Cloud computing
Upcoming SlideShare
Loading in...5
×
 

Cloud computing

on

  • 848 views

 

Statistics

Views

Total Views
848
Views on SlideShare
847
Embed Views
1

Actions

Likes
1
Downloads
30
Comments
0

1 Embed 1

http://192.168.33.10 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Cloud computing Cloud computing Document Transcript

  • ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА Център „Магистърско обучение” РЕФЕРАТ на тема „Безопасност и защита при Cloud Computing“Изготвил: Проверил:Надежда Павлова Петрова Доц. д-р Стефан ДражевСпец. „Информатика”V курс, ф. № 10528
  • 2 Безопасност и защита при Cloud Computing Съдържание Въведение ............................................................................................................................. 3 1. Какво е „клауд къмпютинг”? ........................................................................................ 3 2. Услуги в облачната система .......................................................................................... 4 2.1 Софтуерът като услуга (Software as a Service – SaaS)..……………………….………………5 2.2 Платформата като услуга (Platform as a Service - PaaS)...…………………….……………5 2.3 Инфраструктурата като услуга (Infrastructure as a Service - IaaS)………….….………5 3. Класифициране на „облачните услуги” ....................................................................... 5 3.1 Публични облаци..…………………………………………………………………………………….…….…6 3.2 Частни облаци.………………………………………………………………………………………….…..……6 3.3 Хибридни облаци..……………………………………..……………………………………………….….…6 4. Съществуващи проблеми в „облачната технология” ................................................. 7 5. Предложения за подобряване на сигурност ........................................................... .12 5.1 Решения за автентикация.…………………………………………………………………………..…..13 5.2 Решения при регистриране…………………………………………………………………….….…...17 Заключение ......................................................................................................................... 23 Надежда Петрова | Безопасност и защита
  • 3 Безопасност и защита при Cloud Computing Въведение Използването на Интернет и на новите технологии в днешно време е част от всекидневния начин на живот. Благодарение на тях по всяко време и от целия свят се предоставя достъп до разнообразна информация. Все повече се засилват възможностите в тази насока. Днес много се говори за „силата на Облака”, но не е съвсем ясно какво точно се крие зад това понятие. Клауд къмпютингът представя последната фаза до момента в еволюцията на информационните технологии. Подобно на повечето нови технологии, поражда спорове и дебати. Възможно е с термина „клауд къмпютинг” да се прекалява и да се прилага към всичко в компютърния свят, но трябва да се изясни какво всъщност са така наречените „изчислителни облаци” и какви рискове крият те. 1. Какво е „клауд къмпютинг”? По своята същност „изчислителните облаци” позволяват на потребителя да се възползва от инфраструктурата на мощен компютър, без да извършва високи разходи за закупуване на подобни хардуер и софтуер. Според традиционния подход потребителите заплащат авансово разходите за закупуване на необходимия хардуер и софтуер на компютъра. За големи организации, като правителствени отдели или агенции, това обикновено е под формата на закупуване на мощни, но и скъпи компютри, наречени сървъри. Заедно с предварително направените разходи, купувачът трябва да отдели средства за съхранение, обновяване и поддръжка на закупения хардуер, както и за лицензионните такси за софтуер, за да може да използва сървърите. „Облачната технология” се основава на идеята, че компютърът, софтуерът и паметта са стоки като електричество или газ, които могат да бъдат закупени само когато е необходимо [1]. В основата си облачната технология е понятие, което позволява да се достъпват приложения, които се намират на място, различно от персоналните компютри на потребителите или друго устройство, свързано с Интернет. Най-често това е далечен дейтацентър или център за съхраняване на данни. Това е свързано с много предимства. Например при закупуване на Microsoft Word е необходимо той да бъде инсталиран на всички компютри в дадена организация. Това може да стане чрез използване на CD- Надежда Петрова | Безопасност и защита
  • 4 Безопасност и защита при Cloud Computing ROM или DVD-ROM и да се инсталира на всички компютри или на сървър, който автоматично да го разположи на тях. Всеки път, когато Microsoft публикува Service Pack, е необходима тяхна повторна настройка и последваща инсталация или друг начин е програмата да бъде доставена от сървър на компанията-потребител. Важно е да се вземат предвид и разходи по всички лицензи за ползването на продукта. Например друг служител на компанията вероятно използва Microsoft Word веднъж месечно, но неговият лиценз струва също толкова, колкото на останалите, които го използват редовно. Предимството на „изчисленията в облак” е в това, че друга компания съхранява клиентските приложения. Това означава, че тя управлява разходите за сървърите, ъпдейтите на софтуера и в зависимост от вида на сключения договор се заплаща по- малко за