0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Проблемы безопасности облачных з методов защиты облаков от Сloud Security Alliance

Содержание

Проблемы безопасности облачных вычислений.
Анализ методов защиты облаков от Сloud Security Alliance

Авторы: Бердник А.В.
Источник: Альманах современной науки и образования. Тамбов: Грамота, 2013. № 10 (77). C. 35-38. ISSN 1993-5552.
URL: http://scjournal.ru/articles/issn_1993-5552_2013_10_09.pdf

Резюме

В статье рассматриваются различные виды существующих угроз облачных вычислений (англ. Cloud Computing). Анализируются атаки на элементы облака и решения по их устранению, а также апробация решения по защите от угроз безопасности облаков от компании Cloud Security Alliance (CSA). Предложены решения по защите от угроз безопасности облачных вычислений.

Центр обработки данных (ЦОД) (англ. Data Center) представляет собой совокупность серверов, размещенных на одной площадке с целью повышения эффективности и защищенности. Защита центров обработки данных включает сетевую и физическую защиту, а также отказоустойчивость и надежное электропитание.

В настоящее время на рынке представлен широкий спектр решений для защиты серверов и ЦОД от различных угроз. Их объединяет ориентированность на узкий спектр решаемых задач [1]. Однако он подвергся некоторому расширению вследствие постепенного вытеснения классических аппаратных систем виртуальными платформами. К известным типам угроз (сетевые атаки, уязвимости в приложениях операционных систем, вредоносное программное обеспечение) добавились сложности, связанные с контролем среды (гипервизора), трафика между гостевыми машинами и разграничением прав доступа. Расширились внутренние вопросы и политики защиты ЦОД, требования внешних регуляторов. Работа современных ЦОД в ряде отраслей требует закрытия технических вопросов, а также вопросов, связанных с их безопасностью. Финансовые институты (банки, процессинговые центры) подчинены ряду стандартов, выполнение которых заложено на уровне технических решений. Проникновение платформ виртуализации достигло того уровня, когда практически все компании, использующие эти системы, весьма серьезно занялись вопросами усиления безопасности в них. Отметим, что буквально год назад интерес был скорее теоретический [3; 8]. В современных условиях становится все сложнее обеспечить защиту критически важных для бизнеса систем и приложений [1].

Появление виртуализации стало актуальной причиной масштабной миграции большинства систем на виртуальные машины (ВМ), однако решение задач обеспечения безопасности, связанных с эксплуатацией приложений в новой среде, требует особого подхода. Многие типы угроз достаточно изучены, и для них разработаны средства защиты, однако их еще нужно адаптировать для использования в облаке.

Существующие угрозы облачных вычислений

Контроль и управление облаками являются проблемой безопасности. Гарантий, что все ресурсы облака посчитаны, и в нем нет неконтролируемых виртуальных машин, не запущено лишних процессов, и не нарушена взаимная конфигурация элементов облака, нет. Это — высокоуровневый тип угроз, т.к. он связан с управляемостью облаком как единой информационной системой, и для него общую защиту нужно строить индивидуально. Для этого необходимо использовать модель управления рисками для облачных инфраструктур.

В основе обеспечения физической безопасности лежит строгий контроль физического доступа к серверам и сетевой инфраструктуре. В отличие от физической безопасности, сетевая безопасность в первую очередь представляет собой построение надежной модели угроз, включающей в себя защиту от вторжений и межсетевой экран. Использование межсетевого экрана подразумевает работу фильтра с целью разграничить внутренние сети ЦОД на подсети с разным уровнем доверия. Это могут быть отдельно серверы, доступные из Интернета, или серверы из внутренних сетей.

В облачных вычислениях важнейшую роль платформы выполняет технология виртуализации. Для сохранения целостности данных и обеспечения защиты рассмотрим основные известные угрозы для облачных вычислений.

Трудности при перемещении обычных серверов в вычислительное облако

Требования к безопасности облачных вычислений не отличаются от требований безопасности к центрам обработки данных. Однако виртуализация ЦОД и переход к облачным средам приводят к появлению новых угроз.

Доступ через Интернет к управлению вычислительной мощностью — одна из ключевых характеристик облачных вычислений. В большинстве традиционных ЦОД доступ инженеров к серверам контролируется на физическом уровне, в облачных средах они работают через Интернет. Разграничение контроля доступа и обеспечение прозрачности изменений на системном уровне являются одними из главных критериев защиты.

Динамичность виртуальных машин

Виртуальные машины динамичны. Они клонируются и могут быть перемещены между физическими серверами. Данная изменчивость влияет на разработку целостности системы безопасности. Однако уязвимости операционной системы или приложений в виртуальной среде распространяются бесконтрольно и часто проявляются после произвольного промежутка времени (например, при восстановлении из резервной копии). В среде облачных вычислений важно надежно зафиксировать состояние защиты системы, независимо от ее местоположения.

