SlideShare a Scribd company logo

Безопасност и защита при Cloud Copmputing

Download as ODT, PDF
Деница Петкова
Деница Петкова

Безопасност и защита при Cloud Copmputing Деница Петкова Петкова, Спец: Информатика, курс 5, ФН 11593, гр.61

Education
1 of 21
ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА ЦЕНТЪР МАГИСТЪРСКО ОБУЧЕНИЕ Реферат по дисциплината „Безопасност и защита“ на тема „Безопасност и защита при Cloud Copmputing“ Изготвил Проверил Деница Петкова Петкова, Доц. Д-р С.Дражев Спец: Информатика, курс 5, ас. Р. Начева ФН 11593, гр.61 Варна, 2014
Безопасност и защита при Cloud Copmputing Съдържание Въведение....................................................................................................................3 Същност на облачния компютинг..............................................................................4 Моделът Софтуер като услуга SaaS......................................................................6 Моделът Платформа като услуга PaaS..................................................................7 Моделът Инфраструктура като услуга IaaS.........................................................7 Потребители на облачните изчисления................................................................8 Модели за разгръщане ..........................................................................................9 Използване на бази от данни, файлови услуги и BYOD........................................11 Използване на бази от данни от облака..............................................................11 Файлови услуги от облака...................................................................................15 BYOD.....................................................................................................................16 Сигурността от гледна точка на служителите....................................................17 Условия за нивото на услугата, според сигурността..............................................18 Заключение.................................................................................................................19 Използвана литература..............................................................................................20 Деница Петкова Петкова, ФН 11593 2
Безопасност и защита при Cloud Copmputing Въведение Облачният компютиг има потенциалът да трансформира голяма част от ИТ индустрията, като направи софтуерът дори още по-атрактивен като услуга и като моделира проектирането и закупуването на хардуера. Разработчиците с иновативни идеи по посока на новите интернет услуги вече не се нуждаят от големи капиталовложения в закупуването на хардуер, за разполагане на услугите си или разходи за екип поддържащ функционирането им. Налице е еластичност на ресурсите, без да е необходимо допълнително заплащане за голям мащаб - безпрецедентно явление в историята на информационните технологи В резултат на това облачният компютинг се превръща във все по-популяр- на тема, обсъждана в блоговете, участваща в заглавията на редица семинари, конференции и дори списания. Въпреки всичко това, използването на облачно базирани услуги в информационните системи на организациите с свързано с засягането на сигурността на информацията. Възникват доста въпроси, тъй като данните вече се съхраняват на чуждо дисково пространство и сървъри, техни копия са разположени в дейта центрове по целия свят, а достъпът до тях се осъществява посредством Интернет. В настоящия реферат ще представя накратко някои основни аспекти на сигурността, която осигурява облачният компютинг, като изследвнето ми е базирано на изследвания, публикации и книги по проблема за сигурността на информацията. Деница Петкова Петкова, ФН 11593 3
Безопасност и защита при Cloud Copmputing Същност на облачния компютинг Облачният компютинг се отнася както до приложения, доставени като услуги през Интернет така и до хардуера и системния софтуер в информационните центровете предоставящи тези услуги. Облакът в израза „облачни изчисления“ представлява метафора за изчислителни ресурси (хардуерни и софтуерни), достъпни от различни компании и потребители, без да бъде необходимо те да знаят точното местонахождение на хардуера и софтуера. Всъщност сървърите и изчислителната техника на един облак може да бъде разположена в няколко различни информационни центъра. Въпреки, че интернет е необходимата основа за реализиране на облачния компютинг, облакът е повече от интернет, а именно – място, на което се реализира определена технология, в зависимост от нуждите на използващите я. Някои основни определения за облачни изчисления: • Според Gartner „облачните изчисления са стил на изчисление, при който мащабируеми и еластични ИТ способности се доставят като услуга чрез Интернет технологии.“ • В специалната публикация на NIST от септември 2011 облачният компютинг се описва като „модел, които позволява повсеместeн, удобен при поискване мрежов достъп към споделен басейн от конфигурируеми, изчислителни ресурси (например: мрежи, сървъри, памет, приложения и услуги), които могат бързо да се провизират и отпускат с минимални управленчески усилия или взаимодействие с доставчика на услуги.” Докато традиционните изчислителни модели от 60те и 90те години на 20 век, задължаващи потребителите да достъпват приложенията локално на компютрите собственост на компанията, за която работят, днешните облачни Деница Петкова Петкова, ФН 11593 4
Безопасност и защита при Cloud Copmputing технологии предоставят широко разпространени бизнес приложения онлайн, достъпни през уеб-браузъра. Благодарение на HTML5 и Ajax интерфейсът на приложенията използвани на облака изглеждат подобно или дори по-добре, от колкото приложение инсталирано на локалната клиентска платформа. В резултат от това всяка компания използваща технологията може да използва техники на ориентираната към услугите архитектура (SOA), за свързването на вътрешните си системи с гръбнака на облачните комуникации. Гартнър постулира, че облакът не е архитектура, платформа, инструмент или инфраструктура. Това е иновативен начин за компютинг. Разгърнат модел, а не установена архитектура. Дефинира се по-скоро, като се отговори на въпроса какви характеристики притежава, а не какво точно представлява. За целта ще разгледаме основните характеристики на облачния компютинг. Ще се придържаме към специалната публикация на NIST (National Institure of Standarts and Technology) от септември 2011г., която разкрива 5 основни отличителни черти – самообслужване при наличие на потребност, обширен мрежов достъп, обединяване на ресурсите, динамична еластичност на търсенето на предоставяните услуги, премерени услуги. • Самообслужване при наличие на потребност – потребителят бива снабден автоматично с изчислителни услуги, като: сървърно време, мрежова памет и др., като това се реализира без необходимост от човешката намеса на всеки един от доставчиците на услуги. • Обширен мрежов достъп – възможностите, които предлагат облачните изчисления са налични през мрежата и достъпни посредством стандартни механизми, така че да бъдат достъпни на различни клиентски платформи – мобилни телефони, таблети, нотбуци, персонални компютри, работни станции. • Обединяване на ресурсите – изчислителните ресурси, които доставчика Деница Петкова Петкова, ФН 11593 5
Безопасност и защита при Cloud Copmputing предоставя са обединени, така че да могат да бъдат използвани от голям брой потребители. Това е възможно благодарение на Multi-tenant модела - за всеки един потребител динамично се задават отделни изчислителни ресурси и мощности, в отговор на изискванията и нуждите му. Потребителите не знаят къде е точното местонахождение на центъра, предоставящ изчислителните услуги, но въпреки това е възможно да определи мястото на високо ниво на абстракция (държава, щат, или информационен център). Примери за ресурси са памет, мрежови трафик, оперативна памет, процесорна обработка. • Динамична еластичност на търсенето на предоставените услуги – осигурените на потребителя функционалности, често изглеждат неограничени. Това е така, тъй като те могат да бъдат отпускани в различно количество и по всяко време. • Премерени услуги – облачните системи автоматично контролират и оптимизират използването на услугите, предлагани от тях. Това се постига чрез измерване на възможностите на определено ниво на абстракция, подходяща за вида на провизираната услуга. Използването на ресурсите може да бъде контролирано, наблюдавано и докладвано, като паралелно с това се осигурява прозрачност, както за потребителя, така и за доставчика на конкретните услуги. Посочените до тук характеристики се реализират чрез моделите на доставка на облачни изчисления - SaaS, PaaS, IaaS и др. Моделът Софтуер като услуга SaaS Традиционните методи за закупуване на софтуер включват инсталирането на продукта на клиентската хардуерна платформа в замяна на лицензионна такса. Куповачът също така може да сключи споразумение за доставка на пачове и други услуги. Потребителят отделя внимание на съвместимостта с Деница Петкова Петкова, ФН 11593 6
Безопасност и защита при Cloud Copmputing операционната система, инсталирането на пачовете и спазването на споразуменията по лиценза. В облачните изчисления се прилага моделът софтуер като услуга. При този подход за доставяне на софтуер, потребителят не закупува нужната му програма, а я наема, като се абонира за нея. Приложенията по принцип са налични чрез уеб-базирани интерфейси, такива като Уеб Браузър на устройства на клиенти, като персонални компютри, таблети, смартфони и други преносими устройства. Потребителят не може да влияе върху основната мрежа, сървъри, операционни системи или съхранение и в повечето случаи няма (или има ограничен) контрол върху самото приложение. Salesforce (www.salesforce.com) или Workaday (www.workaday.com) са добри примери за широко използвани SaaS приложения. Моделът Платформа като услуга PaaS Платформа като услуга е модел, при който доставчикът позволява на потребителя да разгръща своите собствени приложения в клауд инфраструктура, използвайки програмни езици и инструменти разработени/поддържани от доставчика. Клиентът не управлява или контролира основната мрежа, сървъри, операционни системи или съхранение, но може да контролира самите приложения и в някои случаи средите на приложенията. Приложенията на Гугъл Енджин (developers.google.com/appengine), Форс (www.force.com) или Уеб услугите на Амазон (aws.amazon.com) са водещи на днешния пазар примери за PaaS. Моделът Инфраструктура като услуга IaaS Инфраструктура като услуга е моделът, при който доставчика предоставя обработка, съхранение, мрежи и други фундаментални изчислителни ресурси директно на потребителя, който разгръща и оперира собствен софтуер, Деница Петкова Петкова, ФН 11593 7