услугата [2]. Не бива да се забравя и оборудването, което е необходимо – това ще се отрази в по-ниската стойност на основните разходи. Когато има някой друг, който да складира приложенията, не трябва да се купуват сървъри, нито да се заплаща за допълнително електричество, за да работят и да се охлаждат те. 2. Услуги в облачната система „Облачната технология” се разделя на три типа услуги в зависимост от своите архитектурни нива, от които се изгражда един облак. Това са софтуерът като услуга (Software as a Service – SaaS), платформата като услуга (Platform as a Service - PaaS) и инфраструктурата като услуга (Infrastructure as a Service - IaaS). Дори и в български превод се приема масовата употреба на чуждите абревиатури. Възприето е, че първата буква в съкращението отговаря на първата дума от съответната група услуги, а последните три са непроменливи и съответстват на частта „as a Service”, т.е. „като услуга”. Названието „софтуер като услуга” подсказва, че това е единственото ниво, което се отнася до софтуера в облачната система. От друга страна, преди да се изградят приложенията в облака е необходима инфраструктура, на която да се основават те. В този случай тези два слоя са свързани един с друг посредством останалия - платформата като услуга. Последният е аналогичен на софтуера като услуга, с изключение на това, че вместо да доставя софтуер през мрежата, той е платформа за създаване на този софтуер. Всяко от тези три нива се обяснява по-надолу. Надежда Петрова | Безопасност и защита
  • 5 Безопасност и защита при Cloud Computing 2.1 Софтуерът като услуга (Software as a Service – SaaS) Това е модел, в който всяко приложение се съхранява и се предоставя като услуга до потребителите му през Интернет. Софтуерът се намира на изнесено място, така че потребителят не трябва да го поддържа или съпровожда. Идеята е, че той го използва наготово и не е необходимо да му внася промени или да го интегрира с друга система. Доставчикът на услугата отстранява всички неизправности, подобрява системата и я поддържа работеща [2]. 2.2 Платформата като услуга (Platform as a Service - PaaS) Този тип изчислителни облаци предлагат пълен или частичен набор от инструменти или среда за разработка, които потребителите могат да достъпват и използват онлайн, дори и в сътрудничество с други интерфейси, качени от доставчик на такива услуги. Чрез PaaS разработчиците създават приложения на платформата на доставчика през интернет или уеб. Доставчиците на такъв тип услуги могат да използват приложни интерфейсни програми, инсталирани в помещения на клиента. Този модел доставя всички ресурси, нужни за създаването на приложения и услуги изцяло от Интернет, без да е необходимо се закупува и инсталира софтуер [2]. 2.3 Инфраструктурата като услуга (Infrastructure as a Service - IaaS) Това е следващ вид услуга в облачните технологии. Докато другите два предоставят приложения за потребителите, то инфраструктурата като услуга предлага хардуер, така че организациите-клиенти могат да публикуват, каквото пожелаят на него [2]. Вместо да закупува сървъри, софтуер и да заплаща за свободно място в някои център за данни, този, който предлага услугата, заема всички ресурси. 3. Класифициране на „облачните услуги” Има три основни възможности за „облачна инфраструктура”. Това са публичен, частен и хибриден облак. Тази инфраструктура се основава на хардуера на компютъра и на структурата, която го поддържа. Тя съдържа и обработва виртуалната технология, която има няколко различни специфицирани сървъра и машини. Поддръжката, състоянието на сървърите и други въпроси относно „облачната среда” са проблем на този, който я предлага. Компаниите, които обмислят да преместят системата си в такава среда, не извършват разходи по екип, който да отговаря за горепосочените въпроси. Надежда Петрова | Безопасност и защита
  • 6 Безопасност и защита при Cloud Computing 3.1 Публични облаци Публичните облаци са основани на фундаментален „облачен модел”. Компанията, която предлага този вид нова технология, предоставя своите услуги чрез „облак” и така ресурсите са достъпни за масово ползване през Интернет. Тази услуга може да бъде под формата на приложение или хранилище за данни. Доставчикът на услугата би могъл да я предложи безплатно или да се заплаща, колкото се ползва от нея. Предлагащите „облачна платформа” предоставят ефективен начин за работа със споделени и общи ресурси, дори и да е по-малко сигурен от този при частните облаци. Има някои случаи, при които публичните облаци са по-изгодни от другите облачни модели. Ако е налице приложение, което се ползва от много хора по света като например email, то публичните облаци са най-правилният избор. Така потребителите имат достъп до него чрез Интернет връзката си. Освен това публичният облак е подходящ, когато разработчиците тестват и усъвършенстват приложения или когато подготвят взаимни проекти. Примери за такъв тип облаци са платформите: Google App Engine, Microsoft Windows Azure, IBM Smart Cloud, Amazon EC2, Sun Cloud и др [3]. 