Уязвимости внутри виртуальной среды

Серверы облачных вычислений и локальные серверы используют одни и те же операционные системы и приложения. Для облачных систем угроза удаленного взлома или заражения вредоносным ПО высока. Риск для виртуальных систем также высок. Параллельные виртуальные машины увеличивает атакуемую поверхность . Система обнаружения и предотвращения вторжений должна быть способна обнаруживать вредоносную активность на уровне виртуальных машин, вне зависимости от их расположения в облачной среде.

Защита бездействующих виртуальных машин

Когда виртуальная машина выключена, она подвергается опасности заражения. Доступа к хранилищу образов виртуальных машин через сеть достаточно. На выключенной виртуальной машине абсолютно невозможно запустить защитное программное обеспечение. В данном случае должна быть реализована защита не только внутри каждой виртуальной машины, но и на уровне гипервизора.

Защита периметра и разграничение сети

При использовании облачных вычислений периметр сети размывается или исчезает. Это приводит к тому, что защита менее защищенной части сети определяет общий уровень защищенности. Для разграничения сегментов с разными уровнями доверия в облаке виртуальные машины должны сами обеспечивать себя защитой, перемещая сетевой периметр к самой виртуальной машине (Рис. 1). Корпоративный firewall — основной компонент для внедрения политики IT-безопасности и разграничения сегментов сети — не в состоянии повлиять на серверы, размещенные в облачных средах [4].

Рис. 1. Схема работы механизма разграничения доступа [7]

Атаки на облака и решения по их устранению

Традиционные атаки на ПО

Уязвимости операционных систем, модульных компонентов, сетевых протоколов — традиционные угрозы, для защиты от которых достаточно установить межсетевой экран, firewall, антивирус, систему предотвращения вторжений (Intrusion Prevention System — IPS) и другие компоненты. При этом важно, чтобы данные средства защиты эффективно работали в условиях виртуализации.

Функциональные атаки на элементы облака

Этот тип атак связан с многослойностью облака, общим принципом безопасности. В статье об опасности облаков было предложено следующее решение [4]: для защиты от функциональных атак для каждой части облака необходимо использовать следующие средства защиты: для прокси — эффективную защиту от DoSатак, для веб-сервера — контроль целостности страниц, для сервера приложений — экран уровня приложений, для СУБД — защиту от SQL-инъекций, для системы хранения данных — правильные бэкапы (резервное копирование), разграничение доступа. В отдельности каждые из этих защитных механизмов уже созданы, но они не собраны вместе для комплексной защиты облака, поэтому задачу по интеграции их в единую систему нужно решать во время создания облака.

Атаки на клиента

Большинство пользователей подключаются к облаку, используя браузер. Здесь рассматриваются такие атаки как Cross Site Scripting, угон паролей, перехваты веб-сессий, человек посредине и многие другие. На текущий момент, наиболее эффективной защитой от данного вида атак является правильная аутентификация и использование шифрованного соединения (SSL) с взаимной аутентификацией [5]. Однако данные средства защиты не очень удобны и очень расточительны для создателей облаков. В этой отрасли информационной безопасности есть еще множество нерешенных задач.

Атаки на гипервизор

Гипервизор является одним из ключевых элементов виртуальной системы. Основной его функцией является разделение ресурсов между виртуальными машинами. Атака на гипервизор может привести к тому, что одна виртуальная машина сможет получить доступ к памяти и ресурсам другой. Также она сможет перехватывать сетевой трафик, отбирать физические ресурсы и даже вытеснить виртуальную машину с сервера. В качестве стандартных методов защиты рекомендуется применять специализированные продукты для виртуальных сред, интеграцию хост-серверов со службой каталога Active Directory, использование политик сложности и устаревания паролей, а также стандартизацию процедур доступа к управляющим средствам хостсервера, встроенный брандмауэр хоста виртуализации. Также возможно отключение таких часто неиспользуемых служб как, например, веб-доступ к серверу виртуализации.

Атаки на системы управления

Большое количество виртуальных машин, используемых в облаках, требует наличия систем управления, способных надежно контролировать создание, перенос и утилизацию виртуальных машин. Вмешательство в систему управления может привести к появлению виртуальных машин — невидимок, способных блокировать одни виртуальные машины и подставлять другие.

Читать еще:  Посмотреть закрытое видео на youtube 18+ без регистрации

Решения по защите от угроз безопасности от компании Cloud Security Alliance (CSA)

Наиболее эффективные способы защиты в области безопасности облаков опубликовала организация Cloud Security Alliance (CSA). Проанализировав опубликованную компанией информацию, были предложены следующие решения [6]:

Сохранность данных. Шифрование

Шифрование — один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным, должен шифровать информацию клиента, хранящуюся в ЦОД, а также, в случае отсутствия необходимости, безвозвратно удалять.

Защита данных при передаче

Зашифрованные данные при передаче должны быть доступны только после аутентификации. Данные не получится прочитать или сделать изменения, даже в случае доступа через ненадежные узлы. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно используются провайдерами.

