Мнение: Облака – самое безопасное место для хранение данных. Безопасное шифрованное хранилище данных и особенности работы с ним
За последние несколько лет появилось столько сервисов для удаленного хранения и синхронизации пользовательских данных, что отказаться от их использования уже почти невозможно. Тем не менее многих останавливают вопросы конфиденциальности. В конце концов, загружая файлы в облако, мы передаем их на чужой компьютер, а значит, доступ к нашей информации может иметь еще кто-то, кроме нас.
С другой стороны, сложно отказаться от многочисленных удобств, которые нам дают сервисы для хранения данных: наличие резервной копии файлов, возможность получить доступ к своим документам с любого устройства из любой точки мира, удобная передача файлов другим людям. Можно найти несколько способов решения проблемы безопасности удаленного хранения файлов. О некоторых из них и пойдет речь в этом обзоре.
⇡ Cloudfogger — бесплатное шифрование для любого облака
Возможно, самый простой способ заботы о безопасности файлов, хранящихся в облаке, — шифровать их вручную. Для этого можно использовать защищенные паролем архивы или же одно из множества существующих приложений для шифрования. Но для тех, кто имеет дело с большим числом документов, в которые постоянно вносятся изменения, такие способы не очень хорошо подходят. Раз уж сервисы для удаленного хранения файлов избавляют нас от необходимости загружать на них файлы вручную, то и процесс шифрования стоит автоматизировать. Это можно реализовать при помощи специализированной программы Cloudfogger. Она работает с Windows, Mac, а также может быть установлена на устройства с Android и iOS.
Приложение шифрует данные с использованием 256-разрядного шифрования алгоритмом AES (Advanced Encryption Standard), перед тем как они загружаются в облако. Файлы попадают на серверы Dropbox и других облачных хранилищ исключительно в зашифрованном виде, поэтому доступ к ним можно получить только в том случае, если на устройстве, с которого вы хотите открыть файл, тоже установлен Cloudfogger.
Очень удобно, что шифрование не вызывает неудобств в работе: ключ для доступа к файлам вводится лишь один раз, при загрузке системы, после чего можно работать с ними в обычном режиме. Но если, к примеру, ноутбук будет украден, то при следующем запуске злоумышленник уже не сможет узнать содержание файлов в защищенных папках.
В начале работы с Cloudfogger нужно создать учетную запись (причем для большей безопасности можно отключить опцию восстановления пароля, но в этом случае забывать его категорически не рекомендуется). Затем приложение само попытается найти папки популярных облачных сервисов Dropbox, SkyDrive, Google Drive и прочих. Но даже если Cloudfogger не справился с этой задачей в автоматическом режиме, все равно можно вручную выбрать директории, содержимое которых требуется шифровать.
Кроме этого, есть возможность определить отдельные файлы из любых других папок. Сделать это проще всего при помощи контекстного меню «Проводника» — Cloudfogger добавляет в него свой список команд.
Также предусмотрена возможность исключать из шифрования отдельные директории и файлы из тех папок, которые защищены Cloudfogger. Такие данные будут загружаться на облачные сервисы в обычном режиме. Стоит иметь в виду, что после того как синхронизируемая папка будет защищена Cloudfogger, потребуется некоторое время на повторную загрузку данных из нее в облачное хранилище.
Еще одна функция Cloudfogger — обмен зашифрованными файлами с другими людьми. Если данные, содержащиеся в облачных хранилищах, будут защищены приложением, стандартные способы отправки ссылок на них другим людям не подойдут. Но вот если разрешить доступ к файлам в интерфейсе Cloudfogger, можно безопасно обмениваться ими с другими людьми. Файлы, зашифрованные Cloudfogger, можно передавать на флешке или отсылать по почте.
Технически доступ к файлам работает так: каждый файл Cloudfogger (.cfog) содержит уникальный ключ AES, который в зашифрованном виде хранится в самом файле. Такие 256-разрядные ключи защищены ключами RSA, которые уникальны для каждого пользователя. Расшифровка происходит только в том случае, если доступ к файлу пытается получить тот пользователь, чей ключ RSA соответствует прописанному в заголовке файла.cfog. Если таких пользователей несколько, данные об их ключах, соответственно, заносятся в заголовки файлов.
