Вы находитесь на странице: 1из 24

Реферат по теме

«Облачные вычисления. Проблемы безопасности во всех


аспектах»

работу выполнила:
студентка ИНБИКСТ
группы М07-803
Грязева Данна
Оглавление
Облачные вычисления........................................................................................................................3
Достоинства и недостатки............................................................................................................3
Классификация...............................................................................................................................4
Угрозы в облачной безопасности......................................................................................................6
Угроза 1: утечка данных................................................................................................................6
Угроза 2: компрометация учетных записей и обход аутентификации......................................7
Угроза 3: взлом интерфейсов и API.............................................................................................7
Угроза 4: уязвимость используемых систем...............................................................................8
Угроза 5: кража учетных записей.................................................................................................8
Угроза 7: целевые кибератаки.......................................................................................................9
Угроза 8: перманентная потеря данных.......................................................................................9
Угроза 9: недостаточная осведомленность................................................................................10
Угроза 10: злоупотребление облачными сервисами.................................................................10
Угроза 11: DDoS-атаки................................................................................................................10
Угроза 12: совместные технологии, общие риски....................................................................11
Классификация атак на облака и решения по их устранению....................................................11
Классификация атак на облака...................................................................................................11
Решения по защите от угроз безопасности от компании Cloud Security Alliance (CSA)......13
Защита от внешних атак..............................................................................................................14
Защита от внутренних атак.........................................................................................................21
Заключение........................................................................................................................................22
Список используемых материалов:.................................................................................................24
Облачные вычисления[1]
Облачные вычисления (англ. cloud computing) — технология распределённой
обработки данных, в которой компьютерные ресурсы и мощности
предоставляются пользователю как Интернет-сервис. Предоставление
пользователю услуг как Интернет-сервис является ключевым, однако под
Интернет-сервисом не стоит понимать доступ к сервису только через Интернет,
он может осуществляться также и через обычную локальную сеть с
использованием веб-технологий. Видно, что основой для создания и быстрого
развития облачных вычислительных систем послужили крупные интернет
сервисы, такие как Google, Amazon и др, а так же технический прогресс, что по
сути говорит о том что появление облачных вычислений было всего лишь делом
времени.

Достоинства и недостатки
Достоинства облачных вычислений
• Доступность – облака доступны всем, из любой точки, где есть Интернет,
с любого компьютера, где есть браузер.
• Низкая стоимость
• Гибкость — неограниченность вычислительных ресурсов (память,
процессор, диски), за счет использования систем виртуализации, процесс
масштабирования и администрирования «облаков» становиться
достаточно легкой задачей, так как «облако» самостоятельно может
предоставить вам ресурсы, которые вам необходимы, а вы платите только
за фактическое их использование.
• Безопасность – «облачные» сервисы имеют достаточно высокую
безопасность при должном ее обеспечении, однако при халатном
отношении эффект может быть полностью противоположным.
• Большие вычислительные мощности – как пользователь «облачной»
системы вы можете использовать все ее вычислительные способности,
заплатив только за фактическое время использования.

Недостатки
• Постоянное соединение с сетью – для получения доступа к услугам
«облака» необходимо постоянное соединение с сетью Интернет.
• Программное обеспечение и его кастомизация – есть ограничения по
ПО которое можно разворачивать на «облаках» и предоставлять его
пользователю. Пользователь ПО имеет ограничения в используемом ПО и
иногда не имеет возможности настроить его под свои собственные цели.
• Конфиденциальность – конфиденциальность данных хранимых на
публичных «облаках» в настоящее вызывает много споров, но в
большинстве случаев эксперты сходятся в том, что не рекомендуется
хранить наиболее ценные для компании документы на публичном
“облаке”, так как в настоящее время нет технологии которая бы
гарантировала 100% конфиденциальность хранимых данных.
• Надежность – что касается надежности хранимой информации, то с
уверенностью можно сказать что если вы потеряли информацию
хранимую в “облаке”, то вы ее потеряли навсегда.
• Безопасность – “облако” само по себе является достаточно надежной
системой, однако при проникновении на него злоумышленник получает
доступ к огромному хранилищу данных. Еще один минус это
использование систем виртуализации, в которых в качестве гипервизора
используются ядра стандартные ОС такие, как Linux, Windows и др., что
позволяет использовать вирусы.
• Дороговизна оборудования – для построения собственного облака
компании необходимо выделить значительные материальные ресурсы, что
не выгодно только что созданным и малым компаниям.