Аутентификация — защита паролем. Для обеспечения более высокой надежности часто прибегают к таким средствам как токены и сертификаты. Для прозрачного взаимодействия провайдера с системой идентификации при авторизации также рекомендуется использовать LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language).

Использование индивидуальной виртуальной машины и виртуальной сети. Виртуальные сети должны быть развернуты с применением таких технологий как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service). Часто провайдеры изолируют информацию пользователей друг от друга за счет изменения кода в единой программной среде. Такой подход имеет риски, связанные с опасностью найти дыру в нестандартном коде и получить доступ к данным пользователей. В случае возможной ошибки в коде один пользователь может получить данные другого пользователя.

Заключение

Описанные решения по защите от угроз безопасности облачных вычислений неоднократно были применены системными интеграторами в проектах построения частных облаков. Практические применения и требования по безопасности подробно описаны в тезисах [1; 2]. После применения данных решений количествослучившихся инцидентов существенно снизилось. Но многие проблемы, связанные с защитой виртуализации, до сих пор требуют тщательного анализа и проработанного решения.

Основные проблемы облачной безопасности в 2020 году

В последнее время все больше компаний предпочитают облака. Во многом этот процесс ускорила пандемия COVID-19, которая вынудила значительное количество людей перейти на удаленную работу. Это привело к всплеску спроса на решения для доступа к корпоративным ресурсам из любого места. Многие компании за два месяца сделали то, что планировали сделать за пять лет.

В частности, исследование 2020 года показало, что 87% компаний планируют ускорить миграцию в облако и после окончания пандемии. 68% компаний используют решения двух и более поставщиков облачных услуг. Но такой резкий рывок вперед дорого обошелся многим организациям.

Исследование Check Point 2020 Cloud Security Report показало, что ускоренный переход к облакам создал огромное количество брешей в безопасности организаций, что привело к увеличению числа атак и растущему беспокойству среди компаний.

Рост расходов на ИБ

Для перехода в облака есть действительно много веских причин. Облачные решения снижают зависимость от локальных центров обработки данных, обладают высокой масштабируемостью и обеспечивают доступ к данным и приложениям из любого места. Однако, несмотря на эти преимущества, они несут ряд новых проблем.

Многие организации считают переход в облако рискованным с точки зрения безопасности. Согласно отчету Check Point 2020 Cloud Security Report, 75% опрошенных компаний сильно или даже очень сильно обеспокоены безопасностью облака.

Отчет также показал, что организации обычно тратят 27% своего бюджета на безопасность. При этом почти 60% организаций ожидают, что их бюджет еще больше увеличится в 2021 году. На это действительно есть причины: в первой половине 2020 года злоумышленники получили более 3,2 миллиардов записей из десяти крупнейших утечек данных. Эти нарушения могут нанести ощутимый ущерб бизнесу. Например, в результате взлома американского банка Capital One в 2019 году пострадали данные более 100 миллионов американцев и 6 миллионов канадцев.

Угрозы

Согласно отчету об облачной безопасности за 2020 год, самой серьезной угрозой была неправильная конфигурация: 68% компаний указали на это как на самую большую проблему (по сравнению с 62% в предыдущем году). Неверная конфигурация облака, неправильные настройки доступа приводят к атакам и утечкам данных. На втором месте находится несанкционированный доступ (58%) — когда приватную информацию может посмотреть человек, у которого нет на это прав. Третье место занимает использование небезопасных интерфейсов и API (52%): для того, чтобы работать с облаками, компаниям необходимы специальные программные интерфейсы и API. От того, насколько безопасны эти интерфейсы, настолько безопасно и использование самого облачного сервиса.

Опасения

Первое место занимают опасения потери или утечки данных — об этом сообщили 69% респондентов, это на 5% больше, чем в прошлом году. Конфиденциальность данных волнует 66% опрошенных — этот показатель возрос на 4%. Далее идут опасения по поводу случайного раскрытия учетных данных (44%) и реагирования на инциденты (44%); соблюдение правовых и нормативных требований (42%) и обеспечение контроля за данными (37%). Еще одним серьезным источником беспокойства руководителей и экспертов по безопасности было соблюдение нормативных требований: 90% опрошенных считают, что постоянное соблюдение требований во время миграции из локальной среды в облако является чрезвычайно важным.

Главная причина этих опасений — тот факт, что традиционные инструменты безопасности не предназначены для решения сложных задач безопасности облака.

Почему традиционные инструменты безопасности больше не справляются

Хотя облачные сервисы предоставляют встроенные (и часто расширенные) меры безопасности, предприятия по-прежнему вынуждены использовать модель совместной ответственности. Другими словами, ответственность за защиту своих данных и рабочих нагрузок в облаке несут сами клиенты.

Традиционные инструменты безопасности, которые хорошо работают в локальных сетях, не предназначены для защиты распределенных и виртуальных облаков. И это не стало неожиданностью: отчет за 2020 год показал, что руководители хорошо знали об этом ограничении. Более 80% респондентов утверждали, что эти инструменты либо вообще не работают в облаке, либо предлагают ограниченную функциональность.

