Transcript Вопросы безопасности обработки информации в корпоративных

11-я конференция
«Обеспечение доверия и безопасности при использовании ИКТ»
22 — 23 марта 2012 г., г. Москва
Вопросы безопасности
обработки информации
в корпоративных облачных
системах
Добрица И. В., ФСБ России
23 марта 2012 г.
1. Корпоративные облачные
системы (КОС)
Основной отличительной особенностью КОС
является
полный
контроль
над
облаком
подразделений ИБ и ИТ организации. Частное облако
может быть развернуто либо на площадке
организации, либо на площадке у провайдера
облачных услуг.
Условно КОС можно разделить на три компонента:



облачную среду;
клиентскую составляющую;
среду доступа.
2. Особенности безопасной
обработки информации в КОС
Безопасность обработки информации в КОС обеспечение
целостности,
доступности
и
конфиденциальности информации.
Необходимо:
учесть особенности реализованной в среде
модели обслуживания (SaaS, PaaS, IaaS);
обеспечить безопасность информации при ее
обработке на стороне клиентской составляющей;
обеспечить
безопасность
взаимодействия
клиентской составляющей с облачной средой.



3. Угрозы безопасности
в облачной среде
1. Несанкционированное взаимодействие между
виртуальными машинами и хостами.
2. «Побег» виртуальной машины.
3. Слежение со стороны хоста.
4. Слежение со стороны виртуальной машины.
5. Атаки в облаке.
6. Внешние модификации.
7. «Закисшие» виртуальные машины.
4. Механизмы обеспечения
целостности и доступности
В облачных платформах разработчиками реализуются
следующие механизмы защиты:

идентификация и аутентификация пользователей;
 разграничение прав доступа
пользователей к ресурсам;
и
контроль
доступа

защищённое управление виртуальной инфраструктурой;

защищённый доступ к платформе виртуализации;

функции журналирования событий безопасности;
 управление хранением
восстановление.
данных
и
их
аварийное
5. Механизмы обеспечения
конфиденциальности
Криптографическая защита информации в КОС единственная гарантия ее безопасности. Объектами
криптографической защиты КОС являются:
1. Виртуальные диски.
2. Записи баз данных.
3. Виртуальные машины.
4. Каналы связи (среда доступа).
5. Данные на клиентской составляющей.
5.1. Шифрование виртуальных дисков
В
облачной
среде
виртуальные
диски
монтируются к ВМ. Шифрование виртуальных дисков
может
быть
реализовано
посредством
использования:
 средств шифрования серверных дисков (для этого
могут использоваться существующие решения);
 специализированных средств криптографической
защиты, функционирующих в составе каждой
пользовательской
ВМ
(для
этого
могут
использоваться существующие решения);
 механизмов
криптографической
защиты,
реализованных в составе облачных платформ (таких
решений ещё нет).
5.2. Шифрование записей БД
Шифрование
реализовано:
записей
БД
может
быть
на уровне СУБД, функционирующей в составе
отдельной ВМ или сервера (для этого могут
использоваться существующие решения);

сервером приложений, который непосредственно
работает с БД (для этого могут использоваться
существующие решения);

механизмами
криптографической
защиты,
реализованных в составе облачных платформ (таких
решений ещё нет).

5.3. Шифрование виртуальных машин
Виртуальная машина – файл с образом
памяти и процессов (иногда и с данными).
Шифрование виртуальных машин при их
передаче между узлами и при их хранении в
неактивном
состоянии
–
важнейшая
составляющая безопасности облачной среды.
Однако в этом случае механизм шифрования
также должен быть реализован на уровне
облачной платформы (пока таких решений
нет).
5.4. Шифрование каналов связи
Шифрование
каналов
связи
реализовано с использованием:
может
быть
специализированных
программно-аппаратных
средств
(криптомаршрутизаторов
или
ipшифраторов);

криптографических
сетевых
протоколов,
обеспечивающих
защищённую
идентификацию/аутентификацию между клиентом и
облаком, а также защищённый канал передачи
данных между клиентом и облаком.

5.5. Шифрование данных на клиенте
Данные шифруются на клиенте и в облако
передаются уже в зашифрованном виде. В этом
случае сводятся на нет преимущества облачных
сервисов,
поскольку
всю
обработку
данных
необходимо будет выполнять на клиенте. Облачный
сервис фактически превращается в систему хранения
данных в зашифрованном виде.
Использовать потенциал облачных сервисов в
полном объёме возможно, если взаимодействие
клиента с облачной средой осуществлять с
использованием сквозного шифрования, однако в
настоящее время сквозное шифрования в облачных
системах не реализовано.
6. Выводы и предложения
I. Безопасность обработки информации в КОС –
комплексная проблема, для которой в настоящее время
не существует коробочного решения.
II. Наиболее перспективным подходом по реализации
в КОС сервиса криптографической защиты является
встраивание
криптографических
механизмов
(с
отечественными криптографическими алгоритмами) в
состав облачных сред и программ-клиентов.
III. В качестве прототипов можно выбрать облачные
платформы и программы-клиенты с открытым
исходным кодом, доработанные в рамках мероприятий
по созданию Национальной программной платформы.
7. Источники информации
1. Орлов С. От ЦОД к частному облаку. Журнал сетевых решений/LAN № 2, 2011.
http://www.osp.ru/lan/2011/02/13006944/.
2. О’Нил Марк. Контрольный список мер безопасности для облаков. Облачные
вычисления № 0311, 2011. http://www.osp.ru/cloud/2011/0311/13007696/.
3. Черняк Л. Безопасность: облако или болото? Открытые системы № 01, 2010.
http://www.osp.ru/os/2010/01/13000673/.
4. Самойленко А. Реальная проблема виртуализации – безопасность.
http://www.vmgu.ru/articles/virtualization-security-lacks-cons.
5. Защита частного облака. http://www.crossbeam-rt.ru/solution/private-clouds/.
6. Cloud Security. http://www.mcafee.com/solutions/cloud-security/cloud-security.aspx.
7. Управление хранением данных и обеспечение высокой готовности в облаке.
Материалы с сайта http://www.symantec.ru/.
8. Шифрование в облаках. http://www.anti-malware.ru/node/3489/.
9. Шифрование в облаках 2. http://www.anti-malware.ru/node/3837/.
10. Частное облако – правильный выбор. Открытые системы № 10, 2011.
http://www.osp.ru/os/2011/10/13012197/.
11. Яремчук Сергей. Защищаем данные в «облаке». Хакер № 1/156/2012.
11-я конференция
«Обеспечение доверия и безопасности при использовании ИКТ»
22 — 23 марта 2012 г., г. Москва
БЛАГОДАРЮ ЗА ВНИМАНИЕ!
Вопросы безопасности обработки информации
в корпоративных облачных системах
Добрица И. В., ФСБ России
23 марта 2012 г.