Облачные вычисления и их защита


Облачные вычисления (англ. cloud computing) — технология распределённой обработки данных, в которой компьютерные ресурсы и мощности предоставляются пользователю как Интернет-сервис. Предоставление пользователю услуг как Интернет-сервис является ключевым. Однако под Интернет-сервисом не стоит понимать доступ к сервису только через Интернет, он может осуществляться также и через обычную локальную сеть с использованием веб-технологий. 
Достоинства облачных вычислений
доступность – облака доступны всем, из любой точки, где есть Интернет, с любого компьютера, где есть браузер. Это позволяет пользователям (предприятиям) экономить на закупке высокопроизводительных, дорогостоящих компьютеров. Также сотрудники компаний становятся более мобильными так, как могут получить доступ к своему рабочему месту из любой точки земного шара, используя ноутбук, нетбук, планшетник или смартфон. Нет необходимости в покупки лицензионного ПО, его настройки и обновлении, вы просто заходите на сервис и пользуетесь его услугами заплатив за фактическое использование.
низкая стоимость – основные факторы снизившие стоимость использования облаков следующие:
— снижение расходов на обслуживания виртуальной инфраструктуры, вызванное развитием технологий виртуализации, за счет чего требуется меньший штат для обслуживания всей ИТ инфраструктуры предприятия;
— оплата фактического использования ресурсов, пользователь облака платит за фактическое использование вычислительных мощностей облака, что позволяет ему эффективно распределять свои денежные средства. Это позволяет пользователям (предприятиям) экономить на покупке лицензий к ПО;
— использование облака на правах аренды позволяет пользователям снизить расходы на закупку дорогостоящего оборудования, и сделать акцент на вложение денежных средств на наладку бизнес процессов предприятия, что в свою очередь позволяет легко начать бизнес;
— развитие аппаратной части вычислительных систем, в связи с чем снижение стоимости оборудования.
гибкость — неограниченность вычислительных ресурсов (память, процессор, диски), за счет использования систем виртуализации, процесс масштабирования и администрирования «облаков» становиться достаточно легкой задачей, так как «облако» самостоятельно может предоставить вам ресурсы, которые вам необходимы, а вы платите только за фактическое их использование.
надежность – надежность «облаков», особенно находящихся в специально оборудованных ЦОД, очень высокая так, как такие ЦОД имеют резервные источники питания, охрану, профессиональных работников, регулярное резервирование данных, высокую пропускную способность Интернет канала, высокая устойчивость к DDOS атакам.
безопасность – «облачные» сервисы имеют достаточно высокую безопасность при должном ее обеспечении, однако при халатном отношении эффект может быть полностью противоположным.
большие вычислительные мощности – вы как пользователь «облачной» системы можете использовать все ее вычислительные способности, заплатив только за фактическое время использования. Предприятия могут использовать данную возможность для анализа больших объемов данных.
Недостатки
постоянное соединение с сетью – для получения доступа к услугам «облака» необходимо постоянное соединение с сетью Интернет. Однако в наше время это не такой и большой недостаток особенно с приходом технологий сотовой связи 3G и 4G.
программное обеспечение и его кастомизация – есть ограничения по ПО которое можно разворачивать на «облаках» и предоставлять его пользователю. Пользователь ПО имеет ограничения в используемом ПО и иногда не имеет возможности настроить его под свои собственные цели.
конфиденциальность – конфиденциальность данных хранимых на публичных «облаках» в настоящее вызывает много споров, но в большинстве случаев эксперты сходятся в том, что не рекомендуется хранить наиболее ценные для компании документы на публичном “облаке”, так как в настоящее время нет технологии которая бы гарантировала 100% конфиденциальность хранимых данных.
надежность – что касается надежности хранимой информации, то с уверенностью можно сказать что если вы потеряли информацию хранимую в “облаке”, то вы ее потеряли навсегда.
безопасность – “облако” само по себе является достаточно надежной системой, однако при проникновении на него злоумышленник получает доступ к огромному хранилищу данных. Еще один минус это использование систем виртуализации, в которых в качестве гипервизора используются ядра стандартные ОС такие, как Linux, Windows и др., что позволяет использовать вирусы.
дороговизна оборудования – для построения собственного облака компании необходимо выделить значительные материальные ресурсы, что не выгодно только что созданным и малым компаниям.