3.2 Частни облаци Частните облаци са изградени за организации, които предлагат най-висока степен на управление на данни и тяхната сигурност. Чрез този вид облак компанията-потребител може да има пълен контрол върху своята инфраструктура. Информацията, която се разгръща в тази инфраструктура е изцяло под контрол на притежателя й. Частните облаци могат да бъдат разположени на мястото, където се помещават центровете за данни на компанията-потребител. Междувременно въпросите, свързани с поддръжката, са отговорност на ИТ отдела й. По-точно частен облак е изчислителна архитектура, която е предназначена за един клиент и осигурява хостинг услуги за ограничен брой хора. Той не се споделя с други организации. Пример за частен облак е системата Nebula на NASA, която служи за работа с научни данни и уеб-базирани приложения. Други примери са: Eucalyptus, Ubuntu Enterprise Cloud - UEC (powered by Eucalyptus), Amazon VPC (Virtual Private Cloud), VMware Cloud Infrastructure Suite, Microsoft ECI data center, eBay [5]. 3.3 Хибридни облаци Те са основани на частните и публични облаци. Хибридният облак обикновено се предлага в един от следните два начина: компания-доставчик има частен облак и става партньор на доставчик на публичен облак или компания-доставчик има публичен облак и става съдружник на друга такава на частен облак. Надежда Петрова | Безопасност и защита
  • 7 Безопасност и защита при Cloud Computing Използвайки хибридните облаци, компаниите разширяват работата си между вътрешни и външни доставчици според нуждите им. Въпросът за използването на хибридни облаци е свързан с това как да се разпредели процеса между публичните и частните облаци. По друг начин обяснено хибридните облаци предоставят на потребителите онези критични приложения, които се намират в частния облак или някои други некритични приложиния, поместени в публичния облак. Например някоя организация би могла да използва публичните облачни услуги като тази на Amazon - Simple Storage за съхраняване на данни, но в същото време да продължава да поддържа хранилище за оперативни данни на клиенти в частния облак. Тези комбинации са подходящи, когато потребителите търсят сигурност и мащабност за информацията си [5]. 4. Съществуващи проблеми в „облачната технология” „Облачната технология” се превръща в стандарт за работа с информационните технологии за повечето малки и големи бизнес организации, тъй като предоставя множество предимства и значително спестяване на разходите. Те обаче същевременно са свързани и с редица рискове и недостатъци от използването й. Неблагоприятно за потребителя е това, че той няма контрол над софтуерните приложения и данни. Клиентът е зависим от доставчика, за да ги актуализира, поддържа и управлява. Потребителят не разполага с пряк достъп до софтуера, за да отстранява проблем, когато възникне с някое приложение, а трябва да разчита на доставчика на услуги. Това би могло да доведе до сериозни последици, тъй като не винаги доставчикът може да реагира невременно за отстраняване на критичните ситуации. Например, ако компания използва облакобазирана система за определяне и начисляване на работни заплати и възникне проблем преди датата на изплащане на възнагражденията, това би довело до сериозни последици за компанията. По същия начин, ако дадено дружество разчита на облакобазирани услуги, а доставчикът в определен момент не е в състояние да продължи да предлага своите услуги, това бързо би довело до неприятни последствия. В днешната нестабилна икономическа обстановка доставчиците е възможно да се сблъскат с финансови проблеми, което би довело от отпадането им от списъка с компании, предоставящи такъв тип услуги. Ако тези финансови ситуации възникнат внезапно, компаниите не биха имали адекватно решение за да се справят. „Клауд къмпютингът” може също така да означава риск относно сигурността и неприкосновеността на личната информация. Използвайки „облачна система” чувствителните данни и информация на компаниите използват чужди сървъри и е Надежда Петрова | Безопасност и защита
  • 8 Безопасност и защита при Cloud Computing възможно да не се спазва стриктен контрол върху тази информация. Ако доставчикът не разполага с достатъчно сигурност или криптиращи системи, е много вероятно да се компрометират фирмени лични и поверителни данни. Това може да доведе и до законови проблеми. Предприемачите и малките фирми са изправени пред особени проблеми при използването на „облачните системи”. Малкият размер и ограничените ресурси на тези фирми ги правят много по-уязвими по отношение на рисковете, свързани с използването на „облак”. Например, ако доставчик на „облачни услуги” не е в състояние или не е склонен да им предоставя такива услуги, най-доброто решение за тези потребители може да се окажат спешни правни действия. Някои малки компании, които не са компетентни по отношение на това как да използват правни услуги в такива ситуации, не могат да бъдат в състояние незабавно да избегнат прекъсване на услугата си от доставчика. Съществуват няколко проблема в облачната технология, затова е необходимо за се обърне внимание на начините за защита и сигурност на личните данни. Автентикация Като цяло разпознаването е действие на създаване или утвърждаване на нещо (или някой) като автентичен. Това може да се обвърже с доказване на самоличността на лице, гаранция, че