К.т.н., доцент Ільєнко А.В., Косинська Г.Д.

Національний авіаційний університет (НАУ), Україна

АНАЛІЗ МЕТОДІВ ЗАХИСТУ ДАНИХ В ХМАРНИХ

ОБЧИСЛЕННЯХ

Вступ. При хмарних обчисленнях маються суттєві проблеми відносно гарантій надання послуг з безпеки інформації, основними з них є такі:

– практично втрата контролю над механізмами захисту інформації та прикладного програмного за­безпечення хмари;

– наявність привілегійованих користувачі та адмі­ністраторів безпеки хмари, що можуть мати доступ до програмного забезпечення та даних користувачів;

– складність механізмів здійснення аналізу, оцінки ефективності та протидії загрозам;

– оскільки хмара є багатокористувацьким серед­овищем, то можливий виток конфіденційної інфор­мації, порушення її цілісності, справжності, а також порушення прав власності;

– проблемність надання якісної послуги доступно­сті при відсутності чи неякісному Інтернет з’єднанні;

– проблема управління конфіденційними та осо­бистими ключовими даними, сертифікації та віднов­лення компрометованих ключових даних та ключової інформації

Метою даної роботи є дослідження засобів і методів захисту даних в хмарних обчисленнях.

Розглянемо засоби захисту інформації :

1 Угода про рівень обслуговування.

Так як на даний момент відсутні нормативно правові акти, що регулюють правила надання хмарних ресурсів, та Угода про рівень обслуговування (УРО) є найбільш важливим критерієм вибору постачальника обчислювальних ресурсів. На жаль, на даний момент більшість постачальників складають УРО так, щоб брати на себе якомога менше відповідальності. Це означає, що для роботи з конфіденційними даними в хмарних ресурсах необхідно вибирати постачальника  з добре складеним УРО, що чітко визначає відповідальність сторін [5].

2. Встановлення захищеного каналу до системи.

Для з'єднання з системою, яка знаходиться в хмарі, використовується канал з шифруванням. Для встановлення захищеного каналу можуть використовуватися такі технології, як VPN (віртуальні приватні мережі). Тим самим, попри те, що комунікації здійснюються по мережах з низьким рівнем довіри, рівень довіри до каналу залишається високим, завдяки використанню засобів криптографії (шифрування, аутентифікації, інфраструктури з відкритими ключами і відвертання зміни передаваних даних).

Це є найбільш простим рішенням, в теж час дуже дієвим, захищаючим від атаки MITM (Людина посередині). Насправді, цей спосіб дозволяє захистити лише канал зв'язку між системою, що знаходиться в хмарі. Уся інформація, що проходить через систему, є відкритою. Цей засіб використовується не лише для зв'язку з системами в хмарах [1].

3. Використання розділення ролей для доступу.

 Так як вся гостьова система є лише образом, що складається з декількох файлів, то адміністратор віртуальної інфраструктури може у будь-який момент скопіювати дані і запустити їх на іншому комп'ютері для дослідження на наявність конфіденційних даних. Копіювання цих даних - питання декількох хвилин.

Таким чином, витік конфіденційних даних з боку недобросовісних адміністраторів віртуальних інфраструктур дуже реальний. Для захисту від цього можна використати розділення ролей адміністратора віртуальної інфраструктури і адміністратора безпеки.

Це дозволяє розділити обов'язки і не дозволить односторонню зміну налаштувань безпеки. На жаль, це розділення лежить на совісті постачальника, що надає доступ до ресурсів хмарних технологій [2].

4. Сегментація віртуальних машин.

Сегментація є розділення віртуальних машин на сегменти для забезпечення вимог до розділення клієнтів і безпеки. Воно дозволяє повне розділення мережевого трафіку, і розділення політиками управління доступом, навіть якщо вони працюють на загальному фізичному устаткуванні і із загальною мережевою інфраструктурою. У разі створення приватної хмари це дозволяє розділити, наприклад, на сегменти віртуальні машини, що відносяться до бухгалтерії і віртуальні машини, що відносяться до відділу розробки. Є можливість виділити ці сегменти для роботи на різних мережевих інтерфейсах [3]

5. Зберігання інформації в хмарі в зашифрованому виді

Цей метод полягає в шифруванні криптографічними засобами кожного файлу, який передається в хмару на зберігання. Таким чином, ніхто не зможе отримати дані що знаходяться в хмарі, окрім тих осіб, які мають ключ для расшифрования цього файлу. Цей спосіб дуже добре підходить для приватних осіб, або малих організацій.