Как безопасно перейти в облако

Согласно 2020 Cloud Security Report, ключевые факторы для организаций при выборе поставщика решений облачной безопасности — это рентабельность (соотношение цены и эффективности) — выбрали 63% респондентов; простота развертывания (53%), возможность автоматической работы (52%) и то, является ли решение предназначенным для облаков (52%). Кроме того, поскольку почти 80% компаний перешли на мультиоблачную архитектуру, то им требуется унифицированная платформа облачной безопасности, способная предоставлять все вышеупомянутые показатели во всей их инфраструктуре.

Опрос также показал, что для удовлетворения всех этих требований одним из вариантов для компаний является обучение и сертификация своих сотрудников. Однако более половины респондентов считают, что обучение персонала и их опыт — это и есть самое большое препятствие для внедрения облачных технологий. Альтернативой, как показано в отчете, является использование облачных инструментов безопасности.

Облачная безопасность нового уровня

Традиционные инструменты не подходят для динамической, виртуальной и децентрализованной природы облака. Они не смогут обрабатывать растущее число взломов. Для решения этих проблем требуется унифицированное, высокоавтоматизированное и экономичное решение облачной безопасности, которое способно обнаруживать и обрабатывать угрозы в многооблачных средах.

Сергей Шерстобитов:

Из облаков пытаются сделать панацею от всех проблем, во что многие уже не верят

На вопросы CNews ответил Сергей Шерстобитов, генеральный директор компании «Информзащита».

CNews: Какие факторы являются точками роста российского рынка информационной безопасности и как они могут повлиять на бизнес компаний, оказывающих услуги в области ИБ?

Сергей Шерстобитов: Наиболее значимым фактором роста является стремление к соответствию определенным требованиям, установленным регуляторами, которых достаточно много. Заказчикам при этом приходится непросто, так как упор в требованиях иногда делается на формальное соответствие, не обеспечивающее реальную защищенность бизнеса, а выполнение некоторых требований способно существенно снизить эффективность выполнения некоторых бизнес-процессов. Это вынуждает искать компромиссные решения, как удовлетворяющие регуляторов, так и соответствующие реальным потребностям, что дает консультантам ИБ простор для продуктивной работы.

Другим фактором роста является существенно увеличившийся спрос на услуги и решения по ИБ со стороны государства, что связано с активной модернизацией информационных систем министерств и ведомств, а также с реализацией проектов «электронного правительства». Сейчас уже достаточно большое количество госуслуг оказывается через интернет, количество таких госуслуг будет только расти, поэтому государством инициируются проекты по обеспечению безопасности этих сервисов, так как с их помощью можно получить доступ, например, к персональным данным граждан.

Есть и другие, менее значительные факторы, но даже перечисленных двух достаточно для устойчивого роста рынка ИБ, как минимум, в перспективе 2-3 лет, что открывает хорошие возможности для всех игроков рынка.

Естественно, мы стараемся максимально использовать эти возможности. Наша выручка в 2010 году выросла более чем на 60%, про результаты 2011 года говорить пока рано, но рост тоже будет на десятки процентов.

Угроза 2: компрометация учетных записей и обход аутентификации

Утечка данных зачастую является результатом небрежного отношения к механизмам организации проверки подлинности, когда используются слабые пароли, а управление ключами шифрования и сертификатами происходит ненадлежащим образом. Кроме того, организации сталкиваются с проблемами управления правами и разрешениями, когда конечным пользователям назначаются гораздо большие полномочия, чем в действительности необходимо. Проблема встречается и тогда, когда пользователь переводится на другую позицию или увольняется. Мало кто торопится актуализировать полномочия согласно новым ролям пользователя. В результате учетная запись содержит гораздо большие возможности, чем требуется. А это узкое место в вопросе безопасности.

Немного фактов: крупнейшей утечкой данных в первой половине 2015 года стала атака с целью хищения идентификационных данных клиентов Anthem Insurance. Атаку оценили в 10 баллов по Индексу критичности, где было скомпрометировано более 80 миллионов учетных записей, что составило одну треть от общего числа данных, похищенных за первое полугодие 2015 года.

Читать еще:  Win 10 создать образ системы. Способы создания образа iso на windows. Видео: как записать образ системы на диск с помощью DAEMON Tools

CSA рекомендует использовать механизмы многофакторной аутентификации, включая одноразовые пароли, токены, смарт-карты, USB-ключи. Это позволит защитить облачные сервисы, поскольку применение озвученных методов усложняет процесс компрометации паролей.

Какие бывают проблемы безопасности облачных сервисов

Чтобы определить основные точки уязвимости, рассмотрим понятие вектора атаки. Вектор атаки — это путь или средство, с помощью которого хакер может получить доступ к компьютеру или серверу. Векторы атак позволяют хакерам использовать все уязвимости системы, включая человеческий фактор. Все методы атак, за исключением социальных, включают в себя программирование или использование аппаратного обеспечения.

