față de tradiționale. tehnologii de interacțiune în structurile computerizate în rețea. Adevărat, accesați tehnologiile de virtualizare resursele rețelei au fost mult timp declarate, în special la Sun Microsystems, ca un mijloc aproape universal de a le proteja împotriva utilizării neautorizate, dar, recunoscând eficacitatea și utilitatea necondiționată a acestei abordări pentru creșterea securității resurse informaționale, desigur, nu putea deveni un panaceu pentru securitatea lor. Virtualizarea accesului, în special în ceea ce privește serviciile publice, în sine nu este capabilă să asigure securitatea informațiilor în sensul larg al cuvântului. Potrivit CSA, în ciuda prezenței mecanismelor de securitate încorporate în tehnologia cloud computing, atunci când se evaluează riscurile utilizării serviciilor cloud, este necesar să se țină cont un numar mare de circumstanțe. Adăugăm că nu sunt întotdeauna suficient de definite și pot fi subiective, ceea ce complică foarte mult analiza oricărei situații.

1. Prezentare generală a soluțiilor tehnologice

Să luăm în considerare câteva dintre soluțiile tehnologice utilizate în prezent pentru cloud computing pentru a ne da o idee despre ele în cea mai generală formă, fără referire la surse. Următoarele niveluri principale în arhitectura cloud computing sunt de obicei distinse:

infrastructura ca serviciu (IaaS); platformă ca serviciu (PaaS);

software ca serviciu (SaaS); stocare a datelor ( la locul de muncă) ca serviciu (DaaS); hardware ca serviciu (HHaaS);

PROCEDURILE CONFERINȚEI „TEHNOLOGII INFORMAȚIILOR

PROCEDURILE CONFERINȚEI „TEHNOLOGII DE INFORMATIZARE ÎN ACTIVITATEA PROFESIONALĂ”

VOL.II, IZHEVSK, 8–12 NOIEMBRIE 2011

comunicații ca serviciu (CaaS).

Figura 1 prezintă această diagramă de arhitectură.

Orez. 1. Arhitectura cloud computing

Lista nu se limitează la punctele de mai sus și se poate extinde pe măsură ce noi tendințe tehnologice, pot apărea diverse soluții hibride. Obișnuită în aceste tendințe este convingerea că Internetul este capabil să satisfacă toate nevoile utilizatorului de prelucrare a datelor („Totul ca serviciu”).

Sun Cloud Computing Resource Kit (SCCRK) se bazează pe principii open source: furnizarea de mecanisme de interoperabilitate pentru mari resurse informaticeși aplicații distribuite prin componente pentru cloud computing. Software complet disponibil în cloud: hypervisor (Sun xVM Server, bazat pe Xen), virtualizare OS (Solaris Containers), virtualizare rețea (Crossbow), virtualizare stocare

(COMSTAR, ZFS) și server de aplicații (GlassFish, Java CAPS).

Amazon EC2 este componenta centrală a sistemului de cloud computing Amazon Web Service (AWS) care vă permite să creați și să încărcați în

Amazon S3 (Simple Storage Component) imagini de mașini virtuale (Amazon Machine Image, AMI), configurați securitatea și acces la retea. Amazon S3 este o stocare virtuală care este accesată printr-un serviciu web. La fel ca SCCRK, Amazon oferă software pentru toate nivelurile de construire a cloud. Noua dezvoltare a Amazon - CCI (Cluster Compute Instances) - este concepută pentru a transfera scalabilitatea și flexibilitatea inerente abordării cloud către aplicațiile de înaltă performanță. Compania a introdus produsul clasic Grid bazat pe tehnologii cloud - reprezintă tranziția de la Cloud la Grid -

PROCEDURILE CONFERINȚEI „TEHNOLOGII INFORMAȚIILOR

PROCEDURILE CONFERINȚEI „TEHNOLOGII DE INFORMATIZARE ÎN ACTIVITATEA PROFESIONALĂ”

VOL.II, IZHEVSK, 8–12 NOIEMBRIE 2011

un fenomen opus evoluției obișnuite de la Grid la Cloud. De fapt, capacitatea unui număr mare de servere rack standard este închiriată. În același timp, rămâne posibilă conectarea nodurilor suplimentare în orice moment și garantează o rată mare de schimb de date (până la 10 Gb/s) între toate nodurile. Până acum, familia Cluster Compute Instances include o singură soluție - Cluster Compute Quadruple Extra Large. Caracteristicile sale sunt următoarele: 23 GB memorie cu acces aleator, 33 de noduri EC2 standard cu două quad-core procesoare Intel Xeon X5570 bazat pe microarhitectura Nehalem și 1690 GB spațiu pe disc. Sistemul de operare implicit este CentOS Linux.

Terremark oferă soluții cloud prin programul de afiliere

vCloud Express de la VMware. Serviciile GoGrid se bazează pe soluții tehnologice bazate pe hypervisorul Xen pentru a lansa un web

aplicatii. Joyent oferă soluții dezvoltate de Twitter.com. Microsoft Windows

Azure este un serviciu IaaS. Scopul principal și sarcina stabilită pentru serviciu este integrarea totală a sistemului de operare Windows și a tot ceea ce este legat de acesta în mediul cloud. noros solutie google Bazat pe o infrastructură masivă și tolerantă la erori și pe standarde și tehnologii OpenSource, App Engine oferă o platformă pentru dezvoltarea și rularea aplicațiilor în mediul lor informațional.

NewServers oferă toate serverele reale ca serviciu pentru acei utilizatori care pun la îndoială calitatea serviciului și performanța mediilor virtuale, dar care au nevoie de toate beneficiile cloud-ului. Savvis susține că nivelul ridicat de securitate al serviciilor lor cloud este un factor atractiv pentru clienții întreprinderi care intenționează să utilizeze soluții cloud.

