Трудности защиты облачных сред и возможности существующих решений для защиты облаков.

Облачные технологии все больше привлекают специалистов, но развитию сдерживает несколько неясных вопросов, один из главных — безопасность. Но половина потенциальных пользователей относится к ним с некоторым недоверием, главная причина — непонятно как защищать свои данные.

Не смотря на все заверения скептиков, рынок облачных продуктов стремительно растет. Так по данным IDC на облака в 2010 году компании потратили 21.5 млрд. долларов, в 2015 эта цифра будет составлять 72.9 млрд. И уже через три года на построение или использовании облачных сервисов организации будут тратить каждый седьмой доллар из средств инвестированных  в IT, за счет естественно доли классических систем. Простота доступа к данным, хорошая масштабируемость, легкость в подключении и развертывании новых приложений, максимальное использование ресурсов, все это приводит к тому, что виртуальные сервисы завоевывают популярность. В необлачном варианте до 70 процентов средств используются на поддержание существующей инфраструктуры. Теперь же организация арендует ресурс и работает, если возможностей станет недостаточно их также легко можно увеличить. Аналогично просто отказаться от какого-либо сервиса, если необходимость в нем отпала, или он уже не подходит.
Половина специалистов считает, что облачные технологии в будущем станут основой ИТ-структуры компании. Однако другая половина обеспокоена вопросами безопасной эксплуатации подобных сервисов, потерей контроля и невозможностью использования привычных инструментов. Так согласно опросу проведенного Symantec о виртуализации и переходе в облака за 2011 год [1], 44% руководителей опасаются перемещать критически важные для бизнеса приложения в облачные среды, причем 76% из них считают вопрос безопасности основной проблемой. Ведь если хакеру все же удастся взломать защиту облачной среды, объемы потерянных данных будут во много раз больше, нежели в результате взлома отдельного компьютера или локальной сети.
Вопрос здесь стоит скорее в привычках. Показательным является тот факт, что облачные среды для хранения информации, активно используют правительственные и военные организации многих стран, в том числе – министерство обороны США, NASA, ЦРУ, ФБР и другие. И вряд ли у них заниженные требования к безопасности.
Сама идея размещения приложений и данных на внешних ресурсах, показывает, что задача обеспечения безопасности имеет совсем другие корни, а поэтому решать их нужно несколько иначе, и при помощи других инструментов. При этом к классическим и типичным для виртуализации проблемам, добавились свои, главная из которых кроется в самом принципе организации данных. Угрозы можно разделить на две категории:

— внутренние – которые исходят от администраторов сервиса и становятся возможным из-за просчетов в построении системы управления и аудита;
— внешние — исходящие из глобальной сети и других клиентов облака.

Практически все аспекты безопасности с появлением облака новы и требуют пересмотра, но сказать, что они уникальны тоже нельзя. Просто требуется несколько иной подход в решении старых проблем. Учитывая, что вариантов облаков на сегодня существует много, а сама проблема изучена далеко не полностью, универсального совета, как и решения ни кто не дает. К тому же здесь нет многолетних наработок. Наверное, поэтому, в отличие от классических систем обеспечения безопасности, где в ближайшее время вряд ли стоит ожидать чего-либо интересного, рынок решений для защиты виртуализации только набирает обороты. Поэтому каждый разработчик ПО видит и соответственно решает проблему по-своему. А любые и особенно новые продукты на рынке требуют некоторой обкатки в реальных условиях, прежде чем они будут максимально удовлетворять пользователя по надежности и функциональности.
Помимо разработки стандартов, основные разработки ведутся по нескольким основным направления: обеспечения защиты ЦОД, сетевых подключений и самих устройств, работающих с cloud-сервисами.
Под термином “облачная безопасность” подразумевается два абсолютно разных направления. Первое это обеспечение безопасности приложений и данных в облаке, второе – концепция безопасности как услуги (Security-as-a-Service), в которой классические системы защиты реализованы в виде облачных сервисов (антивирус, защита web или email, honeypot и другие). Направление Security-as-a-Service сегодня активно развивается и по-своему интересно, но всего охватить нельзя, поэтому в контексте статьи будем вести разговор именно об обеспечении безопасности cloud.