Безопасност и защита при Cloud Copmputing включително операционни системи и приложения. Потребителят не управлява или контролира основната клауд инфраструктура, но има контрол върху операционните системи, съхранение, разгърнати приложения и вероятно ограничен контрол върху някои мрежови компоненти като защитни стени и балансьори за натоварване. Потребители на облачните изчисления Клауд потребител е лице, което използва услуги от Клауд доставчици. Клауд потребителят се свързва с Клауд доставика, проучва и избира услугите, които се предоставят от доставчика, и сключва споразумения за ниво на обслужване с доставчика. Потребители на SaaS могат да бъдат организации, които предоствят на своите членове достъп до софтуер приложения за крайни потребители, които директно използват софтуер приложения или администратори на софтуер приложения, които конфигурират приложения за крайни потребители. SaaS могат да бъдат таксувани на база на броя крайни потребители, времето на ползване, консумацията на мрежа, количеството на съхранените данни или продължителността на съхранените данни. Клауд потребителите на PaaS могат да наемат инструменти и ресурси за изпълнение, предоставени от клауд доставчици за разработване, тестване, разгръщане и управление на приложенията, които се съдържат в клауд средата. PaaS потребители могат да бъдат разработчици на приложения, които проектират и изпълняват приложен софтуер, приложни тестери, които изпълняват и тестват приложения в клауд базирани седи. Потребителите също могат и да разгръщат приложения в клауд, а могат да бъдат и приложни администратори, които конфигурират и контролират изпълнението на приложенията на платформа. PaaS потребителитебмогат да бъдат таксувани в съответствие с обработка, съхранение на бази данни и мрежови ресурси, консумирани от PaaS приложения, и продължителността на използването на платформата. Деница Петкова Петкова, ФН 11593 8
Безопасност и защита при Cloud Copmputing Потребители на IaaS имат достъп до виртуални компютри, съхранение, достъпно чрез интернет, мрежови инфраструктурни компоненти, и други фундаментални изчислителни ресурси, върху които те могат да разгръщат и да изпълняват случаен софтуер. Потребителите на IaaS могат да бъдат системни разработчици, системни администратори и ИТ мениджъри, които се интересуват от създаване, инсталиране, управление и контрол на услуги за ИТ инфраструктурни операции. IaaS потребителите имат възможности за достъп до тези изчислителни ресурси, и биват таксувани според продължителността на консумираните ресурси, като СРU часове, използвани от виртуални компютри, обем и продължителност на съхранени данни, консумация на мрежата, брой IP адреси, използвани за определени интервали. Модели за разгръщане Изчислението в облак се предлага под различни форми: публични, общности, частни и хибридни облаци, които са съчетание от публични и частни. • Структурата на публичния облак е на разположение за отворенo ползване от широката общественост. Тя може да бъде собственост, управлявана и експлоатирана от бизнес, академична или правителствена организация, или комбинация от тях. Тя съществува в помещенията на клауд доставчика. Свързана е с Интернет чрез широк достъп до мрежата. Потребители се свързват чрез обществения Интернет с няколко протокола. • Частен облак. Клауд инфраструктурата или определена част от нея се предоставя за използване само на една организация, включваща няколко потребителя (напр. бизнес звена). Тя може да бъде притежавана, контролирана и управлявана от организацията или от трета страна. До частния клауд се достига, чрез LAN разширение до Деница Петкова Петкова, ФН 11593 9
Безопасност и защита при Cloud Copmputing сървърите на корпоративен център за данни А. Достъпът се осъщяствява, като първо се установява предпазен тунел на Виртуална Частна Мрежа (VPN) между корпоративния център за данни и частния облак. Този тунел използва публични IP адреси за установяване на VPN свързване от сайт до сайт. • Обществен облак. Клауд инфраструктурата е предоставена за използване само от специфична общност от потребители на организации, които споделят общи интереси (например: мисия, изисквания за сигурност, политика и т.н). Тя може да бъде притежавана, контролирана и управлявана от една или няколко организации в общността, от трета страна, или комбинация от тях. • Хибриден облак. Клауд инфраструктурата е композиция от две или повече отделни клауд инфраструктури (частни, обществени или публични), които остават отделни единици, но са свързани помежду си, чрез стандартизирана или патентована технология, която позволява преносимост на данни и приложения. Клауд инфраструктурата е планирана така, че някои дейности като съхранение или изпълнение на сложни алгоритми могат да се извършват на допълнителни независими облаци, при възникване на специфични нужди или когато товара надвишава капацитета на облачната инфраструктура (т.нар клауд разпръсване). Компании като Google или Amazon, вече предоставят ресурси в облака, премахвайки много от сложните ограничения от традиционната компютърна среда, включително пространство, време, енергия и разходи. Независимо от конкретната услуга, която дадена организация наема, или моделът на разгръщане на облака, защитата от потенциалните атаки и осигуряване на информационната сигурност са с висок приоритет. Деница Петкова Петкова, ФН 11593 10
Безопасност и защита при Cloud Copmputing Използване на бази от данни, файлови услуги и BYOD Използване на бази от данни от облака В базата от данни на доставчика на SaaS е често срещано, данните на дадената организацията да се намират в същите таблици, където са разположени и данните на всички останали негови клиенти. Сигурността се реализира, с помощта на инструментите осигуряващи ограничаване на „изгледа“ (view) на данните, до които има достъп клентът. Възможно е това ограничение да отпадне, без да са налице злонамерени действия, а поради грешки при реализиране на конфигурацията на достъпа на различните потребители. В резултат данните на някой(и) от клиентите на SaaS се разкриват пред друг наемател (tenant) на услугата. Този проблем може да бъде разрешен, като се криптират данните, но тогава трябва да се инвестира в система за криптиране, а по този начин се обезсмислят икономическите ползи от преминаване към облачния компютинг. Алтернативи, като токенизация и маскиране, също ще доведат до допълнителни разходи и ресурси. Ако все пак се стигне до решение за прилагане на някой от тези методи за увеличаване на нивото на сигурност на данните, организацията е изправена пред важно решение, тъй като всеки един от тези методи има своите преимущества и слаби страни. Използват се различни техники и подходи за защита на информацията, съхранявана в базите от данни. Мониторинг, електронни подписи, оценка на уязвимостта, маскиране на информацията (data masking), криптиране – всички те се използват при осигуряването на безопастно препращане на информацията през различни сайтове, за увеличаване на контрола на достъп, базиран на набор от политки за справки в базаите от дани. Криптографията е един от методите използван за защита на базите от Деница Петкова Петкова, ФН 11593 11
Безопасност и защита при Cloud Copmputing данни в средата на облачно базирана система. Тя представя набор от методи и математически функции и алгоритми за конвертиране на разбираема, четима информация в закодирана такава. Това се прави с цел за сигурното предаванеѝ (напр. По мрежа). След това, когато информацията достигне крайната си дестинация, тя се възстановява в първоначалния си вид с помоща на ключ (симетричен или публичен). Разпространени алгоритми за криптиране: • симетрични: DES, Triple DES, AES, ГОСТ 28147-89, Camellia, Twofish, Blowfish, IDEA, RC4 и др. • асиметрични: RSA, Дифи-Хелман (Diffie-Hellman) и Elgamal (Ел-Гамал) • хеш-функции • удостоверяващи източника: MD5-MAC, DES in CBC mode, MAA • удостоверяващи целостта на данните: MD4, MD5, SHA-1, ГОСТ Р 34.11- 94 Защитни стени за Web приложенията (WAF) -представляват хардуерно- софтуерни комплекси, прилагащи набор от правила и политики за сигурност към наблюдавания HTTP трафик, идващ от приложенията към базата данни и в обратното направление. Тези решения позволяват да се контролират такива известни типове атаки, като Cross-site Scripting (XSS) или SQL-инекции. С настройване на правилата спрямо бизнес приложенията, могат да се откриват и блокират множество атаки. Обаче обемът на работа във връзка с тези настройки може да се окаже доста голям, а освен това при изменения в приложенията, трябва да се правят нови настройки. Решенията от клас WAF често наричат и Deep Packet Inspection Firewalls – т.е. защитни стени с дълбок анализ на пакетите, тъй като те анализират всяка заявка и всеки резултат от заявка на нива HTTP/ HTTPS/SOAP/XML-RPC/ Web-услуга. При това, самите данни в базата остават незащитени, тяхното използване не се следи – фактически се Деница Петкова Петкова, ФН 11593 12
Безопасност и защита при Cloud Copmputing инспектира само частта от мрежовите заявки към базата данни, идваща от сървъра за приложения. Както и традиционните firewall за защита на периметъра, WAF са необходими, но не винаги са достатъчни. Мониторингът или DAM (Database Activity Monitoring) е често срещан подход за защита на информацията. DAM е автоматизирано и мащабируемо решение за одит на бази данни, което следи и одитира всички опити за достъп до чувствителни данни в хетерогенни СУБД платформи. Според Адриан Лейн, експерт от Securosis LLC, едно подобно решение изключително лесно би разпознало погрешно конфигурираните нива на достъп и би предотвратило подобно изтичане на информация, включително и при недобросъвестен служител на фирмата. Решенията от клас DAM помагат да се осъществява контрол върху всички сесии в работата на системата за управление на бази данни (въвеждане, изпълнение на SQL код, извеждане и др.), всички изключения (грешки, неуспешна оторизация и т.н.), блокиране на нежелани сесии, оповестяване на събития във връзка с информационната сигурност. Освен мониторинг на активностите, решенията от тип DAM позволяват да се управляват измененията на обекти на СУБД и нейното обкръжение, да се управляват уязвимости на базата данни. Предотвратяването на изтичане на данни се реализира чрез проверки на извличаната информация, откриване на аномалии във функционирането, автоматично откриване и класификация на критични данни.За да не се допускат неоторизирани действия се ползват политики за безопасност, даващи възможност да се ограничи достъпа до базите данни или конкретни таблици на основата на различни параметри: • акаунт на потребител • IP адрес • MAC адрес Деница Петкова Петкова, ФН 11593 13