Informațiile de mai sus sunt departe de a epuiza piața de soluții în exterior diverse. Vulnerabilitatea comună a tuturor propunerilor este afirmația deja menționată că Internetul este capabil să satisfacă toate nevoile utilizatorilor, deoarece Internetul în sine este vulnerabil în multe privințe. În același timp, utilizatorii de obicei nici nu se gândesc la faptul că, din motive economice, serverele folosite de furnizori sunt adesea situate fizic pe teritoriile altor state. Adică, un factor important care este important pentru securitate, despre care s-a mai menționat, este caracterul comercial al furnizării de servicii cloud, care, în primul rând, nu contribuie la dezvăluirea problemelor care pot apărea de la consumatori, în special cei necalificați, și, în al doilea rând, îngreunează accesul la informații obiective, în special cu privire la statisticile incidentelor.

(http://www.gazeta.ru/interview/nm/s3680945.shtml) Director de dezvoltare strategică al SKB Kontur: „Încercăm să nu folosim cuvântul „nor” pentru că utilizatorului îi este frică de el”.

PROCEDURILE CONFERINȚEI „TEHNOLOGII INFORMAȚIILOR

PROCEDURILE CONFERINȚEI „TEHNOLOGII DE INFORMATIZARE ÎN ACTIVITATEA PROFESIONALĂ”

VOL.II, IZHEVSK, 8–12 NOIEMBRIE 2011

1. Probleme de securitate în cloud computing

Astfel, primul aspect al problemei de securitate în cloud computing este lipsa cercetării, certitudinea și eterogenitatea factorilor de risc (vulnerabilități, amenințări etc.), complexitatea structurii interacțiunii acestora.

În plus, problema asigurării securității în tehnologiile cloud computing trebuie luată în considerare din două puncte de vedere: furnizorul de servicii și utilizatorii serviciilor „cloud”. Poate părea că ar trebui să se potrivească, pentru că ambele părți sunt interesate de același rezultat – securitatea serviciilor. Cu toate acestea, de fapt, motivele, scopurile și înțelegerea proceselor sunt diferite pentru părți, chiar opuse într-un sens și, prin urmare, modelele lor de risc diferă.

Punctul de vedere al utilizatorului, înțelegerea acestuia asupra securității este determinat de înstrăinarea de sub control nu numai a resurselor informatice tehnologice, ci și a propriilor sale informații, ceea ce dă naștere în mod firesc la un anumit grad de neîncredere în ceea ce privește securitatea serviciilor oferite. Principalele întrebări care ar trebui să apară de la utilizator (dar nu apar neapărat) sunt următoarele: cum și în ce măsură sunt asigurate siguranța datelor stocate și protecția datelor în timpul transmiterii; care sunt procedurile de autentificare a utilizatorilor și cât de fiabile sunt acestea; cum este asigurată izolarea utilizatorilor în „cloud”; cum sunt procesate și care este răspunsul la incidente; în sfârșit, cum este asigurată și respectată curățenia legală a prelucrării datelor, în special a celor semnificative din punct de vedere juridic. Furnizorul nu poate oferi răspunsuri transparente la aceste întrebări.

Această din urmă împrejurare dă naștere unor obstacole specifice în calea introducerii serviciilor „cloud” în organizațiile guvernamentale - în special, aceasta este problema securității prelucrării datelor cu caracter personal ale cetățenilor în „nor”. Mai mult, reglementările legale împiedică transferul unor aplicații de eGovernment în cloud. Prin urmare, sarcina principală a furnizorului de a reduce riscul comercial este de a dovedi încrederea în serviciile cloud, deoarece serviciile de securitate în tehnologiile cloud computing sunt declarate, dar practic nu sunt verificate de către utilizator.

Astfel, un alt aspect necesar al luării în considerare a problemei securității în cloud computing este determinat de prezența a doi subiecți interdependenți, dar nu egali și nu la fel de responsabili, ai relațiilor cu obiective de securitate nepotrivite.

Problema securității și încrederii în cloud computing ar trebui luată în considerare nu numai în raport cu prezentul, ci, mai important, în contextul tendinței de distribuție și virtualizare inevitabile a resurselor, stadiul de dezvoltare al căruia se află această tehnologie. Așadar, problema trebuie investigată ținând cont de perspectiva când aceasta devine și mai complicată, adică să identificăm, în primul rând, factorii de risc fundamentali.

PROCEDURILE CONFERINȚEI „TEHNOLOGII INFORMAȚIILOR

PROCEDURILE CONFERINȚEI „TEHNOLOGII DE INFORMATIZARE ÎN ACTIVITATEA PROFESIONALĂ”

VOL.II, IZHEVSK, 8–12 NOIEMBRIE 2011

Se poate presupune că actuala lipsă de apărare a unui utilizator obișnuit de internet este doar o mică aparență a posibilelor probleme legate de migrarea spontană în masă către „nori” comerciali.

Deci, cloud computing, fiind o nouă metodă de furnizare a serviciilor IT, are o serie de caracteristici care simplifică atât securitatea, cât și necesită o evaluare suplimentară a riscurilor, atât tradiționale (din punct de vedere al integrității, confidențialității și disponibilității), cât și asociate cu înstrăinarea fizică a activelor. de la proprietar., inclusiv cele legale. În consecință, problema securității serviciilor „cloud” nu poate fi considerată doar tehnică și trebuie luată în considerare și rezolvată într-o manieră complexă, ținând cont de factorii eterogenei și conflictuali. În final, se rezumă la problema încrederii și a lipsei mijloacelor practice de a-și crește nivelul.