Проблемы аутентификации пользователя

Ранее серверы размещались во внутренней защищенной сети, администратор самостоятельно подбирал и настраивал приложение, организовывал все сопутствующие вопросы, в том числе защиту и мероприятия по резервному копированию, беспокоясь о сохранности и доступности данных. Традиционная модель защиты компьютера или сети огораживала его стеной из антивируса, брандмауэра, IDS/IPS, DLP, контролировался внутренний трафик, систем контроля доступа и прочих. Сервера, к которым требовался доступ из вне, выносились в DMZ, для отдельных пользователей настраивался VPN. Построенная стена была по сути статичной, настроив все правила один раз, оставалось только контролировать события.
Появление облачных сервисов полностью меняет саму структуру сети. Пользователю может потребоваться подключение к данным или приложению с любой точки, где есть Интернет, а сервера находящиеся в облаке в один миг переносятся в другой дата-центр. Претерпело изменения и само понятие рабочего места. Вместо стационарного ПК, с четко определенным набором ПО и местоположением (IP), пользователь может подключаться к виртуальному реализованному посредством IaaS. Причем используя самые разные устройства (планшетый ПК, смарфон, тонкий клиент и т.п.). Виртуальный ПК также не выглядит единым целым, образы и приложения (также виртуальные, вроде App-V) подгружаются с разных источников. Теперь четкого периметра нет, некоторые вопросы безопасности недоступны и отданы провайдеру услуг, и как у него реально все организовано приходится только догадываться. Аутентификационные данные и информация, передаваемые по сетям общего пользования легко перехватить.
Правила доступа теперь нельзя привязать к физической топологии, например к IP-адресам пользователей и сервисов. Поэтому безопасная аутентификация, разграничение полномочий (separation of duties) и аудит всех событий очень важен, ведь кроме прямого вредительства может быть и кража данных. В идеале администратор только управляет сервером, данные находятся в введении организации и за всем этим следит служба безопасности.
Компании уже представили свои продукты и технологии, которые позволяют решить эту проблему. Например, VMware vSphere предлагает эффективные инструменты администрирования, максимально стандартизирующие и автоматизирующие основные операции (а за счет этого уменьшаются ошибки управления), средства аутентификации и ролевую модель доступа, позволяющую тонко назначить права. Если их не хватает, то можно обратиться к специализированному решению для защиты виртуальной инфраструктуры VMware vSphere — vGate R2 [2] в котором реализована усиленная аутентификация администраторов, автоматическая конфигурация безопасности и проверка целостности настроек, мандатная модель управления доступом (каждый может управлять строго своими VM), защита средств управления, правила разграничения доступа (на основе ACL и портов), контроль целостности VM, расширенный аудит событий и мониторинг. В vGate R2 выделены две роли имеющие свои функции и возможности: администратор виртуальной инфраструктуры (АВИ) и администратор информационной безопасности (АИБ). Продукт имеет сертификат ФСТЭК позволяющий его применять в защищенных системах.
Но администраторы это только часть проблемы. Если к облачному сервису будет обращаться много сотрудников, станет вопрос синхронизации базы учетных записей, иначе администрирование усложняется, появляется вероятность ошибок, а значит и потенциальных проблем. Решить ее можно при помощи инструментов вроде NetIQ  Cloud Security Service (ранее принадлежала Novell), который позволяет управлять учетными данными предприятия с одной точки, реплицируя все изменения в аккаунтах в облако, гарантируя единую базу и единый вход (SSO). Для этого NCSS интегрируется со службой аутентификации предприятия (например, Active Direcory), пользователь который хочет получить данные с SaaS/PaaS/IaaS регистрируется обычным образом, а NCSS генерирует тикет соответствующий требованиям поставщика услуг. Продукт интегрируется с другими решениями вроде Identity Manager и Access Manager, которые расширяют его возможности.