Виды услуг предоставляемые облачными системами
Что касается предоставляемых услуг, то в настоящее время концепция облачных вычислений предполагает оказание следующих типов услуг своим пользователям:
— все как услуга (Everything as a Service);
При таком виде сервиса пользователю будет предоставлено все от программно аппаратной части и до управлением бизнес процессами, включая взаимодействие между пользователями, от пользователя требуется только наличие доступа в сеть Интернет. На мой взгляд, данный вид сервиса это более общее понятие по отношению к нижеприведенным услугам, являющимися более частными случаями.
— инфраструктура как услуга (Infrastructure as a service);
Пользователю предоставляется компьютерная инфраструктура, обычно виртуальные платформы (компьютеры) связанные в сеть. Которые он самостоятельно настраивает под собственные цели.
— платформа как услуга (Platform as a service);
Пользователю предоставляется компьютерная платформа, с установленной операционной системой возможно и с программным.
— программное обеспечение как услуга (Software as a service);
Данный вид услуги обычно позиционируется как «программное обеспечение по требованию», это программное обеспечение развернутое на удаленных серверах и пользователь может получать к нему доступ посредством Интернета, причем все вопросы обновления и лицензий на данное программное обеспечение регулируется поставщиком данной услуги. Оплата в данном случае производиться за фактическое использование программного обеспечения.
— аппаратное обеспечение как услуга (Hardware as a Service);
В данном случае пользователю услуги предоставляется оборудование, на правах аренды которое он может использовать для собственных целей. Данный вариант позволяет экономить на обслуживании данного оборудования, хотя по своей сути мало чем отличается от вида услуги «Инфраструктура как сервис» за исключением того что вы имеете голое оборудование на основе которого разворачиваете свою собственную инфраструктуру с использованием наиболее подходящего программного обеспечения.
— рабочее место как услуга (Workplace as a Service);
В данном случае компания использует облачные вычисления для организации рабочих мест своих сотрудников, настроив и установив все необходимое программное обеспечение, необходимое для работы персонала.
— данные как услуга (Data as a Service);
Основная идея данного вида услуги заключается в том, что пользователю предоставляется дисковое пространство, которое он может использовать для хранения больших объемов информации.
— безопасность как сервис (Security as a Service).
Данный вид услуги предоставляет возможность пользователям быстро развертывать, продукты позволяющие обеспечить безопасное использование веб-технологий, безопасность электронной переписки, а также безопасность локальной системы, что позволяет пользователям данного сервиса экономить на развертывании и поддержании своей собственной системы безопасности.
Классификация облачных сервисов.
В настоящее время выделяют три категории «облаков»:
1. Публичные;
2. Частные;
3. Гибридные.
Публичное облако — это ИТ-инфраструктура используемое одновременно множеством компаний и сервисов. Пользователи данных облаков не имеют возможности управлять и обслуживать данное облако, вся ответственность по этим вопросам возложена на владельца данного облака. Абонентом предлагаемых сервисов может стать любая компания и индивидуальный пользователь. Они предлагают легкий и доступный по цене способ развертывания веб-сайтов или бизнес-систем, с большими возможностями масштабирования, которые в других решениях были бы недоступны. Примеры: онлайн сервисы Amazon EC2 и Simple Storage Service (S3), Google Apps/Docs, Salesforce.com, Microsoft Office Web.
Частное облако — это безопасная ИТ-инфраструктура, контролируемая и эксплуатируемая в интересах одной-единственной организации. Организация может управлять частным облаком самостоятельно или поручить эту задачу внешнему подрядчику. Инфраструктура может размещаться либо в помещениях заказчика, либо у внешнего оператора, либо частично у заказчика и частично у оператора. Идеальный вариант частного облака это облако развернутое на территории организации, обслуживаемое и контролируемое ее сотрудниками.
Гибридное облако — это ИТ- инфраструктура использующая лучшие качества публичного и приватного облака, при решении поставленной задачи. Часто такой тип облаков используется, когда организация имеет сезонные периоды активности, другими словам, как только внутренняя ИТ-инфраструктура не справляется с текущими задачами, часть мощностей перебрасывается на публичное облако (например большие объемы статистической информации, которые в необработанном виде не представляют ценности для предприятия), а также для предоставления доступа пользователям к ресурсам предприятия (к частному облаку) через публичное облако.