Еще одно специализированное решение для обеспечения безопасности файлов на «облачных» сервисах — Boxcryptor. Первоначально созданное как дополнение к Dropbox, сегодня это приложение поддерживает все популярные сервисы для удаленного хранения файлов. Правда, в бесплатной версии доступно шифрование данных, хранящихся лишь на одном сервисе, а также нельзя включить шифрование имен файлов.
Boxcryptor автоматически определяет наличие установленных клиентов популярных сервисов для хранения файлов в облаке (поддерживается даже «Яндекс.Диск»), создает виртуальный диск и добавляет в него соответствующие папки. В настройках можно управлять всеми подключенными папками: добавлять новые, на время отключать шифрование и так далее.
Сервис предлагает поддержку всех основных платформ, как настольных, так и мобильных. Есть даже расширение для Google Chrome. Для работы с Boxcryptor потребуется создание учетной записи — забывать свой пароль категорически не рекомендуется!
⇡ Tresorit — облачный сервис с повышенным вниманием к безопасности
Если из соображений безопасности вы еще не используете никаких сервисов для удаленного хранения файлов, стоит обратить внимание на молодой проект Tresorit, запущенный около полугода назад. Сервис создан как альтернатива стандартным решениям для хранения файлов в облаке и готов обеспечить гораздо более высокий уровень конфиденциальности файлов.
Tresorit обеспечивает шифрование файлов на стороне пользователя. Таким образом, все данные хранятся на серверах сервиса уже в зашифрованном виде. Для шифрования используется стойкий алгоритм AES-256. При создании учетной записи пользователя предупреждают о том, что в случае потери пароля получить доступ к данным на удаленном сервере будет невозможно. Никаких способов для восстановления пароля не предусмотрено, поскольку пароль не хранится нигде: ни в установленном приложении, ни на серверах сервиса. А для пользователей, потерявших пароль, разработчики Tresorit предлагают единственное решение — зарегистрироваться заново.
За повышенную безопасность придется заплатить отказом от некоторых привычных функций. Например, вы не сможете получить доступ к своим файлам с чужого компьютера — веб-интерфейса у Tresorit нет. Пока что разработчики даже не обещают такой возможности, объясняя это тем, что в JavaScript множество уязвимостей. Впрочем, с учетом возможности установки приложения Tresorit на мобильных устройствах, этот недостаток не кажется таким уж серьезным — в конце концов, если нет возможности всюду носить за собой ноутбук, то смартфон уж точно почти всегда при пользователе.
Для обмена файлами используются приглашения, рассылаемые по почте. Настраивая общий доступ, можно назначать людям разные роли: одни могут только просматривать файлы, другие — вносить в них изменения и добавлять в папки новые файлы, третьи — плюс к этому еще и приглашать новых пользователей.
⇡ MEGA — безопасные 50 Гбайт в облаке с синхронизацией
До недавнего времени новое детище Кима Доткома вряд ли могло рассматриваться как альтернатива привычным сервисам для удаленного хранения файлов. Дело в том, что единственным способом загрузки файлов в него было перетаскивание их в окно браузера. Соответственно, ни об автоматической загрузке, ни о синхронизации речи не было.
Но с выходом приложения для Android , а также бета-версии клиента для Windows у сервиса появились эти две важнейшие возможности.
О самом сервисе и о принципах безопасности, на основе которых он создан, мы уже подробно писали в материале «Mega-возвращение Кима Доткома: 50 Гбайт в облаке бесплатно» , поэтому остановимся лишь на основных моментах. Итак, MEGA был создан как ответ на закрытие Megaupload американскими властями. Серверы, на которых хранятся пользовательские данные, расположены в Новой Зеландии. Все файлы шифруются на стороне пользователя, то есть перед отправкой на сервис, благодаря чему получить доступ к ним без знания пароля невозможно. В отличие от Tresorit, MEGA работает в браузере и дает возможность пользователям просматривать списки файлов, удалять и перемещать их, но онлайн-просмотр недоступен, так как они зашифрованы. Для просмотра файл нужно предварительно скачать на диск. Для шифрования используется 2048-разрядный ключ RSA, а забытый пароль восстановить невозможно, поскольку он одновременно является и ключом шифрования.