Обнаружение вредного трафика

Размещение сервиса у провайдера усложняет задачу по отслеживанию трафика между приложениями и VM проходящий внутри виртуального облака и обращение к сервису клиентов (т.н. Communication Blind Spots). То есть там, где раньше выручал брандмауэр и сетевая IDS/IPS сегодня пусто. В пределах хоста могут работать несколько VM с одинаковыми настройками. Хакер найдя уязвимость в одной системе, может с легкостью получить доступ и к остальным. Отсутствие контроля трафика может привести к утечке данных, заражению вирусами и прочим проблемам. Активация брандмауэра на каждом узле не удобна, ведь VM должны активно взаимодействовать между собой, да и периметра ведь нет. Возможен вариант размещения всех VM принадлежащих одному владельцу на одном физическом сервере, но такой шаг снижает эффективность использования ресурсов сервера и провайдеры редко на него идут. Здесь чаще задействуются виртуальные коммутаторы и брандмауэры, предоставляемые гипервизором, позволяющие изолировать трафик разных клиентов. Использовать антивирус на каждой VM также не выход т.к. это нагрузит систему (т.н. resource contention), наиболее удобно интегрировать систему безопасности с гипервизором или управлять работой антивируса на VM централизовано.
Многие разработчики антивирусных систем предложили свои версии продуктов для защиты виртуальных сред. Например, Kaspersky Security для виртуальных сред не требует установки антивирусного агента на каждую ВМ, что способствует более высокой производительности и плотности ВМ на хост-сервере. Есть и специализированные решения. Так “5nine Антивирус и Virtual Firewall для Hyper-V” [3]  дает возможность контролировать, блокировать и управляет сетевым трафиком между VM, детектировать атаки, сканировать системы, а также производить аудит, мониторинг и прочие мероприятия по усилению безопасности. Или Trend Micro Deep Security – комплексная система защиты физических и виртуальных сред, работающая как с установкой агентов так и без них, и позволяющая реализовывать гибкие политики.
В VMware vSphere 5  появилась поддержка Netflow v5 позволяющая просматривать и анализировать трафик между виртуальными машинами, запущенными на одной или разных хостах. Много изменений в реализации сети в Hyper-V. Например, коммутатор Hyper-V Extensible Switch обеспечивает применение политик в области безопасности, защите от некоторых атак изоляции, и уровней обслуживания. Его открытая архитектура дает возможность сторонним разработчикам создавать средства контроля трафика, фильтры брандмауэра, средства переадресации. Виртуализация сети позволяет разграничить трафик без применения VLAN.
Но здесь есть еще одна проблема Instant-On – спящие виртуальные машины и шаблоны. Через некоторый период времени, их установки уже могут не соответствовать конфигурации безопасности, и после включения VM или создании новой VM из такого шаблона они уже будут иметь уязвимости. Имеющиеся системы обновлений вроде WSUS умеют работать только с запущенными машинами, поэтому здесь нужны специализированные инструменты. Проблема известна уже давно и производители уже выпустили свои решения: Microsoft Offline Virtual Machine Servicing Tool, System Center Virtual Machine Manager 2012, VMware Update Manager. Все они умеют обновлять остановленные и спящие VM и шаблоны на хостах Hyper-V.
Не забываем и о классических проблемах доступа к удаленным серверам — DDoS-атаки, пропадание канала, недостаточная пропускная способность, все это может и будет влиять на стабильность услуг.

 Hyperjacking – новая угроза

Наличие дополнительных сервисов, в числе которых слой виртуализации, которые могут иметь уязвимости или быть попросту неправильно настроенными, также создают достаточно проблем. Гипервизор и прочие компоненты так же могут подвергнуться атаке, как и прочие компоненты системы. Но теперь в случае успеха злоумышленник получит доступ к гораздо большему количеству данных. Доступ к гипервизору позволяет контролировать все системы, работающие в виртуальных машинах, обходя многочисленные системные защиты.
Одна из специфических атак получившая название “hyperjacking” обозначает захват гипервизоров, вариантов как это произвести много. Наиболее перспективным считается API используемое для управления. Производители ПО воспринимают эту атаку вполне серьезно, хотя воспринимают ее больше как теоретическую. Например, в статье “Облачные вычисления: Вопросы безопасности в виртуальных облаках” декабрьского TechNet 2011 года [4], так и написано “на настоящий момент не задокументировано ни одной атаки на гипервизоры, что говорит о низкой вероятности таких атак.” Это странно хотя бы потому что в Hyper-V в Windows Server 2008 и R2 была обнаружена ошибка (бюллетень 977894) позволяющая провести DOS атаку. Кстати один успешный и весьма поучительный пример такой атаки все же есть (собственно после него и начали говорить о hyperjacking). В 2009 используя уязвимость в гипервизоре HyperVM, хакеры уничтожили более 100 000 сайтов хостера LXLabs [5].