Безопасност и защита при Cloud Copmputing • мрежови протоколи- • тип SQL команда • бизнес приложения • време от денонощието и т.н. Решенията от клас DAM контролират всички активности в базите данни, предоставяйки детайлизирана отчетност за евентуално разследване на събития, свързани с информационната сигурност. Основен недостатък на DAM решенията обаче е, че използването на данните след извличането им от базата не се проследява. За изпълнението на тази задача са предназначени решенията от клас DLP (Data Leak Prevention). Решенията от клас DLP проследяват критичната информация, която напуска пределите на компанията. Тези решения реализират автоматично откриване и класификация на критичните данни, съхранявани в периметъра на организацията. Ако се направи аналогия, може да се приеме, че DLP е охранителят, който проверява чантите на излизащите от банките, а DAM е камерата за наблюдение на банковия трезор. И двата класа решения имат важно място при защитата на информацията и едновременното им прилагане издига информационната сигурност на високо ниво. Защитни стени за Web приложенията (WAF) -представляват хардуерно- софтуерни комплекси, прилагащи набор от правила и политики за сигурност към наблюдавания HTTP трафик, идващ от приложенията към базата данни и в обратното направление. Тези решения позволяват да се контролират такива известни типове атаки, като Cross-site Scripting (XSS) или SQL-инекции. С настройване на правилата спрямо бизнес приложенията, могат да се откриват и блокират множество атаки. Обаче обемът на работа във връзка с тези настройки може да се окаже доста голям, а освен това при изменения в приложенията, трябва да се правят нови настройки. Решенията от клас WAF често наричат и Деница Петкова Петкова, ФН 11593 14
Безопасност и защита при Cloud Copmputing Deep Packet Inspection Firewalls – т.е. защитни стени с дълбок анализ на пакетите, тъй като те анализират всяка заявка и всеки резултат от заявка на нива HTTP/ HTTPS/SOAP/XML-RPC/ Web-услуга. При това, самите данни в базата остават незащитени, тяхното използване не се следи – фактически се инспектира само частта от мрежовите заявки към базата данни, идваща от сървъра за приложения. Както и традиционните firewall за защита на периметъра, WAF са необходими, но не винаги са достатъчни. Файлови услуги от облака Едновременното позициониране на файлове и данни в облака води до проблеми, породени от съхраняването на файловете на много наематели (tenants) върху сторидж системите на доставчика и правните последици от разположението на файловете на организациите в различни географски локации. Технологиите за дискови масиви не са разработени с изискване за съжителстване на данните на много наематели върху тях. При пълно криптиране на диска декриптиращия ключ е един и същ за всички наематели - криптирането на целия диск и хомоморфното криптиране в базите данни имат ограничено приложение в облака поради възникването на проблеми свързани с управлението на ключовете за криптиране при гранулиране на правата на групи от потребители за достъп до файловете и данните. След като дискът се криптира на физическо ниво, данните стават достъпни за всички приложения от по-високите нива. При напълно хомоморфно криптиране един от проблемите е агрегирането на данните, когато са криптирани с различните ключове, с които са въвеждани. Проблемите се откриват също в областите на поделянето на дисковото пространство, агрегирането на данните, намаляване на производителността и нарастване на сложността на управление на ключовете. Липсват механизми за гранулирано разпределяне на правата за достъп: Деница Петкова Петкова, ФН 11593 15
Безопасност и защита при Cloud Copmputing доставчикът на услугата трябва да управлява правата на достъп на наемателите до файловите ресурси, след което наемателят от своя страна има потребност да раздаде на звената, а те на служителите си съответно права за достъп. Всеки доставчик решава тези въпроси със съответни бутикови ограничения. Тепърва предстои налагане на стандарти и унифициране в тази област. Описаните до тук проблеми са провокирали изледвания и разработки, свързани с концепциите за сигурно капсулирани данни (secure data capsule – SDC) и самоунищожаване на данните. Капсулата със сигурни данни съдържа криптирани данни, с политика за сигурността им, която включва списъци и права за достъп. Този подход кореспондира с идеята за депериметризация при използване на услуги от облака. При нея данните носят със себе си периметровата защита. Механизмът за самоунищожаване на данните е породен отново от спецификите на услугите от облака. Клиентите могат да разчитат, че по време на договорните им отношения с доставчика данните са криптирани и той няма достъп до тях, а след като се разделят с него, данните им ще се разпаднат и станат безполезни. BYOD При преминаване от конвенционален към облачен компютинг служителите в организацията неминуемо започват да използват на собствените си устройства – лаптопи, таблети, интелигентни телефони, ръчни терминали и др. (т.нар. концепция „донеси собственото си устройство”, на англ. „Bring Your Own Device“ - BYOD). Пробивът в едно такова устройство може да застраши данните на цялата организацията в облака. Много обстоятелства благоприятстват такъв пробив: • Устройствата са хетерогенни – имат най-различни операционни системи, което усложнява въвеждане на единни механизми за управление на Деница Петкова Петкова, ФН 11593 16
Безопасност и защита при Cloud Copmputing защитата в тях; • Някои от операционните системи в тези устройства не са защитени; • Не получават редовни ъпдейти защото, често са извън мрежата на организацията; • Потребителите на тези устройства използват несигурни мрежи – летища, паркове, заведения, офиси на контрагенти и др. Прилагането на тънки клиенти създава по-добра възможност за централизирано съхранение на данни. Вследствие на което, има по-малък шанс за изтичане на информация. Сигурността от гледна точка на служителите Потенциалните зломишлeници не се ограничават само до служителите в организацията наемател на облачните услуги, а и служителите на самия доставчик, както и външните служители на партньори и контрагенти, имащи достъп до информационните ресурси. Ако са допуснати грешки в конфигурацията на приложенията и базите от дани, евентуална заплаха могат да станат и крайните потребители на публичния облак. Даун Капели от Института по софтуерен инжинеринг на Университета в Карнеги Мелон, твърди, че атаката от вътрешен човек продължава да бъде много по-голям проблем, в сравнение с потенциалните атаки, дебнещи отвън. Капиталът насочен към предотвратяването на инциденти със служителите има много по-висок коефициент на възвръщаемост (ROI), в сравнение с капиталът вложен в подобряване на сигурността, спрямо външни фактори. Деница Петкова Петкова, ФН 11593 17
Безопасност и защита при Cloud Copmputing Условия за нивото на услугата, според сигурността Когато е взето решение за преминаване от конвенционален към облачен компютинг, налице са няколко основни въпроса, касаещи сигурността, към доставчика на облачните услуги. Основните 3 компонента за усигуряване на сигурност при изпозване на облачните технолгии са: • Криптиране на данните при трансфер към и от сървърите на облака; • Криптиране на данните по подразбиране във файлове, томове и ленти, които се съхраняват на сървърите, паметта и хранилищата за архиви на доставчика на облачни услуги • Ако данните и файловете са криптирани и е налице искане за прилагане на закон за декриптиране, какво е поведението на доставчика; има ли ключ? Препоръките, които дава ENISA в „Cloud Computing: Benefits, Risks, and Recommendations for Information Security“ от ноември 2009, представляват набор от изисквания и въпроси към доставчика на облачни услуги, с цел оценка на предлаганата информационна сигурност. • сигурност на персонала: политики и процедури при наемането на ИКТ администратори и др лица, които имат системен достъп; различни политики, в зависимост от това къде се съхранява информацията и къде се изпълняват програмите; • осигуряване на сигурността по вегирата за доставки: контрол върху политиките за сигуност на външни изпълнители на доставчиците на услуги от облака; дефиниране на услугите от ключово значение за сигурността, възложени на външни изпълнители; • оперативна сигурност – гаранции, че при достачика на услуги от облака се използват подходящи инструменти, контролиращи непозволеното разкриване на информация; детайлизирани политики и процедури за Деница Петкова Петкова, ФН 11593 18
Безопасност и защита при Cloud Copmputing бекъп на данните; подробна записване на информацията в журналите за одит (audit logs); политики за отдалечен достъп; дефиниране на хостове и мрежи, чиято роля е да осигуряват защита на системите, на които се съхраняват приложенията и информацията за крайния потребител. Следва да бъдат включени подробности за сертифициране от външни стандарти (напр. ISO 27001/2); • управление на идентичността и достъпа: контроли, които се прилагат двустранно – както към клиента, така и към доставчика на облачни услуги. Такива контроли са: контрол на достъпа, разрешение, обезпечаване на идентичност, управление на личните данни, управление на ключовете за декриптиране, криптиране, автентификация, компрометиране или кражба на пълномощни; • преносимост на данните и услугите: става въпрос за потенциалните рискове клиентът да бъде обвързан само с един доставчик на услуги; В публикацията са разгледани и други препоръки за оценка на сигурността – физическа сигурност, контроли на външната среда и др. Заключение Сигурното съхранение, управление, претърсване и анализ на огромни масиви с неструктурирани данни е важна задача при осъществяването на облачния компютинг. Основното предизвикателство за сигурността при облачния изчислителен модел в конкретния случай е, че собственикът на данните не може да упражнява контрол върху локацията на данните. Това е цената да се използва оптимално наетия ресурс. Ето защо е необходима защита на данните в среда от ненадеждни процеси. Поради тази причина е необходимо да се обмисли внимателно преминаване към облачен модел на изчисления, да се претеглят рисковете, които крие тази технология и да се съизмерят с ползите от Деница Петкова Петкова, ФН 11593 19
Безопасност и защита при Cloud Copmputing използването .ѝ Използвана литература 1. http://cio.bg/3402_zashtitata_na_bazi_danni_i_biznes_prilozheniya/#! prettyPhoto Деница Петкова Петкова, ФН 11593 20
Безопасност и защита при Cloud Copmputing 2. http://www.darkreading.com/application-security/database-security/why- database-monitoring/d/d-id/1139781? 3. http://www.itworld.com/security/84655/database-security-on-a-cloud- computing 4. Dawn Song, Elaine Shi, Ian Fischer, and Umesh Shankar. Cloud data protection for the masses. Computer, 45(1):39–45, 2012 5. Ph.D. Robert Elsenpeter Anthony T. Velte, Toby J. Velte. Cloud Computing:A Practical Approach. McGraw-Hill Companies., 2010. ISBN: 978-0-07-162695- 8, MHID: 0-07-162695-6. 6. CERT Information Services Greg Shannon, Chief Scientist and SEI Communication Design. 2010 cert research report. In Software Engineering Institute, Carnegie Mellon University, 2010. Деница Петкова Петкова, ФН 11593 21