Поначалу у пользователей не было даже возможности поменять пароль, введенный при регистрации, но теперь такая возможность появилась. Более того, если пользователь уже вошел в свою учетную запись MEGA в браузере, но не помнит текущий пароль, он может его сменить, введя новый и затем перейдя по подтверждающей ссылке в письме, которое отправляется на привязанный к аккаунту адрес электронной почты.
Клиент MEGASync дает возможность синхронизировать содержимое любых папок на диске с виртуальными папками, имеющимися в учетной записи Mega. Прямо при первоначальной настройке можно выбрать, какие папки куда нужно бекапить.
Позже в настройках приложения можно добавить дополнительные папки. Настройки клиента также дают возможность просматривать информацию о свободном месте (напомним, Mega предлагает целых 50 Гбайт бесплатно), ограничивать скорость загрузки, использовать прокси.
Клиент MEGA для Android позволяет не только скачивать файлы, хранящиеся на сервере, но и автоматически загружать на сервис все фотографии и видеофайлы, сделанные камерой устройства. Также в клиенте доступны все основные операции по работе с файлами: удаление, перемещение, создание ссылок на файлы для обмена с другими людьми, поиск.
⇡ Заключение
Наличие на компьютере файлов, о содержании которых не стоит знать никому постороннему, — это еще не повод отказываться от использования сервисов для удаленного хранения данных. Просто нужно позаботиться о конфиденциальности, установив ПО для обеспечения дополнительной защиты или же отдав предпочтение одному из сервисов с шифрованием на стороне пользователя. Наиболее привлекательным среди всех рассмотренных решений выглядит Mega. Сервис предлагает очень большой объем дискового пространства бесплатно, обеспечивает шифрование файлов до загрузки на сервер без использования дополнительных утилит, а также дает возможность просматривать список файлов и управлять ими в браузере и с мобильного устройства на Android.
FalcongazeОблачные хранилища данных подарили нам немало приятных возможностей - доступ к нужным файлам можно получить с любого девайса, подключенного к интернету, а редактировать их можно одновременно нескольким людям, кроме того, такие технологии позволяют рассчитывать на сохранность важной информации в случае сбоя на локальном хранилище. Однако не все так радужно - как и во всякой передовой технологии, при столкновении с реальностью в облачных сервисах выявляется целый ряд различных проблем. Одна из важнейших - безопасность. Именно ориентируясь на безопасность предоставляемого сервиса, аналитический центр Falcongaze составил рейтинг самых популярных облачных хранилищ данных.
Как и большая часть конкурентов, Dropbox шифрует данные клиентов на стороне сервера, однако отказывается от шифрования в клиентской части программы. Также потоковая передача файлов с серверов компании не всегда зашифрована. Таким образом становится возможной компрометация данных в ходе загрузки и выгрузки файлов на сервера. Кроме того, у Dropbox внушительная история инцидентов безопасности. Самый вопиющий из них произошел в июне 2011 года (справедливости ради стоит сказать, что в то время большей части конкурентов просто не существовало): тогда в течение четырех часов любой желающий мог получить доступ к любому аккаунту на сервисе. Случившееся стало возможным из-за ошибки в обновленном программном обеспечении сервера. Из-за вышеперечисленных проблем Dropbox оказался на последнем месте в рейтинге популярных облачных хранилищ. Помимо базовой версии, у Dropbox существует тарифный план для бизнеса. В нем обеспечено дополнительное шифрование при передаче данных и в приложениях, хранение содержимых файлов в виде зашифрованных блоков, а также раздельное хранение метаданных и блоков данных.
