В данной статье рассмотрены основные проблемы облачных технологий, описаны методы защиты в облачных средах, проанализированы средства обеспечения безопасности в облачных средах. Обозначаются и анализируются стандарты, нормативные и руководящие документы в области информационной безопасности облачных вычислений, разработанные CloudSecurityAlliance (CSA), Европейским агентством сетевой и информационной безопасности (ENISA) и Национальным институтом стандартов и технологий (NIST).
Безопасность информации, обрабатываемой в облачной среде, - один из ключевых вопросов при внедрении технологии.
Облачным серверам присущи ровно те же уязвимости, что и физическим.
Как и любая новая технология, "облака" несут в себе новые угрозы безопасности.
Угрозы безопасности для облачных инфраструктур:
- Атака на гипервизор с виртуальной машины.
- Атака на гипервизор из физической сети.
- Атака на диск виртуальной машины.
- Атака на средства администрирования виртуальной инфраструктуры.
- Атака на виртуальную машину с другой виртуальной машины.
- Атака на сеть репликации виртуальных машин.
- Неконтролируемый рост числа виртуальных машин.
Защита информации в соответствии с законодательством
Одной из ключевых проблем использования облачных технологий является легитимность защиты информации, которая обрабатывается в облачной среде.
Согласно законодательству организации обязаны обеспечить надлежащую защиту конфиденциальной информации, с которой они работают, в том числе с применением сертифицированных средств защиты.
Эти проблемы касаются как информации, содержащей сведения, составляющие государственную тайну, так и конфиденциальной информации - коммерческой тайны или персональных данных.
Недостатки традиционных средств защиты:
Проблемы внедрения облачных технологий связаны с тем, что с одной стороны, традиционные средства защиты информации не всегда совместимы со средой виртуализации, так как изначально разрабатывались для использования в физической среде. С другой стороны, они не защищают от новых угроз безопасности информации, специфичных для облачной инфраструктуры.
Если нарушитель получает доступ к среде виртуализации, операционная среда традиционных СЗИ оказывается полностью ском- прометированной.[7]
Одни самых надежных продуктов по обеспечению безопасности в облачной среде это продукты от Vmware, Tripwire, Veeam Backup, Vizioncore SMB Data Protection Pack.
В настоящее время ведущими организациями, занимающимися вопросами безопасности в облаке, являются Альянс безопасности в облаке (Cloud Security Alliance, CSA), состоящий из представителей IT-индустрии, а также две государственных организации Европы и США: Европейское агентство сетевой и информационной безопасности (ENISA) и Национальный институт стандартов и технологий (NIST). Каждая из организаций создала соответствующий документ с классификацией всех существующих проблем информационной безопасности (ИБ) в облаке. Рассмотрим их и проведем сравнение. CSA является некоммерческой организацией, созданной в конце 2008 года, основателями которой выступили крупные IT- компании, заинтересованные во внедрении облачных технологий: Google, Microsoft, IBM, Salesforce.com, VMware и другие. Основным документом, посвященным проблемам безопасности в облаке, является "Руководство по безопасности критических областей для облачных вычислений", первая версия которого опубликована в 2009 году. Согласно ему основные составляющие требований ИБ в облаках, которые рекомендуются к рассмотрению и анализу, следующие [3]: 1. Организационные и правовые вопросы ИБ; 2. Технические вопросы ИБ. Кроме вопросов ИБ указанный документ рассматривает также архитектуру построения облака и предоставляет рекомендации и пути решения этих проблем. В целом вопросы ИБ в облаке разделяются на две большие группы: вопрос управления ИБ в облаке (организационные вопросы ИБ) и ИБ в облаке во время ее использования (технические вопросы ИБ). Каждая из групп дробится на более мелкие, называемые доменами. Домены, относящиеся к организационным, в первую очередь рассматриваются с целью выработки решений правовых вопросов, вопросов политики ИБ, управления рисками и стандартизации. В рамках технических вопросов рассматриваются вопросы реализации и внедрения защиты в облаке. Европейское агентство сетевой и информационной безопасности (ENISA) являеся организацией, деятельность которой направлена на "повышение способности Европейского Союза, государств- членов ЕС и бизнес-сообщества на предупреждение, ликвидацию и реагирование на проблемы сетевой информационной безопасности" [4]. Организацией ENISA был подготовлен и опубликован документ "Безопасность облачных вычислений и оценка рисков" [5], в котором рассмотрены вопросы информационной безопасности в облаке, их преимущества и недостатки, существующие риски, анализ и пути их уменьшения, существующие угрозы в среде облачных вычислений. Согласно этому документу выделяют такие риски ИБ, существующие в облаке: 1. Организационные вопросы ИБ; 2. Правовые вопросы ИБ; 3. Технические вопросы ИБ. С целью внедрения облачных вычислений правительством США в организации NIST была заказана разработка стандарта по обеспечению безопасности и конфиденциальности в общественных облаках. Поэтому, начиная с 2011 года, NIST опубликовал ряд документов, которые давали определение облачным вычисления, рассматривали вопрос ИБ в облаке, предлагали архитектуру безопасности в облаке, давали рекомендации по оценке и устранению существующих рисков ИБ в облаке. Классификация вопроса ИБ в облаке рассматривается в таких документах NIST: "Пособие по безопасности и конфиденциальности в общественных облачных вычислениях" [6] и "Краткий обзор облачных вычислений и рекомендации" [7]. В отличие от рассмотренных таксономий вопросов ИБ в облаке CSA и ENISA, в таксономии NIST вопросы ИБ четко не разделяют на такие уровни как организационные вопросы, правовые вопросы и технические вопросы ИБ. В общем они сводятся к следующему перечню:
- Управление;
- Соблюдение законов, правил, стандартов и спецификаций;
- Доверие к поставщику услуг;
- Архитектура программного и аппаратного обеспечения;
- Идентификация и управление доступом;
- Изоляция программного обеспечения;
- Защита данных;
- Доступность ресурсов и данных;
- Реагирование и инциденты. Наиболее полная и структурированная классификация была предоставлена организацией CSA, но ее недочетом является объединение правовых и организационных проблем ИБ. Главным преимуществом классификации ENISA есть оценка вероятности возникновения рисков, связанных с ИБ, причинами их возникновения, взаимосвязи с другими рисками, и их влияние на систему и ее элементы. К недостаткам классификации NIST можно отнести отсутствие разделения проблем ИБ на три основных группы, как это было сделано в классификации ENISA.
Анализ программных продуктов по обеспечению безопасности в облачных средах.
VMware ACE
Компания VMware является одной из первых, кто задумался о проблеме безопасности виртуальной инфраструктуры и создании защищенных пользовательских окружений. Первым продуктом компании, решающим эти проблемы в отношении рабочих станций, был VMware ACE. В нем можно было создавать защищенные политиками безопасности виртуальные машины и использовать их как рабочие среды для сотрудников компании, а также для демонстрации программного обеспечения и обучения. VMware ACE предоставляет возможности по защите конфиденциальной информации при нахождении виртуальных окружений в потенциально небезопасных средах, что включает в себя:
- использование доступа к сети из виртуальной машины на основе правил безопасности
- шифрование файлов виртуальных дисков и файлов конфигурации по алгоритму AES с длиной ключа 128 бит
- гибкость в отношении ограничения пользовательских действий
Возможности продукта VMware ACE позволяют использовать его в самых разных аспектах, когда требуется защитить жизненно важную информацию в виртуальных машинах, предотвратить несанкционированное копирование и централизованно обслуживать пользовательские среды с точки зрения безопасности. Основные варианты использования VMware ACE включают в себя:
- Использование надежно защищенных виртуальных десктопов, доступ к которым может осуществляться публично. Эти десктопы могут также переноситься разными пользователями между различными компьютерами без риска утечки конфиденциальной информации.
- Применение изолированных аппаратно независимых защищенных рабочих сред пользователей, где их действия централизованно ограничены (к примеру, возможность скопировать информацию на USB-flash-диск).
- Поддержка старых операционных систем, в которых проблематично соответствовать требованиям к безопасности
- Создание ограниченных по времени виртуальных приложений (Virtual Appliances), которые подходят для целей демонстрации программных продуктов, а также распространения программного обеспечения по модели SaaS (Software-as-a-Service).
Так же существует Платформа ACE Management Server, которая является мощным средством по поддержанию в жизнеспособном состоянии инфраструктуры десктопов в организации. Основные функции ACE Management Server включают в себя:
- управление активациями пакетов VMware ACE
- управление правами доступа к виртуальным окружениям
- динамическое развертывание обновлений к виртуальным средам
- управление настройками гостевых систем на Windows-платформе
Veeam Backup & Replication Enterprise for VMware
Veeam Backup - первое решение, сочетающее в себе возможности резервного копирования и дублирования данных для Ваших виртуальных машин на серверах VMware ESX. Это решение подходит для крупных компаний и корпораций - которые могут использовать сложности с администрированием огромного количества файлов, индексированием томов и количества виртуальных машин. Основные преимущества и свойства Veeam Backup:
- Сочетание функций резервного копирования и реплекации. С Veeam Backup организации могут выиграть от такого объединенного решения, защищающего виртуальные машины как от программных, так и от аппаратных сбоев. Оба метода создания резервных копий могут быть опционально использованы инфраструктурой VMware Consolidated Backup (VCB) framework, снижая нагрузку на ESX сервера и позволяя проводить более быстрый бэкап. Вам нужно просто выбрать подходящую опцию для каждой виртуальной машины, и управлять ими с помощью Veeam Backup.
- Поддержка ESXi и ESXi free. Помимо возможности резервного копирования ESXi посредством VMware Consolidated Backup (VCB), Veeam Backup теперь поддерживает бэкап ESXi без VCB. Veeam Backup - единственное решение для резервного копирования VMware, позволяющее создавать резервные копии и восстанавливать виртуальные машины, работающие на всех существующих изданиях ESXi, включая ESXi free.
- Восстановление файлов file-level за секунды. Функция быстрого восстановления файлов дает возможность восстановить отдельные файлы из резервных и копий и реплик за считанные секунды без необходимости извлекать полный образ виртуальной машины на локальный дисковод.
- Снижение стоимости хранения методом дедубликации данных. Создавая резервные копии множества виртуальных машин, Veeam Backup удаляет повторяющиеся блоки внутри каждого копируемого файла. Удаление дублируемой информации дает исключительные результаты при резервном копировании большого количества виртуальных машин, созданных по единому шаблону, или виртуальных машин с гигабайтами свободного пространства на их логических дисках. Дедубликация данных снижает требования к дисковому пространству для резервных копий, что в итоге приводит к существенной стоимости затрат.
- Метод синтетического резервного копирования. Veeam Backup использует технологию синтетического бэкапа, позволяющую провести полное резервное копирование всего 1 раз, и далее постепенно копирует изменения по мере их появления. В процессе каждого последующего копирования программа восстанавливает полный образ последнего состояния файла (на момент предыдущего копирования) и высчитывает произошедшие изменения, чтобы их зафиксировать.
- Возвращение к пройденной точке. Резервные копии и реплики, созданные Veeam Backup, можно легко восстановить в состоянии на определенный момент времени. Это защищает инфраструктуру от программных и аппаратных повреждений (например, таких, как в случае вирусной атаки, когда программный сбой замечают уже после нескольких циклов копирования).
Tripwire пакета NERC Solution Suite. Tripwire Inc. является ведущим мировым поставщиком решений для обеспечения IT-безопасности предприятий, правительственных учреждений и компаний- поставщиков услуг, которые нуждаются в защите своих конфиденциальных данных на уровне инфраструктуры от нарушений, уязвимостей и различных угроз. Тысячи клиентов по всему миру доверяют Tripwire управление своими критически важными системами безопасности, такими как конфигурация безопасности, контроль целостности файлов, регистрация и управление событиями.
Компания Tripwire, мировой разработчик решений по IT-безопасности и соответствию стандартам, анонсирует выход пакета NERC Solution Suite, представляющего собой мощную комбинацию гибко настраиваемых инструментов и сервисов для автоматизации, организации и проверки соответствия стандартам NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection).
Согласно недавнему исследованию ICS-CERT, кибератаки на предприятия энергетической отрасли выросли с 2010 года на 380%. В ответ на это были увеличены требования стандартов NERC CIP (частично они связаны с информационной безопасностью), тем самым усилилось давление на предприятия по соответствию нормам.
Достижение и поддержание стандартов NERC CIP - трудоемкий процесс, поскольку требования меняются достаточно часто. При этом необходимо постоянно проводить мониторинг критически важных активов и хранить подробные отчеты об этом. Для успешного прохождения аудита требуется много времени, зачастую такие операции проводятся вручную, и в этих случаях велика вероятность ошибок. За последние несколько лет число нарушений в этой области превысило 2 500 по первым четырем требованиям NERC CIP.
NERC Solution Suite - это пакет встроенных в Tripwire Enterprise и Tripwire Log Center решений по управлению безопасностью и обнаружению инцидентов. Пакет также включает политику норм и их взаимодействий, компоненты, шаблоны, настраиваемые отчеты и инструментальные панели, отмеченные рядом наград и позволившие более 100 предприятиям успешно пройти аудиты NERC CIP. Вместе с услугами опытных консультантов по NERC данный пакет поможет значительно сократить время, ресурсы и минимизировать несоответствия при прохождении проверок NERC CIP.
Ключевые функции:
- Соответствующие аудитам отчеты и инструментальные панели, обеспечивающие наглядность данных с возможностью группировать по требованиям CIP
- Постоянный мониторинг детальной информации по широкому спектру критически важных параметров, от локальных и сетевых устройств и до полных системных данных и информации о SCADA-оборудовании
- Автоматизация оценок и агрегирования полученных данных с целью выявить и предотвратить возможные проблемы в будущем
- Поддержка широкого набора норматив помимо NERC CIP, включая PCI, HIPAA и SOX
Vizioncore SMB Data Protection Pack
vSphere® Data Protection - это решение по резервному копированию и восстановлению для сред vSphere. В основе этого решения лежит технология EMC Avamar, обеспечивающая резервное копирование виртуальных машин на диск на уровне образов без использования агентов. Кроме того, это решение обеспечивает защиту важных приложений Microsoft (Exchange, SQL Server, SharePoint) с учетом их особенностей и поддерживает репликацию зашифрованных резервных копий с оптимизацией для ГВС. Решение vSphere Data Protection полностью интегрировано с сервером vCenter и веб-клиентом vSphere.
vSphere Data Protection обладает следующими преимуществами:
Надежная защита виртуальных машин и важных приложений в сочетании с уменьшением окон резервного копирования и снижением потребления ресурсов хранилища для сокращения расходов на инфраструктуру резервного копирования.
Исключение дублирования для блоков переменной длины: обеспечение высочайших коэффициентов исключения дублирования и сокращение требований к хранилищу резервных копий на 75% по сравнению с технологиями исключения дублирования для блоков постоянной длины. Исключение дублирования выполняется для всех виртуальных машин, защищенных одним виртуальным устройством.
Резервное копирование с учетом особенностей приложений: резервное копирование на уровне приложений для Microsoft Exchange, Microsoft SharePoint и Microsoft SQL Server выполняется с использованием облегченного гостевого агента, что гарантирует резервное копирование с согласованием приложений и обеспечивает точное восстановление.
Интеграция с системами EMC Data Domain: увеличение масштабируемости за счет резервного копирования данных в систему Data Domain, а также повышение эффективности резервного копирования благодаря использованию ПО DD Boost.
Автоматизированная проверка резервного копирования: плановое автоматизированное восстановление виртуальных машин дает возможность тестировать целостность резервного копирования.
Быстрое и прогнозируемое восстановление:
- Выполнение восстановления виртуальных машин происходит всего за один шаг.
- Исключение дублирования на уровне блоков переменной длины в сочетание с сжатием и шифрованием обеспечивает оптимизацию резервных копий для передачи по глобальной вычислительной сети.
- Восстановление виртуальной машины возможно непосредственно на узле vSphere, даже если сервер vCenter недоступен.
Политики настройки резервного копирования с помощью мастера: назначение заданий резервного копирования отдельным виртуальным машинам или более крупным контейнерам, например кластерам или пулам ресурсов, с возможностью указания определенного расписания и политик хранения. Самостоятельное восстановление файлов: возможность для администраторов гостевых ОС восстанавливать отдельные файлы и папки.
Интеграция веб-клиента vSphere: комплексное управление резервным копированием из веб-клиента vSphere.[6].
Список литературы:
- Газейкина А.И., Кувина А.С. Применение облачных технологий в обучении//информационные и коммуникационные технологии 2013.С 55-59.
- David Linthicum, How to integrate with the cloud. InfoWorld. [Электронный ресурс]. - URL: http:// www.infoworld.com/d/cloud-computing/how-integrate-the- cloud-714.
- Макашова В.Н. Использование электронных образовательных ресурсов для активизации взаимодействия вузов и работодателей // Проблемы и перспективы развития образования в России. - 2011. № 11. - С. 386-390.
- Шекербекова Ш.Т., Несипкалиев У. Возможности внедрения и использования облачных технологий в образовании//Международный журнал прикладных и фундаментальных исследований. - 2015-№6. - С. 20-27.
- Авксентьева Е.Ю. Миграция электронного образования в облачную среду// Современные исследования социальных проблем. - 2014. - № 10. - С. 15-24.
- Макарова А.Н. Виртуализация: Безопасные виртуальные пользовательские окружения в VMware ACE. - [Электронный ресурс]. - URL: http://www.ixbt.com/cm/ virtualization-vmware-ace.shtml