АННА СМЫШЛЯЕВА, студентка группы информатики и вычислительной техникиа, кафедра информационных систем управления, ДВФУ, Владивосток, AnyaC957@mail.ru

 ОЛЕГ РУДЗЕЙТ, студент группы информатики и вычислительной техники, кафедра информационных систем управления, ДВФУ, Владивосток, rudzeyt18@mail.ru

Проблемы безопасности
при переходе на облачные технологии

В данной статье рассматриваются облачные технологии в целом, приводятся основные угрозы безопасности и предлагаются мероприятия по минимизации этих угроз. Также рассматривается российский рынок облачных технологий и его проблемы

Облачные технологии и их главные угрозы

На сегодняшний день все большее количество компаний принимает решение перейти на облачные технологии, поскольку они помогают решить и оптимизировать множество задач. Облачные технологии (вычисления) – это технологии распределенной обработки данных, в которой компьютерные ресурсы и мощности предоставляются пользователю как интернет-сервис.

Cisco выделяет четыре модели сервиса распределенных вычислений [1]:

• ПО как услуга: конечные пользователи получают приложения по сети (Soft as a Service, SaaS).
• Платформа как услуга: инструменты и сервисы, используемые для предоставления приложений (Platform as a Service, PaaS).
• Инфраструктура как услуга: аппаратное и программное обеспечение для обеспечения работы серверов, хранилищ, сетей и операционных систем (Infrastructure as a Service, IaaS).
• ИТ-ресурсы как услуга: ИТ-специалисты поддерживают работу приложений, платформ и инфраструктуры (IT as a Service, ITaaS).

Облачные вычисления используют общий пул вычислительных ресурсов (т.е. сетей, серверов, хранилищ, приложений и сервисов) для обеспечения сетевого доступа по запросу.

Благодаря использованию виртуализации в средах центров обработки данных облачные вычисления можно быстро масштабировать с минимальными усилиями.

Центры обработки данных – сердце облачных вычислений – это помещение, которое предоставляет услуги, необходимые для размещения наиболее крупных на сегодняшний день вычислительных сред. Его основная функция заключается в том, чтобы предоставить компаниям стабильность работы за счет обеспечения доступности вычислительных услуг, поскольку большинство организаций зависит от ИТ-операций.

На сегодняшний момент в мире существует более 3000 центров обработки данных, которые предлагают рядовым пользователям и организациям общие услуги по размещению информации (инфраструктура как услуга). И гораздо больше центров обработки данных принадлежит частным корпорациям для выполнения собственных целей.

Из-за большого количества данных, которые сегодня часто переносятся в облака, площадки облачных хостинг-провайдеров становятся привлекательной целью для злоумышленников. При этом серьезность потенциальных угроз напрямую зависит от важности и значимости хранимых данных.

Раскрытие персональной пользовательской информации, как правило, получает меньшую огласку, нежели раскрытие медицинских заключений, коммерческих тайн, объектов интеллектуальной собственности, что наносит значительный ущерб репутации отдельно взятой компании.

Ниже представлены угрозы облачной безопасности по версии Cloud Security Alliance [2].

Первый шаг к минимизации рисков – своевременное определение ключевых угроз безопасности. CSA выделяет 12 ключевых угроз безопасности.

Угроза 1: утечка данных. При утечке данных организацию ожидают штрафы, иски или уголовные обвинения, которые приводят к необратимым последствиям и затяжным процедурам восстановления имиджа компании. Поэтому облачные поставщики стараются обеспечивать должный контроль и защиту данных в облачном окружении.

Чтобы минимизировать эту угрозу, рекомендуется использовать многофакторную аутентификацию и шифрование.

Угроза 2: компрометация учетных записей и обход аутентификации. Утечка данных зачастую является результатом небрежного отношения к проверке подлинности: использование слабых паролей, управление ключами шифрования и сертификатами ненадлежащим образом.