Один из самых популярных отечественных конкурентов Dropbox и Google Drive - облачный сервис Яндекс.Диск , занявший в рейтинге Falcongaze четвертое место. В него встроена интеграция с другими сервисами Яндекса, кроме того, присутствует двухфакторная аутентификация, в том числе с использованием пин-кода, QR-кода и TouchID. При загрузке файлы проверяются на вирусы, а данные передаются по шифрованному каналу. В 2013 году в связи с облачным сервисом от Яндекса произошел большой скандал - в очередном обновлении присутствовала критическая ошибка, из-за которой установщик клиентской программы пытался удалить системный раздел операционной системы. Вследствие этого у части пользователей, установивших обновление, переставал запускаться ряд программ, а также деактивировалась регистрация Windows. Всем пострадавшим от инцидента Яндекс предоставил в бессрочное пользование 200Гб бесплатного пространства на Яндекс.Диске.
На третьем месте рейтинга оказался Google Drive . В нем присутствует двухфакторная аутентификация, восстановление аккаунта осуществляется с помощью секретного вопроса, сам сервис проверяет придуманный пользователем пароль на надежность и не разрешает использовать легковзламываемые пароли. Сервис предоставляет пользователем от 15Гб места на сервере в бесплатное пользование. На 2014 год Google Drive насчитывал более 240 млн пользователей. Данные шифруются при передаче, что исключает их компрометацию в ходе загрузки, однако для шифрования данных на сервере понадобятся сторонние программы. Кроме того, у Google Drive существует версия для бизнес-аккаунтов, которая позволяет обеспечивать более высокий уровень защиты файлов. В ней, например, отсутствует анализ передаваемой информации для показа рекламы и присутствуют система единого входа, правила защиты электронной почты, например, принудительное включение протокола TLS, а также технологии IRM и DLP.
Для пользователей яблочной экосистемы существует облачное хранилище от Apple - iCloud drive . С этим сервисом связан, наверное, самый крупный скандал в истории облачных хранилищ. Речь идет об инциденте, имевшем место в 2014 году. Тогда произошел массовый взлом аккаунтов в iCloud, в результате которого в сеть попало множество персональных данных пользователей. Широкому распространению скандала способствовало то, что в утекших данных присутствовали личные фото ряда знаменитостей, таких как Дженнифер Лоуренс, Кейли Куоко и Дженни Маккарти. После инцидента Apple серьезно взялась за улучшение безопасности сервиса - сейчас данные в iCloud Drive шифруются и при передаче, и на сервере, пароль проверяется на надежность, присутствует двухфакторная аутентификация. С учетом вышеперечисленного облачное хранилище от Apple попало на вторую строчку рейтинга.
Благодаря популярности офисных продуктов от корпорации Microsoft обрел немалую известность и облачный сервис от этой компании - OneDrive . OneDrive предоставляет в пользование до 5 Гб бесплатного пространства на сервере, а также поддерживает интеграцию с продуктами Microsoft Office и Outlook. Базовая версия продукта обеспечивает шифрование передаваемых между клиентом и сервером данных, а также двухфакторную авторизацию, кроме того пароль от аккаунта Microsoft проверяется на надежность. Помимо базовой, у OneDrive существует и бизнес-версия с улучшенными функциями безопасности. В бизнес-версии OneDrive обеспечивает «физическую безопасность центра обработки данных, сетевую безопасность, безопасность доступа, безопасность приложений и данных». Типы хранилищ, применяемые в бизнес-версии OneDrive, - хранилище шифрованного контента, база данных контента и хранилище ключей - физически разделены, благодаря чему при взломе любого из них нельзя скомпрометировать информацию. Все это привело OneDrive на первое место в рейтинге облачных сервисов по степени защищенности.
Сегодня хотелось бы рассказать про Облако Mail.ru. Насколько он надёжен? Стоит ли хранить файлы в нем?
Данной услугой пользуюсь давно и с успехом. Для старта (на момент написания статьи) дается 25 ГБ. Кладезь, куда можно помещать кучу нужной документации, фото и видео архивов. И это бесплатно! По мере увеличения пространства необходимо доплатить.
Для удобства закачивания можно использовать как веб-интерфейс, так и специальную программу .
Установив которую, на рабочем столе появляется папка, куда можно с легкостью перекидывать нужную информацию.