Ложный сервис

 

Ни кто не мешает злоумышленнику создать ложный облачный сервис, привлечь внимание и иметь доступ ко всей конфиденциальной информации. И такие сервисы по заверениям разных источников создаются, правда действительные примеры, по понятным причинам, ни кто не приводит. Но хакеры используют возможности облака на все 100%, о чем говорит даже новый термин “Exploits as a Service” (EaaS). Поэтому такую вероятность сбрасывать не нужно, и учитывать при выборе провайдера услуг, доверяя только проверенным.
Но западных специалистов больше волнует другая проблема – “false cloud” или “cloud washing” (иногда пишут слитно cloudwashing), когда провайдер услуг пытается продать в виде облака сервис, который на самом деле не является облачным (по сути многопользовательский доступ, аутсорсинг и виртуализация). Причем термин “false cloud” менее популярен. Ведь слово false можно понимать как ложный, так и как фальшивый/поддельный. Отличить cloud washing в принципе легко (четкое определение облака дает The NIST Definition of Cloud Computing [6]). Ведь в облаке пользователь платит только за использование ресурсов, а не время лицензии, имеет большие возможности по управлению, основные операции автоматизированы, достигнут нужный уровень масштабирования. Причем в cloud washing замечены и именитые компании, сюда относят — Oracle Exalogic Elastic Cloud, HP Cloud System, Oracle Public Cloud и другие. В ноябре сайт консалтинговой компании Appirio — cloudwashies.com собирает данные от пользователей и 14 декабря выводит свой ТОП злостных “мойщиков”. Хотя если провайдер полностью устраивает, то наверное разницы нет в том, что он “реальный” облачник или “мойщик”.
Поэтому не менее важный вопрос — возможная миграция на другую платформу или сервис. Что делать при смене провайдера, Если инструменты миграции? Ведь зависимость от одного поставщика тоже не всех может устроить. И не обязательно это может быть внеплановое повышение цен не укладывающихся в бюджет, а например, недостаточно каких-либо важных функций или невозможность интеграции с текущей инфраструктурой.

Шифрование данных

Именно риск потерять разом все данные, помноженный на возможность утечки конфиденциальной информации, останавливает многих потенциальных пользователей от использования облачных решений. Пользователь не может на сто процентов быть уверенным в том, что стертая информация уничтожена полностью. Кроме того могут быть ошибки в администрирование. Данные и образы VM создаются, клонируются, перемещаются между физическими серверами, и в случае ошибок могут быть доступны третьим лицам. Как это произошло в Amazon Web Services (AWS), когда образы были доступны другим пользователям сервиса. Именно поэтому сегодня в первую очередь популярны частные (Private) или Сommunity облака полностью или частично подотчетные организации, уровень доверия к которым выше.
Большинство пользователей считает, что канал связи и данные размещаемые в облаке лучше шифровать. С обменом данными по сети проблем обычно не бывает, провайдеры в большинстве своем предоставляют доступ по защищенному протоколу HTTPS, администратору клиента остается лишь следить за сертификатами. А вот как контролировать данные в самом облаке, если они находятся в открытом виде вопрос очень волнующий. Поэтому многие предпочитают поставщика который обеспечивает шифрование данных, это позволит защитить их от кражи и быть уверенным, что посторонние пользователи не получат к ним доступ. Хотя шифрование тоже не всегда является панацеей. Примером тому скандал связанный с Dropbox в начале 2011, когда выяснилось что для шифрования всех аккаунтов используется один ключ. То есть хакеру, чтобы получить доступ ко всем данным, достаточно было получить один ключ.
Кроме того остаются традиционные атаки и уязвимости которые могут привести к утечке информации — XSS, SQL injection, слабые пароли, социальная инженерия и так далее.
Еще одна проблема при шифровании – распределение ключей. Технология должна быть гибкой и не привязана к конкретному провайдеру услуг. Самым популярным решением обеспечивающим шифрование данных и управление ключами является Trend Micro SecureCloud являющейся удобной надстройкой над FreeOTFE и другими утилитами, в котором используется специальная технология позволяющая проверять серверы запрашивающие ключи, контролировать доступ к закрытым данным, удаление информации без возможности восстановления. В случае смены поставщика услуг, все данные переносятся без проблем, поддерживаются Amazon EC2, Eucalyptus и vCloud.
Хотя здесь тоже нужно анализировать риски и хранить в облаке менее критичные данные. Например, данные маркетологов, к которым важно просто иметь всегда доступ, конфиденциальность не так важна.
К тому же именитые игроки на рынке, защищены на порядок лучше, чем серверная в небольшой организации, за безопасностью следит целая служба, компания заботится о своем имидже и поэтому проводит весь комплекс мероприятий. В условиях “дикого” капитализма, когда ни кто не застрахован от рейдерских атак или “маски шоу”, нахождение важных данных за пределами компании может быть даже плюсом.