Recommended

Security in cloud computing
Security in cloud computingSecurity in cloud computing
Security in cloud computingDaniela Chudomirova
 
Virtual Private Networks Security Presents
Virtual Private Networks Security PresentsVirtual Private Networks Security Presents
Virtual Private Networks Security Presents
LogMan Graduate School on Knowledge Economy
 
безопасност и защита Cloud computing 10995
безопасност и защита Cloud computing 10995безопасност и защита Cloud computing 10995
безопасност и защита Cloud computing 10995Petya Radeva
 
Методи и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиМетоди и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежи
Dido Viktorov
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиVqra Velinova
 
Безопасност и защита на VPN
Безопасност и защита на VPNБезопасност и защита на VPN
Безопасност и защита на VPN
Ema Angelova
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиmApTu
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиVqra Velinova
 

Recommended

Security in cloud computing
Security in cloud computingSecurity in cloud computing
Security in cloud computingDaniela Chudomirova
 
Virtual Private Networks Security Presents
Virtual Private Networks Security PresentsVirtual Private Networks Security Presents
Virtual Private Networks Security Presents
LogMan Graduate School on Knowledge Economy
 
безопасност и защита Cloud computing 10995
безопасност и защита Cloud computing 10995безопасност и защита Cloud computing 10995
безопасност и защита Cloud computing 10995Petya Radeva
 
Методи и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиМетоди и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежи
Dido Viktorov
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиVqra Velinova
 
Безопасност и защита на VPN
Безопасност и защита на VPNБезопасност и защита на VPN
Безопасност и защита на VPN
Ema Angelova
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиmApTu
 
Безопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиБезопасност и защита на VPN мрежи
Безопасност и защита на VPN мрежиVqra Velinova
 
Big data security word file 116941
Big data security word file 116941Big data security word file 116941
Big data security word file 116941borkopinf
 
10724 vpn
10724 vpn10724 vpn
10724 vpnVeselin Velichkov
 
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
radopetrov
 
VPN Security
VPN SecurityVPN Security
VPN Security
LogMan Graduate School on Knowledge Economy
 
Vpn mreji 105227
Vpn mreji 105227Vpn mreji 105227
Vpn mreji 105227
SvilenaRRuseva
 
86101
8610186101
86101
Александър Димитров
 
Webit 2011 New Cloud Platform
Webit 2011 New Cloud PlatformWebit 2011 New Cloud Platform
Webit 2011 New Cloud Platform
SuperHosting.BG
 
безопасност и защита Cloud computing 10995
безопасност и защита Cloud computing 10995безопасност и защита Cloud computing 10995
безопасност и защита Cloud computing 10995Petya Radeva
 
безопасности защита на Web application
безопасности защита на Web applicationбезопасности защита на Web application
безопасности защита на Web applicationkarizka3
 
Cloudcomputing90907
Cloudcomputing90907Cloudcomputing90907
Cloudcomputing90907Zhenya Mihaleva
 
Cloudcomputing90907
Cloudcomputing90907Cloudcomputing90907
Cloudcomputing90907
Zhenya Mihaleva
 
FABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin NakovFABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin NakovSvetlin Nakov
 
FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8Svetlin Nakov
 
Безопасност и защита
Безопасност и защитаБезопасност и защита
Безопасност и защитаFatih Dmrl
 
DIPLOMA_MAGISTUR
DIPLOMA_MAGISTURDIPLOMA_MAGISTUR
DIPLOMA_MAGISTURKiril Tsvetanov
 
Web Applications Security
Web Applications Security Web Applications Security
Web Applications Security
LogMan Graduate School on Knowledge Economy
 
Web Services Security
Web Services SecurityWeb Services Security
Web Services Security
nevzasroma
 
Glossary internet
Glossary internetGlossary internet
Glossary internetCanko Balkanski
 
Web Services Security Presentation
Web Services Security PresentationWeb Services Security Presentation
Web Services Security Presentation
nevzasroma
 
Virtual Private Networks Security PPTX
Virtual Private Networks Security PPTXVirtual Private Networks Security PPTX
Virtual Private Networks Security PPTX
LogMan Graduate School on Knowledge Economy
 
Virtual Private Networks Security
Virtual Private Networks SecurityVirtual Private Networks Security
Virtual Private Networks Security
LogMan Graduate School on Knowledge Economy
 
FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015
Code Runners
 

More Related Content

What's hot

Big data security word file 116941
Big data security word file 116941Big data security word file 116941
Big data security word file 116941borkopinf
 
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
radopetrov
 
VPN Security
VPN SecurityVPN Security
VPN Security
LogMan Graduate School on Knowledge Economy
 
Vpn mreji 105227
Vpn mreji 105227Vpn mreji 105227
Vpn mreji 105227
SvilenaRRuseva
 
86101
8610186101
86101
Александър Димитров
 

What's hot (6)

Big data security word file 116941
Big data security word file 116941Big data security word file 116941
Big data security word file 116941
 