И конечно же имеется приложение для смартфонов, которое также свободно можно приобрести на Google Play и им подобных мобильных магазинах.
Обако Маил.ру можно использовать сразу после того, как вы зарегистрируете свою почту. Вход в него располагается в верхней части экрана, в разделе «Все проекты».
Насколько надёжны облачные хранилища?
Думаю не надо говорить, что 100% надежности вам не предоставит никто. Но если выполнять определенные правила, такие как: не передавать пароли от почты третьим лицам, постоянно проверять компьютер на наличие вирусов, не входить в свой почтовый ящик с чужих устройств, устанавливать на гаджет код доступа и т.д и т.п., то все будет хорошо!
Да и компания тщательно следит за безопасностью своих пользователей и постоянно перелагает всяческие улучшения. Например, Двухфакторная аутентификация. Теперь в свой почтовый ящик можно зайти, предварительно введя специальны код, который будет выслан вам на телефон в виде СМС.
Да, хочу помнить, что удаление почты ведет к уничтожению и всего в хранилище !
Хранить ли файлы в Облаке Mail.ru?
Конечно! Во-первых, это удобно. И дабы не загружать свой ноутбук или планшет большим изобилием информации в виде весомых архивов, закачиваем туда! Большого труда загрузить обратно не предоставится. В некоторых случаях можно просматривать онлайн медийные и текстовые архивы, не загружая на ПК или гаджет. И еще, думаю, весомым плюсом будет доступность,- где бы вы ни были, есть возможность передавать друзьям документы в два клика.
Какие бывают облачные хранилища
На сегодняшний день самыми распространенными являются:
Dropbox — В бесплатное пользование предоставляет 2 ГБ.
Box.net- 5 Гигов
Google Drive — 5 ГБ
Яндекс.Диск — 10 Гигобайт
SkyDrive — 7 ГБ
MEGA — 50 ГБ бесплатно
Облако@mail.ru — до 1 Тирабайта
А также менее известные: Adrive.com, Bitcasa.com, Yunpan.360.cn, 4shared.com, Sugarsync.com, Idrive.com, iFolder (kablink.org), Opendrive.com, Syncplicity.com, Mediafire.com, Cubby.com, Adrive.com.
Естественно, при желании предоставляемое место можно увеличить за отдельную плату в месяц/год.
А какими вы пользуетесь услугами? Опишите их плюсы и минусы. Мне, и думаю, многим читателям блога будет интересно узнать.
К записи "Про Облако Mail.ru простым языком" 9 комментариев
Спасибо за статью. Стала использовать это облако. Действительно удобно. Ранее использовала Я.диск, но там мало места.
Пользуюсь Яндекс Диск.Пока устраивает.Питался Mailom,Голде.iCloud(Храню там только контакты)по простоте и практичность подходит Яндекс Диск.
А я не стал полагаться на чужие облака и поднял свое. Программа называется OwnCloud, имеет десктопных и мобильных клиентов, в ней также можно расшаривать файлы. И объем неограничен, какой винт засунешь в сервер, столько и будет.
Кстати пользуюсь этим сервисом с одного копьютера под управлением FREEBSD,а нетбук LUBUNTU
Как и где хранить свои данные? Кто-то использует флешки, кто-то покупает пачками жёсткие диски и обустраивает собственные домашние хранилища, но есть мнение, что самое безопасное место для хранения данных – облако. И это мнение вполне аргументировано.
На данный момент поставщики облачных хранилищ предлагают вам самые совершенные решения в плане безопасности ваших данных и управления. Конечно, можно сколько угодно делать такие громкие заявления, но вот аргументы:
Данные в надёжных “лапах”
О чём переживает пользователь? О личных данных: номерах карт и телефонов, сведениях о действиях и так далее. Облако — это как Администрация Президента: куча охраны, камер видеонаблюдения и замков.
Как бы далеко не находился ноутбук босса с данными всех сотрудников, до него всё равно легко добраться, взломав сеть, к которой тот подключён. Теперь сделайте вывод почему охраняемое и круглосуточно сканируемое различными средствами безопасности облако надёжнее, чем ваш физический носитель.