Основными типами атак являются:

  1. DOS и DDoS. Хакер использует одно или несколько подключений к интернету, чтобы использовать уязвимость программного обеспечения или заполнить цель ложными запросами. Облачная модель дает DOS-атаке еще большую вычислительную мощность. В итоге сайт становится недоступным для запросов целевой аудитории.
  2. Вредоносные программы. Атаки с помощью вредоносных программ осуществляются для получения контроля над информацией пользователя в облаке. Для этого хакеры добавляют модуль зараженного сервиса в решение SaaS или PaaS. Если замысел удался, система перенаправит запросы пользователя на модуль хакера, инициируя выполнение вредоносного кода.
  3. Кросс-облачные атаки. Безопасность облачных сервисов особенно уязвима, когда клиенты перемещают одну из своих рабочих нагрузок в среду общедоступного облака, например, в Amazon Web Services или Microsoft Azure, используя при этом Direct Connect или любой другой VPN.
  4. Человеческий фактор. Часто безопасность облачных сервисов страдает из-за самих пользователей.

Проблемы безопасности облачных вычислений.
Анализ методов защиты облаков от Сloud Security Alliance

Авторы: Бердник А.В.
Источник: Альманах современной науки и образования. Тамбов: Грамота, 2013. № 10 (77). C. 35-38. ISSN 1993-5552.
URL: http://scjournal.ru/articles/issn_1993-5552_2013_10_09.pdf

Резюме

В статье рассматриваются различные виды существующих угроз облачных вычислений (англ. Cloud Computing). Анализируются атаки на элементы облака и решения по их устранению, а также апробация решения по защите от угроз безопасности облаков от компании Cloud Security Alliance (CSA). Предложены решения по защите от угроз безопасности облачных вычислений.

Центр обработки данных (ЦОД) (англ. Data Center) представляет собой совокупность серверов, размещенных на одной площадке с целью повышения эффективности и защищенности. Защита центров обработки данных включает сетевую и физическую защиту, а также отказоустойчивость и надежное электропитание.

В настоящее время на рынке представлен широкий спектр решений для защиты серверов и ЦОД от различных угроз. Их объединяет ориентированность на узкий спектр решаемых задач [1]. Однако он подвергся некоторому расширению вследствие постепенного вытеснения классических аппаратных систем виртуальными платформами. К известным типам угроз (сетевые атаки, уязвимости в приложениях операционных систем, вредоносное программное обеспечение) добавились сложности, связанные с контролем среды (гипервизора), трафика между гостевыми машинами и разграничением прав доступа. Расширились внутренние вопросы и политики защиты ЦОД, требования внешних регуляторов. Работа современных ЦОД в ряде отраслей требует закрытия технических вопросов, а также вопросов, связанных с их безопасностью. Финансовые институты (банки, процессинговые центры) подчинены ряду стандартов, выполнение которых заложено на уровне технических решений. Проникновение платформ виртуализации достигло того уровня, когда практически все компании, использующие эти системы, весьма серьезно занялись вопросами усиления безопасности в них. Отметим, что буквально год назад интерес был скорее теоретический [3; 8]. В современных условиях становится все сложнее обеспечить защиту критически важных для бизнеса систем и приложений [1].

Появление виртуализации стало актуальной причиной масштабной миграции большинства систем на виртуальные машины (ВМ), однако решение задач обеспечения безопасности, связанных с эксплуатацией приложений в новой среде, требует особого подхода. Многие типы угроз достаточно изучены, и для них разработаны средства защиты, однако их еще нужно адаптировать для использования в облаке.

Существующие угрозы облачных вычислений

Контроль и управление облаками являются проблемой безопасности. Гарантий, что все ресурсы облака посчитаны, и в нем нет неконтролируемых виртуальных машин, не запущено лишних процессов, и не нарушена взаимная конфигурация элементов облака, нет. Это — высокоуровневый тип угроз, т.к. он связан с управляемостью облаком как единой информационной системой, и для него общую защиту нужно строить индивидуально. Для этого необходимо использовать модель управления рисками для облачных инфраструктур.

В основе обеспечения физической безопасности лежит строгий контроль физического доступа к серверам и сетевой инфраструктуре. В отличие от физической безопасности, сетевая безопасность в первую очередь представляет собой построение надежной модели угроз, включающей в себя защиту от вторжений и межсетевой экран. Использование межсетевого экрана подразумевает работу фильтра с целью разграничить внутренние сети ЦОД на подсети с разным уровнем доверия. Это могут быть отдельно серверы, доступные из Интернета, или серверы из внутренних сетей.

В облачных вычислениях важнейшую роль платформы выполняет технология виртуализации. Для сохранения целостности данных и обеспечения защиты рассмотрим основные известные угрозы для облачных вычислений.

Трудности при перемещении обычных серверов в вычислительное облако

Требования к безопасности облачных вычислений не отличаются от требований безопасности к центрам обработки данных. Однако виртуализация ЦОД и переход к облачным средам приводят к появлению новых угроз.