10724 vpn
10724 vpn10724 vpn
10724 vpn
 
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
 
VPN Security
VPN SecurityVPN Security
VPN Security
 
Vpn mreji 105227
Vpn mreji 105227Vpn mreji 105227
Vpn mreji 105227
 
86101
8610186101
86101
 

Similar to Безопасност и защита при Cloud Copmputing

Webit 2011 New Cloud Platform
Webit 2011 New Cloud PlatformWebit 2011 New Cloud Platform
Webit 2011 New Cloud Platform
SuperHosting.BG
 
безопасност и защита Cloud computing 10995
безопасност и защита Cloud computing 10995безопасност и защита Cloud computing 10995
безопасност и защита Cloud computing 10995Petya Radeva
 
безопасности защита на Web application
безопасности защита на Web applicationбезопасности защита на Web application
безопасности защита на Web applicationkarizka3
 
Cloudcomputing90907
Cloudcomputing90907Cloudcomputing90907
Cloudcomputing90907
Zhenya Mihaleva
 
FABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin NakovFABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin NakovSvetlin Nakov
 
FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8Svetlin Nakov
 
Безопасност и защита
Безопасност и защитаБезопасност и защита
Безопасност и защитаFatih Dmrl
 
Web Applications Security
Web Applications Security Web Applications Security
Web Applications Security
LogMan Graduate School on Knowledge Economy
 
Web Services Security
Web Services SecurityWeb Services Security
Web Services Security
nevzasroma
 
Web Services Security Presentation
Web Services Security PresentationWeb Services Security Presentation
Web Services Security Presentation
nevzasroma
 
Virtual Private Networks Security PPTX
Virtual Private Networks Security PPTXVirtual Private Networks Security PPTX
Virtual Private Networks Security PPTX
LogMan Graduate School on Knowledge Economy
 
Virtual Private Networks Security
Virtual Private Networks SecurityVirtual Private Networks Security
Virtual Private Networks Security
LogMan Graduate School on Knowledge Economy
 
FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015
Code Runners
 
Cloud computing course overview
Cloud computing course overviewCloud computing course overview
Cloud computing course overview
Miroslav Lessev
 
Защита при създаване на PHP приложения в Интернет
Защита при създаване на PHP приложения в ИнтернетЗащита при създаване на PHP приложения в Интернет
Защита при създаване на PHP приложения в ИнтернетAnton Shumanski
 
Moving To The Cloud.bg
Moving To The Cloud.bgMoving To The Cloud.bg
Moving To The Cloud.bg
Cloud.bg
 

Similar to Безопасност и защита при Cloud Copmputing (20)

Webit 2011 New Cloud Platform
Webit 2011 New Cloud PlatformWebit 2011 New Cloud Platform
Webit 2011 New Cloud Platform
 
безопасност и защита Cloud computing 10995
безопасност и защита Cloud computing 10995безопасност и защита Cloud computing 10995
безопасност и защита Cloud computing 10995
 
безопасности защита на Web application
безопасности защита на Web applicationбезопасности защита на Web application
безопасности защита на Web application
 
Cloudcomputing90907
Cloudcomputing90907Cloudcomputing90907
Cloudcomputing90907
 
Cloudcomputing90907
Cloudcomputing90907Cloudcomputing90907
Cloudcomputing90907
 
FABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin NakovFABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin Nakov
 
FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8
 
Безопасност и защита
Безопасност и защитаБезопасност и защита
Безопасност и защита
 
DIPLOMA_MAGISTUR
DIPLOMA_MAGISTURDIPLOMA_MAGISTUR
DIPLOMA_MAGISTUR
 
Web Applications Security
Web Applications Security Web Applications Security
Web Applications Security
 
Web Services Security
Web Services SecurityWeb Services Security
Web Services Security
 
Glossary internet
Glossary internetGlossary internet
Glossary internet
 
Web Services Security Presentation
Web Services Security PresentationWeb Services Security Presentation
Web Services Security Presentation
 
Virtual Private Networks Security PPTX
Virtual Private Networks Security PPTXVirtual Private Networks Security PPTX
Virtual Private Networks Security PPTX
 
Virtual Private Networks Security
Virtual Private Networks SecurityVirtual Private Networks Security
Virtual Private Networks Security
 
FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015FOSS Information Security Practices @OpenFest 07.11.2015
FOSS Information Security Practices @OpenFest 07.11.2015
 
Cloud computing course overview
Cloud computing course overviewCloud computing course overview
Cloud computing course overview
 
Защита при създаване на PHP приложения в Интернет
Защита при създаване на PHP приложения в ИнтернетЗащита при създаване на PHP приложения в Интернет
Защита при създаване на PHP приложения в Интернет
 
Vpn
VpnVpn
Vpn
 
Moving To The Cloud.bg
Moving To The Cloud.bgMoving To The Cloud.bg
Moving To The Cloud.bg
 