даден продукт е точно този, който е описан на опаковката или гаранция, че определена компютърна програма е сигурна за използване. В компютърните мрежи и интернет или уеб-базирани услуги удостоверяване обикновено се прави с помощта на парола за вход. Прието е, че разпознаването на паролата е гаранция, че потребителят е автентичен. Всеки потребител се регистрира еднократно и използва назначена му или самостоятелно заявена парола. При всяко следващо влизане в системата потребителят трябва да въведе същата позната от него парола. Слабостта на тази система е, че паролите често могат да бъдат откраднати, неволно разкрити или забравени. Има множество атаки за достъп до личите данни на потребителите. Част от тях са описвани в Таблица 1 [6]. Keylogger атаки Зловредният код, хардуер или софтуер, които проследяват натиснатите клавиши от клавиатурата с цел получаване на парола. Вътрешни атаки Когато автентикатор или системни мениджъри умишлено компрометират системата за удостоверяване или крадат удостоверителни ключове или свързаните с тях данни. Междинни атаки Атаки, при които се променя преминаващия трафик. Хакер Надежда Петрова | Безопасност и защита
  • 9 Безопасност и защита при Cloud Computing поставя себе си между клиента и проверяващата система и се преструва на реалния клиент. Атаки за откриване на Това включва серия от атаки, при които хакерът се опитва да пароли отгатне паролата на потребителя, опитва често срещани пароли при много потребители Фишинг атаки Социални атаки, които използват фалшиви имейли, уеб страници и други електронни съобщителни да насърчат клиентите да разкрие паролата си и друга податлива информация. „Replay” атаки Атакуващият прихваща част от криптираните данни при успешна автентикация и по-късно ги използва отново в потока от данни. Това може да доведе до повтаряне на валидни транзакции по мрежата. Отвличане на сесия Атакуващият пресича вече осъществена сесия или връзка между две системи. Най-често такива атаки се използват при TCP връзки. Визуалното Нападателят незабелязано наблюдава как потребителят шпиониране въвежда паролата си. „ Социален Тези атаки примамват потребителите да свалят ръчно и да Инженеринг” инсталират антивирусни приложения, чрез които хакерите получават неправомерен достъп до компютъра на своята жертва. Тъй като „клауд къмпютингът“ е уеб базирана технология, всеки потребител, който се възползва от нея, може да се сблъска с някои от горепосочените атаки. За да се защитят „облачните услуги” от тях, трябва да се използват много сигурни системи за автентикация. Криптиране Криптирането на данни е основата на криптографските системи. Тя може да бъде дефинирана като процес на преобразуване на информацията като се използва шифрогравски алгоритъм, за да не може да бъде прочетена от никого, без да се използва обратния процес - декриптиране. В повечето случаи думата криптиране напълно се отнася и до обратния процес, наречен декриптиране. Всеки софтуер за криптиране обикновено може да изпълнява и декриптиране. Криптиращата система е основен метод за защита на личните данни от нападатели. Когато нарушител улови криптирана информация, той е в състояние да получи шифриран текста, който е труден за разбиране и четене. Днес широко се използват две криптиращи системи са AES и RC4. Като цяло повечето доставчици на „облачни услуги” използват RC4 криптиране [6]. Надежда Петрова | Безопасност и защита
  • 10 Безопасност и защита при Cloud Computing AES (Advanced Encryption Standard - „Подобрен стандарт за шифриране“) AES е техника за криптиране със симетричен ключ, който защитава файлове, електронна поща, комуникация през локални мрежи, твърди дискове, операционни системи и други сходни. Тя работи едновременно на няколко мрежови слоя. Техниката се състои от три блокови шифри. Всеки един от тези шифри има 128- битов блоков размер с три несходни ключови размер от 128, 192 и 256 бита. AES се основава на permutations (пермутация - изменение на реда на данните) и substitutions (заместване на един блок от данни с друг). В AES се използват няколко ключа вместо един (новите ключове се наричат итеративни (round keys), за да се подчертае различието им от изходния ключ) [4]. RC4 RC4 е най-популярният алгоритъм за кодиране на несигурни цифрови връзки. Той се разпознава и под две други имена - ARC4 и ARCFOUR. Той се използва в Secure Sockets Layer (SSL) (за сигурност в Интернет трафик) и WEP (безжична сигурност на мрежите). RC4 се прилага при криптиране и декриптиране като има предвид, че потока от данни минава през XOR алгоритъм сред серия от генерирани ключове. RC4 използва комбинация от код, въведен от потребителя и стойност, генерирана от системата. Един RC4 ключ никога не се повтаря от системата. Характеризира се с висока скорост на обработка в софтуер [6]. Автентикация в „облачните услуги” Съществуват различни начини за автентикация на потребител в един „облак”, но един от най-често използваните е вход в уеб страницата на доставчика посредством уеб браузър. Целта на автентикацията е да се докаже, че потребителят е този, за когото се представя и така да получи достъп до определени услуги. Автентикация, използвана от доставчиците на „облачни услуги” За три от най-големите компании, предоставящи „клауд къмпютинг”, е характерно следното: • Google Предлага на своите клиенти PaaS с платформата Google App Engine и Saas с Google Apps. Google имат издаден сертификат за сигурност SAS 70 Type II, който гарантира, че получилият такъв сертификат отговаря на 6-месечни изпитания, които имат за цел да покажат надеждността от гледна точка на сигурност. Освен това има и Надежда Петрова | Безопасност и защита