Все данные в облаке тщательно шифруются, поэтому, даже получив к нему доступ, злоумышленнику придётся иметь дело с этим:
Резервное копирование в облаке — автоматическое и постоянное, поэтому даже разъяренная “барышня”, с которой вы вчера расстались, не способна уничтожить вашу коллекцию немецкого кино, которую вы каталогизировать с далеких 90-х.
Безопасность под рукой
Если вы, к примеру, разработчик ПО и разрабатываете собственное приложение, то наверняка часто его обновляете, ведь без апдейтов оно становится мёртвым грузом. Каждая новая версия связана с отладкой кода, и во время этого очень важного процесса появляются уязвимости, которые могут дать злоумышленнику доступ к личным данным ваших пользователей. Облако может решить эту проблему благодаря своим фишкам:
- Администратор может определить права и роли каждого пользователя, который работает над проектом
- Автоматизация некоторых процессов исключает человеческий фактор: случайную или умышленную порчу релизного кода
- Различные утилиты наподобие Amazon Inspector круглосуточно сканируют систему в поиске брешей
- Любые действия скрыто записываются в лог-файл — тотальный контроль обеспечен
Google читает мои письма!
Многочисленные слухи о том, что сотрудники Google и Amazon каждый день собираются за круглым столом и начинают читать личные сообщения пользователей — не более чем слухи. Компании не для этого тратят миллионы долларов на поддержание облачной инфраструктуры.
Все файлы хранятся на нескольких жёстких дисках, которые восстанавливаются самостоятельно. Причём один файл может быть разбит по частям на разных дисках.
В конце концов, преимущество облака сводится к минимальному воздействию человеческого фактора, что уже гарантирует безупречную безопасность. Подумайте сами, у кого больше шансов выйти из строя, у вашего жёсткого диска или у целой облачной системы, в которой такие диски используются как расходный материал и постоянно обновляются?
480 auto
Какие опасности могут подстерегать данные, в том числе, в облаке? — Во-первых, возможность их утраты . Во-вторых, возможность доступа к данным посторонних лиц , то есть потери конфиденциальности.
Разумное беспокойство по этим случаям должно присутствовать всегда, а при размещении компьютерной инфраструктуры в публичном облаке оно может усиливаться.
Потеря данных
Все привыкли к тому, что цифровые данные легко скопировать. Однако для копирования чего бы то ни было нужен оригинал. Если оригинал утрачен, данные, содержавшиеся в нём, также будут потеряны.
Компьютерные данные можно потерять либо в результате удаления соответствующих файлов, либо в результате разрушения носителя, на котором находятся эти файлов.
Резервное копирование
Чтобы не потерять все накопленные данные, нужно регулярно создавать их . При этом для сохранности резервных копий важно размещать их не на том же носителе, на котором находится оригинал, а на другом — физически (!) другом диске, на другом компьютере, в другой сети.
Надёжные носители
Сейчас для хранения данных используются носители самых разных типов. У них разный принцип хранения данных и разная надёжность хранения.
Дополнительно надёжность хранения можно повысить за счёт совместного использования нескольких носителей, объединённых в группу, например, в .
Но даже очень высокая надёжность хранения данных вовсе не отменяет необходимости их резервного копирования.
Утрата конфиденциальности
Собственно, задача сохранения конфиденциальности данных возникает не только в случае , расположенного облаке, но и в привычном мире.
Компьютерные данные, к которым получил доступ посторонний человек невозможно вернуть назад — никогда не будет 100-процентной уверенности в том, что эти данные не были скопированы. Поэтому защита данных сводится в тому, чтобы исключить саму возможность любого неразрешённого доступа к ним.
Чужие данные можно получить двумя путями: в результате доступа к их носителю или через операционную систему, обрабатывающую эти данные. Особенности этих способов доступа и определяют методы защиты данных.
К счастью, цифровая природа компьютерных данных даёт такую возможность их защиты, как шифрование. — Если постороннее лицо получит доступ к носителю с зашифрованными данными или к файлу, хранящему зашифрованные данные, оно не сможет ими воспользоваться.