În plus, problema securității, încrederea în cloud computing ar trebui să fie luate în considerare în contextul tendinței de distribuție și virtualizare a resurselor, după cum s-a menționat mai sus, stadiul de dezvoltare al căruia se află această tehnologie. Experiența proprie în analiza de risc a tehnologiilor GRID, care, datorită funcționalității și utilizării non-publice, sunt mai puțin sensibile din punct de vedere al securității, iar riscurile din acestea sunt predominant de natură tehnică, a arătat că chiar și această sarcină este nu este usor. Mai mult, vor apărea noi probleme, iar sarcina analizei riscurilor va deveni mai complicată în viitorul apropiat pe măsură ce tehnologiile se dezvoltă și răspândirea „cloud” și a altor servicii similare. Acestea devin din ce în ce mai populare, mai ales în ultima perioadă, când resursele financiare limitate obligă companiile să optimizeze costurile.

Potrivit analiștilor, piața serviciilor cloud în 2009 s-a ridicat la aproximativ 17 miliarde de dolari, iar până în 2013 va ajunge la 44,2 miliarde.. 50 de țări din Europa, Orientul Mijlociu și Africa, 33% dintre managerii IT folosesc deja „cloud” cu succes. tehnologii. Cu toate acestea, o cincime dintre respondenți încă cred că riscurile adoptării cloud depășesc beneficiile. Peste 18% dintre profesioniștii IT speră să folosească cloud computing în proiecte viitoare, în timp ce ceilalți 18% nu s-au hotărât încă asupra niciunui plan. Restul de 63% nu intenționează să adopte abordări „cloud” în companiile lor. Doar 9,4% dintre profesioniștii IT intenționează în prezent să folosească serviciile cloud pentru a rula aplicații critice, deși aproximativ două treimi (63%) dintre organizații sunt dispuse să își asume riscurile de afaceri legate de IT și 12,1% dintre companii sunt pregătite să își asume riscuri mari. sperand la randamentul maxim. În topul priorităților pentru 58% dintre respondenți se află protecția datelor confidențiale în „nori”.

Având în vedere că o parte semnificativă a serviciilor „cloud” sunt solicitate în Europa (971 milioane euro în 2008, până la 6,005 miliarde în 2013),

PROCEDURILE CONFERINȚEI „TEHNOLOGII INFORMAȚIILOR

PROCEDURILE CONFERINȚEI „TEHNOLOGII DE INFORMATIZARE ÎN ACTIVITATEA PROFESIONALĂ”

VOL.II, IZHEVSK, 8–12 NOIEMBRIE 2011

Agenția Europeană pentru Securitatea Rețelelor și a Informațiilor (ENISA) a investigat riscurile asociate cu astfel de servicii. Evaluarea securității cloud computing a fost realizată ținând cont de trei tendințe și scenarii principale: 1) migrarea întreprinderilor mijlocii către servicii „cloud”, 2) impactul cloud computing-ului asupra durabilității serviciilor, 3) utilizarea cloud-ului. calculatoare în eGovernment, sisteme de e-sănătate și alte proiecte la scară largă semnificative din punct de vedere social. Mulți analiști, inclusiv experții Gartner, observă că reducerea costurilor și scalabilitatea ridicată sunt cele mai importante argumente pentru migrarea către serviciile „cloud”, iar problemele de confidențialitate a informațiilor și responsabilitatea pentru incidentele cu infrastructura utilizată sunt cele mai mari îngrijorări.

Experții consideră că unul dintre riscurile evidente de securitate ale cloud computing-ului este pierderea controlului, deoarece clientul transferă pârghii individuale de management al sistemului IT către furnizor, iar contractele de nivel de servicii nu conțin adesea obligații legate de securitate. Mai mult, acțiunile furnizorului, care nu sunt întotdeauna transparente, pot crea dificultăți suplimentare în ceea ce privește conformitatea. În plus, până acum nu există multe instrumente, proceduri, formate standard de interfață care să garanteze portabilitatea datelor, aplicațiilor și serviciilor. Acest lucru complică (chiar și în teorie) migrarea de la un furnizor la altul sau la propriile resurse IT și provoacă dependență.

Cu toate acestea, dacă riscurile asociate cu activitățile furnizorilor pot fi urmărite într-o oarecare măsură chiar și în etapa de alegere a unui furnizor de servicii, atunci este puțin probabil că va fi posibilă ocolirea deficiențelor determinate tehnologic ale sistemelor de cloud computing. În primul rând, orice sistem mare este o țintă de dorit pentru tot felul de atacatori și, deși probabilitatea de a sparge protecția îmbunătățită este mai mică decât în ​​cazul sistemelor mici, daunele cauzate de acestea pot fi mult mai grave. Deoarece punctul cheie al cloud computing-ului este partajarea resurselor, există riscuri de eșec a mecanismelor de izolare a stocării, memorie, rutare a diferiților chiriași.

Problema protecției datelor este, de asemenea, acută - în primul rând, accesul la interfețele de gestionare și la date se realizează prin internet și sisteme acces de la distanță, ca și browserele, au propriile lor vulnerabilități. În al doilea rând, utilizatorului îi este dificil să verifice practicile de date ale furnizorului, mai ales dacă activitatea este asociată cu un schimb intens de informații. Și în al treilea rând, o solicitare de ștergere a datelor, de regulă, nu implică distrugerea lor fizică completă; De asemenea, curățarea periodică a copiilor stocate nu este întotdeauna posibilă, ceea ce înseamnă riscuri mai mari pentru client decât atunci când lucrează cu echipamente proprii. Și, desigur, factorul uman nu poate fi redus – în cazul cloud computing-ului

PROCEDURILE CONFERINȚEI „TEHNOLOGII INFORMAȚIILOR

PROCEDURILE CONFERINȚEI „TEHNOLOGII DE INFORMATIZARE ÎN ACTIVITATEA PROFESIONALĂ”

VOL.II, IZHEVSK, 8–12 NOIEMBRIE 2011

Activitatea neautorizată a persoanelor din interior poate duce la consecințe deosebit de grave, iar o protecție fiabilă împotriva acestui lucru nu este de așteptat.

