Безопасность облачных хранилищ: взгляд теcтировщика
Наши партнёры Наши проекты: IT Worldall CIOIT ContactIT Analytics
ВходРегистрация
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Безопасность облачных хранилищ: взгляд теcтировщика

Безопасность облачных хранилищ: взгляд теcтировщика

| 02.09.2014

Насколько безопасно хранить свои данные в облаке? Ведь если сервер не стоит в соседней комнате, запертой на ключ, то к нему кто-то имеет доступ, как минимум сотрудники компании-провайдера.

Насколько безопасна передача информации от клиента к облаку и обратно? Вот что говорят о своей безопасности два наиболее популярных провайдера, предоставляющих облачную инфраструктуру.

 

Amazon AWS

Пожалуй, это самый известный провайдер облачной инфраструктуры (Amazon EC2). Что же получает заказчик, когда доверяет свой продукт компании Amazon?

·         Многоуровневая безопасность. Механизмы обеспечения безопасности внедряются сразу на нескольких уровнях: для ОС хоста, виртуальных инстансов и гостевых ОС,  а также для файрволов и вызовов API.

·         Гипервизор. Amazon EC2 использует доработанную версию Xen гипервизора, который позволяет значительно повысить производительность виртуальных машин за счет паравиртуализации. Причем доступ к ЦПУ реализован с разделенными привилегиями: ОС хоста имеет самый высокий уровень (0), гостевая ОС – уровень 1, а приложения имеют наименьшие привилегии (уровень 3).

·         Изоляция инстансов. На одной физической машине может быть развернуто множество гостевых. И хотя инстансы не имеют прямого доступа к физическому диску, им выделяются виртуальные хранилища информации. Для того, чтобы данные из различных приложений не воздействовали друг на друга в случае освобождения дискового пространства, информация из каждого блока хранения автоматически стирается (точнее, значение устанавливается равным нулю). Память не возвращается в пул свободной памяти, пока процесс обнуления не завершен до конца.

·         Безопасность ОС хоста. Для административного доступа к управлению хостами, предусмотерна мультифаторная система аутентификации. В случае, если сотрудник больше не нуждвется в такого рода доступе, его учетная запись аннулируется.

·         Безопасность гостевой ОС. Поддержка безопасности здесь лежит полностью на команде разработки, так как провайдер не имеет доступ как к самим инстансам, так и гостевым ОС, которые на них установлены. Это является как сильной стороной в контексте безопасности приложения (провайдер не может получить данные клиента), так и потенциально уязвимым местом для атак: ошибки в конфигурации могут дать злоумышленнику возможность получить доступ к приложению, данным, и даже виртуальной машине целиком.

·         Файрвол. По умолчанию все порты встроенного файрвола закрыты. Это значит, что заказчик сам должен явно открыть порты, необходимые для входящего трафика. Amazon предоставляет возможность разделения уровней доступа по группам (Security Groups).

·         Доступ к API. Вызовы API для запуска и приостанвки инстансов, изменения настроек файрвола и других функций подписаны секретным ключом (Amazon Secret Access Key), без которого невозможно обращаться к API. В дополнение, вызовы API шифруются с помощью криптогафического протокола SSL.

 

Windows Azure

Хотя еще совсем недавно Windows Azure предоставляла только облачную «платформу как сервис» (PaaS), с введением ряда обновлений Azure стал полноценной облачной инфраструктурой, позволяющей запускать приложения работающие на Windows Server и Linux. В дополненение, независимое тестирование производительности показало, что Windows Azure значительно опережает своих конкурентов. А что же входит в пакет безопасности?

·         Взаимная SSL-аутентификация. Весь внутренний трафик передается в зашифрованном виде, что препятствует получению информации, даже в случае ее перехвата.

·         Менеджмент сертификатов и личных ключей. И сертификаты и личные ключи генерируются отдельным механизмом, который недоступен из кода приложения, шифруются и хранятся в секретном репозитории. Существует возможность дополнительной защиты паролем.

·         Принцип минимальных привилегий. Пользовательские приложения на виртуальных машинах работают с низкими правами, что усложняет атаки любого рода, так как для их выполнения требуется эскалация привилегий.