В этом случае рекомендуется использовать механизмы многофакторной аутентификации, включая одноразовые пароли, токены, смарт-карты, USB-ключи. Применение таких методов усложняет процесс компрометации паролей.

Угроза 3: взлом интерфейсов и API. От того, насколько хорошо проработаны механизмы контроля доступа, шифрования в API, зависит безопасность и доступность облачных сервисов. При взаимодействии с третьей стороной, использующей собственные интерфейсы API, риски значительно возрастают, потому что требуется предоставлять дополнительную информацию, вплоть до логина и пароля пользователя.

Рекомендуется использовать инструменты защиты и раннего обнаружения угроз. Кроме того, рекомендуется выполнять проверку безопасности кода и запускать тесты на проникновение.

Угроза 4: уязвимость используемых систем. Уязвимость используемых систем – проблема, встречающаяся в мультиарендных облачных средах. Она минимизируется путем правильно подобранных методов управления ИТ. Рекомендуется проводить регулярное сканирование на выявление уязвимостей, применять последние патчи и быстро реагировать на сообщения об угрозах безопасности.

Угроза 5: кража учетных записей. Фишинг, мошенничество, эксплойты встречаются и в облачном окружении. Сюда добавляются угрозы в виде попыток манипулировать транзакциями и изменять данные. Необходимо запретить передачу учетных записей пользователей и служб между собой, а также обратить внимание на механизмы многофакторной аутентификации. Сервисные аккаунты и учетные записи пользователей необходимо контролировать, детально отслеживая выполняемые транзакции.

Угроза 6: инсайдеры-злоумышленники. Здесь целью может быть полное или частичное разрушение инфраструктуры, получение доступа к данным и прочее. Рекомендуется позаботиться о механизмах шифрования и взять под собственный контроль управление ключами шифрования.

Угроза 7: целевые кибератаки. Для минимизации рисков и профилактики подобных угроз, кроме использования современного решения в области безопасности, рекомендуется проводить специализированное обучение сотрудников по распознаванию техник злоумышленника, использовать расширенные инструменты безопасности, уметь правильно управлять процессами, знать о плановых ответных действиях на инциденты, применять профилактические методы, повышающие уровень безопасности инфраструктуры.

Угроза 8: перманентная потеря данных. Облачные хостинг-провайдеры для соблюдения мер безопасности рекомендуют отделять пользовательские данные от данных приложений, сохраняя их в различных локациях. Не лишним будет делать резервное копирование. Ежедневный бэкап и хранение резервных копий на внешних альтернативных защищенных площадках особенно важны для облачных сред.

Угроза 9: недостаточная осведомленность. Организации, которые переходят в облако без понимания облачных возможностей, сталкиваются с рисками. Необходимо понимать функционирование облачных сервисов, предоставляемых поставщиком услуг. Это поможет ответить на вопрос, какие риски берет на себя компания, заключая договор с провайдером.

Угроза 10: злоупотребление облачными сервисами. Облака могут использоваться легитимными и нелегитимными организациями. Цель последних – использовать облачные ресурсы для совершения злонамеренных действий: запуска DDoS-атак, отправки спама, распространения вредоносного контента и т.д. Поставщикам услуг важно уметь распознавать таких участников, для чего рекомендуется детально изучать трафик и использовать инструменты мониторинга облачных сред.

Угроза 11: DDoS-атаки. В результате DoS-атак может сильно замедлиться или вовсе прекратиться работа значимых для бизнеса компании сервисов. Известно, что DoS-атаки расходуют большое количество вычислительных мощностей, за использование которых будет платить клиент. Несмотря на то что принципы DoS-атак на первый взгляд просты, необходимо понимать их особенности на прикладном уровне: они нацелены на уязвимости веб-серверов и баз данных. Необходимо иметь план смягчения атаки до того, как она произойдет.

Угроза 12: совместные технологии, общие риски. Поставщики облачных услуг предоставляют виртуальную инфраструктуру, облачные приложения, но если на одном из уровней возникает уязвимость, она влияет на все окружение.