Nu există încă remedii universale pentru alte amenințări, totuși, experții europeni au elaborat o serie de recomandări pentru a minimiza riscurile asociate cu migrarea la cloud computing, asumându-și o împărțire clară a responsabilităților clientului și furnizorului în probleme de securitate. Calificările factorilor de decizie de securitate, mecanismele tehnice și procesul de gestionare a riscurilor, nivelul de testare a serviciilor, capacitatea furnizorului de a detecta vulnerabilități neașteptate și de a monitoriza activitatea anormală, conformitatea cu reglementările, capacitatea furnizorului de a stoca și procesa date într-o anumită jurisdicție, izolarea datelor, instrumente de continuitate a afacerii - aceștia sunt principalii factori cărora trebuie să le acordați atenție atunci când migrați către „nori”. Agențiile guvernamentale trebuie, de asemenea, să se asigure că furnizorul poate oferi informații complete și control asupra locației fizice curente a datelor, dacă acceptă schema de clasificare acceptată, dacă garantează izolarea completă a resurselor clienților (adică fără partajarea computere fizice), dacă este acceptată autentificarea cu doi factori și dacă furnizorul respectă specificațiile ISO

Figura 2, prezentată în , ilustrează unele dintre argumentele pro și contra utilizării tehnologiilor cloud computing.

Orez. 2. Cloud computing: argumente pro și contra

Experții consideră că cloud computing, care oferă schimbări semnificative în abordările implementării afacerii, are nevoie de instrumente adecvate de evaluare a riscurilor pentru a identifica și a stabili nivelurile de pericole potențiale în raport cu tehnologia.

PROCEDURILE CONFERINȚEI „TEHNOLOGII INFORMAȚIILOR

PROCEDURILE CONFERINȚEI „TEHNOLOGII DE INFORMATIZARE ÎN ACTIVITATEA PROFESIONALĂ”

VOL.II, IZHEVSK, 8–12 NOIEMBRIE 2011

beneficii. Astfel, pentru a exploata pe deplin potențialul tehnologic al cloud computing-ului, este necesar să se asigure un nivel adecvat de securitate și încredere în informații, dar pentru aceasta este necesar să se poată, în primul rând, să identifice și să evalueze riscurile.

2. Declarație și abordare a rezolvării problemei analizei riscurilor cloud computing

În conformitate cu starea problemei prezentate mai sus, sarcina analizei de risc a cloud computing-ului în general este pusă până în prezent după cum urmează. Sunt necesare o metodologie de analiză a riscurilor adecvată complexității și incertitudinii problemei și instrumente capabile de dezvoltare adaptivă care să permită, în conformitate cu obiectivele securității integrate a consumatorilor, identificarea, definirea și structurarea factorilor de risc eterogene pentru cloud computing, obținerea cantitative. estimări ale semnificației acestora, precum și eficacitatea măsurilor și contramăsurilor pentru sprijinirea adoptării unor decizii informate și cu scop care contribuie la creșterea nivelului de securitate și încredere în serviciile cloud. Ca sarcină minimă, avem în vedere dezvoltarea unui model de risc cloud computing care să îndeplinească cerințele și capabilitățile de mai sus, bazat pe instrumente software suficiente funcțional, fără posibilitatea de replicare, dar oferind repetabilitate și verificabilitate a rezultatelor.

În același timp, este clar că, din cauza lipsei surselor sistematizate de informare și a potențialului complexitate a sarcinii, nu se poate conta imediat pe completitudinea reprezentării modelului, mai ales că abordarea noastră este axată pe dezvoltarea tehnologia modelării și acumularea de informații. Cu toate acestea, chiar și în versiunea minimă, se plănuiește obținerea de informații cu siguranță noi, deoarece astfel de studii nu au fost încă efectuate în legătură cu cloud computing. Anterior, am făcut estimări similare pentru analiza riscurilor în cadrul programului de cercetare fundamentală al Prezidiului Academiei Ruse de Științe: „Probleme de creare a unui mediu național de informare științifică distribuită și de calcul bazat pe dezvoltarea tehnologiilor GRID și a rețelelor moderne de telecomunicații. ." Totuși, sarcina stabilită, dacă nu se limitează, de exemplu, doar la pragmatica tehnică sau, dimpotrivă, la un economism destul de adecvat, dar considerat în complexul tuturor aspectelor, pare mai nebanal.

Abordarea pe care o folosim pentru rezolvarea problemei poate fi considerată în clasa sistemelor expert de analiză a riscurilor informaționale, dar are unele avantaje față de acestea, mai ales când este vorba de obiecte informaționale complexe, insuficient definite. Prin urmare, această abordare a fost utilizată și în alte domenii.

PROCEDURILE CONFERINȚEI „TEHNOLOGII INFORMAȚIILOR

PROCEDURILE CONFERINȚEI „TEHNOLOGII DE INFORMATIZARE ÎN ACTIVITATEA PROFESIONALĂ”

VOL.II, IZHEVSK, 8–12 NOIEMBRIE 2011

Ca bază structurală pentru modelul de analiză a riscului și algoritmizarea metodologiei de identificare a profilului de risc, abordarea noastră utilizează un metamodel care permite diverse interpretări semnificative și algoritmice.

Este construit pe o opoziție dihotomică: „obiectul protejat” este un „mediu” potențial ostil în sensul cel mai larg al acestor cuvinte. Se subliniază necesitatea fixării „limitei obiectului”, sau, din punct de vedere funcțional, a „limitei de responsabilitate”, și a „limitei externe a mediului”, care limitează zona de acoperire pentru a contracara factorii de risc.