Безопасност и защита при Cloud Copmputing

  • 1. ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА ЦЕНТЪР МАГИСТЪРСКО ОБУЧЕНИЕ Реферат по дисциплината „Безопасност и защита“ на тема „Безопасност и защита при Cloud Copmputing“ Изготвил Проверил Деница Петкова Петкова, Доц. Д-р С.Дражев Спец: Информатика, курс 5, ас. Р. Начева ФН 11593, гр.61 Варна, 2014
  • 2. Безопасност и защита при Cloud Copmputing Съдържание Въведение....................................................................................................................3 Същност на облачния компютинг..............................................................................4 Моделът Софтуер като услуга SaaS......................................................................6 Моделът Платформа като услуга PaaS..................................................................7 Моделът Инфраструктура като услуга IaaS.........................................................7 Потребители на облачните изчисления................................................................8 Модели за разгръщане ..........................................................................................9 Използване на бази от данни, файлови услуги и BYOD........................................11 Използване на бази от данни от облака..............................................................11 Файлови услуги от облака...................................................................................15 BYOD.....................................................................................................................16 Сигурността от гледна точка на служителите....................................................17 Условия за нивото на услугата, според сигурността..............................................18 Заключение.................................................................................................................19 Използвана литература..............................................................................................20 Деница Петкова Петкова, ФН 11593 2
  • 3. Безопасност и защита при Cloud Copmputing Въведение Облачният компютиг има потенциалът да трансформира голяма част от ИТ индустрията, като направи софтуерът дори още по-атрактивен като услуга и като моделира проектирането и закупуването на хардуера. Разработчиците с иновативни идеи по посока на новите интернет услуги вече не се нуждаят от големи капиталовложения в закупуването на хардуер, за разполагане на услугите си или разходи за екип поддържащ функционирането им. Налице е еластичност на ресурсите, без да е необходимо допълнително заплащане за голям мащаб - безпрецедентно явление в историята на информационните технологи В резултат на това облачният компютинг се превръща във все по-популяр- на тема, обсъждана в блоговете, участваща в заглавията на редица семинари, конференции и дори списания. Въпреки всичко това, използването на облачно базирани услуги в информационните системи на организациите с свързано с засягането на сигурността на информацията. Възникват доста въпроси, тъй като данните вече се съхраняват на чуждо дисково пространство и сървъри, техни копия са разположени в дейта центрове по целия свят, а достъпът до тях се осъществява посредством Интернет. В настоящия реферат ще представя накратко някои основни аспекти на сигурността, която осигурява облачният компютинг, като изследвнето ми е базирано на изследвания, публикации и книги по проблема за сигурността на информацията. Деница Петкова Петкова, ФН 11593 3
  • 4. Безопасност и защита при Cloud Copmputing Същност на облачния компютинг Облачният компютинг се отнася както до приложения, доставени като услуги през Интернет така и до хардуера и системния софтуер в информационните центровете предоставящи тези услуги. Облакът в израза „облачни изчисления“ представлява метафора за изчислителни ресурси (хардуерни и софтуерни), достъпни от различни компании и потребители, без да бъде необходимо те да знаят точното местонахождение на хардуера и софтуера. Всъщност сървърите и изчислителната техника на един облак може да бъде разположена в няколко различни информационни центъра. Въпреки, че интернет е необходимата основа за реализиране на облачния компютинг, облакът е повече от интернет, а именно – място, на което се реализира определена технология, в зависимост от нуждите на използващите я. Някои основни определения за облачни изчисления: • Според Gartner „облачните изчисления са стил на изчисление, при който мащабируеми и еластични ИТ способности се доставят като услуга чрез Интернет технологии.“ • В специалната публикация на NIST от септември 2011 облачният компютинг се описва като „модел, които позволява повсеместeн, удобен при поискване мрежов достъп към споделен басейн от конфигурируеми, изчислителни ресурси (например: мрежи, сървъри, памет, приложения и услуги), които могат бързо да се провизират и отпускат с минимални управленчески усилия или взаимодействие с доставчика на услуги.” Докато традиционните изчислителни модели от 60те и 90те години на 20 век, задължаващи потребителите да достъпват приложенията локално на компютрите собственост на компанията, за която работят, днешните облачни Деница Петкова Петкова, ФН 11593 4
  • 5. Безопасност и защита при Cloud Copmputing технологии предоставят широко разпространени бизнес приложения онлайн, достъпни през уеб-браузъра. Благодарение на HTML5 и Ajax интерфейсът на приложенията използвани на облака изглеждат подобно или дори по-добре, от колкото приложение инсталирано на локалната клиентска платформа. В резултат от това всяка компания използваща технологията може да използва техники на ориентираната към услугите архитектура (SOA), за свързването на вътрешните си системи с гръбнака на облачните комуникации. Гартнър постулира, че облакът не е архитектура, платформа, инструмент или инфраструктура. Това е иновативен начин за компютинг. Разгърнат модел, а не установена архитектура. Дефинира се по-скоро, като се отговори на въпроса какви характеристики притежава, а не какво точно представлява. За целта ще разгледаме основните характеристики на облачния компютинг. Ще се придържаме към специалната публикация на NIST (National Institure of Standarts and Technology) от септември 2011г., която разкрива 5 основни отличителни черти – самообслужване при наличие на потребност, обширен мрежов достъп, обединяване на ресурсите, динамична еластичност на търсенето на предоставяните услуги, премерени услуги. • Самообслужване при наличие на потребност – потребителят бива снабден автоматично с изчислителни услуги, като: сървърно време, мрежова памет и др., като това се реализира без необходимост от човешката намеса на всеки един от доставчиците на услуги. • Обширен мрежов достъп – възможностите, които предлагат облачните изчисления са налични през мрежата и достъпни посредством стандартни механизми, така че да бъдат достъпни на различни клиентски платформи – мобилни телефони, таблети, нотбуци, персонални компютри, работни станции. • Обединяване на ресурсите – изчислителните ресурси, които доставчика Деница Петкова Петкова, ФН 11593 5
  • 6. Безопасност и защита при Cloud Copmputing предоставя са обединени, така че да могат да бъдат използвани от голям брой потребители. Това е възможно благодарение на Multi-tenant модела - за всеки един потребител динамично се задават отделни изчислителни ресурси и мощности, в отговор на изискванията и нуждите му. Потребителите не знаят къде е точното местонахождение на центъра, предоставящ изчислителните услуги, но въпреки това е възможно да определи мястото на високо ниво на абстракция (държава, щат, или информационен център). Примери за ресурси са памет, мрежови трафик, оперативна памет, процесорна обработка. • Динамична еластичност на търсенето на предоставените услуги – осигурените на потребителя функционалности, често изглеждат неограничени. Това е така, тъй като те могат да бъдат отпускани в различно количество и по всяко време. • Премерени услуги – облачните системи автоматично контролират и оптимизират използването на услугите, предлагани от тях. Това се постига чрез измерване на възможностите на определено ниво на абстракция, подходяща за вида на провизираната услуга. Използването на ресурсите може да бъде контролирано, наблюдавано и докладвано, като паралелно с това се осигурява прозрачност, както за потребителя, така и за доставчика на конкретните услуги. Посочените до тук характеристики се реализират чрез моделите на доставка на облачни изчисления - SaaS, PaaS, IaaS и др. Моделът Софтуер като услуга SaaS Традиционните методи за закупуване на софтуер включват инсталирането на продукта на клиентската хардуерна платформа в замяна на лицензионна такса. Куповачът също така може да сключи споразумение за доставка на пачове и други услуги. Потребителят отделя внимание на съвместимостта с Деница Петкова Петкова, ФН 11593 6
  • 7. Безопасност и защита при Cloud Copmputing операционната система, инсталирането на пачовете и спазването на споразуменията по лиценза. В облачните изчисления се прилага моделът софтуер като услуга. При този подход за доставяне на софтуер, потребителят не закупува нужната му програма, а я наема, като се абонира за нея. Приложенията по принцип са налични чрез уеб-базирани интерфейси, такива като Уеб Браузър на устройства на клиенти, като персонални компютри, таблети, смартфони и други преносими устройства. Потребителят не може да влияе върху основната мрежа, сървъри, операционни системи или съхранение и в повечето случаи няма (или има ограничен) контрол върху самото приложение. Salesforce (www.salesforce.com) или Workaday (www.workaday.com) са добри примери за широко използвани SaaS приложения. Моделът Платформа като услуга PaaS Платформа като услуга е модел, при който доставчикът позволява на потребителя да разгръща своите собствени приложения в клауд инфраструктура, използвайки програмни езици и инструменти разработени/поддържани от доставчика. Клиентът не управлява или контролира основната мрежа, сървъри, операционни системи или съхранение, но може да контролира самите приложения и в някои случаи средите на приложенията. Приложенията на Гугъл Енджин (developers.google.com/appengine), Форс (www.force.com) или Уеб услугите на Амазон (aws.amazon.com) са водещи на днешния пазар примери за PaaS. Моделът Инфраструктура като услуга IaaS Инфраструктура като услуга е моделът, при който доставчика предоставя обработка, съхранение, мрежи и други фундаментални изчислителни ресурси директно на потребителя, който разгръща и оперира собствен софтуер, Деница Петкова Петкова, ФН 11593 7