·         Контроль доступа к данным. Windows Azure имеет простую модель управления доступа к данным. Для каждого клиентского аккаутна генерируется секретный ключ, который используется для получения доступа к хранилищу, привязанному к данной учетной записи.

·         Изоляция гипервизора, ОС хоста и гостевых виртуальных машины. Изолированность клиентских виртуальных машин является критически важной для безопасного совместного использования дискового пространства. В Windows Azure за изолированность гостевых виртуальных машин отвечают гипервизор и корневая ОС.

·         Фильтрация пакетов. Гипервизор и корневая ОС осуществляют фильтрацию пакетов небезопасного трафика.

·         Изоляция виртуальной локальной сети (VLAN). Внутреняя передача данных организована таким образом, что весь трафик при переходе из одной сети в другую проверяется маршрутизатором, что обеспечивает защиту от прослушивания данных и попадения внешнего трафика во внутреннюю сетевую инфраструктуру.

·         Удаление устаревшей информации. Для обеспечения высокого уровня безопасности, после удаления блока информации, платформа проверяет и удаляет все ссылки на очищенный ресурс, а также стирает все копии средствами сборщиков мусора.

Из описания можно заметить, что механизмы безопасности, предлагаемые самими провайдерами, направлены на защиту внутренней архитектуры: как ее аппаратных средств, так и клиентских виртуальных машин. И это естественно, так как для провайдера важно в случае захвата злоумышленником виртуальной машины предотвратить дальнейшие атаки: получение доступа к корневой ОС, прослушивание трафика других клиентских машин или получение хранимой на дисках информации.

Процесс разработки облачных веб-приложений практически не отличается от разработки приложений, написанных на обычном компьютере, поэтому все угрозы веб-приложений остаются актуальными в «облаке», и защита от них, как и  безопасность конфигурации, ложатся на заказчика.

Подводя итоги, следует отметить, что использование облачной инфраструктуры имеет огромное количество преимуществ. Стабильность, доступность, гибкость – одни из важнейших критериев успешной реализации и работы проекта. Однако вопрос безопасности здесь стоит также остро, как и для проектов, работающих «по старинке».

Анна Андреева,

инженер департамента тестирования безопасности компании «Технологии качества»

Теги: информационная безопасность, ЦОД, облака, облачные технологии, Windows Azure

Еженедельник IT Weekly № 36/2014 (11.09)    [ PDF ]    [ Подписка на журнал ]

Компания: Amazon, Microsoft, Технологии качества


ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

ПопулярноеБезопасность

ЦОД

Еженедельник IT Weekly

Компании сообщают

Компании сообщаютМаркетинговые акции

Редакция рекомендует

25.04.16
Реселлеры и дистрибьюторы, работающие в IT-канале, постоянно сталкиваются с риском неплатежей. Неприятны неплатежи и в бизнесе с небольшо ...
18.04.16
Тим Хармон (Tim Harmon), специалист Forrester Research, рассуждает в издании Channelnomics о том, как повысить рентабельность работы партн ...
31.03.16
Классическая структура IT-канала планомерно разрушается по всей цепочке. Крупные заказчики создают собственные IT-компании для обслуживания своей ин ...
30.03.16
Уральский федеральный округ, и в частности Екатеринбург, давно облюбовали основные российские многовендорные дистрибьюторы, и в кризисны ...

Реклама

Последние комментарии

Фоторепортажи

Конференция «Оптимизация бизнеса"Конференция «Оптимизация бизнеса"
22.05.16
Мероприятие RAMEC "Безопасная ИТ-инфраструктура предприятия на платформе IBM"Мероприятие RAMEC "Безопасная ИТ-инфраструктура предприятия на платформе IBM"
20.05.16
ИТ-ландшафт регионов РоссииИТ-ландшафт регионов России
10.04.16

Тренды

04.03.16
Агентство East-West Digital News подготовило отчет «E-Commerce in Russia. February 2016», в котором указало, что за 2015 год 30 млн ро ...
13.01.16
IBM в 23-й раз подряд получила в США больше патентов за год, чем все ее конкуренты. Такие подсчеты провела аналитическая компания IFI Claims Pa ...