Elementele modelului sunt definite în termeni de trei categorii: subiecte, obiecte și efectele primului asupra celor din urmă. O astfel de calificare generală a elementelor permite ca modelul să fie utilizat într-o gamă mai largă de studii. În consecință, categoriile sunt împărțite în trei care nu se suprapun

„amenințări” de încălcări de securitate - setul M e (evenimente de amenințare), în care

este identificat un subset al așa-numitelor „evenimente de risc” - amenințări care dăunează direct obiectului;

„componentele” obiectului este mulțimea M c (componentele).

Pe mulţimea M 0 se defineşte cel puţin un tip de relaţie: binară

o relație de cauzalitate R cu proprietatea tranzitivității, la care se pot reduce multe conexiuni care au caracter implicativ.R ordin M 0

și stabilește pe el o structură care fixează canalele de distribuție a fluxurilor de amenințări de la surse la obiect și generează o matrice pătrată de relații

W0.

Scopul implementează „sistemul de securitate a informațiilor” - IPS, sau, în cazul general, sistemul de protecție împotriva factorilor de risc, care poate fi reprezentat ca un set de elemente S , fiecare dintre acestea acționând asupra elementelor din M 0 . Între elementele mulţimilor S şi M 0 se stabileşte

o relație similară formal cu R care generează o matrice de relații dreptunghiulare R 0 .

Figura 3 prezintă o ilustrare simplă a unei astfel de reprezentări a metamodelului.

PROCEDURILE CONFERINȚEI „TEHNOLOGII INFORMAȚIILOR

PROCEDURILE CONFERINȚEI „TEHNOLOGII DE INFORMATIZARE ÎN ACTIVITATEA PROFESIONALĂ”

VOL.II, IZHEVSK, 8–12 NOIEMBRIE 2011

Orez. 3. Schema bloc a metamodelului

Sursele de amenințări din M s sunt considerate generatoare ale unui flux de evenimente (amenințări) care se propagă prin canalele specificate de raportul R la M 0 . Elemente

reprezentând evenimente de risc, se formează un flux de amenințări care afectează direct obiectul din M ​​c . Atunci mijloacele de protecție împotriva S pot fi

interpretează ca filtre.

Rolul elementului condițional z corespunzător stării obiectului în ansamblu, ca convertor, este limitat de funcția de adunator-integrator. Atunci la ieșirea z se poate fixa debitul rezultat f T , integrala a

care într-un anumit interval de timp este, de fapt, o măsură de risc pentru un obiect, măsurată prin paguba cauzată acestuia în acest timp.

Cea mai simplă interpretare cantitativă a metamodelului, care presupune natura liniară a relațiilor în W 0 , o mapează într-o aritmetică

matricea W (w ij ) ale cărei elemente pot fi considerate ponderate

coeficienți care au semnificația măsurării influenței elementului i-lea asupra j-lea. Ea este

conține toate datele inițiale pentru calcule pe model, obținute și prezentate într-un fel sau altul.

ținând cont de tranzitivitatea lui R . Ca rezultat, se determină o matrice V care este echivalentă structural cu W . În absența reflectării elementelor, dacă W este considerată o matrice de adiacență ponderată a unui grafic, ele sunt ușor de calculat pe grafic în termeni corespunzători ca sume pe toate căile de la i-lea la j-lea.

PROCEDURILE CONFERINȚEI „TEHNOLOGII INFORMAȚIILOR

PROCEDURILE CONFERINȚEI „TEHNOLOGII DE INFORMATIZARE ÎN ACTIVITATEA PROFESIONALĂ”

VOL.II, IZHEVSK, 8–12 NOIEMBRIE 2011

vârful produselor estimărilor arcurilor fiecărei căi, care este echivalent cu transformarea matriceală V (I W )1 ​​​​I .

Cu toate acestea, în cazul general, un astfel de calcul nu este posibil și apoi V este calculat folosind aparatul lanțurilor Markov, după cum urmează. Blocul din stânga de coloane zero corespunzător setului M s este exclus din W, blocul orizontal superior este selectat sub forma unei matrice W s

V e det(D e )(D e 1 ).

Ultima a z-a coloană v z a matricei V, întotdeauna diferită de zero, conține indicatorii doriti (v iz ) ai influenței oricărui i-lea factor de risc asupra

securitatea obiectului. Acești indicatori ar trebui să orienteze în mod intenționat crearea unui sistem de protecție pentru a contracara cei mai semnificativi factori de risc.

Pentru a obține o evaluare cantitativă a eficacității sistemului de protecție, se aritmetizează și matricea R 0, iar matricea corespunzătoare R (r kj )

conţine estimări ale impactului elementului k al ISS asupra factorului de risc j. Mai departe

se transformă într-un vector r , unde r j 1 (1r kj ) , sau complementar

its u ,u j 1r j ,r j 1,u j 0 , reprezentând acţiunea comună a elementelor sistemului de protecţie. Apoi indicatorul de performanță globală r z

calculat

Următorul

In primul rand,

determinat

W(I-diag(u

)W )1

Unde u

– părți vectoriale

tu cu componente,

legate de

respectiv

la elemente

seturi

Dna și

restul

elemente din M e , apoi, folosind compoziţia

ν (e s ;ν s ), unde es este un vector,

constând

unități de ordine

cantitate

elemente

în M s ,

determinat

r z(v r ) v z,

reprezintă

Operațiune

înmulțirea pe elemente a vectorilor.

afișează

interacţiune

elemente

a sistemului simulat, ținând cont de efectele multiplicative greu previzibile ale influențelor indirecte la distanță și ale conexiunilor ciclice, fiind în același timp o evaluare relativă a modificării caracteristicii integrale a fluxului de amenințări rezultat.