  • 8. Безопасност и защита при Cloud Copmputing включително операционни системи и приложения. Потребителят не управлява или контролира основната клауд инфраструктура, но има контрол върху операционните системи, съхранение, разгърнати приложения и вероятно ограничен контрол върху някои мрежови компоненти като защитни стени и балансьори за натоварване. Потребители на облачните изчисления Клауд потребител е лице, което използва услуги от Клауд доставчици. Клауд потребителят се свързва с Клауд доставика, проучва и избира услугите, които се предоставят от доставчика, и сключва споразумения за ниво на обслужване с доставчика. Потребители на SaaS могат да бъдат организации, които предоствят на своите членове достъп до софтуер приложения за крайни потребители, които директно използват софтуер приложения или администратори на софтуер приложения, които конфигурират приложения за крайни потребители. SaaS могат да бъдат таксувани на база на броя крайни потребители, времето на ползване, консумацията на мрежа, количеството на съхранените данни или продължителността на съхранените данни. Клауд потребителите на PaaS могат да наемат инструменти и ресурси за изпълнение, предоставени от клауд доставчици за разработване, тестване, разгръщане и управление на приложенията, които се съдържат в клауд средата. PaaS потребители могат да бъдат разработчици на приложения, които проектират и изпълняват приложен софтуер, приложни тестери, които изпълняват и тестват приложения в клауд базирани седи. Потребителите също могат и да разгръщат приложения в клауд, а могат да бъдат и приложни администратори, които конфигурират и контролират изпълнението на приложенията на платформа. PaaS потребителитебмогат да бъдат таксувани в съответствие с обработка, съхранение на бази данни и мрежови ресурси, консумирани от PaaS приложения, и продължителността на използването на платформата. Деница Петкова Петкова, ФН 11593 8
  • 9. Безопасност и защита при Cloud Copmputing Потребители на IaaS имат достъп до виртуални компютри, съхранение, достъпно чрез интернет, мрежови инфраструктурни компоненти, и други фундаментални изчислителни ресурси, върху които те могат да разгръщат и да изпълняват случаен софтуер. Потребителите на IaaS могат да бъдат системни разработчици, системни администратори и ИТ мениджъри, които се интересуват от създаване, инсталиране, управление и контрол на услуги за ИТ инфраструктурни операции. IaaS потребителите имат възможности за достъп до тези изчислителни ресурси, и биват таксувани според продължителността на консумираните ресурси, като СРU часове, използвани от виртуални компютри, обем и продължителност на съхранени данни, консумация на мрежата, брой IP адреси, използвани за определени интервали. Модели за разгръщане Изчислението в облак се предлага под различни форми: публични, общности, частни и хибридни облаци, които са съчетание от публични и частни. • Структурата на публичния облак е на разположение за отворенo ползване от широката общественост. Тя може да бъде собственост, управлявана и експлоатирана от бизнес, академична или правителствена организация, или комбинация от тях. Тя съществува в помещенията на клауд доставчика. Свързана е с Интернет чрез широк достъп до мрежата. Потребители се свързват чрез обществения Интернет с няколко протокола. • Частен облак. Клауд инфраструктурата или определена част от нея се предоставя за използване само на една организация, включваща няколко потребителя (напр. бизнес звена). Тя може да бъде притежавана, контролирана и управлявана от организацията или от трета страна. До частния клауд се достига, чрез LAN разширение до Деница Петкова Петкова, ФН 11593 9
  • 10. Безопасност и защита при Cloud Copmputing сървърите на корпоративен център за данни А. Достъпът се осъщяствява, като първо се установява предпазен тунел на Виртуална Частна Мрежа (VPN) между корпоративния център за данни и частния облак. Този тунел използва публични IP адреси за установяване на VPN свързване от сайт до сайт. • Обществен облак. Клауд инфраструктурата е предоставена за използване само от специфична общност от потребители на организации, които споделят общи интереси (например: мисия, изисквания за сигурност, политика и т.н). Тя може да бъде притежавана, контролирана и управлявана от една или няколко организации в общността, от трета страна, или комбинация от тях. • Хибриден облак. Клауд инфраструктурата е композиция от две или повече отделни клауд инфраструктури (частни, обществени или публични), които остават отделни единици, но са свързани помежду си, чрез стандартизирана или патентована технология, която позволява преносимост на данни и приложения. Клауд инфраструктурата е планирана така, че някои дейности като съхранение или изпълнение на сложни алгоритми могат да се извършват на допълнителни независими облаци, при възникване на специфични нужди или когато товара надвишава капацитета на облачната инфраструктура (т.нар клауд разпръсване). Компании като Google или Amazon, вече предоставят ресурси в облака, премахвайки много от сложните ограничения от традиционната компютърна среда, включително пространство, време, енергия и разходи. Независимо от конкретната услуга, която дадена организация наема, или моделът на разгръщане на облака, защитата от потенциалните атаки и осигуряване на информационната сигурност са с висок приоритет. Деница Петкова Петкова, ФН 11593 10
  • 11. Безопасност и защита при Cloud Copmputing Използване на бази от данни, файлови услуги и BYOD Използване на бази от данни от облака В базата от данни на доставчика на SaaS е често срещано, данните на дадената организацията да се намират в същите таблици, където са разположени и данните на всички останали негови клиенти. Сигурността се реализира, с помощта на инструментите осигуряващи ограничаване на „изгледа“ (view) на данните, до които има достъп клентът. Възможно е това ограничение да отпадне, без да са налице злонамерени действия, а поради грешки при реализиране на конфигурацията на достъпа на различните потребители. В резултат данните на някой(и) от клиентите на SaaS се разкриват пред друг наемател (tenant) на услугата. Този проблем може да бъде разрешен, като се криптират данните, но тогава трябва да се инвестира в система за криптиране, а по този начин се обезсмислят икономическите ползи от преминаване към облачния компютинг. Алтернативи, като токенизация и маскиране, също ще доведат до допълнителни разходи и ресурси. Ако все пак се стигне до решение за прилагане на някой от тези методи за увеличаване на нивото на сигурност на данните, организацията е изправена пред важно решение, тъй като всеки един от тези методи има своите преимущества и слаби страни. Използват се различни техники и подходи за защита на информацията, съхранявана в базите от данни. Мониторинг, електронни подписи, оценка на уязвимостта, маскиране на информацията (data masking), криптиране – всички те се използват при осигуряването на безопастно препращане на информацията през различни сайтове, за увеличаване на контрола на достъп, базиран на набор от политки за справки в базаите от дани. Криптографията е един от методите използван за защита на базите от Деница Петкова Петкова, ФН 11593 11
  • 12. Безопасност и защита при Cloud Copmputing данни в средата на облачно базирана система. Тя представя набор от методи и математически функции и алгоритми за конвертиране на разбираема, четима информация в закодирана такава. Това се прави с цел за сигурното предаванеѝ (напр. По мрежа). След това, когато информацията достигне крайната си дестинация, тя се възстановява в първоначалния си вид с помоща на ключ (симетричен или публичен). Разпространени алгоритми за криптиране: • симетрични: DES, Triple DES, AES, ГОСТ 28147-89, Camellia, Twofish, Blowfish, IDEA, RC4 и др. • асиметрични: RSA, Дифи-Хелман (Diffie-Hellman) и Elgamal (Ел-Гамал) • хеш-функции • удостоверяващи източника: MD5-MAC, DES in CBC mode, MAA • удостоверяващи целостта на данните: MD4, MD5, SHA-1, ГОСТ Р 34.11- 94 Защитни стени за Web приложенията (WAF) -представляват хардуерно- софтуерни комплекси, прилагащи набор от правила и политики за сигурност към наблюдавания HTTP трафик, идващ от приложенията към базата данни и в обратното направление. Тези решения позволяват да се контролират такива известни типове атаки, като Cross-site Scripting (XSS) или SQL-инекции. С настройване на правилата спрямо бизнес приложенията, могат да се откриват и блокират множество атаки. Обаче обемът на работа във връзка с тези настройки може да се окаже доста голям, а освен това при изменения в приложенията, трябва да се правят нови настройки. Решенията от клас WAF често наричат и Deep Packet Inspection Firewalls – т.е. защитни стени с дълбок анализ на пакетите, тъй като те анализират всяка заявка и всеки резултат от заявка на нива HTTP/ HTTPS/SOAP/XML-RPC/ Web-услуга. При това, самите данни в базата остават незащитени, тяхното използване не се следи – фактически се Деница Петкова Петкова, ФН 11593 12
  • 13. Безопасност и защита при Cloud Copmputing инспектира само частта от мрежовите заявки към базата данни, идваща от сървъра за приложения. Както и традиционните firewall за защита на периметъра, WAF са необходими, но не винаги са достатъчни. Мониторингът или DAM (Database Activity Monitoring) е често срещан подход за защита на информацията. DAM е автоматизирано и мащабируемо решение за одит на бази данни, което следи и одитира всички опити за достъп до чувствителни данни в хетерогенни СУБД платформи. Според Адриан Лейн, експерт от Securosis LLC, едно подобно решение изключително лесно би разпознало погрешно конфигурираните нива на достъп и би предотвратило подобно изтичане на информация, включително и при недобросъвестен служител на фирмата. Решенията от клас DAM помагат да се осъществява контрол върху всички сесии в работата на системата за управление на бази данни (въвеждане, изпълнение на SQL код, извеждане и др.), всички изключения (грешки, неуспешна оторизация и т.н.), блокиране на нежелани сесии, оповестяване на събития във връзка с информационната сигурност. Освен мониторинг на активностите, решенията от тип DAM позволяват да се управляват измененията на обекти на СУБД и нейното обкръжение, да се управляват уязвимости на базата данни. Предотвратяването на изтичане на данни се реализира чрез проверки на извличаната информация, откриване на аномалии във функционирането, автоматично откриване и класификация на критични данни.За да не се допускат неоторизирани действия се ползват политики за безопасност, даващи възможност да се ограничи достъпа до базите данни или конкретни таблици на основата на различни параметри: • акаунт на потребител • IP адрес • MAC адрес Деница Петкова Петкова, ФН 11593 13
