Современные
информационные технологии / 4. Информационная безопасность
Студент Волинець О.Ю.
Вінницький національний технічний університет, Україна
Розробка
захищеної хмарної веб платформи зберігання інформації користувачів
Актуальність теми та огляд
літератури. У наш час все більше набувають популярності хмарні
технології. Хмарні технології — це парадигма, що передбачає віддалену обробку
та зберігання даних [1]. Хмарні технології дозволяють споживачам
використовувати програми без установки і доступу до особистих файлів з
будь-якого комп'ютера, що має доступ в Інтернет. Ця технологія дозволяє вести
значно ефективніше управління підприємством (CRM, ERP) [2] за рахунок
централізації управлінської та облікової інформації, обробки, пропускної
здатності та надійності зберігання даних.
Є безліч переваг використання саме хмарних технологій, серед них:
непотрібні потужні комп'ютери, менше витрат на закупівлю програмного
забезпечення і його систематичне оновлення, необмежений обсяг збереження даних,
доступність з різних пристроїв і відсутня прив’язка до робочого місця,
забезпечення захисту даних від втрат та виконання багатьох видів навчальної
діяльності, контролю і оцінювання, тестування он-лайн, відкритості освітнього
середовища і т д.
Дуже важливою проблемою для підприємства є зберігання даних
користувачів, бути впевненою у їх цілісності, захищеності та отримання доступу
до них.
Метою статті є
проектування захищеної хмарної веб платформи, визначення засобів захисту та
можливих загроз.
Основна частина. Дана
платформа дозволятиме розгортати сховище у двух моделях: Приватна хмара та
Публічна хмара.
Приватна хмара (private
cloud) - це хмарна інфраструктура, яка призначена для використання виключно
однією організацією, що включає декілька користувачів (наприклад, підрозділів).
Приватна хмара може перебувати у власності, керуванні та експлуатації як самої
організації, так і третьої сторони (чи деякої їх комбінації). Така хмара може
фізично знаходитись як в, так і поза юрисдикцією власника.
Даний тип розгортання є дуже зручним для використання всередині
організації, оскільки забезпечує більшу безпеку шляхом розміщення на власних
серверах.
Публічна хмара (public
cloud) - це хмарна інфраструктура, яка призначена для вільного використання
широким загалом. Публічна хмара може
перебувати у власності, керуванні та експлуатації комерційних, академічних
(освітніх та наукових) або державних організацій (чи будь-якої їх комбінації).
Публічна хмара перебуває в юрисдикції постачальника хмарних послуг.
В даному випадку надається змога бути саме постачальником хмарних
послуг за допомогою даної платформи. [3]
Платформа буде містити в собі саме веб додаток, фізичний сервер
(або сервери) схову та публічний програмний інтерфейс для взаємодії зі сховищем
(API).
Високорівневу архітектуру хмарного сховища зображено на рис. 1.
Рис. 1.
Високорівнева архітектура хмарного сховища
Дана архітектура дасть змогу краще розподіляти задачі та
навантаження на різні сервера. Програмний інтерфейс матиме змогу спілкуватися з
серверами, на яких буде розміщений додаток. Він (додаток) буде виконувати
перевірку користувачів, управління даними та інші задачі. Усі дані користувача
будуть зберігатися у базі даних (паролі, логіни, шляхи до файлів), а вже база
даних буде містити посилання на файли (у зашифованому вигляді), які будуть
розміщені на окремих файлових серверах, доступ до яких матимуть лише сервера с
додатками.
Оскільки доступ до хмари буде здійснюватися за допомогою веб
ресурсу, слід вжити заходів від найбільш типових вразливостей: SQL ін’єкцій,
XSS, CSRF, а також реалізувати доступ по ролям [4].
Міжсайтова підробка запиту (CSRF) досить типова вразливість, яку
можна подолати за допомогою передачі спеціального підпису (токена) у додаток,
та його перевірки. Дану перевірку слід виконувати на початку обробки запиту.
SQL ін'єкція — один з поширених способів злому сайтів та програм, що
працюють з базами даних,
заснований на впровадженні запит довільного SQL-коду [5]. Оскільки у даній
платформі використовується база даних, слід обов’язково унеможливити здійснення
ін’єкцій. Даний етап перевірки на ін’єкцію слід здійснювати при запиті до бази
даних, використувуючи спеціальні технології як Entity Framework та LINQ, а
також уникати передачі всіх параметрів у відкритому вигляді та без обробки. [6]
Перевірка на XSS (міжсайтовий скриптінг) атаку також здійсюється при зміні
даних, що можуть містити розмітку, яка може нашкодити користувачам, у випадку
хмарного сховища – це не є досить актуальною проблемою, але зловмисник у випадку
моделі розгортання як публічна хмара може здійснити цю атаку ввівши html та
javascript код у поля, такі як ім’я чи інші дані. Перевірка здійснюється легко
за допомогою бібліотеки AntiXSS. [4]
Схему перевірок при запиті зображено на рис. 2.
Рис. 2.
Схема обробки запиту
Висновки. Дані вказівки
дають змогу побудувати захищену хмарну веб платформу для зберігання інформації
користувачів, яка буде захищена від низка атак та зможе легко масштабуватися,
шляхом додавання додаткових серверів. Значною перевагою від існуючих рішень є
дешевизна даного рішення, через встановлення його на своєму обладнанні, та
підвищена захищеність його, оскільки дана платформа може бути розгорнути
всередині корпоративної мережі без виходу назовні до мережі інтернет.
Література:
1. Хмарні
технології. [Електронний ресурс]. – Режим доступу: http://j.parus.ua/ua/358.
2. Класифікація
загроз безпеки WEB-додатків [Електронний ресурс] – Режим
доступу: http://www.infosecurity.ru/iprotect/websec/classification/.
3. Кузнецов,
М. В. Разработки Web-сайтов. – СПб.: БХВ-Петербург, 2005 – 960 с. – ISBN
978-5-9775-0743-
4. Winesett
Jeffrey Agile Web Application, 2010. — ISBN 978-1-847199-58-4
5. Романюк
О. Н., Савчук Г. О. «Організація баз даних і знань. Навчальний посібник», ВНТУ,
2005.
6. Neha
Patwari, Parvati Bhurani - Framework of SQL Injection Attack. [Електронний
ресурс]. – Режим доступу: http://arxiv.org/ftp/arxiv/papers/1207/1207.1542.pdf