Безопасность облачных вычислений. Динамичность виртуальных машин. Совместно используемые технологические ресурсы
В первый день открывшегося в Сан-Франциско традиционного ежегодного форума RSA Сonference, посвященного вопросам безопасности, организация Cloud Security Alliance (CSA) и корпорация Hewlett-Packard представили документ “Top Threats to Cloud Computing V1.0” (“Главные угрозы развитию облачных вычислений”). Он составлен по результатам проведенного исследования и адресован как провайдерам облачных сервисов, так и их пользователям. Отметим также, что вклад в его подготовку внесли представители целого ряда известных компаний, включая Bank of America, CloudSecurity.org, HP, Microsoft, Rackspace, Oracle, Trend Micro, Verizon Business и др., так что говорить о чьей-либо особой заинтересованности в данном случае не приходится.
Индекс V1.0 в названии документа подчеркивает, что выпущена первая его версия, которая будет со временем обновляться. Как отмечают авторы, было довольно много дебатов относительно того, что следует отразить в первой версии, но в конечном счете было решено сфокусироваться на уникальных угрозах, присущих именно сфере облачных вычислений, а также на тех, которые существенно прибавили в своей значимости благодаря характерным особенностям организации облачной среды. Что же это за угрозы?
1. Злоупотребления и нечестная игра при использовании облачных ресурсов
Привлекая клиентов обещаниями неограниченных компьютерных и сетевых ресурсов и возможностей для хранения данных, IaaS-провайдеры предлагают им очень простую процедуру регистрации (пройти её может любой, у кого есть действующая кредитная карточка), а также зачастую и возможность бесплатного тестирования услуги в течение некоторого периода времени. Злоупотребляя сравнительной анонимностью процедуры регистрации и использования облачных ресурсов, спамеры, авторы зловредных кодов и другие злоумышленники получили возможность безнаказанно использовать облачные сервисы для своих целей. Ранее с подобного рода “неприятностями” сталкивались главным образом PaaS-провайдеры, но теперь стало очевидно, что все чаще целью для злоумышленников становятся и поставщики услуг IaaS. В дальнейшем можно ожидать, что их ресурсы могут использоваться для вскрытия паролей и ключей, DDoS-атак, хостинга вредоносных кодов, построения так называемых радужных таблиц (rainbow table) и инструментов обхода CAPTCHA-средств.
В частности, как было установлено, сервисы IaaS использовались для формирования ботсети Zeus, распространения трояна InfoStealer и эксплойтов для приложений Microsoft Office и Adobe PDF. А в результате противодействия распространению спама в черные списки попали целый блоки сетевых адресов IaaS-провайдеров.
2. Небезопасные интерфейсы и API
Для работы с облачными сервисами провайдеры предоставляют клиентам специальные программные интерфейсы и API. От того, как в этих инструментах реализованы меры обеспечения информационной безопасности (аутентификация, контроль доступа, шифрование, мониторинг активности), во многом зависит безопасность и самого сервиса. Проблема усложняется в случае, если на базе облачных ресурсов одного провайдера сторонняя компания строит и предлагает дополнительные услуги и ответственность перед заказчиком за меры безопасности оказывается распределенной. Так что перед тем, как начать пользоваться облачными сервисами, следует убедиться в безопасности предложенных провайдером инструментов, чтобы не подвергать свою компанию неоправданным рискам.
3. Злоумышленники из числа инсайдеров
Инсайдерские угрозы представляют опасность для любой компании, но для пользователей облачных сервисов они возрастают многократно, поскольку предоставляемые разным заказчикам сервисы базируются на единой, тесно интегрированной ИТ-инфраструктуре, а реализованные провайдером процессы и процедуры управления ею в значительной степени непрозрачны. В частности, провайдер может не раскрывать, чем лимитирован доступ его сотрудников к физическим и виртуальным ИТ-ресурсам, как организован контроль за деятельностью сотрудников, каким образом удовлетворяются требования регулирующих органов и т. д. В результате может сложиться весьма благоприятная ситуация для разного рода злоумышленников, промышленного шпионажа или даже нежелательного вмешательства государственных органов. Последствия для пользователя сервисов в таком случае могут быть весьма серьезными как в имиджевом плане, так и в финансовом.
4. Совместное использование ресурсов
Эффективную масштабируемость своих услуг IaaS-провайдеры обеспечивают за счет того, что эти услуги базируются на единой ИТ-инфраструктуре, ресурсы которой могут быть перераспределены между заказчиками. Однако многие компоненты такой инфраструктуры (в частности, графические процессоры, кэш-память центральных процессоров и т. д.) проектировались без учета необходимости строгой изоляции ресурсов, выделяемых разным пользователям. Эта проблема решается с помощью гипервизоров, образующих промежуточный слой между гостевыми ОС и физическими компонентами, однако и гипервизоры имеют свои недостатки, из-за чего не всегда исключена ситуация, когда гостевая ОС получает недопустимый уровень контроля за аппаратными средствами. Чтобы пользователи сервисов не могли проникнуть на “чужую” территорию, меры безопасности должны охватывать все уровни ИТ-инфраструктуры и обеспечивать надежный мониторинг использования вычислительных и сетевых компонентов и систем хранения.
5. Утрата или утечка данных
И при использовании традиционной инфраструктуры возникает масса ситуаций, чреватых утратой или кражей данных (например, при преждевременном удалении файлов, резервные копии которых еще не были созданы в ходе плановой процедуры резервного копирования, при утрате ключей шифрования данных и т. д.). В случае использования облачной инфраструктуры вероятность такого рода инцидентов и компрометации данных может оказаться еще более высокой в силу принципиальных отличий такой инфраструктуры от традиционной или, что еще хуже, в силу каких-либо архитектурных или операционных характеристик конкретной облачной среды.
6. Несанкционированное использование учетной записи или сервиса
Случаи, когда учетными записями и сервисами помимо их владельца пользуются еще и злоумышленники, которым удалось украсть учетные данные, отнюдь не редки — этот вид угроз сегодня занимает место в списке наиболее распространенных. Ситуация усугубляется еще и тем, что пользователи часто используют для доступа к разным услугам одни и те же пароли. Облачные же решения добавляют свои краски в эту безрадостную картину. Если злоумышленник получает доступ к учетной записи пользователя облачных сервисов, то у него появляется возможность отслеживать пользовательские транзакции, манипулировать данными, перенаправлять клиентов на другие сайты и т. д. Чтобы избежать этого, провайдер услуг должен применять надежные технологии аутентификации, строгие политики безопасности и мощные средства мониторинга процессов.
7. Неизвестный уровень рисков
Облачные сервисы весьма привлекательны для компаний, поскольку позволяют им сократить свой парк аппаратных и программных средств и сфокусироваться на собственном бизнесе. Тем не менее и в этом случае вопросы безопасности должны оставаться на первом плане. Своевременная установка обновлений, соблюдение политики безопасности, учет обнаруженных уязвимостей ПО, выявление попыток несанкционированного доступа к корпоративным ресурсам — все это компании должны постоянно иметь в виду. И ни в коем случае нельзя обойтись минимальным набором мер — этого может оказаться недостаточно, чтобы оставаться на плаву.
Под облачными вычислениями в совокупности понимается большой пул легко используемых и легкодоступных виртуализованных ресурсов (таких как аппаратные комплексы, сервисы и др.). Эти ресурсы могут быть динамически перераспределены (масштабированы) для подстройки под динамически изменяющуюся нагрузку, обеспечивая оптимальное использование ресурсов. Этот пул ресурсов обычно предоставляется по принципу «оплата по мере использования». При этом владелец облака гарантирует качество обслуживания на основе определенных соглашений с пользователем.
В соответствии со всем вышесказанным, можно выделить следующие основные черты облачных вычислений:
1) облачные вычисления представляют собой новую парадигму предоставления вычислительных ресурсов;
2) базовые инфраструктурные ресурсы (аппаратные ресурсы, системы хранения данных, системное программное обеспечение) и приложения предоставляются в виде сервисов;
3) данные сервисы могут предоставляться независимым поставщиком для внешних пользователей по принципу «оплата по мере использования», основными особенностями облачных вычислений являются виртуализация и динамическая масштабируемость;
4) облачные сервисы могут предоставляться конечному пользователю через веб-браузер или посредством определенного программного интерфейса API (Application Programming Interface) .
Общая модель облачных вычислений состоит из внешней и внутренней частей. Эти два элемента соединены по сети, в большинстве случаев через Интернет. Посредством внешней части пользователь взаимодействует с системой; внутренняя часть - это собственно само облако. Внешняя часть состоит из клиентского компьютера или сети компьютеров предприятия и приложений, используемых для доступа к облаку. Внутренняя часть представляет собой приложения, компьютеры, серверы и хранилища данных, создающие облако сервисов посредством виртуализации (рис. 1).
При перемещении существующих физических виртуальных машин (ВМ) из центра обработки данных (ЦОД) во внешние облака или предоставление IT-сервисов вне безопасного периметра в частных облаках, приводит к тому, что периметр сети полностью теряет смысл, а общий уровень безопасности становится довольно низким.
Если в традиционных ЦОД, доступ инженеров к серверам строго контролируется на физическом уровне, то в облачных вычислениях доступ инженеров происходит через интернет, что приводит к появлению соответствующих угроз. Соответственно, критически важным является строгий контроль доступа для администраторов, а так же обеспечение контроля и прозрачность изменений на системном уровне
Виртуальные машины динамичны. Изменчивость ВМ очень сильно усложняет создание и поддержание целостной системы безопасности. Уязвимости и ошибки в настройках могут бесконтрольно распространяться. Кроме этого, весьма непросто зафиксировать для последующего аудита состояния защиты в какой-либо определённый момент времени.
Серверы облачных вычислений используют те же ОС и те же веб-приложения, что и локальные виртуальные, и физические сервера. Соответственно, для облачных систем угроза удаленного взлома или заражения вредоносным кодом так же высока.
Ещё одной угрозой является угроза целостности данных: компрометации и кражи данных. Целостность операционной системы и файлов приложений, а так же внутренняя активность должны контролироваться.
Использование многопользовательских облачных сервисов усложняет следование требованиям стандартов и законов, включающих в себя требования использования криптографических средств, для защиты важной информации, такой как информация о владельце кредитной карты и информации идентифицирующей человека. Это в свою очередь, порождает непростую задачу обеспечения надёжной защиты и безопасного доступа к важным данным .
Основываясь на анализе возможных угроз в облачных вычислениях, предложен возможный программно-аппаратный комплексный защиты безопасности облачных вычислений, включающий в себя 5 технологий: брандмауэр, обнаружение и предотвращение вторжений, контроль целостности, анализ журналов и защита от вредоносного программного обеспечения.
Провайдеры облачных вычислений используют виртуализацию для представления своим клиентам доступ к недорогим вычислительным ресурсам. При этом ВМ клиентов разделяют одни и те же аппаратные ресурсы, что необходимо для достижения наибольшей экономической эффективности. Корпоративные заказчики, которые интересуются облачными вычислениями для расширения своей внутренней IT-инфраструктуры, должны учитывать угрозы, которые порождает подобный шаг. Кроме традиционных механизмов сетевой защиты центров обработки данных, использующих такие подходы безопасности как: пограничный брандмауэр, выделение демилитаризованных зон, сегментацию сети, средства контроля состояния сети, системы обнаружения и предотвращения вторжений, так же должны использоваться программные механизмы защиты данных на серверах виртуализации или на самих ВМ, так как с переносом ВМ на публичные облачные сервисы периметр корпоративной сети постепенно теряет смысл и на общий уровень безопасности начинают значительно влиять наименее защищённые узлы. Именно невозможность физического разделения и применения аппаратных средств безопасности для отражения атак между ВМ приводит к потребности размещения механизма защиты на сервере виртуализации или на самих ВМ. Внедрение на самой виртуальной машине комплексного метода защиты, включающего в себя программную реализацию брандмауэра, обнаружения и предотвращения вторжений, контроля целостности, анализа журналов и защиты от вредоносного кода, является наиболее эффективным способом защиты целостности, соответствия требованиям регуляторов, соблюдение политик безопасности при перемещении виртуальных ресурсов из внутренней сети в облачные среды.
Литература:
1. Радченко Г.И. Распределённые вычислительные системы // Учебное пособие. - 2012. - С. 146-149.
2. Кондрашин М. Безопасность облачных вычислений // Storage News. - 2010. - №1.
Наибольшую обеспокоенность у компаний вызывает защита внешних облачных услуг. Так, респонденты переживают, что инциденты могут произойти у поставщиков, на аутсорсинг которым переданы бизнес-процессы , у сторонних облачных сервисов или в ИТ-инфраструктуре , где компания арендует вычислительные мощности. Однако несмотря на все это беспокойство, проверки соблюдения требований к обеспечению безопасности третьих сторон проводят лишь 15% компаний.
«Несмотря на то что последние масштабные взломы происходили внутри ЦОД , традиционные системы безопасности по-прежнему фокусируются лишь на защите сетевого периметра и контроле прав доступа. При этом редко учитывается негативное влияние решений для защиты физической инфраструктуры на производительность виртуальных сред, - объяснил Вениамин Левцов , вице-президент по корпоративным продажам и развитию бизнеса «Лаборатории Касперского». - Поэтому в конвергентных средах так важно использовать соответствующую комплексную защиту, обеспечивая безопасность виртуальных систем специально предназначенными решениями. Мы реализуем подход, при котором вне зависимости от типа инфраструктуры для всех систем обеспечивается единое по степени защищенности покрытие всей корпоративной сети. И в этом наши технологии и современные разработки VMware (как, например, микросегментация) прекрасно дополняют друг друга».
2014: данные Ponemon и SafeNet
Большинство ИТ-организаций находятся в неведении относительно того, каким образом осуществляется защита корпоративных данных в облаке – в результате компании подвергают рискам учетные записи и конфиденциальную информацию своих пользователей. Таков лишь один из выводов недавнего исследования осени 2014 года, проведённого институтом Ponemon по заказу SafeNet . В рамках исследования, озаглавленного "Проблемы управления информацией в облаке: глобальное исследование безопасности данных", во всём мире было опрошено более 1800 специалистов по информационным технологиям и ИТ-безопасности.
В числе прочих выводов, исследование показало, что хотя организации всё активнее используют возможности облачных вычислений, ИТ-подразделения корпораций сталкиваются с проблемами при управлении данными и обеспечении их безопасности в облаке. Опрос показал, что лишь в 38% организаций четко определены роли и ответственности за обеспечение защиты конфиденциальной и другой чувствительной информации в облаке. Усугубляет ситуацию то, что 44% корпоративных данных, хранящихся в облачном окружении, неподконтрольны ИТ-подразделениям и не управляются ими. К тому же более двух третей (71%) респондентов отметили, что сталкиваются с всё новыми сложностями при использовании традиционных механизмов и методик обеспечения безопасности для защиты конфиденциальных данных в облаке.
С ростом популярности облачных инфраструктур повышаются и риски утечек конфиденциальных данных Около двух третей опрошенных ИТ-специалистов (71%) подтвердили, что облачные вычисления сегодня имеют большое значение для корпораций, и более двух третей (78%) считают, что актуальность облачных вычислений сохранится и через два года. Кроме того, по оценкам респондентов около 33% всех потребностей их организаций в информационных технологиях и инфраструктуре обработки данных сегодня можно удовлетворить с помощью облачных ресурсов, а в течение следующих двух лет эта доля увеличится в среднем до 41%.
Однако большинство опрошенных (70%) соглашается, что соблюдать требования по сохранению конфиденциальности данных и их защите в облачном окружении становится всё сложнее. Кроме того, респонденты отмечают, что риску утечек более всего подвержены такие виды хранящихся в облаке корпоративных данных как адреса электронной почты, данные о потребителях и заказчиках и платежная информация.
В среднем, внедрение более половины всех облачных сервисов на предприятиях осуществляется силами сторонних департаментов, а не корпоративными ИТ-отделами, и в среднем около 44% корпоративных данных, размещенных в облаке, не контролируется и не управляется ИТ-подразделениями. В результате этого, только 19% опрошенных могли заявить о своей уверенности в том, что знают обо всех облачных приложениях, платформах или инфраструктурных сервисах, используемых в настоящий момент в их организациях.
Наряду с отсутствием контроля за установкой и использованием облачных сервисов, среди опрошенных отсутствовало единое мнение относительно того, кто же на самом деле отвечает за безопасность данных, хранящихся в облаке. Тридцать пять процентов респондентов заявили, что ответственность разделяется между пользователями и поставщиками облачных сервисов, 33% считают, что ответственность целиком лежит на пользователях, и 32% считают, что за сохранность данных отвечает поставщик сервисов облачных вычислений.
Более двух третей (71%) респондентов отметили, что защищать конфиденциальные данные пользователей, хранящиеся в облаке, с помощью традиционных средств и методов обеспечения безопасности становится всё сложнее, и около половины (48%) отмечают, что им становится всё сложнее контролировать или ограничивать для конечных пользователей доступ к облачным данным. В итоге более трети (34%) опрошенных ИТ-специалистов заявили, что в их организациях уже внедрены корпоративные политики, требующие в качестве обязательного условия для работы с определёнными сервисами облачных вычислений применения таких механизмов обеспечения безопасности как шифрование. Семьдесят один (71) процент опрошенных отметили что возможность шифрования или токенизации конфиденциальных или иных чувствительных данных имеет для них большое значение, и 79% считают, что значимость этих технологий в течение ближайших двух лет будет повышаться.
Отвечая на вопрос, что именно предпринимается в их компаниях для защиты данных в облаке, 43% респондентов сказали, что в их организациях для передачи данных используются частные сети. Примерно две пятых (39%) респондентов сказали, что в их компаниях для защиты данных в облаке применяется шифрование, токенизация и иные криптографические средства. Еще 33% опрошенных не знают, какие решения для обеспечения безопасности внедрены в их организациях, и 29% сказали, что используют платные сервисы безопасности, предоставляемые их поставщиками услуг облачных вычислений.
Респонденты также считают, что управление корпоративными ключами шифрования имеет важное значение для обеспечения безопасности данных в облаке, учитывая возрастающее количество платформ для управления ключами и шифрования, используемых в их компаниях. В частности, 54% респондентов сказали, что их организации сохраняют контроль над ключами шифрования при хранении данных в облаке. Однако 45% опрошенных сказали, что хранят свои ключи шифрования в программном виде, там же, где хранятся и сами данные, и только 27% хранят ключи в более защищенных окружениях, например, на аппаратных устройствах.
Что касается доступа к данным, хранящимся в облаке, то шестьдесят восемь (68) процентов респондентов утверждают, что управлять учетными записями пользователей в условиях облачной инфраструктуры становится сложнее, при этом шестьдесят два (62) процента респондентов сказали, что их в организациях доступ к облаку предусмотрен и для третьих лиц. Примерно половина (46 процентов) опрошенных сказали, что в их компаниях используется многофакторная аутентификация для защиты доступа сторонних лиц к данным, хранящимся в облачном окружении. Примерно столько же (48 процентов) респондентов сказали, что в их компаниях применяются технологии многофакторной аутентификации в том числе и для защиты доступа своих сотрудников к облаку.
Почему заказчики недовольны поставщиками облака?
Непрозрачное облако
Опубликованное недавно исследование Forrester Consulting показывает: многие организации считают, что поставщики облачных услуг предоставляют им недостаточно информации о взаимодействии с облаком, и это вредит их бизнесу.
Помимо недостаточной прозрачности, есть и другие факторы, уменьшающие энтузиазм перехода в облако: это уровень сервиса для заказчиков, дополнительные расходы и адаптация при миграции (on-boarding). Организации очень любят облако, но не его поставщиков - во всяком случае, не столь же сильно.
Исследование было заказано компанией iland, поставщиком корпоративного облачного хостинга, проводилось в течение мая и охватывало профессионалов в области инфраструктуры и текущего сопровождения из 275 организаций в , и Сингапуре.
«Среди всех сложностей сегодняшнего облака кроются и досадные изъяны, - пишет Лайлак Шёнбек (Lilac Schoenbeck), вице-президент по сопровождению и маркетингу продукта iland. - Столь важные метаданные не сообщаются, существенно тормозя принятие облака, и всё же организации строят планы роста исходя из допущения безграничности облачных ресурсов».
Где же ключ к достижению гармонии деловых отношений? Вот что нужно знать VAR’ам, чтобы постараться уладить проблемы и привести стороны к примирению.
Невнимание к клиентам
Судя по всему, многие пользователи облака не ощущают тот самый индивидуальный подход.
Так, 44% респондентов ответили, что их провайдер не знает их компанию и не понимает их деловые потребности, а 43% считают, что если бы их организация просто была крупнее, то, наверно, поставщик уделял бы им больше внимания. Короче говоря, они чувствуют холод рядовой сделки, покупая облачные услуги, и им это не нравится.
И еще: есть одна практика, на которую указала треть опрошенных компаний, также вселяющая ощущение мелочности в сделке, - с них взимают плату за малейший вопрос или непонятность.
Слишком много секретов
Нежелание поставщика предоставлять всю информацию не только раздражает заказчиков, но часто стоит им денег.
Все респонденты, принявшие участие в опросе Forrester, ответили, что ощущают определенные финансовые последствия и влияние на текущую работу из-за отсутствующих или закрытых данных об использовании ими облака.
«Отсутствие ясных данных о параметрах использования облака приводит к проблемам производительности, затруднениям отчетности перед руководством о реальной стоимости использования, оплате за ресурсы, так и не потребленные пользователями, и непредвиденным счетам», - констатирует Forrester.
А где метаданные?
ИТ-руководители, ответственные за облачную инфраструктуру в своих организациях, хотят иметь метрику стоимости и рабочих параметров, обеспечивающую ясность и прозрачность, но, очевидно, им трудно донести это до поставщиков.
Участники опроса отметили, что получаемые ими метаданные об облачных рабочих нагрузках обычно бывают неполными. Почти половина компаний ответила, что данные о соблюдении регулятивных норм отсутствуют, 44% указали на отсутствие данных о параметрах использования, 43% - ретроспективных данных, 39% - данных по безопасности, и 33% - данных биллинга и стоимости.
Вопрос прозрачности
Отсутствие метаданных вызывает всякого рода проблемы, говорят респонденты. Почти две трети опрошенных сообщили, что недостаточная прозрачность не позволяет им в полной мере понять все преимущества облака.
«Отсутствие прозрачности порождает различные проблемы, и в первую очередь это вопрос о параметрах использования и перебои в работе», - говорится в отчете.
Примерно 40% пытаются устранить эти пробелы сами, закупая дополнительный инструментарий у своих же поставщиков облака, а другие 40% просто закупают услуги другого поставщика, где такая прозрачность присутствует.
Соблюдение регулятивных норм
Как ни крути, организации несут ответственность за все свои данные, будь то на локальных СХД или отправленные в облако.
Более 70% респондентов в исследовании ответили, что в их организациях регулярно проводится аудит, и они должны подтвердить соответствие существующим нормам, где бы ни находились их данные. И это ставит препятствие на пути принятия облака почти для половины опрошенных компаний.
«Но аспект соблюдения вами регулятивных норм должен быть прозрачен для ваших конечных пользователей. Когда поставщики облака придерживают или не раскрывают эту информацию, они не позволяют вам достичь этого», - сказано в отчете.
Проблемы соответствия
Более 60% опрошенных компаний ответили, что проблемы соблюдения регулятивных требований ограничивают дальнейшее принятие облака.
Главные проблемы таковы:
- 55% компаний, связанных такими требованиями, ответили, что труднее всего для них реализовать надлежащие средства контроля.
- Примерно половина говорит, что им трудно понять уровень соответствия требованиям, обеспечиваемый их поставщиком облака.
- Еще половина респондентов ответила, что им трудно получить необходимую документацию от провайдера о соблюдении этих требований, чтобы пройти аудит. И 42% затрудняются получить документацию о соблюдении ими самими требований в отношении рабочих нагрузок, запущенных в облаке.
Проблемы миграции
Похоже, что процесс перехода (on-boarding) - еще одна область общей неудовлетворенности: чуть более половины опрошенных компаний ответили, что их не удовлетворяют процессы миграции и поддержки, которые предложили им поставщики облака.
Из 51% неудовлетворенных процессом миграции 26% ответили, что это заняло слишком много времени, и 21% пожаловались на отсутствие живого участия со стороны персонала провайдера.
Более половины были также не удовлетворены процессом поддержки: 22% указали на долгое ожидание ответа, 20% - недостаточные знания персонала поддержки, 19% - на затянувшийся процесс решения проблем, и 18% получили счета с более высокой, чем ожидалось, стоимостью поддержки.
Препятствия на пути в облако
Многие из компаний, опрошенных фирмой Forrester, вынуждены сдерживать свои планы расширения в облаке из-за проблем, которые они испытывают с уже имеющимися услугами.
Большинство ИТ-организаций не знают каким образом осуществляется защита корпоративных данных в облаке. В результате этого компании подвергают рискам как учетные записи и конфиденциальную информацию своих пользователей, так и информацию о работе данного предприятия.