  • 14. Безопасност и защита при Cloud Copmputing • мрежови протоколи- • тип SQL команда • бизнес приложения • време от денонощието и т.н. Решенията от клас DAM контролират всички активности в базите данни, предоставяйки детайлизирана отчетност за евентуално разследване на събития, свързани с информационната сигурност. Основен недостатък на DAM решенията обаче е, че използването на данните след извличането им от базата не се проследява. За изпълнението на тази задача са предназначени решенията от клас DLP (Data Leak Prevention). Решенията от клас DLP проследяват критичната информация, която напуска пределите на компанията. Тези решения реализират автоматично откриване и класификация на критичните данни, съхранявани в периметъра на организацията. Ако се направи аналогия, може да се приеме, че DLP е охранителят, който проверява чантите на излизащите от банките, а DAM е камерата за наблюдение на банковия трезор. И двата класа решения имат важно място при защитата на информацията и едновременното им прилагане издига информационната сигурност на високо ниво. Защитни стени за Web приложенията (WAF) -представляват хардуерно- софтуерни комплекси, прилагащи набор от правила и политики за сигурност към наблюдавания HTTP трафик, идващ от приложенията към базата данни и в обратното направление. Тези решения позволяват да се контролират такива известни типове атаки, като Cross-site Scripting (XSS) или SQL-инекции. С настройване на правилата спрямо бизнес приложенията, могат да се откриват и блокират множество атаки. Обаче обемът на работа във връзка с тези настройки може да се окаже доста голям, а освен това при изменения в приложенията, трябва да се правят нови настройки. Решенията от клас WAF често наричат и Деница Петкова Петкова, ФН 11593 14
  • 15. Безопасност и защита при Cloud Copmputing Deep Packet Inspection Firewalls – т.е. защитни стени с дълбок анализ на пакетите, тъй като те анализират всяка заявка и всеки резултат от заявка на нива HTTP/ HTTPS/SOAP/XML-RPC/ Web-услуга. При това, самите данни в базата остават незащитени, тяхното използване не се следи – фактически се инспектира само частта от мрежовите заявки към базата данни, идваща от сървъра за приложения. Както и традиционните firewall за защита на периметъра, WAF са необходими, но не винаги са достатъчни. Файлови услуги от облака Едновременното позициониране на файлове и данни в облака води до проблеми, породени от съхраняването на файловете на много наематели (tenants) върху сторидж системите на доставчика и правните последици от разположението на файловете на организациите в различни географски локации. Технологиите за дискови масиви не са разработени с изискване за съжителстване на данните на много наематели върху тях. При пълно криптиране на диска декриптиращия ключ е един и същ за всички наематели - криптирането на целия диск и хомоморфното криптиране в базите данни имат ограничено приложение в облака поради възникването на проблеми свързани с управлението на ключовете за криптиране при гранулиране на правата на групи от потребители за достъп до файловете и данните. След като дискът се криптира на физическо ниво, данните стават достъпни за всички приложения от по-високите нива. При напълно хомоморфно криптиране един от проблемите е агрегирането на данните, когато са криптирани с различните ключове, с които са въвеждани. Проблемите се откриват също в областите на поделянето на дисковото пространство, агрегирането на данните, намаляване на производителността и нарастване на сложността на управление на ключовете. Липсват механизми за гранулирано разпределяне на правата за достъп: Деница Петкова Петкова, ФН 11593 15
  • 16. Безопасност и защита при Cloud Copmputing доставчикът на услугата трябва да управлява правата на достъп на наемателите до файловите ресурси, след което наемателят от своя страна има потребност да раздаде на звената, а те на служителите си съответно права за достъп. Всеки доставчик решава тези въпроси със съответни бутикови ограничения. Тепърва предстои налагане на стандарти и унифициране в тази област. Описаните до тук проблеми са провокирали изледвания и разработки, свързани с концепциите за сигурно капсулирани данни (secure data capsule – SDC) и самоунищожаване на данните. Капсулата със сигурни данни съдържа криптирани данни, с политика за сигурността им, която включва списъци и права за достъп. Този подход кореспондира с идеята за депериметризация при използване на услуги от облака. При нея данните носят със себе си периметровата защита. Механизмът за самоунищожаване на данните е породен отново от спецификите на услугите от облака. Клиентите могат да разчитат, че по време на договорните им отношения с доставчика данните са криптирани и той няма достъп до тях, а след като се разделят с него, данните им ще се разпаднат и станат безполезни. BYOD При преминаване от конвенционален към облачен компютинг служителите в организацията неминуемо започват да използват на собствените си устройства – лаптопи, таблети, интелигентни телефони, ръчни терминали и др. (т.нар. концепция „донеси собственото си устройство”, на англ. „Bring Your Own Device“ - BYOD). Пробивът в едно такова устройство може да застраши данните на цялата организацията в облака. Много обстоятелства благоприятстват такъв пробив: • Устройствата са хетерогенни – имат най-различни операционни системи, което усложнява въвеждане на единни механизми за управление на Деница Петкова Петкова, ФН 11593 16
  • 17. Безопасност и защита при Cloud Copmputing защитата в тях; • Някои от операционните системи в тези устройства не са защитени; • Не получават редовни ъпдейти защото, често са извън мрежата на организацията; • Потребителите на тези устройства използват несигурни мрежи – летища, паркове, заведения, офиси на контрагенти и др. Прилагането на тънки клиенти създава по-добра възможност за централизирано съхранение на данни. Вследствие на което, има по-малък шанс за изтичане на информация. Сигурността от гледна точка на служителите Потенциалните зломишлeници не се ограничават само до служителите в организацията наемател на облачните услуги, а и служителите на самия доставчик, както и външните служители на партньори и контрагенти, имащи достъп до информационните ресурси. Ако са допуснати грешки в конфигурацията на приложенията и базите от дани, евентуална заплаха могат да станат и крайните потребители на публичния облак. Даун Капели от Института по софтуерен инжинеринг на Университета в Карнеги Мелон, твърди, че атаката от вътрешен човек продължава да бъде много по-голям проблем, в сравнение с потенциалните атаки, дебнещи отвън. Капиталът насочен към предотвратяването на инциденти със служителите има много по-висок коефициент на възвръщаемост (ROI), в сравнение с капиталът вложен в подобряване на сигурността, спрямо външни фактори. Деница Петкова Петкова, ФН 11593 17
  • 18. Безопасност и защита при Cloud Copmputing Условия за нивото на услугата, според сигурността Когато е взето решение за преминаване от конвенционален към облачен компютинг, налице са няколко основни въпроса, касаещи сигурността, към доставчика на облачните услуги. Основните 3 компонента за усигуряване на сигурност при изпозване на облачните технолгии са: • Криптиране на данните при трансфер към и от сървърите на облака; • Криптиране на данните по подразбиране във файлове, томове и ленти, които се съхраняват на сървърите, паметта и хранилищата за архиви на доставчика на облачни услуги • Ако данните и файловете са криптирани и е налице искане за прилагане на закон за декриптиране, какво е поведението на доставчика; има ли ключ? Препоръките, които дава ENISA в „Cloud Computing: Benefits, Risks, and Recommendations for Information Security“ от ноември 2009, представляват набор от изисквания и въпроси към доставчика на облачни услуги, с цел оценка на предлаганата информационна сигурност. • сигурност на персонала: политики и процедури при наемането на ИКТ администратори и др лица, които имат системен достъп; различни политики, в зависимост от това къде се съхранява информацията и къде се изпълняват програмите; • осигуряване на сигурността по вегирата за доставки: контрол върху политиките за сигуност на външни изпълнители на доставчиците на услуги от облака; дефиниране на услугите от ключово значение за сигурността, възложени на външни изпълнители; • оперативна сигурност – гаранции, че при достачика на услуги от облака се използват подходящи инструменти, контролиращи непозволеното разкриване на информация; детайлизирани политики и процедури за Деница Петкова Петкова, ФН 11593 18
  • 19. Безопасност и защита при Cloud Copmputing бекъп на данните; подробна записване на информацията в журналите за одит (audit logs); политики за отдалечен достъп; дефиниране на хостове и мрежи, чиято роля е да осигуряват защита на системите, на които се съхраняват приложенията и информацията за крайния потребител. Следва да бъдат включени подробности за сертифициране от външни стандарти (напр. ISO 27001/2); • управление на идентичността и достъпа: контроли, които се прилагат двустранно – както към клиента, така и към доставчика на облачни услуги. Такива контроли са: контрол на достъпа, разрешение, обезпечаване на идентичност, управление на личните данни, управление на ключовете за декриптиране, криптиране, автентификация, компрометиране или кражба на пълномощни; • преносимост на данните и услугите: става въпрос за потенциалните рискове клиентът да бъде обвързан само с един доставчик на услуги; В публикацията са разгледани и други препоръки за оценка на сигурността – физическа сигурност, контроли на външната среда и др. Заключение Сигурното съхранение, управление, претърсване и анализ на огромни масиви с неструктурирани данни е важна задача при осъществяването на облачния компютинг. Основното предизвикателство за сигурността при облачния изчислителен модел в конкретния случай е, че собственикът на данните не може да упражнява контрол върху локацията на данните. Това е цената да се използва оптимално наетия ресурс. Ето защо е необходима защита на данните в среда от ненадеждни процеси. Поради тази причина е необходимо да се обмисли внимателно преминаване към облачен модел на изчисления, да се претеглят рисковете, които крие тази технология и да се съизмерят с ползите от Деница Петкова Петкова, ФН 11593 19
  • 20. Безопасност и защита при Cloud Copmputing използването .ѝ Използвана литература 1. http://cio.bg/3402_zashtitata_na_bazi_danni_i_biznes_prilozheniya/#! prettyPhoto Деница Петкова Петкова, ФН 11593 20
  • 21. Безопасност и защита при Cloud Copmputing 2. http://www.darkreading.com/application-security/database-security/why- database-monitoring/d/d-id/1139781? 3. http://www.itworld.com/security/84655/database-security-on-a-cloud- computing 4. Dawn Song, Elaine Shi, Ian Fischer, and Umesh Shankar. Cloud data protection for the masses. Computer, 45(1):39–45, 2012 5. Ph.D. Robert Elsenpeter Anthony T. Velte, Toby J. Velte. Cloud Computing:A Practical Approach. McGraw-Hill Companies., 2010. ISBN: 978-0-07-162695- 8, MHID: 0-07-162695-6. 6. CERT Information Services Greg Shannon, Chief Scientist and SEI Communication Design. 2010 cert research report. In Software Engineering Institute, Carnegie Mellon University, 2010. Деница Петкова Петкова, ФН 11593 21