Доступ через Интернет к управлению вычислительной мощностью — одна из ключевых характеристик облачных вычислений. В большинстве традиционных ЦОД доступ инженеров к серверам контролируется на физическом уровне, в облачных средах они работают через Интернет. Разграничение контроля доступа и обеспечение прозрачности изменений на системном уровне являются одними из главных критериев защиты.

Динамичность виртуальных машин

Виртуальные машины динамичны. Они клонируются и могут быть перемещены между физическими серверами. Данная изменчивость влияет на разработку целостности системы безопасности. Однако уязвимости операционной системы или приложений в виртуальной среде распространяются бесконтрольно и часто проявляются после произвольного промежутка времени (например, при восстановлении из резервной копии). В среде облачных вычислений важно надежно зафиксировать состояние защиты системы, независимо от ее местоположения.

Уязвимости внутри виртуальной среды

Серверы облачных вычислений и локальные серверы используют одни и те же операционные системы и приложения. Для облачных систем угроза удаленного взлома или заражения вредоносным ПО высока. Риск для виртуальных систем также высок. Параллельные виртуальные машины увеличивает атакуемую поверхность . Система обнаружения и предотвращения вторжений должна быть способна обнаруживать вредоносную активность на уровне виртуальных машин, вне зависимости от их расположения в облачной среде.

Защита бездействующих виртуальных машин

Когда виртуальная машина выключена, она подвергается опасности заражения. Доступа к хранилищу образов виртуальных машин через сеть достаточно. На выключенной виртуальной машине абсолютно невозможно запустить защитное программное обеспечение. В данном случае должна быть реализована защита не только внутри каждой виртуальной машины, но и на уровне гипервизора.

Защита периметра и разграничение сети

При использовании облачных вычислений периметр сети размывается или исчезает. Это приводит к тому, что защита менее защищенной части сети определяет общий уровень защищенности. Для разграничения сегментов с разными уровнями доверия в облаке виртуальные машины должны сами обеспечивать себя защитой, перемещая сетевой периметр к самой виртуальной машине (Рис. 1). Корпоративный firewall — основной компонент для внедрения политики IT-безопасности и разграничения сегментов сети — не в состоянии повлиять на серверы, размещенные в облачных средах [4].

Рис. 1. Схема работы механизма разграничения доступа [7]

Атаки на облака и решения по их устранению

Традиционные атаки на ПО

Уязвимости операционных систем, модульных компонентов, сетевых протоколов — традиционные угрозы, для защиты от которых достаточно установить межсетевой экран, firewall, антивирус, систему предотвращения вторжений (Intrusion Prevention System — IPS) и другие компоненты. При этом важно, чтобы данные средства защиты эффективно работали в условиях виртуализации.

Функциональные атаки на элементы облака

Этот тип атак связан с многослойностью облака, общим принципом безопасности. В статье об опасности облаков было предложено следующее решение [4]: для защиты от функциональных атак для каждой части облака необходимо использовать следующие средства защиты: для прокси — эффективную защиту от DoSатак, для веб-сервера — контроль целостности страниц, для сервера приложений — экран уровня приложений, для СУБД — защиту от SQL-инъекций, для системы хранения данных — правильные бэкапы (резервное копирование), разграничение доступа. В отдельности каждые из этих защитных механизмов уже созданы, но они не собраны вместе для комплексной защиты облака, поэтому задачу по интеграции их в единую систему нужно решать во время создания облака.

Атаки на клиента

Большинство пользователей подключаются к облаку, используя браузер. Здесь рассматриваются такие атаки как Cross Site Scripting, угон паролей, перехваты веб-сессий, человек посредине и многие другие. На текущий момент, наиболее эффективной защитой от данного вида атак является правильная аутентификация и использование шифрованного соединения (SSL) с взаимной аутентификацией [5]. Однако данные средства защиты не очень удобны и очень расточительны для создателей облаков. В этой отрасли информационной безопасности есть еще множество нерешенных задач.

Атаки на гипервизор

Гипервизор является одним из ключевых элементов виртуальной системы. Основной его функцией является разделение ресурсов между виртуальными машинами. Атака на гипервизор может привести к тому, что одна виртуальная машина сможет получить доступ к памяти и ресурсам другой. Также она сможет перехватывать сетевой трафик, отбирать физические ресурсы и даже вытеснить виртуальную машину с сервера. В качестве стандартных методов защиты рекомендуется применять специализированные продукты для виртуальных сред, интеграцию хост-серверов со службой каталога Active Directory, использование политик сложности и устаревания паролей, а также стандартизацию процедур доступа к управляющим средствам хостсервера, встроенный брандмауэр хоста виртуализации. Также возможно отключение таких часто неиспользуемых служб как, например, веб-доступ к серверу виртуализации.