Factorii de risc pot fi, de asemenea, asociați cu obiecte fizice prin specificarea unui set P care reprezintă echipamente, medii fizice, personal și

protecţie pentru a obţine evaluări ale importanţei echipamentului în raport cu siguranţa sistemului.

În starea sa actuală, metodologia a fost îmbunătățită semnificativ în ceea ce privește prezentarea datelor inițiale. Ele nu sunt neapărat numerice, este permisă neclaritatea, inclusiv relațiile și incompletitudinea, iar estimările rezultate sunt obținute într-o formă stocastică, ceea ce contribuie la o mai mare încredere în ele.

Primul și cel mai dificil pas în această abordare atunci când se construiește un model de risc cloud computing este o analiză semnificativă neformalizabilă a documentației și a surselor literare ca cunoștințe de specialitate pentru a identifica mulți factori de risc relevanți. După cum sa menționat deja, această lucrare nu este banală, dar în orice volum efectuat are un rezultat pozitiv în ceea ce privește acumularea de informații, în acest stadiu ne aflăm acum. Operațiile ulterioare de structurare a mulțimii (taxonomice și logice), evaluative și computaționale, sunt deja efectuate în mod automatizat, sunt variabile și vizează obținerea de rezultate aplicate.

Concluzie

Tehnologiile de cloud computing sunt următoarea și nu ultima etapă în dezvoltarea tendinței de distribuție și virtualizare a resurselor informaționale și tehnologice, care a devenit remarcabilă cel puțin încă din anii 70-80 ai secolului trecut. Este suficient să ne amintim în acest sens retele de calculatoare utilizarea colectivă a acelor ani pe baza unor mainframe îndepărtate geografic. Problemele de securitate ale unor astfel de tehnologii au fost întotdeauna, deși nu întotdeauna formulate explicit în termeni de securitate, deoarece acestea erau probleme ale profesioniștilor și ale profesioniștilor, al căror număr era relativ mic. Erau destul de specifice, lipsite de subiectivism, se aflau în plan organizatoric și tehnic și erau rezolvate prin mijloace adecvate.

Dezvoltarea și disponibilitatea în masă a rețelelor de calculatoare acces public a generat și continuă să genereze noi probleme de securitate a rețelei, care afectează aproape întreaga populație activă, iar majoritatea au depășit de mult aspectele tehnice înguste, au devenit umanitare sau socio-tehnice. Să facem o analogie: securitatea tehnologiilor GRID ca etapă anterioară în dezvoltarea direcției luate în considerare a fost, de asemenea, mai degrabă o problemă tehnică legată de un număr limitat de specialiști participanți la proiectele GRID. Acum, „norii”, ținând cont de perspectivele de dezvoltare a acestei zone de servicii IT, traduc problemele de securitate ale tehnologiilor de distribuție a resurselor și virtualizare în

plan public și, în consecință, acestea ar trebui soluționate în ansamblu, pe baza unor interese diferite, inclusiv conflictuale.

Metodologia, algoritmii și instrumentele dezvoltate de noi, s-au concentrat pe analiza de risc pentru obiecte complexe, insuficient definite, de natură variată, ceea ce ne permite să realizăm analize de risc în condiții tipice noilor situații de incompletitudine și eterogenitate a datelor inițiale cu obținerea unui risc stocastic. profil, este un instrument adecvat pentru rezolvarea problemei. Ca parte a creării modelelor de risc orientate pe subiecte, au fost efectuate calcule preliminare folosind tehnologia de calcul paralel la distanță, care poate fi utilizată și în serviciile de cloud computing.

Bibliografie

1. Hewitt C. ORG-uri pentru scalabile, robuste, Cloud Computing pentru clienți prietenos cu confidențialitatea // IEEE Internet Computing, 2008, vol. 12, nr. 5, p. 96–99.

2. Chernyak L. Securitate: nor sau mlaștină? // sisteme deschise. SGBD, 2010, nr. 1, p. 16–19.

3. Ghid de securitate pentru zonele critice de interes în cloud computing V2.1.

Copyright © 2009 Cloud Security Alliance, 76 p. URL: https://cloudsecurityalliance.org/csaguide.pdf (Accesat 08/29/2011).

4. Youssef L. și colab. Către o ontologie unificată a cloud computingului.

5. Derieva E. „Norii”: avantaje și riscuri de securitate // Computer

6. Strelchenko Yu. Specialiștii IT recurg la „cloud computing”, în ciuda riscurilor [Resursa electronică] 24.03.2010. URL: http://net.compulenta.ru/517328 (accesat 29.08.2011).

7. Shishkin V.M. Analiza comparativă a metodelor de evaluare complexă a riscurilor în sistemele informaţionale // Informatica Regională (RI2010) / XII St.Petersburg conferinta Internationala. Sankt Petersburg: SPOISU, 2010, p. 150.

8. Shishkin V.M. Metamodel de analiză, evaluare și management al securității sistemelor informaționale // Probleme de management securitatea informatiei: Proceedings of the ISA RAS / Ed. D.S.Chereshkina. Moscova: Editorial URSS, 2002, p. 92–105.

9. Shishkin V.M., Savkov S.V. Metoda de estimare a intervalului în Sistemul de analiză a riscurilor // Proceedings of the A II International Conference on Security of Information and Networks. Famagusta, Cipru de Nord: New York: ACM, 2009, p. 3–7.

10. Shishkin V.M., Savkov S.V. Tehnica de aritmetizare incompletă

sisteme: Proceedings of the International Scientific School MA BR - 2010. St. Petersburg: GUAP, 2010, p. 295–300.