  • 11 Безопасност и защита при Cloud Computing Cloud Security Alliance сертификат, което гарантира, че има солидни познания в областта на „облачната технология” [6]. • Amazon Предоставя IaaS и притежава сертификат SAS 70 Type II. • Windows Azure Предоставя PaaS. Google Автентикация Вход в системата с потребителско име и парола, въведени през уеб браузър. През септември 2010 г. Google Apps стартира двуетапна проверка за удостоверяване на предприятията, а през следващите месеци услугата ще бъде въведена и за индивидуални потребители. Не се изискват специални Token или друг тип устройства. След като потребителят е въвел своята парола, до неговия мобилен телефон се изпраща чрез съобщение код за верификация. фигура 1. Google Apps двуетапна автентикация Криптиране Осъществява се SSL поддръжка за Google Apps Premier and Education Editions и Google App Engine for Business. Трафикът се криптира с RC4 128 бита. Amazon Уеб услуги Автентикация Вход в системата с потребителско име и парола, въведени през уеб браузър. Потребителят също така може да използва еднократно 6-цифров код от физическо устройство заедно с потребителско име и парола за гарантиране на сигурността. Надежда Петрова | Безопасност и защита
  • 12 Безопасност и защита при Cloud Computing Amazon освен това използват и няколко ключа и X.509 сертификат, които се генерират след като потребителят е влязъл в профила си. Криптиране Използва се SSL между потребителите, заедно с RC4 128-битово криптиране. Windows Azure Автентикация Вход в системата с потребителско име и парола, въведени през уеб браузър. Криптиране Създават се контролни съобщения в платформата, които са криптирани с TLS 128-битови шифроващи ключа. 5. Предложения за подобряване на сигурност Всички предлагащи „облачни услуги” се стремят да предоставят по-висока сигурност на своите клиенти и всеки от тях гарантира определено ниво на защита, но освен използваните от тях до момента би могло да се обърне внимание и на други методи за защита. Съществуват различни начини за достъпване на сигурни и лесни за използване облачна услуга, които могат да отговарят на тези критерии: 1. Осигуряване на по-добро решение за вход с парола. 2. Осигуряване на по-добро двуфакторно OTP (one-time password – еднократна парола) удостоверяване. 3. Наличие на лесна за разбиране система за регистрация, която в същото време не застрашава сигурността. 4. Използване на алгоритъм за криптиране, който е сигурен, но и бърз, за да бъде в състояние да обслужва голям брой потребители. 5. Предлага безплатни решения с цел привличане на повече клиенти. 6. Лесни за инсталиране и използване приложения. Надежда Петрова | Безопасност и защита
  • 13 Безопасност и защита при Cloud Computing 5.1 Решения за автентикация Автентикация с mOTP (mobile one time password) Мобилният телефон на потребителя би могъл да работи като средство за автентикация, при което трябва да се въведе 4-цифрен ПИН код, за да се генерира OTP, която да се използва като вход. Това се основава на Java приложение, работещо на мобилния телефон. Паролата, която се генерира през телефона, се основава на 3 компонента, които ще бъдат хеширани с Message Digest 5 (хеш-функция за извлечение на съобщение): 1. 4-цифров ПИН код, който потребителят въвежда. 2. Таен случаен номер, който се създава по време на инициализиране на устройството, с което работи потребителя. 3. Текущо време. След хеширане мобилният телефон изписва първите 6 символа, който ще се използват като еднократна парола, която е валидна само през първите 3 минути. След това паролата ще бъде изпратена до сървъра. Сървърът пази еднократната парола и ПИН кода в своята база данни и същевременно знае текущото време. Така паролата може да бъде верифицирана. Следващият пример показва опростен поглед върху това как се извършва процеса на проверка на автентичността: фигура 2 Удостоверяване с mOTP 1. Клиентът желае да се впише в своя профил през уеб браузър. 2. Клиентът стартира приложение на своя телефон и въвежда ПИН код. Надежда Петрова | Безопасност и защита