Рекомендуется использовать стратегию «безопасности в глубину», внедрять механизмы многофакторной аутентификации, системы обнаружения вторжений, придерживаться концепции сегментирования сети и принципа предоставления наименьших привилегий.

Облачные технологии в России

Российский рынок облачных сервисов растет: согласно отчету IDC Russia Cloud Service Market [3], в 2017 году он увеличился на 49% к предыдущему году и составил 663,74 млн долларов. В пятилетней перспективе объем потребления облачных услуг составит 1,49 млрд долларов. Несмотря на все больший рост популярности облачных вычислений, большинство российских компаний не готово к использованию облачных сервисов.

Как показал опрос TAdviser [4], препятствием к использованию облачных решений для 67% опрошенных остаются риски утечки или потери данных.

Более 40% считают сдерживающим фактором высокую стоимость услуги в значительной мере потому, что модели оценки миграции в облако, используемые в компаниях, разнообразны и, возможно, не всегда корректны. Поэтому на рынке весьма востребован облачный консалтинг и решения интеграторов «под ключ».

Еще 38% респондентов ссылаются на ограничения или требования регулятора, не позволяющие активнее мигрировать в облака (в первую очередь об этом говорят представители финансового и промышленного секторов).

Также к этому списку можно добавить два фактора: ненадежность и скептичность [5].

В первом случае руководство компаний считает, что надежнее иметь свой физически ощутимый сервер в офисе, чем хранить данные на удаленном сервере.

Во втором – новые технологии оцениваются с точки зрения рисков специалистами по безопасности, и часто явные преимущества не могут перевесить предвзятое отношение и неготовность служб информационной безопасности следовать технологическим веяниям.

Стимулировать компании на переход на облачные технологии может фактор сокращения издержек, что отметили более 60% опрошенных. Несмотря на все опасения в связи с рисками потери данных, уже 57% опрошенных видят в облаках гарантию безопасности, обеспечиваемую на стороне провайдера. В первую очередь это представители интернет-ретейла, интернет-сервисов.

В погоне за сокращением эксплуатационных расходов путем более эффективного использования ресурсов многие компании мигрировали или планируют мигрировать на облачные технологии, несмотря на довольно большие риски в области безопасности. Даже если данные теперь хранятся в облаке, а провайдер должен обеспечивать их безопасность, было бы недальновидно перестать обеспечивать безопасность со своей стороны. Наоборот, в случае если компания использует облако, руководству необходимо обратить особое внимание на информационную безопасность компании.

Совместная работа провайдера и компании, пользующейся его услугами, поможет существенно сократить риски потери данных путем своевременного обнаружения и устранения угроз безопасности. Делая такой смелый шаг, руководству компании необходимо вкладывать больше средств и уделять больше внимания информационной безопасности.

1. CISCO IoT course chapter 2 [Электронный ресурс]. URL: https://static-courseassets.s3.amazonaws.com/I2IoT20/ en/index.html#2.1.1.6.
2. CSA Summit at RSA Conference 2017 [Электронный ресурс]. URL: https://csacongress.org/event/ rsa-summit-2017/.
3. Интерес к DevOps и аналитике больших данных предопределил высокие темпы роста рынка облачных услуг [Электронный ресурс]. URL: https://idcrussia.com /ru/about-idc/press-center/66013-idc-devops.
4. Ключевые игроки рынка облачных сервисов в России [Электронный ресурс]. URL: http://www.tadviser.ru /index.php.
5. Тенденции развития облачных технологий на российском рынке [Электронный ресурс]. URL: https://cyberleninka.ru/article/v/tendentsii-razvitiya-oblachnyh-tehnologiy-na-rossiyskom-rynke.

Ключевые слова: облако, облачные технологии, угрозы, безопасность.

Комментарии могут оставлять только зарегистрированные пользователи