PROCEDURILE CONFERINȚEI „TEHNOLOGII INFORMAȚIILOR

PROCEDURILE CONFERINȚEI „TEHNOLOGII DE INFORMATIZARE ÎN ACTIVITATEA PROFESIONALĂ”

VOL.II, IZHEVSK, 8–12 NOIEMBRIE 2011

Companiile care se gândesc la tranziția la cloud computing (cloud computing) sunt cel mai preocupate de problema securității. Dar nu toată lumea știe că, printr-o abordare profesională a alegerii unui furnizor de servicii cloud, există o oportunitate de a crește nivelul de protecție a datelor tale. După cum se dovedește în practică, adesea furnizorul oferă un nivel de securitate mai ridicat decât cel pe care îl pot oferi companiile în cadrul propriei infrastructuri. Faptul este că furnizorii își asumă și dedică eforturi gigantice pentru a rezolva problemele legate de securitate. Adesea, toată activitatea de marketing a furnizorului se bazează pe garanții de securitate. Deservind afaceri de miliarde de dolari, furnizorii de cloud fac tot ce le stă în putință pentru a oferi cel mai sigur mediu posibil. Cu toate acestea, cloud computing aduce cu sine multe riscuri noi pentru potențialii utilizatori.

Înainte de a avea încredere într-un anumit furnizor, o companie ar trebui să se asigure că are într-adevăr mijloacele pentru a oferi nivelul de fiabilitate necesar pentru munca sigura cu aplicații și stocare de date în cloud. Din fericire, concurența din ce în ce mai mare pe piața serviciilor cloud îi obligă pe jucători să ofere mai multe opțiuni și, în multe cazuri, un control mai flexibil decât sunt dispuse organizațiile să ofere cu propriile infrastructuri IT. Cumpărătorii de cloud economisiți, care știu cu adevărat de ce au nevoie, pot trece de la un furnizor la altul în căutarea soluțiilor care sunt mai potrivite pentru ei.

Dar înainte de a se scufunda în cloud computing, clientul trebuie să stabilească lista completă de cerințe pentru platforma de calcul, inclusiv nivelul de securitate. În acest caz, puteți întreba direct furnizorul dacă platforma sa este capabilă să îndeplinească aceste cerințe. Pentru a nu greși în alegere, este extrem de important să știi ce întrebări să pui și ce anume să cauți în răspunsurile furnizorului.

Cine este de partea ta?

Până în prezent, cel mai bun expert în domeniu securitate în cloud este Cloud Security Alliance (CSA). Această organizație a lansat și a actualizat recent un ghid care include sute de nuanțe și cele mai bune practici de luat în considerare atunci când se evaluează riscul în cloud computing. Ghidul are 76 de pagini și, pentru a nu fi nevoit să citiți un document atât de lung, am selectat cele mai importante recomandări și am pus împreună o serie de întrebări pe care să le adresați mai întâi unui potențial furnizor de servicii cloud. Și a dat, de asemenea, răspunsurile pe care ar trebui să le primiți. Deși acest articol acoperă multe puncte cheie, vă recomandăm să citiți oricum manualul original.

O altă organizație ale cărei activități afectează aspectele de securitate în cloud este Trusted Computing Group (TCG). Ea este autoarea mai multor standarde în acest domeniu și în alte domenii, inclusiv Trusted Storage, Trusted Network Connect (TNC) și Trusted Platform Module (TPM), care sunt utilizate pe scară largă astăzi. Mai mult informatii detaliate aceste standarde pot fi obținute de pe site-ul web TCG.

Întrebări frecvente despre cloud computing

Punctele de mai jos sunt întrebări cheie pe care să le adresați furnizorului ale cărui servicii cloud intenționați să le utilizați. Fiecare întrebare se adresează uneia dintre cele șase domenii specifice, așa cum se arată în Figura 1.

Orez. unu: Zone de securitate de luat în considerare la selectare
furnizor de servicii cloud

Înainte de a vă adresa întrebărilor, ar trebui să înțelegeți beneficiile utilizării soluțiilor bazate pe standarde. Și acest lucru este valabil pentru toate domeniile de securitate. Sistemele proprietare au un nivel mai scăzut de fiabilitate în comparație cu sistemele bazate pe standarde și atât actorii de pe piață, cât și agențiile guvernamentale și organismele de standardizare sunt de acord cu acest lucru. De aceea, standarde precum Advanced Encryption Standard (AES) și Transport Layer Security (TLS) au devenit omniprezente. Au trecut ani de analiză și îmbunătățire. Mai mult, folosind sisteme de securitate bazate pe standarde general acceptate, clientul primește un avantaj suplimentar - dacă va fi necesar, va putea schimba furnizorul de servicii, deoarece majoritatea furnizorilor suportă soluții standardizate.

Un alt punct care merită clarificat: cum să vă asigurați că furnizorul își respectă promisiunile făcute? Acest lucru vă va ajuta să încheiați un Acord de Nivel de Servicii (SLA), sau un contract sau alt document scris, care va preciza în mod clar obligațiile furnizorului. Deci, o serie de întrebări de la general la specific, care merită adresate unui potențial furnizor de servicii cloud.

1. Securitatea datelor stocate. Cum asigură furnizorul de servicii siguranța datelor stocate?

Cea mai bună măsură pentru a proteja datele aflate în stocare este utilizarea tehnologiilor de criptare. Furnizorul trebuie să cripteze întotdeauna informațiile despre clienți stocate pe serverele sale pentru a preveni accesul neautorizat. Furnizorul trebuie, de asemenea, să șteargă definitiv datele atunci când acestea nu mai sunt necesare și nu vor fi solicitate în viitor.

2. Protecția datelor în tranzit. Cum asigură furnizorul siguranța datelor în timpul transferului acestora (în interiorul cloudului și pe drumul de la / către cloud)?