Разграничение ответственности

Задача обеспечение безопасности ложится как на плечи организации, так и провайдера услуг. В итоге организациям приходится полностью доверять поставщику, который не всегда может гарантировать отсутствие неприятностей, о чем и пишет в договоре. Здесь становится важно найти ту четкую границу ответственности каждого и зависит от используемой модели. Например, провайдер IaaS не может отвечать за приложения, устанавливаемые пользователем на VM, а SaaS за корректность доступа со стороны клиента. Но провайдер в любом случае должен гарантировать бесперебойную работу сервиса и базовую защиту, резервирование, мониторинг систем безопасности, разграничение полномочий и то, что пользовательские данные надежно защищены, не попадут в руки посторонним, в том числе и другим клиентам и сотрудникам провайдера (ведь сисадмин провайдера также может иметь доступ к информации). Последнее отнюдь не редкость, даже в случае выбора именитого провайдера. Наиболее известен случай с инженером Google, который пользовался своими правами администратора, чтобы добывать конфиденциальную информацию о частных лицах. К сожалению даже в маркетинговых проспектах безопасность стоит, чуть ли не на последнем месте. Выбрать правильного провайдера в этом случае тяжело. Здесь может помочь сориентироваться наличие сертификатов, данных аудита третьих фирм, да и просто сведений об используемых механизмах защиты. Для ориентирования лучше всего использовать «Опросник оценки состояния безопасности облачной среды» [7] разработанный некоммерческой организацией Cloud Security Alliance. Рекомендации к облачным провайдерам можно также найти в документах Cloud Computing Information Assurance Framework (ENISA), Security Recommendations for Cloud Computing Providers (BSI), The Cloud Security Alliance Consensus Assessments Initiative (Cloud Security Alliance) и Security Assessment Provider Requirements and Customer Responsibilities (NIST). Перевод некоторых из них можно найти на [7].

***

На самом деле не все так плохо. Объединение физических компонентов в логические и автоматизация функций управления в облачных сервисах, позволяют добиться даже большей защищенности, чем традиционная инфраструктура.

Ссылки:

1. 2011 Symantec Virtualization and Evolution to the Cloud Survey — http://goo.gl/hbIYj
2. Сайт разработчика vGate R2 — http://www.securitycode.ru/
3. Сайт разработчика 5nine Антивирус и Virtual Firewall для Hyper-V — http://www.5nine.ru/
4. Статья “Облачные вычисления: Вопросы безопасности в виртуальных облаках” — http://technet.microsoft.com/ru-ru/magazine/hh641415.aspx
5. Web Host Hack Wipes Out Data for 100,000 Sites — http://www.theregister.co.uk/2009/06/08/webhost_attack/
6. National Institute of Standards and Technology’s “Special Publication 800-145, The NIST Definition of Cloud Computing” — http://goo.gl/nVLq7
7. «Опросник оценки состояния безопасности облачной среды» — http://www.risspa.ru/csa

Теги: ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)