Выбор провайдеров облачных

При переходе к облачным вычислениям компании больше всего волнует вопрос безопасности. Возрастающая конкуренция на рынке облачных сервисов застав­ляет некоторых провайдеров предлагать более высокий уровень безопасности, чем тот, который компании могут обеспечить внутри собственной ИТ - инфраструктуры. Часто именно на гарантиях безопасности строится вся маркетинговая активность провайдера. Тем не менее облачные вычисления несут в себе риски для потенциальных пользователей. Поэтому необходим профессиональный подход к выбору провайдера облачных услуг, чтобы обеспечить достойный уровень защиты своих данных [111].

Прежде чем довериться определенному провайдеру, компании следует удос­товериться в том, что он действительно обладает средствами для обеспечения уровня надежности, необходимого для безопасной работы с приложениями и хранения данных в облаке.

На сегодняшний день лучшим экспертом в сфере облачной безопасности явля­ется организация Cloud Security Alliance (CSA). Эта организация выпустила руко­водство, включающее рекомендации, которые необходимо принимать во внимание при оценке рисков в облачных вычислениях [110]. На базе этого руководства сформулированы наиболее важные рекомендации и составлены вопросы к про­вайдеру, позволяющие оценить уровень надежности его облачных услуг.

Прежде чем перейти к конкретным вопросам к провайдеру, следует обратить. внимание на преимущества использования решений, основанных на стандартах обеспечения информационной безопасности (см. главу 3). Проприетарные системы несут меньший уровень надежности по сравнению с системами на базе стандартов. Именно поэтому повсеместное распространение получили такие стандарт как Advanced Encryption Standard (AES) и Transport Layer Security (TLS). Более того, используя основанные на общепринятых стандартах системы безопасности, клиент получает дополнительное преимущество - в случае необходимости он сможет поменять провайдера услуг, так как большая часть провайдеров поддерживают стандартизованные решения.

Еще один момент, который следует уточнить: как удостовериться в том, чти провайдер выполняет данные им обещания? В этом поможет заключение соглашения с провайдером об уровне услуг (Service Level Agreement, SLA) или другого письменного документа, где будут четко прописаны обязательства провайдера.

Теперь перейдем к ключевым вопросам, которые следует задать потенциальному провайдеру облачных услуг.

Каждый вопрос касается одной из шести специфических областей, показанных на рис..

Рис.. Области безопасности, требующие изучения при выборе провайдера облачных услуг:

1 - защита хранимых данных;

2 - защита данных при передаче;

3 - аутентификация;

4 - изоляция пользователей;

5 - нормативно-правовые вопросы;

6 - реакция на инциденты

Защита хранимых данных (позиция 1 на рис.). Как сервис-провайдер обеспечивает защиту хранимых данных?

Лучшая мера по защите расположенных в хранилище данных - использование технологий шифрования. Провайдер всегда должен шифровать хранящуюся на своих серверах информацию клиента для предотвращения случаев неправомерного доступа. Провайдер также должен безвозвратно удалять данные тогда, когда они не нужны и не потребуются в будущем.

Защита данных при передаче (позиция 2 на рис.). Как провайдер обеспечивает сохранность данных при их передаче (внутри облака и на пути от/к облаку)?

Передааемые данные всегда должны быть зашифрованы и доступны пользователю только после аутентификации. Такой подход гарантирует, что эти данные не сможет изменить или прочитать ни одно лицо, даже если оно получит к ним доступ посредством ненадежных узлов в сети. Упомянутые технологии разрабатывались в течение «тысяч человеко-лет» и привели к созданию надежных прооколов и алгоритмов (например, TLS, IPsec и AES). Провайдеры должны использовать эти протоколы, а не изобретать свои собственные.

Аутентификация {позиция 3 на рис.). Как провайдер узнает подлинностьклиента?

Наиболее распространенным способом аутентификации является защита паролем. Однако провайдеры, стремящиеся предложить своим клиентам высокую надежность, прибегают к помощи более мощных средств, таких как сертификаты и токены. Наряду с использованием более надежных к взлому средств аутентификации провайдеры должны иметь возможность работы с такими стандартами, как I.DAP и SAML. Это необходимо для обеспечения взаимодействия провайдера с системой идентификации пользователей клиента при авторизации и определении выдаваемых пользователю полномочий. Благодаря этому провайдер всегда будет |располагать актуальной информацией об авторизованных пользователях.

Изоляция пользователей (позиция 4 на рис.). Каким образом данные и прило­жения одного клиента отделены от данных и приложений других клиентов?

Лучший вариант - когда каждый из клиентов использует индивидуальные виртуальную машину (Virtual Machine - VM) и виртуальную сеть. Разделение между VM и, следовательно, между пользователями обеспечивает гипервизор. Виртуальные сети, в свою очередь, развертываются с применением стандартных технологий, таких как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service).

Некоторые провайдеры помещают данные всех клиентов в единую програм­мную среду и за счет изменений в ее коде пытаются изолировать данные заказчи­ков друг от друга. Такой подход не надежен.

Во-первых, злоумышленник может найти брешь в нестандартном коде, позволяющую ему получить доступ к данным, которые он не должен видеть.

Во-вторых, ошибка в коде может привести к тому, что один клиент случайно увидит данные другого.

Поэтому для разграничения пользовательских данных применение разных виртуальных машин и виртуальных сетей является более разумным шагом.

Нормативно-правовые вопросы (позиция 5 на рис.). Насколько провайдер следует законам и правилам, применимым к сфере облачных вычислений?

В зависимости от юрисдикции, законы, правила и какие-то особые положения могут различаться. Например, они могут:

v запрещать экспорт данных;

v требовать использования строго определенных мер защиты;

v наличия совместимости с определенными стандартами;

v наличия возможности аудита;

v В конечном счете, они могут требовать, чтобы в случае необходимости доступ к информации смогли иметь государственные ведомства и судебные инстанции. Небрежное отношение провайдера к этим моментам может привести его клиентов к существенным расходам, обусловленным правовыми последствиями.

Провайдер обязан придерживаться единой стратегии в правовой и регулятивной сферах:

v Это касается безопасности пользовательских данных;

v Экспорта данных;

v соответствия стандартам;

v Аудита;

v сохранности и удаления данных;

v а также раскрытия информации (последнее особенно актуально, когда на одном физическом сервере может храниться информация нескольких клиентов).

Реакция на инциденты (позиция 6 на рис.). Как провайдер реагирует на ин­циденты и насколько могут быть вовлечены его клиенты в инцидент?

Иногда не все идет по плану. Поэтому провайдер услуг обязан придерживаться конкретных правил поведения в случае возникновения непредвиденных обстоятельств. Эти правила должны быть документированы. Провайдеры обязательно должны заниматься выявлением инцидентов и минимизировать их последствия, информируя пользователей о текущей ситуации. В идеале им следует регулярно снабжать клиентов информацией с максимальной детализацией по проблеме. Кро­ме того, клиенты сами должны оценивать вероятность возникновения проблем, связанных с безопасностью, и предпринимать необходимые меры.

6.5.Будущее «облачной» безопасности

Несмотря на то, что сегодня существует значительно более широкий набор инс­трументов для обеспечения безопасности, чем прежде, работа далеко не окончена. В некоторых случаях для вывода на рынок той или иной технологии, помогающей решить новую задачу, проходит какое-то время, даже несмотря на то, что она уже разработана. Вот некоторые из таких новейших технологий: данные со встроенной защитой (самозащищенные данные) и доверенные мониторы.

Самозащищенные данные (self-protected data) - это зашифрованные данные, в которые интегрирован механизм обеспечения безопасности. Такой механизм включает в себя набор правил, которым может или не может удовлетворять сре­да, где находятся самозащищенные данные. При попытке доступа к этим данным механизм проверяет среду на безопасность и раскрывает их, только если среда является безопасной.

Доверенный монитор (trusted monitor) - это программное обеспечение, устанав­ливаемое на сервер провайдера облачных вычислений. Оно позволяет наблюдать за действиями провайдера и передавать результаты пользователю, который может убе­диться в том, что компания действует в соответствии с принятым регламентом.

6.6. Особенности «облачной» антивирусной технологии

В отличие от традиционного сигнатурного анализа при использовании облачной антивирусной защиты процесс обмена информацией между ПК и сервером производителя антивирусной программы происходит постоянно. Все ПК подключены к удаленному серверу производителя антивирусной программы и образуют так называемое антивирусное облако (см. раздел системы облачных вычислений). Антивирусное облако
пред­ставляет собой инфраструктуру, которая используется для обработки сервером уступающей от пользователей ПК информации о подозрительных вредоносных триграммах с целью своевременно распознать новые, ранее неизвестные угрозы [82]. Чем больше ПК подключено к системе, тем лучше работает облако: об одном * том же подозрительном объекте на сервер приходит информация от многих пользователей, и это стимулирует производителя антивирусной программы к разработке обновления антивирусных баз.

Облачный антивирус не требует от пользователя никаких лишних действий пользователь ПК просто отправляет запрос по поводу подозрительной программы илиссылки. При подтверждении опасности все необходимые действия выполня­тся автоматически. Скорость выявления и блокирования угроз антивирусным облаком существенно превосходит традиционный антивирусный анализ. Если традиционное сигнатурное обновление требует нескольких часов, то при детектировании угроз антивирусным облаком речь идет о минутах. При этом, как показывает практика, вероятность ложного срабатывания минимум в 100 раз ниже, нежели при традиционном детектировании.

Собирая и обрабатывая поступающую информацию, антивирусная облачная эта работает как мощная экспертная система, непрерывно анализирующая киберкриминальную активность. Данные, необходимые для блокирования атак, мгновенно передаются всем участникам облака, предотвращая масштабные вирусные эпидемии.

С использованием облачной антивирусной технологии могут проверяться и веб-ресурсы, и почтовые ящики на наличие спама. Поэтому антивирусные программы, основанные на облачных вычислениях, могут обеспечить многовекторный характер защиты. Многовекторность может существенно облегчить построение защиты локальных машин. Конечно, классические антивирусы также могут проводить |га«ерку электронной почты на наличие спама, у них имеется и веб-контроль наблюдения за содержимым посещаемых пользователем сайтов. Но за это отвечают отдельные, часто достаточно массивные модули. А в случае облачных антивирусов все будет намного легче.

Высокая скорость реакции на новые угрозы и низкий уровень ложных срабатываний, обеспечиваемые облачными антивирусными технологиями, ло­кально могут сделать их незаменимыми в антивирусной индустрии. Облачные технологии уже сейчас применяются в том или ином виде в антивирусных продуктах «Лаборатории Касперского», Symantec, Agnitum, ESET, Panda и ряда других компаний.

Определенный интерес представляет антивирусное решение компании Sourcefire. Эта компания выпустила новую версию облачного антивируса Immunet 3.0 [107], который предлагает доступ ко всем актуальным вирусным сигнатурам, обеспечивая обнаружение, блокирование и уничтожение вирусов, а также возможность защиты систем в автономном режиме, когда временно отсутс­твует доступ к Интернету. Автономную защиту, обеспечивает фирменный анти­вирус ClamAV, имеющий традиционную архитектуру локальный антивирусный модуль и регулярно обновляемый набор сигнатур.

Антивирусное решение Immimet компании Sourcefire сочетает в себе высокую скорость облачных вычислений, передовые технологии компьютерного анализа информации и коллективно собранные данные об уязвимостях с компьютером пользователей сообщества Immunet, обеспечивая тем самым инновационный под ход к решению проблем информационной безопасности.

Единственным недостатком облачной антивирусной защиты (как и всех облачных сервисов в целом) является зависимость от стабильности канала связи.

В защите от новых вирусов помогают используемые в антивирусных программах проактивные/эвристические методы обнаружения вирусов.

Лекция 7. Национальная облачная платформа 07. (WWW.07.com)

1. Национальная облачная платформа 07. (WWW.07.com)

Онлайн-сервисы:

v 07. МЕДИЦИНА;

v 07. ОБРАЗОЛВАНИЕ;

Ø Сервис информатизации дошкольного образования;

Ø Сервис информатизации школьного образования;

Ø Сервис формирования отчетности.

v 07.ЖКХ:

Ø Сервисы для органов государственной власти;

Ø Сервисы для органов местного самоуправления;

Ø Сервисы для управляющих, ресурсоснабжающих организаций и РКЦ

Ø Сервисы для населения;

v 07.112 (оптимизация работы экстренных оперативных служб):

Ø Прием и обработка сообщений;

Ø Координация управления силами и средствами реагирования;

Ø Межведомственная координация;

Ø Мониторинг и профилактика;

v 07.СИТИ (обеспечение безопасности людей и инфраструктуры города). Подсистемы:

Ø Подсистема мониторинга городской инфраструктуры;

Ø Подсистема мониторинга природных объектов;

Ø Видеонаблюдение и видеоаналитика

Ø Подсистема мониторинга и управления транспортом;

Ø Подсистема информирования населения (ОКСИОН);

Ø 07.112;

Ø Система поддержки принятий решений и прогнозирования;

Ø Информационные подсистемы общего назначения

v 07.БИЗНЕС позволяет предприятиям и организациям значительно экономить на содержании собственной инфраструктуры. Сервис включает в себя следующие компоненты:

Ø Бухгалтерия;

Ø Управление взаимоотношениями с клиентами;

Ø Документооборот «07.ДОК);

Ø Управление складом;

Ø Виртуальный офис;

Ø Объединённые коммуникации;

v 07.ДОК. Функции сервиса:

Ø Регистрация документов;

Ø Работа с документами;

Ø Хранение документов

v 07.BOX. Разработана уникальная all-in-one приставка «07/BOX). Функционал:

Ø Телевидение;

Ø Интернет;

Ø Госуслуги;

Ø ЖКХ;

Ø Умный дом;

Ø Платежный терминал;

Ø Развлечения.

НАЦИОНАЛЬНАЯ ОБЛАЧНАЯ ИНИЦИАТИВА

Дата добавления: 2013-12-12; Просмотров: 499; Нарушение авторских прав?; Мы поможем в написании вашей работы!