В рамках исследования, которое получило название, «Проблемы управления информацией в облаке: глобальное исследование безопасности данных», было опрошено более 1800 специалистов во всём мире по ИТбезопасности. Опрос показал, что организации стали активнее использовать многие возможности облачных вычислений, но подразделения ИТ корпораций сталкиваются с проблемами при управлении данными предприятия и обеспечении их безопасности в облаке. Также исследование демонстрирует, что всего в 38% предприятий четко определены роли и ответственности за обеспечение защиты в облаке конфиденциальной информации. Ухудшает ситуацию то, что 44% данных организаций, хранящихся в облаке, не подконтролируются подразделениями ИТ и не управляются ими.
Однако большинство проинтервьюированных, их составляет 70%, соглашается, что выдерживают требования по сохранению секретности данных и их защите в облаке становится всё труднее. Кроме того, респонденты выделяют, что риску потерь более всего подвержены адреса электронной почты, данные о потребителях и заказчиках и платежная информация. Внедрение более половины всех облачных сервисов в организациях осуществляется силами сторонних департаментов, а не ИТ-отделами данных фирм, и в среднем около 44% корпоративных данных, размещенных в облаке, не контролируется и не управляется ИТ-подразделениями.
Существует множество угроз безопасности облачных вычислений, в связи с которыми предприятия преграждают внедрение облачных технологий. Ниже рассмотрим некоторые из них, такие как кража личных данных, их удаление и восстановление, утечка, отказ в обслуживании, манипулирование данными клиента, вредоносное создание ВМ (виртуальной машины) и небезопасный ее перенос, спуфинг виртуальной сети.
При краже личностных данных атакующий может совершать запрещенные действия, которые могут поставить под опасность данные, манипулирование ими и перенаправление любой операции. Эта угроза происходит, когда предлагают услуги, которые могут быть доступны через интерфейсы программирования приложений (SOAP, REST или HTTP) . Безопасность облака зависит от этих интерфейсов. Похитители могут иметь возможность восстановить удаленные данные, так как эти данные все еще могут существовать на устройстве. Утечка данных происходит, когда информация обрабатывается неправильно во время передачи, обработки, хранения или ее аудита.
Отказ в обслуживании происходит из-за уязвимости в пределах небезопасных интерфейсов и неограниченном распределении ресурсов. Виртуальная машина может создать образ с помощью действительной учетной записи. Образ может содержать вредоносный код. При небезопасном переносе ВМ злоумышленник может получить доступ к данным незаконно, в процессе переноса виртуальной машины ненадежному обладателю. При спуфинге виртуальной сети злоумышленник может использовать ВМ, чтобы отслеживать виртуальные сети и даже использовать протокол разрешения адресов для перенаправления пакетов из других ВМ или в другие ВМ, что приводит соединению МАС-адреса с сетевым IP .
В целях сохранения безопасности предприятия, применяемые облачные технологии, должны доводить до сотрудников основные проблемы, связанные с использованием облачных вычислений. Необходимо разрабатывать комплексные политики по управлению данными и по соблюдению законодательных требований. А также разрабатывать рекомендации и правила в отношении того, какие данные можно хранить в облаке, а какие не стоит. ИТ-подразделениям предприятия необходимо реализовать меры по обеспечению безопасности данных, например, внедряя шифрование данных. Тем самым позволяя централизованно управлять защитой данных в облаке. ИТ-подразделениям предприятия необходимо применять эффективные механизмы для контроля доступом пользователей. Например, использовать механизм многофакторной аутентификации. Решения многофакторной аутентификации могут обеспечивать более защищенный доступ ко всем приложениям и данным.
Облачные вычисления предоставляют целый ряд весьма привлекательных возможностей для повышения эффективности совместной, удаленной и распределенной работы и для сокращения затрат. Несмотря на то, что миграция в облако сопряжена с определенными рисками, эти риски не превышают тех, которые имеют место при хостинге услуг внутри организации. Основное различие заключается в том, что облачная среда предоставляет злоумышленникам новое поле для атак. Если потратить время на понимание того, какие уязвимости существуют в облачной среде и что можно сделать для предотвращения использования этих уязвимостей злоумышленниками, облачные сервисы могут стать такими же защищенными, как и любые другие сервисы, предоставляемые в локальной или распределенной сети организации.