Атаки на облака и решения по их устранению
1. Традиционные атаки на ПО
Уязвимости операционных систем, модульных компонентов, сетевых протоколов и др — традиционные угрозы, для защиты от которых достаточно установить межстевой экран, firewall, антивирус, IPS и другие компоненты, решающие данную проблему. При этом важно, чтобы данные средства защиты эффективно работали в условиях виртуализации.
2. Функциональные атаки на элементы облака
Этот тип атак связан с многослойностью облака, общим принципом безопасности. В статье об опасности облаков было предложено следующее решение: Для защиты от функциональных атак для каждой части облака необходимо использовать следующие средства защиты: для прокси – эффективную защиту от DoS-атак, для веб-сервера — контроль целостности страниц, для сервера приложений — экран уровня приложений, для СУБД — защиту от SQL-инъекций, для системы хранения данных – правильные бэкапы (резервное копирование), разграничение доступа. В отдельности каждые из этих защитных механизмов уже созданы, но они не собраны вместе для комплексной защиты облака, поэтому задачу по интеграции их в единую систему нужно решать во время создания облака.
3. Атаки на клиента
Большинство пользователей подключаются к облаку, используя браузер. Здесь рассматриваются такие атаки, как Cross Site Scripting, «угон» паролей, перехваты веб-сессий, «человек посредине» и многие другие. Единственная защита от данного вида атак является правильная аутентификация и использование шифрованного соединения (SSL) с взаимной аутентификацией. Однако, данные средства защиты не очень удобны и очень расточительны для создателей облаков. В этой отрасли информационной безопасности есть еще множество нерешенных задач.
4. Атаки на гипервизор
Гипервизор является одним из ключевых элементов виртуальной системы. Основной его функцией является разделение ресурсов между виртуальными машинами. Атака на гипервизор может привести к тому, что одна виртуальная машина сможет получить доступ к памяти и ресурсам другой. Также она сможет перехватывать сетевой трафик, отбирать физические ресурсы и даже вытеснить виртуальную машину с сервера. В качестве стандартных методов защиты рекомендуется применять специализированные продукты для виртуальных сред, интеграцию хост-серверов со службой каталога Active Directory, использование политик сложности и устаревания паролей, а также стандартизацию процедур доступа к управляющим средствам хост-сервера, применять встроенный брандмауэр хоста виртуализации. Также возможно отключение таких часто неиспользуемых служб как, например, веб-доступ к серверу виртуализации.
5. Атаки на системы управления
Большое количество виртуальных машин, используемых в облаках требует наличие систем управления, способных надежно контролировать создание, перенос и утилизацию виртуальных машин. Вмешательство в систему управления может привести к появлению виртуальных машин — невидимок, способных блокировать одни виртуальные машины и подставлять другие.
Решения по защите от угроз безопасности от компании Cloud Security Alliance (CSA)
Наиболее эффективные способы защиты в области безопасности облаков опубликовала организация Cloud Security Alliance (CSA). Проанализировав опубликованную компанией информацию, были предложены следующие решения.
1. Сохранность данных. Шифрование
Шифрование – один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным должен шифровать информацию клиента, хранящуюся в ЦОД, а также в случаи отсутствия необходимости, безвозвратно удалять.
2. Защита данных при передаче
Зашифрованные данные при передаче должны быть доступны только после аутентификации. Данные не получится прочитать или сделать изменения, даже в случаи доступа через ненадежные узлы. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно используются провайдерами.
3. Аутентификация
Аутентификации — защита паролем. Для обеспечения более высокой надежности, часто прибегают к таким средствам, как токены и сертификаты. Для прозрачного взаимодействия провайдера с системой индетификациии при авторизации, также рекомендуется использовать LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language).
4. Изоляция пользователей
Использование индивидуальной виртуальной машины и виртуальную сеть. Виртуальные сети должны быть развернуты с применением таких технологий, как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service). Часто провайдеры изолируют данные пользователей друг от друга за счет изменения данных кода в единой программной среде. Данный подход имеет риски, связанные с опасностью найти дыру в нестандартном коде, позволяющему получить доступ к данным. В случаи возможной ошибки в коде пользователь может получить данные другого. В последнее время такие инциденты часто имели место.

Приложенные файлы

  • docx 3961233
    Размер файла: 20 kB Загрузок: 0

Добавить комментарий