  • 14 Безопасност и защита при Cloud Computing 3. След въвеждане на кода се генерира еднократна парола, която се изписва на телефона. 4. Клиентът въвежда своето потребителско име и еднократна парола в началната входна страница и изпраща информацията до удостоверяващия сървър. 5. Сървърът потвърждава или отказва достъп на клиента. Този метод предоставя повече предимства, отколкото други методи за автентикация, а именно: Единствената решаваща информация, изпращана по мрежата е потребителско име и еднократна парола. Тъй като тя е валидна единствено 3 минути, няма да има никаква стойност за хакерите. OTP изисква личен ПИН код, който се зарежда на клиентския телефон, а този ПИН код е ясен само на него. Липсват всякакви разходи за потребителя и доставчика. Не са нужни допълнителни автентикиращи устройства, а единствено мобилен телефон. Лесна регистрация, която може да бъде извършена и от вкъщи. Лесно премахване на мобилния телефон от базата данни за удостоверяване. OTP с метод „отговор на покана” (challenge-response) Този метод е сходен на предишния с тази разлика, че се добавя допълнителен параметър за сигурност, наречен „покана” (challenge). Тази техника е много позната сред банките по цял свят. Когато потребител на банката желае да влезе в своята сметка през уеб браузър, клиентът използва OTP за вход, но преди да се генерира този код потребителят получава покана от сървъра, на която е необходимо да се отговори. Следващата схема показва как работи този метод. Надежда Петрова | Безопасност и защита
  • 15 Безопасност и защита при Cloud Computing фигура 3 Автентикация с challenge-response 1. Клиентът желае да се впише в своя профил през уеб браузър. 2. На входната страница му се представя покана. Тя може да бъде под формата на текст, изображение, число. 3. Клиентът въвежда видяното от него в удостоверяващото устройство, а след това и ПИН кода. 4. От тези две стойности се генерира еднократна парола, основана на определен алгоритъм и представена на клиента. 5. Клиентът въвежда еднократната парола и я изпраща през Интернет на сървъра. 6. Сървърът потвърждава или отказва достъп на клиента. Тук са поставени същите предимства, както в предходния вариант. „Оптичен отговор на покана” Този метод е подобен на предходния, но разликата е, че се използва двумерен бар код вместо текст или цифри. Този бар код съдържа информация, която се обработва от различни софтуери. В следващата схема бар кодът съдържа URL адреса на http://www.hh.se. Надежда Петрова | Безопасност и защита
  • 16 Безопасност и защита при Cloud Computing фигура 4 Генериран бар код Това предложение не е широко разпространено, но се правят проучвания и опити за него. Следващият пример е един от начините за удостоверяване на потребители с използването на бар кодове и камери. За тази цел потребителят трябва да инсталира приложение на мобилния си телефон, който може да обработва изображения. Освен това, мобилният телефон трябва да има камера. фигура 5 Автентикация с „Оптичен отговор на покана” 1. Клиентът желае да се впише в своя профил през уеб браузър. 2. На клиентът се предоставя покана чрез двумерен бар код, който се изчислява от сървъра от определен брой случайни числа. 3. Клиентът стартира приложение на своя телефон и заснимва бар кода. 4. На база на заснетата снимка телефонното приложение изчислява хеш отговор. Отговорът е под формата на бар код и се изобразява на телефона. Надежда Петрова | Безопасност и защита
  • 17 Безопасност и защита при Cloud Computing 5. Клиентът държи в ръка телефона пред уеб камера, която снима бар кода като отговор. 6. Отговорът се изпраща на сървъра, който отказва или разрешава достъп на клиента. Предимствата от използването на този метод са същите като в първия метод. 5.2 Решения при регистриране За да успее потребителят да влезе в „облачната услуга”, трябва да използва 3 елемента, нужни за базата от данни на сървъра: еднократна парола, уникално потребителско име и 4-цифрен ПИН код. С този метод обаче съществуват няколко проблема. Цялата иформация се изпраща през несигурна мрежа. Дори пакетите от данни, които се изпращат да са криптирани, има възможност хакер да дешифрира информацията и за получи пълен достъп до потребителския профил. Освен това потребителят не е защитен от междинни атаки, които могат да отведат потребителя до уеб страница с невалиден сертификат, където хакерът да получи цялата му нужна информация. За да се осигури надежден начин за регистринане в услугата, трябва да се обърне внимание на следващите предложения за сигурност. Предложение 1 Еднократната парола се генерира чрез избиране на 25 случайни числа със софтуер, инсталиран на мобилния телефон. Сървърът би могъл да представи тези 25 символа в страницата за регистрация, казвайки му да използва този номер, за да генерира еднократна парола. Сървърът използва същите числа от своята страна, за да зареди еднократната парола. По този начин и двете страни генерират едни и същи кодове, а така се избягва предаването им по мрежата. Предимство: Тайният код не се предава по мрежата. Недостатък: Вместо това се изпращат случайни числа, които могат да се проследят от по- опитен хакер, който да изведе след това същите кодове, което води обратно към началната точка. Надежда Петрова | Безопасност и защита