Далее мы рассмотрим меры в части системного администрирования по сохранению конфиденциальности компьютерных данных, размещённых в виртуальном облаке. При этом мы не будем касаться вопросов безопасности данных внутри приложений (программ), которые используют эти данные.
Физический доступ
Диски виртуальных машин — это файлы, расположенные в больших дисковых массивах, находящихся в центрах обработки данных (ЦОДах). Соответственно, «физический» доступ к дискам виртуальной машины сводится к доступу к этим файлам.
Теоретически, доступ к дискам виртуальных машин могут иметь работники ЦОДа и работники облачного провайдера.
Центр обработки данных
Центр обработки данных обеспечивает оборудование облачного провайдера:
- стабильным и надёжным электропитанием;
- охлаждением чистым воздухом;
- охраной от посторонних лиц.
Несмотря на то, что работники ЦОДа имеют физический доступ к оборудованию облачного провайдера, опасаться того, что они смогут найти и скопировать определённый диск определённой виртуальной машины, не стоит. Для балансировки нагрузки и обеспечения отказоустойчивости виртуальные диски могут перемещаться по всему аппаратному дисковому пространству, которое в настоящее время может достигать многих сотен терабайтов или даже петабайтов.
Кроме того, работники ЦОДа, как правило, не имеют логического доступа в облако (по сети).
Провайдер
Что касается работников облачного провайдера, они (по крайней мере, уполномоченные системные администраторы) всегда имеют доступ и к файлам с «аппаратной» конфигурацией виртуальных машин, и к файлам с их виртуальными дисками. Без таких возможностей они просто не смогут управлять облаком и обеспечивать предоставление услуг своим клиентам.
Более того, нередко системные администраторы облачного провайдера имеют доступ и в операционные системы виртуальных машин своих клиентов. Этот доступ упрощает управление облаком и виртуальными машинами в нём.
Можно ли обойтись без такого доступа? — Да, можно. Но с некоторыми уточнениями.
Операционная система
Для защиты данных на уровне операционной системы используются учётные записи, правами по которым можно управлять. В системе не должно быть посторонних учётных записей, а по имеющимся записям не должно быть лишних прав.
Однако для работы операционной системы на конкретном «железе» требуются драйверы. Для работы операционной системы на облачном «железе» тоже требуются драйверы, и их должен кто-то установить. То есть административного доступа в операционную системы виртуальной машины в ручном или автоматическом режиме всё-таки не избежать. Такой доступ может потребоваться и для сетевой настройки машины.
В принципе, после создания новой виртуальной машины можно изменить пароль её системного администратора и даже удалить или заблокировать соответствующую учётную запись. И после этого у облачных администраторов априори не будет доступа внутрь виртуальной машины.
Однако нужно осознавать, что все дальнейшие заботы об обеспечении работоспособности виртуальной машины лягут исключительно на системного администратора клиента.
Вопрос о возможности доступа облачных администраторов в операционную систему виртуальной машины должен обсуждаться и решаться спокойно и взвешенно.
Шифрование дисков
Как уже было сказано, доступ к данным можно получить и без входа в операционную систему виртуальной машины. Для этого будет достаточным получить доступ к её дискам напрямую.
Единственный способ полностью исключить такую возможность — зашифровать диски. Препятствие возникнет только с одним из них — системным.
Проблема в том, что пароль для подключения зашифрованного системного диска нужно вводить до загрузки операционной системы, то есть до того, когда появляется возможность удалённого подключения к виртуальной машине.
Преодолеть это препятствие можно только с помощью удалённого доступа к консоли виртуальной машины, упрощённо говоря — к её экрану, на котором можно увидеть весь процесс загрузки операционной системы.
Большинство современных облачных провайдеров имеют средства для предоставления клиентам доступа к консолям их виртуальных машин.
Заключение
Будем реалистами, в нашем мире исключить что-то на все 100% невозможно, но максимально сократить вероятность возникновения какого-то события и уменьшить размер его негативных последствий можно. Облако 1cloud даёт немало средств к тому.
P. S. Ещё немного о безопасности:
