Введение
Облачное хранилище — это служба, которая позволяет хранить данные путем их передачи по Интернету или другой сети в систему хранения, обслуживаемую третьей стороной. Облачные хранилища обычно масштабируются в соответствии с потребностями в хранении данных пользователя или организации и доступны из любого расположения и устройства. Компании могут выбирать одну из трех основных моделей: общедоступное облако — служба хранения, подходящая для неструктурированных данных, частное облако — служба хранения, которая находится в защищенном расположении за корпоративным брандмауэром для большего контроля над данными, гибридное облако — служба хранения, объединяющая частную и общедоступную облачные службы для повышения гибкости.
В соответствии распространением и популярностью облачных технологий, а также их преимуществами в сравнении с физическими серверами (доступность, мобильность, экономичность, гибкость, высокая технологичность, надежность и др.), особого внимания заслуживают вопросы безопасности подобных решений, конфиденциальности хранящихся данных, а также противостояния различным видам угроз (сетевые атаки, уязвимости в приложениях операционных систем, вредоносное программное обеспечение и др.). На решение данного вопроса ориентированы множество специалистов, в соответствии с чем на данный момент существуют комплексные меры и эффективные инструменты защиты данных.
Облачные технологии существуют неразрывно с пользователем, что определяет необходимость рассмотрения взаимодействия пользователя и облака как единой системы. В соответствии с чем, ответственность за безопасность и конфиденциальность данных является областью деятельности не только провайдера-поставщика облачных услуг, но и самого пользователя. Безопасность должна обеспечиваться по всей цепочке, начиная от провайдера облачного сервиса и до потребителя услуг, включая связывающие средства их коммуникации.
Главными задачами провайдера является обеспечение безопасности как физической, так и программной части, а также обеспечение целостности информации и неприкосновенности данных от посягательства третьих лиц. В свою очередь, пользователь облачных услуг также должен обезопасить персональные данные от возможности получения прав доступа третьими лицами (Рис. 1).
Рис. 1. Комплексная защита данных в «облаке»
Методы и средства защиты информации в облачных хранилищах
На сегодняшний день существует множество методов и алгоритмов защиты информации и данных, хранящихся в «облаках». Одним из таких высокоэффективных методов является шифрование данных: одной из задач провайдеров, предоставляющих услуги облачных хранилищ, является обеспечение высокой степени безопасности данных, полученных от клиентов. При этом расшифровать данные может только клиент, разместивший их в облачное хранилище с использованием ключа, хранящегося на клиентском ПО. А сами провайдеры облачного хранилища не владеют информацией о том, что действительно хранится на сервере. Однако не все поставщики облачных услуг в полной мере поддерживают подобные криптографические механизмы защиты данных.
Безопасность пользовательских данных необходимо гарантировать не только при хранении на сервере — в хранилище, но и при передаче данных. С этой целью используются криптографические протоколы (TLS, SSL, AES, Ipsec и др.), которые обеспечивают защищённую передачу данных между узлами в сетиИнтернет. Надежность криптографических протоколов обусловлена использованием ассиметричных алгоритмов шифрования для аутентификации и симметричных алгоритмов шифрования для конфиденциальности данных, что позволяет предотвратить «прослушивание» и несанкционированный доступ к информации.
Защита от несанкционированногодоступа к информации осуществляется с помощью процедуры аутентификации, под которой понимается проверка подлинности. В контексте использования облачных сервисов, происходит проверка подлинности пароля, введённого пользователем, с паролем, сохранённым в соответствующей базе данных пользователей. Более высокую надежность могут гарантировать такие средства безопасности информации, как токены исертификаты. Токены предназначены для электронного удостоверения личности, например, для клиента, получающего доступ к частному «облаку». Они могут использоваться как вместе с паролем, так и вместо него. Сертификаты выполняют схожую функцию, также подтверждая подлинность клиента для доступа к данным.
Для прозрачного взаимодействия провайдера с системой аутентификации, идентификации и авторизации рекомендуется использовать обеспечивающие высокий уровень безопасности LightweightDirectoryAccessProtocol (LDAP) и SecurityAssertionMarkupLanguage (SAML). LDAP — протокол прикладного уровня, который позволяет производить операции аутентификации, поиска и сравнения записей, а язык SAML обеспечивает стандартный способ обмена аутентификационными и авторизационными данными между сервером и клиентом.
Несмотря на то, что поставщики облачных технологий предоставляют общее пространство, общую рабочую площадку для использования ресурсов пользователям, необходимо обеспечить механизм разделения иизоляции данных клиентов друг от друга. Изоляция данных клиентов, как один из методов обеспечения безопасности облачных технологий, подразумевает использование каждым клиентом индивидуальных машин и виртуальных сетей.
Виртуальные сети должны быть организованы с применением современных и зарекомендованных технологий. КтакимтехнологиямотносятсяVirtual Local Area Network (VLAN), Virtual Private Network (VPN) и Virtual Private LAN Service (VPLS). Данные технологии позволяют изолировать сети клиента от сервисных сетей самого облака и частных сетей других пользователей.
Также одним из методов изоляции данных пользователей друг от друга является преобразования кода в единой программной среде. Данный метод требует больших затрат ресурсов, при этом вероятность нарушения целостности данных повышается, что определят снижение распространения и низкий уровень использования данной технологии.
Обеспечение безопасности на стороне клиента является неотъемлемой частью безопасности в целом, если рассматривать взаимодействие «облака» и клиента как единое целое. В соответствии с чем, персональный компьютер клиента также нуждается в должной защите.
Большинство пользователей подключаются к «облаку», используя браузер, на сегодняшний день подверженный множеству различных атак: «угон» паролей, фишинг (вид атаки, целью которого является получение конфиденциальных данных пользователя, например логина и пароля), drive-by загрузки (скрытая от глаз пользователя загрузка вредоносных ПО с зараженных веб-сайтов) и др.
Пользователю необходимо предусмотреть общие варианты защиты информации:
− установить антивирусные программы, firewall, сетевой экран
— брандмауэр, что позволит повысить уровень безопасности в целом, а также избежать ряда непредвиденных ситуаций;
− использовать браузер, обеспечивающий возможность шифрования трафика, что позволит безопасно взаимодействовать с облачным сервисом, предотвращая несанкционированный доступ и кражу паролей;
− использовать шифрование данных, помещаемых в облачные хранилища, поскольку лишь ограниченное число хранилищ поддерживают криптографическую функцию, что в противном случае требует от пользователя использования стороннего ПО;
− пользователь обязан соблюдать правила и процедуры, исключающие передачу прав доступа к информации третьим лицам.
В соответствии с изложенными выше, можно констатировать стремительный рост и широкомасштабное распространение облачных технологий в различных сферах деятельности человека. Это определяет требования высокого уровня к защите информации как со стороны провайдера — поставщика облачных технологий, так и со стороны клиента — пользователя облачных услуг, что в свою очередь определяет необходимость обеспечения комплексной защиты с использованием ряда методов и средств защиты информации.
Анализ существующих на сегодняшний день механизмов защиты продемонстрировал высокий уровень надежности сохранения пользовательских данных, обеспечение защищённой передачи данных от узла к узлу, предотвращение «прослушивания» и несанкционированного доступа к информации, решения в области защиты пользователя от различных видов атак, что позволяет гарантировать максимальный уровень защитыхранения данных и использования облачных технологий.