Читать еще:  Как избавиться от вируса adware. Adware: что это? Виды рекламы adware и варианты борьбы с ними. Преимущество использования средства Anti-Malware. Почему это лучше? И почему в Malware Expert рекомендуется исключить Linkury.C Adware

Атаки на системы управления

Большое количество виртуальных машин, используемых в облаках, требует наличия систем управления, способных надежно контролировать создание, перенос и утилизацию виртуальных машин. Вмешательство в систему управления может привести к появлению виртуальных машин — невидимок, способных блокировать одни виртуальные машины и подставлять другие.

Решения по защите от угроз безопасности от компании Cloud Security Alliance (CSA)

Наиболее эффективные способы защиты в области безопасности облаков опубликовала организация Cloud Security Alliance (CSA). Проанализировав опубликованную компанией информацию, были предложены следующие решения [6]:

Сохранность данных. Шифрование

Шифрование — один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным, должен шифровать информацию клиента, хранящуюся в ЦОД, а также, в случае отсутствия необходимости, безвозвратно удалять.

Защита данных при передаче

Зашифрованные данные при передаче должны быть доступны только после аутентификации. Данные не получится прочитать или сделать изменения, даже в случае доступа через ненадежные узлы. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно используются провайдерами.

Аутентификация — защита паролем. Для обеспечения более высокой надежности часто прибегают к таким средствам как токены и сертификаты. Для прозрачного взаимодействия провайдера с системой идентификации при авторизации также рекомендуется использовать LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language).

Использование индивидуальной виртуальной машины и виртуальной сети. Виртуальные сети должны быть развернуты с применением таких технологий как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service). Часто провайдеры изолируют информацию пользователей друг от друга за счет изменения кода в единой программной среде. Такой подход имеет риски, связанные с опасностью найти дыру в нестандартном коде и получить доступ к данным пользователей. В случае возможной ошибки в коде один пользователь может получить данные другого пользователя.

Заключение

Описанные решения по защите от угроз безопасности облачных вычислений неоднократно были применены системными интеграторами в проектах построения частных облаков. Практические применения и требования по безопасности подробно описаны в тезисах [1; 2]. После применения данных решений количествослучившихся инцидентов существенно снизилось. Но многие проблемы, связанные с защитой виртуализации, до сих пор требуют тщательного анализа и проработанного решения.

Угроза 5: кража учетных записей

Фишинг, мошенничество, эксплойты встречаются и в облачном окружении. Сюда добавляются угрозы в виде попыток манипулировать транзакциями и изменять данные. Облачные площадки рассматриваются злоумышленниками как поле для совершения атак. И даже соблюдение стратегии «защиты в глубину» может оказаться недостаточным. Необходимо запретить «шаринг» учетных записей пользователей и служб между собой, а также обратить внимание на механизмы многофакторной аутентификации. Сервисные аккаунты и учетные записи пользователей необходимо контролировать, детально отслеживая выполняемые транзакции. Главное — обеспечить защиту учетных записей от кражи, рекомендует CSA.

Сергей Шерстобитов:

Из облаков пытаются сделать панацею от всех проблем, во что многие уже не верят

На вопросы CNews ответил Сергей Шерстобитов, генеральный директор компании «Информзащита».

CNews: Какие факторы являются точками роста российского рынка информационной безопасности и как они могут повлиять на бизнес компаний, оказывающих услуги в области ИБ?

Сергей Шерстобитов: Наиболее значимым фактором роста является стремление к соответствию определенным требованиям, установленным регуляторами, которых достаточно много. Заказчикам при этом приходится непросто, так как упор в требованиях иногда делается на формальное соответствие, не обеспечивающее реальную защищенность бизнеса, а выполнение некоторых требований способно существенно снизить эффективность выполнения некоторых бизнес-процессов. Это вынуждает искать компромиссные решения, как удовлетворяющие регуляторов, так и соответствующие реальным потребностям, что дает консультантам ИБ простор для продуктивной работы.

Другим фактором роста является существенно увеличившийся спрос на услуги и решения по ИБ со стороны государства, что связано с активной модернизацией информационных систем министерств и ведомств, а также с реализацией проектов «электронного правительства». Сейчас уже достаточно большое количество госуслуг оказывается через интернет, количество таких госуслуг будет только расти, поэтому государством инициируются проекты по обеспечению безопасности этих сервисов, так как с их помощью можно получить доступ, например, к персональным данным граждан.

Есть и другие, менее значительные факторы, но даже перечисленных двух достаточно для устойчивого роста рынка ИБ, как минимум, в перспективе 2-3 лет, что открывает хорошие возможности для всех игроков рынка.

Естественно, мы стараемся максимально использовать эти возможности. Наша выручка в 2010 году выросла более чем на 60%, про результаты 2011 года говорить пока рано, но рост тоже будет на десятки процентов.

Основные проблемы облачной безопасности в 2020 году

В последнее время все больше компаний предпочитают облака. Во многом этот процесс ускорила пандемия COVID-19, которая вынудила значительное количество людей перейти на удаленную работу. Это привело к всплеску спроса на решения для доступа к корпоративным ресурсам из любого места. Многие компании за два месяца сделали то, что планировали сделать за пять лет.