Datele transmise trebuie să fie întotdeauna criptate și disponibile pentru utilizator numai după autentificare. Această abordare asigură că aceste date nu pot fi modificate sau citite de nicio persoană, chiar dacă aceasta obține acces la ele prin noduri nede încredere din rețea. Aceste tehnologii au fost dezvoltate pe parcursul a „mii de ani om” și au rezultat în protocoale și algoritmi robusti (de exemplu, TLS, IPsec și AES). Furnizorii ar trebui să folosească aceste protocoale, nu să le inventeze pe ale lor.

3. Autentificare. Cum știe furnizorul identitatea clientului?

Cea mai comună metodă de autentificare este protecția prin parolă. Cu toate acestea, furnizorii care doresc să ofere clienților lor o securitate mai mare apelează la instrumente mai puternice, cum ar fi certificate și jetoane. Odată cu utilizarea unor mijloace de autentificare mai hackabile, furnizorii trebuie să poată lucra cu standarde precum LDAP și SAML. Acest lucru este necesar pentru a asigura interacțiunea furnizorului cu sistemul de identificare a utilizatorului clientului la autorizarea și determinarea autorizațiilor eliberate utilizatorului. Datorită acestui fapt, furnizorul va avea întotdeauna informații actualizate despre utilizatorii autorizați. Cea mai proastă opțiune este atunci când clientul oferă furnizorului o listă specifică de utilizatori autorizați. De regulă, în acest caz, atunci când un angajat este concediat sau mutat într-o altă funcție, pot apărea dificultăți.

4. Izolatie utilizatorii. Cum sunt separate datele și aplicațiile unui client de datele și aplicațiile altor clienți?

Cea mai bună opțiune: atunci când fiecare dintre clienți folosește o mașină virtuală individuală (Mașină virtuală - VM) și o rețea virtuală. Separarea între VM și, prin urmare, între utilizatori, este asigurată de hypervisor. Rețelele virtuale, la rândul lor, sunt implementate folosind tehnologii standard precum VLAN (Virtual Local Area Network), VPLS (Virtual Private LAN Service) și VPN (Virtual Private Network).

Unii furnizori plasează datele tuturor clienților într-un singur mediu software și, din cauza modificărilor codului acestuia, încearcă să izoleze datele clienților unul de celălalt. O astfel de abordare este nesăbuită și nesigură. În primul rând, un atacator poate găsi o gaură în codul non-standard care îi permite să acceseze date pe care nu ar trebui să le vadă. În al doilea rând, o eroare în cod poate face ca un client să „vadă” accidental datele altui client. În ultima vreme au fost ambele cazuri. Prin urmare, pentru a diferenția datele utilizatorilor, utilizarea diferitelor mașini virtuale și rețele virtuale este un pas mai rezonabil.

5. Probleme legale și de reglementare. În ce măsură respectă furnizorul legile și reglementările aplicabile industriei cloud computing?

În funcție de jurisdicție, legile, reglementările și orice prevederi speciale pot varia. De exemplu, acestea pot interzice exportul de date, pot solicita utilizarea unor măsuri de securitate bine definite, respectarea anumitor standarde și capacitatea de audit. În cele din urmă, acestea pot solicita ca departamentele guvernamentale și sistemul judiciar să poată accesa informațiile dacă este necesar. Atitudinea neglijentă a furnizorului față de aceste puncte poate duce clienții săi la costuri semnificative din cauza consecințelor legale.

Furnizorul este obligat să respecte reguli stricte și să adere la o strategie unificată în sfera legală și de reglementare. Acest lucru se aplică securității datelor utilizatorilor, exportului acestora, respectării standardelor, auditării, stocării și ștergerii datelor, precum și dezvăluirii informațiilor (aceasta din urmă este valabilă mai ales atunci când informațiile mai multor clienți pot fi stocate pe un server fizic). Pentru a afla, clienții sunt sfătuiți cu insistență să solicite ajutor de la specialiști care vor studia această problemă în detaliu.

6. Reacţie pe accidente. Cum răspunde furnizorul la incidente și în ce măsură pot fi implicați clienții săi în incident?

Uneori nu totul merge conform planului. Prin urmare, furnizorul de servicii este obligat să respecte reguli specifice de conduită în cazul unor circumstanțe neprevăzute. Aceste reguli trebuie să fie documentate. Furnizorii trebuie să fie implicați în identificarea incidentelor și minimizarea consecințelor acestora, informând utilizatorii despre situația actuală. În mod ideal, aceștia ar trebui să ofere în mod regulat clienților informații cât mai detaliate despre problemă. În plus, clienții înșiși trebuie să evalueze probabilitatea unor probleme de securitate și să ia măsurile necesare.

Viitorul securității în cloud

Deși acum avem un set mult mai larg de instrumente de securitate decât oricând înainte, munca este departe de a se termina. În unele cazuri, este nevoie de ceva timp pentru a aduce pe piață o tehnologie care ajută la rezolvarea unei noi probleme, chiar dacă aceasta a fost deja dezvoltată. Unele dintre cele mai recente tehnologii includ: date încorporate securizate (date auto-protejate) și monitoare de încredere.

Datele autoprotejate sunt date criptate care au un mecanism de securitate integrat. Un astfel de mecanism include un set de reguli care pot fi sau nu satisfăcute de mediul în care se află datele autoprotejate. Când încearcă să acceseze aceste date, mecanismul verifică securitatea mediului și o dezvăluie numai dacă mediul este sigur.

Un monitor de încredere este un software care este instalat pe serverul unui furnizor de cloud computing. Vă permite să monitorizați acțiunile furnizorului și să transmiteți rezultatele utilizatorului, care se poate asigura că compania acționează în conformitate cu reglementările adoptate.

Când toate muncă de cercetare iar dezvoltarea noilor tehnologii va fi finalizată, următorul pas va fi implementarea acestora de către furnizorul de servicii. Când se întâmplă acest lucru, clienții vor avea mai multă încredere în conceptul de cloud computing.