Сучасні інформаційні технології/4. Інформаційна безпека

Коваль Д. Р., студент, Мелешко О. О., доц.

Національний авіаційний університет, Київ

ХМАРНІ ОБЧИСЛЕННЯ ТА ПРИНЦИПИ ЇХ ЗАХИСТУ

Хмарні обчислення з’явилися зовсім недавно, багата кількість підприємств їх використовує. Такий різкий розвиток привернув увагу зловмисників зумовивши велику кількість загроз. Можливі такі загрози на хмарні обчислення, як:

·        Атаки на програмне забезпечення. Пов’язані з вразливістю операційних систем, мережевих протоколів, тощо. Використовуючи різноманітні готові рішення, слід враховувати можливість в них відкритого коду. Якщо це так, атакуючому достатньо визначити встановлену версію та за наявності в ній помилок – виконати атаку. Слід завчасно оновлювати додатки. Також, при використанні своїх власних рішень виконувати екранізацію всіх важливих параметрів, що передаються та реалізувати захист від впровадження стороннього коду.

·        Загрози з боку клієнта. Недбалість клієнтів відкриває шлях для перехвату веб-сесій, викрадення паролів й тому подібних. У таких випадках викрадання інформації можливе як технічними засобами так і засобами соціальної інженерії. Захист від таких дій повністю лежить на стороні клієнта.

·        Функціональні атаки на елементи. Цей тип загроз зумовлений з принципом безпеки, що загальний захист системи дорівнює захисту найслабкішої ланки. Оскільки хмари складаються з декількох функціональних модулів, потрібно передбачати захист кожного з модулів.

·        Загрози віртуалізації.

Перші три види загроз, характерні не тільки хмарним обчисленням вже досить давно досліджуються й існує велика кількість способів захисту від них. Загрози ж віртуалізації, характерні на сам перед саме хмарним обчисленням. Річ у тому, що при використанні хмарних рішень, в системі з’являються додаткові елементи, котрі можуть піддаватися атакам. До цих елементів можна віднести гіпервізор або монітор віртуальних машин, систему перенесення віртуальних машин з одного вузла в інший й систему управління віртуальними машинами. Як було сказано, кожний з цих елементів піддатливі до атак, так:

·        Атаки на монітор віртуальних машин. Цей елемент забезпечує поділ ресурсів фізичного комп’ютера між віртуальними машинами. Втручання у його роботу може привести до того, що одна віртуальна машина може отримати доступ до пам’яті і ресурсів іншої, перехоплювати її мережевий трафік, відбирати її фізичні ресурси чи взагалі від’єднати віртуальну машину від сервера. Очевидно, що зловмисник, котрий контролює гіпервізор може отримати доступ до всіх його віртуальних машин та їх сховищ. У якості методів захисту тут можна порекомендувати розробити і формалізувати процеси доступу до гіпервізора і зміни конфігурації, максимально обмежити доступ до гіпервізора по мережі, використовувати правильні методи автентифікації і розмежування прав доступу:  використання політик з старінням паролів, застосування спеціалізованих програмних продуктів для віртуальних середовищ, з інтегрованою службою каталогів Active Directory.

·        Атаки на системи управління. Віртуальні машини котрі використовуються в хмарах потребують наявності систем управління, що спрощує управління віртуальною інфраструктурою. Є багато програмних продуктів, диспетчерів та консолей для виконання цього завдання, котрі мають свої методи захисту але просте встановлення цих пакетів не гарантує безпеку. Для захисту системи управління потрібно: налаштувати систему ведення логів, організувати моніторинг, забезпечити регулярне оновлення пакету по управлінню.

·        Система перенесення віртуальних машин. Віртуальна машина представляє собою файл, котрий може бути запущений у різних вузлах хмари.  В системах управління віртуальними машинами присутній механізм перенесення віртуальних машин з одного вузла у інший. Однак є ймовірність викрадення цього файлу й навіть можливість запуску його за межами мережі. Викрасти віртуальну машину можливо через мережу не маючи фізичного доступу до серверу. Для захисту від витоку віртуальних машин потрібно забезпечити мережеву взаємодію без втручання з зовнішнього середовища та створити ізоляцію для віртуальних машин, що відносяться до різних зон довіри.

Таким чином видно, що не дивлячись на недавню появу віртуальних середовищ і хмарних платформ, вже побудована досить велика база для захисту їх елементів.