В частности, исследование 2020 года показало, что 87% компаний планируют ускорить миграцию в облако и после окончания пандемии. 68% компаний используют решения двух и более поставщиков облачных услуг. Но такой резкий рывок вперед дорого обошелся многим организациям.

Исследование Check Point 2020 Cloud Security Report показало, что ускоренный переход к облакам создал огромное количество брешей в безопасности организаций, что привело к увеличению числа атак и растущему беспокойству среди компаний.

Рост расходов на ИБ

Для перехода в облака есть действительно много веских причин. Облачные решения снижают зависимость от локальных центров обработки данных, обладают высокой масштабируемостью и обеспечивают доступ к данным и приложениям из любого места. Однако, несмотря на эти преимущества, они несут ряд новых проблем.

Многие организации считают переход в облако рискованным с точки зрения безопасности. Согласно отчету Check Point 2020 Cloud Security Report, 75% опрошенных компаний сильно или даже очень сильно обеспокоены безопасностью облака.

Отчет также показал, что организации обычно тратят 27% своего бюджета на безопасность. При этом почти 60% организаций ожидают, что их бюджет еще больше увеличится в 2021 году. На это действительно есть причины: в первой половине 2020 года злоумышленники получили более 3,2 миллиардов записей из десяти крупнейших утечек данных. Эти нарушения могут нанести ощутимый ущерб бизнесу. Например, в результате взлома американского банка Capital One в 2019 году пострадали данные более 100 миллионов американцев и 6 миллионов канадцев.

Угрозы

Согласно отчету об облачной безопасности за 2020 год, самой серьезной угрозой была неправильная конфигурация: 68% компаний указали на это как на самую большую проблему (по сравнению с 62% в предыдущем году). Неверная конфигурация облака, неправильные настройки доступа приводят к атакам и утечкам данных. На втором месте находится несанкционированный доступ (58%) — когда приватную информацию может посмотреть человек, у которого нет на это прав. Третье место занимает использование небезопасных интерфейсов и API (52%): для того, чтобы работать с облаками, компаниям необходимы специальные программные интерфейсы и API. От того, насколько безопасны эти интерфейсы, настолько безопасно и использование самого облачного сервиса.

Опасения

Первое место занимают опасения потери или утечки данных — об этом сообщили 69% респондентов, это на 5% больше, чем в прошлом году. Конфиденциальность данных волнует 66% опрошенных — этот показатель возрос на 4%. Далее идут опасения по поводу случайного раскрытия учетных данных (44%) и реагирования на инциденты (44%); соблюдение правовых и нормативных требований (42%) и обеспечение контроля за данными (37%). Еще одним серьезным источником беспокойства руководителей и экспертов по безопасности было соблюдение нормативных требований: 90% опрошенных считают, что постоянное соблюдение требований во время миграции из локальной среды в облако является чрезвычайно важным.

Главная причина этих опасений — тот факт, что традиционные инструменты безопасности не предназначены для решения сложных задач безопасности облака.

Почему традиционные инструменты безопасности больше не справляются

Хотя облачные сервисы предоставляют встроенные (и часто расширенные) меры безопасности, предприятия по-прежнему вынуждены использовать модель совместной ответственности. Другими словами, ответственность за защиту своих данных и рабочих нагрузок в облаке несут сами клиенты.

Традиционные инструменты безопасности, которые хорошо работают в локальных сетях, не предназначены для защиты распределенных и виртуальных облаков. И это не стало неожиданностью: отчет за 2020 год показал, что руководители хорошо знали об этом ограничении. Более 80% респондентов утверждали, что эти инструменты либо вообще не работают в облаке, либо предлагают ограниченную функциональность.

Как безопасно перейти в облако

Согласно 2020 Cloud Security Report, ключевые факторы для организаций при выборе поставщика решений облачной безопасности — это рентабельность (соотношение цены и эффективности) — выбрали 63% респондентов; простота развертывания (53%), возможность автоматической работы (52%) и то, является ли решение предназначенным для облаков (52%). Кроме того, поскольку почти 80% компаний перешли на мультиоблачную архитектуру, то им требуется унифицированная платформа облачной безопасности, способная предоставлять все вышеупомянутые показатели во всей их инфраструктуре.

Опрос также показал, что для удовлетворения всех этих требований одним из вариантов для компаний является обучение и сертификация своих сотрудников. Однако более половины респондентов считают, что обучение персонала и их опыт — это и есть самое большое препятствие для внедрения облачных технологий. Альтернативой, как показано в отчете, является использование облачных инструментов безопасности.

Облачная безопасность нового уровня

Традиционные инструменты не подходят для динамической, виртуальной и децентрализованной природы облака. Они не смогут обрабатывать растущее число взломов. Для решения этих проблем требуется унифицированное, высокоавтоматизированное и экономичное решение облачной безопасности, которое способно обнаруживать и обрабатывать угрозы в многооблачных средах.

Ссылка на основную публикацию
Статьи c упоминанием слов:

Adblock
detector