Проблемы обеспечения информационной безопасности в средах облачных вычислений и пути их решения

Проблемы  обеспечения информационной безопасности в средах облачных вычислений и пути их решения

В связи  с переводом физических серверов в виртуальные, а перенос виртуальных серверов в облачные среды возникает ряд проблем, связанных с обеспечением информационной безопасности. В данной статье рассматриваются основные проблемы и пути их решений. Основная сложность заключается в том, что необходимо уйти от традиционных технологий безопасности: защиты периметра, сегментирования сети, обнаружения и предотвращения вторжений.

Ключевые слова: облачные вычисления, информационная безопасность облачных вычислений.

Due to conversion of physical servers to virtual, and the migration of virtual servers in the cloud environment, there are numbers of problems related to information security. This article discusses the basic problems and their solutions. The main difficulty lies in the fact that it is necessary to get away from the traditional security technology: perimeter security, network segmentation, intrusion detection and prevention.

Keywords: cloud computing, information security in cloud computing.

 

Введение

Облачные вычисления сегодня являются одним из наиболее перспективных направлений в сфере информационных технологий. К облачным сервисам обращается все больше и больше пользователей, в число которых входят как рядовые обыватели, так и крупнейшие компании. Каковы же основные причины выбора, сделанного в пользу “облаков”? Ответ очевиден: в первую очередь, это экономичность и удобство пользования ими. С другой стороны, учитывая высокие темпы развития отрасли при относительно небольшой истории её изучения, неудивительно, что на сегодняшний день выявлен ряд проблем. Многие компании испытывают опасения по поводу того, надёжно ли защищены данные, предоставленные ими для обработки в “облако”. А для того, чтобы ответить на вопрос о надежности, необходимо для начала выявить проблемы в обеспечении безопасности.

 

1. Проблемы, связанные с виртуализацией

Центр обработки данных (ЦОД) представляет собой некоторое число серверов, находящихся на одной площадке для повышения эффективности и защищенности. Защита ЦОДа подразумевает физическую и сетевую защиту (а также надежность электропитания). С точки зрения физической безопасности — необходимо обеспечить контроль над физическим доступом системных администраторов к серверам и к сетевой инфраструктуре. Теперь о сетевой защите: в первую очередь сетевая защита подразумевает построение защиты периметра, включающей защиту от вторжений и межсетевой экран (МЭ). Помимо функций защиты МЭ служит для сегментирования внутренней сети ЦОДа с разделением на подсети с различным уровнем доверия (какие серверы, доступны только из внутренней сети компании, а какие серверы, доступные из Интернета, и т. д.).

Главным шагом в переходе к облачным вычислениям является виртуализация. Из этого следует исключение возможности применения средств защиты в одной точке. Помимо этого, теряется возможность сегментировать сеть с помощью МЭ, также теряется возможность использования аппаратных средств защиты, потому что большая часть трафика перемещается внутри физических серверов (между виртуальными машинами (ВМ)), а серверы могут находиться как на одной территории, так и вообще на различных континентах.

Одной из проблем является динамичность ВМ, так как в считанные секунды мы можем ввести в эксплуатацию, приостановить, запустить заново новую машину. Так же можно без проблем переносить машину с одного физического сервера на другой, клонировать и удалять. Из-за такой изменчивости сильно усложняется создание целостной системы безопасности, так как в традиционной модели предполагается определенная стабильность ИТ-инфраструктуры.

Что касается уязвимостей и атак внутри виртуальной среды, то здесь так же существует ряд проблем, так как серверы облачных вычислений используют те же операционные системы и те же приложения, что и физические серверы. Следовательно, для облачных систем так же высока угроза взлома или заражения вредоносным кодом. Но в действительности риск для виртуальных систем даже больше, так как совместное существование множества ВМ существенно увеличивает «атакуемую поверхность». Таким образом, система обнаружения и предотвращения незаконных вторжений должна детектировать вредоносную активность на уровне виртуальных машин, вне зависимости от расположения виртуальной машины в облачной среде. [1]

 

2. Проблемы шифрования данных в облаках.

Пожалуй, основной гарантией контроля над данными является шифрование. Если пользователь зашифровал свои данные и передал системе ключ дешифрования, то у него есть какая-то уверенность в то, что другие пользователи того же провайдера не смогут добраться до его данных.

Однако для  того, чтобы вся информация, входящая в облачные ресурсы и выходящая из них, полностью была защищена, необходимо внедрить шифрование информации на всех конечных точках: лэптопах, десктопах, мобильных устройствах и съемных носителях. Но из-за этого возникает ряд проблем.