Проте при великій кількості осіб що мають ключ цей метод має ряд недоліків, оскільки контролювати цей ключ стає проблематично

6. Використання проміжного проксі-сервера.

В цьому способі використовується устаткування, що знаходиться в довіреному середовищі. Усі дані проходять через нього. Він відповідає за шифрування усіх даних перед відправкою їх в хмару і розшифровку при запиті цих даних. Таким чином, ключ для шифрування/дешифрування відомий лише цьому серверу. Він може вести журнал обліку доступу до файлів. Так само використання проміжного сервера робить роботу з файлами прозорою для користувача.

7. Обробка знеособлених даних в хмарі.

Використання цього методу полягає в передачі хмарі даних, які не можуть бути використані третіми особами. Для цього передаються не дані в повному об'ємі, а лише частина, яка не може однозначно прив'язана до сутностей використовуваних в системі.

Конфіденційна інформація, в той же час, знаходиться в довіреній зоні підприємства [6].

Конфіденційність повинна забезпечуватися по всьому ланцюжку, включаючи постачальника хмарного рішення, споживача і зв'язують їх комунікацій. Завдання провайдера - забезпечити як фізичну, так і програмну недоторканність даних від посягань третіх осіб. Споживач має ввести в дію на своїй території відповідні політики і процедури, що виключають передачу прав доступу до інформації третім особам

Висновки. В даній роботі проведений аналіз методів захисту інформації хмарних обчислень, а саме розглянуті методи вказують на те, що дані, які поміщені в «хмару», надійно захищені і у віртуальній, і у фізичній реальності, оскільки величезні ЦОД з серверами, на яких зберігаються терабайти інформації, забезпечують найвищий рівень захисту від зловмисників, природних катаклізмів та інших зовнішніх загроз.  

У найближчому майбутньому для компаній, що потребують безпечної віртуальному середовищі, єдиним виходом залишиться створення приватної хмарної системи. Справа в тому, що приватні хмари, на відміну від публічних або гібридних систем, найбільше схожі на віртуалізовані інфраструктури, які ІТ-відділи великих корпорацій вже навчилися реалізовувати і над якими вони можуть зберігати повний контроль. Недоліки захисту інформації в публічних хмарних системах представляють серйозну проблему. Більшість інцидентів зі зломом відбувається саме в публічних хмарах.

 

 

 

 

 

 

 

Література

1. Котяшичев И. А. Защита информации в «Облачных технологиях» как предмет национальной безопасности / И. А. Котяшичев, Е. А. Бырылова // Молодой ученый. — 2015. — №6.4. — С. 30-34.

2. Вик Уинклер.Облачные вычисления: Вопросы безопасности в виртуальных облаках/ [Електронний ресурс]. – Режим доступу: https://technet.microsoft.com/ru-ru/library/hh641415.aspx
3. Cisco Безопасная сегментация в унифицированной архитектуре центров обработки данных Cisco [Електронний ресурс]. – Режим доступу: http://www.cisco.com/web/RU/downloads/broch/white_paper_c11pdf

4.Захист даних в хмарних технологіях обчислень [Електронний ресурс]. -Режим доступу: http://conf.vntu.edu.ua/allvntu/2013/inaeksu/txt/tytarchuk.pdf 
5. Носов Н. Облачные вычисления. Проблемы SLA. [Електронний ресурс]. -Режим доступу: https://www.pcweek.ru/its/article/detail.php?ID=175551

6.Васюхнова А. Безопасность персональных данных при использовании «облачных» сервисов   [Електронний ресурс].-Режим доступу:http://www.vegaslex.ru/analytics/analytical_reviews/67860