  • 18 Безопасност и защита при Cloud Computing Предложение 2 Изпращане на еднократна парола до потребителя по електронната му поща. След това клиентът се регистрира с потребителско име, ПИН код и email адрес, след което трябва да изчака да получи по същата електронна поща прикачен файл с приложение, което трябва да инсталира. Предимства: Липсва предаване на важна информация по мрежата. До сега никой хакер не е „разбивал” криптиращите системи AES и RC4 . Ако някой се опита за използва приложението отдалечено, той може да бъде открит посредством хеш-функция. Потребителят не е необходимо да настройва приложението, а то е готово за употреба веднага. Недостатъци: Отежняване работата на сървъра. Възможно е забавяне в отговора от страна на сървъра. Ако хакер има достъп до електронната поща на потребителя, ще получи достъп и до неговото приложение. Необходим е трансфер на приложението от компютъра към телефона на потребителя (освен ако потребителите не достъпват електронната си поща през телефона). Предложение 3 Подобно е на предходния метод, но email-ът не съдържа приложение, а URL-линк, който потребителят достъпва през мобилния си телефон, откъдето приложението може да бъде „свалено”. Съответната електронна страница изисква вход чрез потребителско име и ПИН код. Следващата схема предствавя такъв процес. Надежда Петрова | Безопасност и защита
  • 19 Безопасност и защита при Cloud Computing фигура 6 Процес по регистрация Предимства: Липсва предаване на важна информация по мрежата. До сега никой хакер не е „разбивал” криптиращите системи AES и RC4 . Ако някой се опита за използва приложението отдалечено, той може да бъде открит посредством хеш-функция. Приложението, което се „издърпва”, се инсталира директно върху мобилния телефон, без да е нужна връзка от телефона към компютъра. Допълнителна автентикация през страницата за „сваляне” на приложението. След това електронната страницата се изтрива, което означава, че се съхранява само едно копие на приложението. Допълнителна сигурност, тъй като се използва връзка през телефона. Ако клиентския компютър се следи, както и трафикът през него, то вероятно телефонът му е безопасен. Недостатъци: Отежняване работата на сървъра. Възможно е забавяне в отговора от страна на сървъра. Надежда Петрова | Безопасност и защита
  • 20 Безопасност и защита при Cloud Computing Предложения за криптиране Най-важното различие между AES и RC4 вероятно ще бъде техния вид. AES използва определен алгоритъм и формула като блок шифър, който работи на отделни блокове от данни, а RC4 е криптиращ поток, който използва ключ от псевдо-случайни битове, които съчетават данни, използвайки OR (XOR) функция. Най-важната причина RC4 да е добре приет е фактът, че е прост и може да работи бързо. RC4 е ориентиран към бизнеса, докато AES прави системата по-бавна (в сравнение с RC4), което води до риск, че клиентите могат да чакат твърде дълго, тъй като алгоритъмът за криптиране / декриптиране отнема повече време, което би довело до промяна на доставчика от страна на клиента. „Облачните доставчици” Google.com и Facebook.com използват RC4. Предимства на AES: Изключително сигурен. Предоставен за безплатно и масово използване. Недостатъци на AES: AES зависи от хардуера. Сложен криптиращ стандарт. По-бавен в сравнение с RC4. Предимства на RC4: RC4 е лесен за криптиране стандарт. По-бърз в сравнение с AES. Софтуернато базирано внедряване е възможно да няма ограничение поради честото му прилагане. Недостатъци на RC4: Счита се, че не е толкова сигурен, колкото AES. RC4 не е достатъчно ефективен, когато се използва от блоков шифър. Безспорно сигурността и защата на потребителските данни са от първостепенно значение в „облачната” среда. Оказва се обаче, че законодателните решения, с които се разполага към настоящия момент, не са на задоволително ниво и практически не могат да решат проблемите, които новите технологии поставят пред информационното общество. Феноменът “клауд къмпютинг” поставя на изпитание всички налични законодателства в областта на защитата и обработката на личните данни, тъй като редица правни проблеми Надежда Петрова | Безопасност и защита
  • 21 Безопасност и защита при Cloud Computing все още не са разрешени, а реформирането на текущите правила не се осъществява със скоростта, с която се развива технологията. Въпреки безбройните сложни закони, които могат евентуално да се прилагат на този тип услуги, съществуват правни рискове, които могат да се разделят на четири отделни групи: защита на данните; извличане на данни; приемственост на достъпа осведоменост на договора Правен риск: Защита на данните Проблем Голяма част от информацията поддържана в организациите на публичния сектор се отнася за живи индивиди. Затова доставчиците трябва да се съобразяват със съществуващите закони за защита на данните винаги, когато оперират с тях. Това включва задължението да се приложат подходящи защитни мерки, за да се осигури защитата на данните. Това условие се засилва от факта, че много договори са прекалено едностранни, в полза на облачните доставчици. Водят се спорове относно клаузи, които претендират да освободят доставчиците от каквито и да е отговорности при загуба или щета на данните, причинени от техните сървъри. Решение Възможността от загубата на контрол е може би една от най-големите пречки, когато се обмисля преместване към „облачна система”. Ключът към смекчаване на този риск е договарянето. Въпреки че едностранните договори съществуват, агенциите, които обмислят преместване към такава система, трябва да преговарят за справедливи и балансирани договори - такива, които гарантират защита. По-специално трябва да се настоява, че: Доставчикът има достатъчно технически предпазни мерки и се съгласява да спазва закона за защита на данните; Доставчик приема отговорността за каквато и да е загуба или щета, причинена на данните. Ефективен договор при неутрализиране на тези опасения е добре илюстриран в споразумение за „LA-Google“ относно „облачни услуги”. Тук идеите на Google, Надежда Петрова | Безопасност и защита
  • 22 Безопасност и защита при Cloud Computing предлагащи силни договорни гаранции, са били решаващ фактор в преминаване към такава система на Google спрямо почти всички ИТ изисквания в града. Правен риск: Извличане на данни Проблем Една от идеите, залегнала в основата на „облачната концепция” е, че данните могат да се движат свободно. Това далеч не е така. Извличането на лични данни извън Европейска икономическа зона например е изключително сложно и е последвано с актовете за защита на личните данни. Казано просто, при липса на някои специализирани споразумения, личните данни могат да бъдат извлечени само със съгласието на собственика на данните. Решение Държавен орган например може да изнася данни извън Европейска икономическа зона в съгласие с актовете за защита на данни чрез използването на стандартизирани договори, наречени моделни споразумения. Тези споразумения са публикувани от Европейската комисия и се изисква, че „вносителят” на данни се задължава да обработва данните в съответствие с европейските стандарти за защита на данните. Наскоро Комисията публикува споразумения, които са специално предназначени за „облачната технология”. Освен това, ако данните трябва да се изнасят в САЩ например, тези трудности могат да бъдат избегнати като се гарантира, че „вносителят” на данни е съгласен със споразумението за лична неприкосновеност („Safe Harbor“). „Safe Harbor“ е споразумение между ЕС и американското министерство на търговията, съгласно което американските компании доброволно се съгласяват да се съобразят с европейското законодателство за защита на личните данни. Правен риск: Непрекъснатост на достъп Проблем Някои данни (например на държавни институции) трябва да се съхраняват безопасно за дълги периоди от време и трябва да бъдат леснодостъпни. Особен риск тук е фактът, че доставчикът на „облачни услуги” може да „излезе от бизнеса”. Решение Има два начина да се превъзмогне този проблем. Първо, организацията-клиент може да настоява доставчикът на услугата за крайния потребител да поема отговорност за каквато и да е загуба на услуга, дори Надежда Петрова | Безопасност и защита
  • 23 Безопасност и защита при Cloud Computing когато тя е причинена от „облачната платформа”. Условие като това е малко вероятно да бъде прието без преговори, но доставчикът може да бъде готов да приеме тази отговорност, за да спечели голям брой потребители. Второ, доставчикът на „облачната услуга” може да бъде страна по договора между организацията-клиент и доставчика на услугата за крайния потребител. Тази практика се превръща във все по-популярна, тъй като доставчиците на „олбачни услуги” често желаят да имат директен договор с крайния потребител и като публичен орган могат да се защитят, ако крайният потребител злоупотребява с изискванията си. Заключение „Облачните услуги” се разрастват изключително бързо през последните няколко години, предоставяйки възможност на потребителите им да изнесат своите услуги, ресурси и инфраструктура в ръцете на специален доставчик на такъв тип услуги. Това от своя страна води до множество предимства, които неминуемо са последвани и от множество проблеми. Основният акцент е сигурността на личните данни. Освен това е важно лесно да се достъпват и използват услугите. Защитата на личните данни би могла да се подобри, когато се отчетат възможностите за автентикация, регистриране, криптиране. Тъй като „облачните услуги” са обвързани със съхраняването на чужда информация, е много важно да бъдат максимално защитени от нежелани хакерски атаки. Именно защото се използват чужди данни, появата на тези услуги се оказва проблем, който все още не е намерил и своето адекватно правно разрешение в нито една държава по света. Правото трябва да предприеме решителна стъпка към утвърждаване на нови принципи в областта на защитата на личните данни и потребителските договори. Тепърва предстои изследването на възможностите на новата „облачна” среда и на предизвикателствата, които тя поставя пред правото на информационното общество. Дали то ще успее да даде адекватните разрешения, ще покаже само времето. Надежда Петрова | Безопасност и защита
  • 24 Безопасност и защита при Cloud Computing Използвана литература [1] Cloud computing in the public sector: risks and reward, Public Affairs Ireland Journal [2] Anthony T. Velte, Toby J. Velte, Ph.D., Robert Elsenpeter. Cloud Computing: A Practical Approach, McGraw-Hill 2010 [3] Cloud Deployment Models, http://www.techno-pulse.com/2011/10/cloud-deployment- private-public-example.html [4] Проектиране на система за защита на Бази данни за ресурсно планиране чрез пароли и различни нива на достъп, Ася Григорова [5] Anthony T. Velte, Toby J. Velte, Ph.D., Robert Elsenpeter. Cloud Computing: A Practical Approach, McGraw-Hill 2010 [6] Mobile One Time Passwords and RC4 Encryption for Cloud Computing, Markus Johnsson & A.S.M Faruque Azam Надежда Петрова | Безопасност и защита