В первую очередь  нагрузка — шифрование, встроенное в облачную инфраструктуру, будет сильно тормозить работу облачных приложений. Задержки, возникающие при этом, могут существенно замедлить работу облачного приложения, вплоть до разрушения работы системы.

Также необходимо понимать то, что организациям, использующим хранение данных в облаке, следует принять централизованный управленческий подход к шифрованию данных для того, чтобы предоставить ИТ-персоналу максимум контроля. Сложности для поставщиков облачных услуг и пользователей будут, прежде всего, связаны с управлением системами шифрования, включая управление ключами шифрования. Также нельзя забывать про потенциальные проблемы с индексированием уже зашифрованных данных, таким образом при шифровании придется работать не только с входящими данными (шифрование точка-точка), но и с уже существующими данными (базы данных и другие виды хранилищ данных). [2]

 

3. Юридические проблемы

Существует  ряд неопределенных юридических вопросов, возникающих при использовании сервисов облачных вычислений. Примерами таких вопросов, являются следующие: каковы обязательства поставщика по отношению к пользовательским данным? Каковы юридические последствия в том случае, если поставщики облачных услуг находятся в других юрисдикциях? Какие права правоохранительные органы имеют в отношении данных, принадлежащих как пользователям из своей страны, так и пользователям из других стран? А также — насколько пользователи свободны, выносить свои данные за пределы своего государства?

Наиболее остро  проблема безопасности «облачных» сервисов встает при обработке персональных данных в «облаке». Действующий Федеральный  закон «О защите персональных данных»  не содержит специальных требований, касающихся «облачных» технологий, технологий виртуализации. Акты Правительства РФ, ФСТЭК РФ и ФСБ России также четко не закрепляют требования по безопасности в инфраструктуре, у которой динамически меняется размер, структура баз данных. Регуляторы (Роскомнадзор, ФСТЭК РФ, ФСБ России) не имеют единого подхода к оценке соответствия своим требованиям к технологиям «облачных» вычислений. При этом действующие требования законодательства в сфере защиты персональных данных выполнимы и для «облака», так как в основе «облаков» лежит, прежде всего, комплекс физических вычислительных ресурсов. [3]

 

4. Пути решения данных проблем

Многие компании, занимающиеся информационной безопасностью, предлагают свои способы решения  проблем, связанных с виртуализацией и шифрованием, а также с аутентификацией и управлением. Например компания Symantec предлагает такие продукты как: Critical Systems Protection, Endpoint Protection, VeriSign Authentication Services. [4] Компания Microsoft для обеспечения безопасности предлагает решения System Center, которые помогают управлять физическими и виртуальными ИТ-средами центров обработки данных, клиентских компьютеров и устройств. [5]

Однако основной проблемой, для которой  отсутствуют  пути решения, является правовая проблема, так как практически отсутствуют стандарты, законы, вообще существует огромное количество юридических вопросов. Для решения проблем такого типа необходимо время и действие законодательных органов.

 

Заключение

В данной работе был выявлен ряд проблем, связанных  с информационной безопасностью  в среде облачных вычислений, так же были изложены пути решения этих проблем крупных компаний, занимающихся безопасностью. Были рассмотрены проблемы, связанные с виртуализацией, шифрованием и юридические проблемы. Основной проблемой является отсутствие четких требований к защите данных и отсутствие стандартов и законов, контролирующих действия в облаках. Но это не удивительно, так как данная отрасль появилась сравнительно не давно и требует дальнейшего изучения.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

СПИСОК ЛИТЕРАТУРЫ

1. Безопасность облачных вычислений [Электронный ресурс]: http://www.pcmag.ru/solutions/detail.php?ID=38248
2. Шифрование данных в облаках [Электронный ресурс]: http://www.xakep.ru/post/55267/default.asp?print=true
3. Безопасность облачных вычислений [Электронный ресурс]: http://www.inoventica.ru/en/Informatsionnyiy_tsentr/media_centre/postid/own_news/97
4. Рекомендуемые продукты для обеспечения безопасности облачной среды [Электронный ресурс]: http://www.symantec.com/ru/ru/solutions/topics/detail.jsp?top_id=cloud&chtr_id=cloud-security
5. Microsoft Server and Cloud Platform [Электронный ресурс]: http://www.microsoft.com/ru-ru/server-cloud/system-center/default.aspx