Классификация
Что касается предоставляемых услуг, то в настоящее время концепция
облачных вычислений предполагает оказание следующих типов услуг своим
пользователям:
• все как услуга (Everything as a Service);
При таком виде сервиса пользователю будет предоставлено все от
программно аппаратной части и до управлением бизнес процессами,
включая взаимодействие между пользователями, от пользователя
требуется только наличие доступа в сеть Интернет.
• инфраструктура как услуга (Infrastructure as a service);
Пользователю предоставляется компьютерная инфраструктура, обычно
виртуальные платформы (компьютеры) связанные в сеть, которые он
самостоятельно настраивает под собственные цели.
• платформа как услуга (Platform as a service);
Пользователю предоставляется компьютерная платформа, с
установленной операционной системой и с ПО.
• программное обеспечение как услуга (Software as a service);
Данный вид услуги обычно позиционируется как «программное
обеспечение по требованию», это программное обеспечение развернутое
на удаленных серверах и пользователь может получать к нему доступ
посредством Интернета, причем все вопросы обновления и лицензий на
данное программное обеспечение регулируется поставщиком данной
услуги. Оплата в данном случае производиться за фактическое
использование программного обеспечения.
• аппаратное обеспечение как услуга (Hardware as a Service);
В данном случае пользователю услуги предоставляется оборудование, на
правах аренды которое он может использовать для собственных целей.
Данный вариант позволяет экономить на обслуживании данного
оборудования, хотя по своей сути мало чем отличается от вида услуги
«Инфраструктура как сервис» за исключением того что вы имеете голое
оборудование на основе которого разворачиваете свою собственную
инфраструктуру с использованием наиболее подходящего программного
обеспечения.
• рабочее место как услуга (Workplace as a Service);
В данном случае компания использует облачные вычисления для
организации рабочих мест своих сотрудников, настроив и установив все
необходимое программное обеспечение, необходимое для работы
персонала.
• данные как услуга (Data as a Service);
Основная идея данного вида услуги заключается в том, что пользователю
предоставляется дисковое пространство, которое он может использовать
для хранения больших объемов информации.
• безопасность как сервис (Security as a Service).
Данный вид услуги предоставляет возможность пользователям быстро
развертывать, продукты позволяющие обеспечить безопасное
использование веб-технологий, безопасность электронной переписки, а
также безопасность локальной системы, что позволяет пользователям
данного сервиса экономить на развертывании и поддержании своей
собственной системы безопасности.
В настоящее время выделяют три категории «облаков»:
• Публичное облако — это ИТ-инфраструктура используемое
одновременно множеством компаний и сервисов. Пользователи данных
облаков не имеют возможности управлять и обслуживать данное облако,
вся ответственность по этим вопросам возложена на владельца данного
облака. Примеры: онлайн сервисы Amazon EC2 и Simple Storage Service
(S3), Google Apps/Docs, Salesforce.com, Microsoft Office Web.
• Частное облако — это безопасная ИТ-инфраструктура, контролируемая и
эксплуатируемая в интересах одной-единственной организации.
Организация может управлять частным облаком самостоятельно или
поручить эту задачу внешнему подрядчику. Инфраструктура может
размещаться либо в помещениях заказчика, либо у внешнего оператора,
либо частично у заказчика и частично у оператора. Идеальный вариант
частного облака это облако развернутое на территории организации,
обслуживаемое и контролируемое ее сотрудниками.
• Гибридное облако — это ИТ- инфраструктура использующая лучшие
качества публичного и приватного облака, при решении поставленной
задачи. Часто такой тип облаков используется, когда организация имеет
сезонные периоды активности, другими словам, как только внутренняя
ИТ-инфраструктура не справляется с текущими задачами, часть
мощностей перебрасывается на публичное облако, а также для
предоставления доступа пользователям к ресурсам предприятия (к
частному облаку) через публичное облако.

Угрозы в облачной безопасности[2]


Поговорим об угрозах облачной безопасности, рассмотрев те, с которыми
сталкиваются организации, использующие облачные сервисы. Как известно,
количество облачных миграций с каждым годом растет, а вопрос безопасности
по-прежнему остается серьезной темой.

Угроза 1: утечка данных


Облако подвергается тем же угрозам, что и традиционные инфраструктуры. Из-
за большого количества данных, которые сегодня часто переносятся в облака,
площадки облачных хостинг-провайдеров становятся привлекательной целью
для злоумышленников. При этом серьезность потенциальных угроз напрямую
зависит от важности и значимости хранимых данных. Раскрытие персональной
пользовательской информации, как правило, получает меньшую огласку,
нежели раскрытие медицинских заключений, коммерческих тайн, объектов
интеллектуальной собственности, что наносит значительный ущерб репутации
отдельно взятой компании. При утечке данных организацию ожидают штрафы,
иски или уголовные обвинения, а также косвенные составляющие в виде
ущерба для бренда и убытков для бизнеса, которые приводят к необратимым
последствиям и затяжным процедурам восстановления имиджа компании.
Поэтому облачные поставщики стараются обеспечивать должный контроль и
защиту данных в облачном окружении. Чтобы минимизировать риски и угрозы
утечки данных, рекомендуется использовать многофакторную аутентификацию
и шифрование.

Угроза 2: компрометация учетных записей и обход аутентификации


Утечка данных зачастую является результатом небрежного отношения к
механизмам проверки подлинности, например: использование слабых паролей
или ненадлежащее управление ключами шифрования и сертификатами. Кроме
того, организации сталкиваются с проблемами управления правами и
разрешениями, когда конечным пользователям назначаются гораздо большие
полномочия, чем в действительности необходимо. Проблема встречается и
тогда, когда пользователь переводится на другую должность или увольняется.
Мало кто торопится перераспределять полномочия согласно новым ролям
пользователя. В результате учетная запись содержит гораздо большие
возможности, чем требуется.
Пример: крупнейшей утечкой данных в первой половине 2015 года стала атака с
целью хищения идентификационных данных клиентов Anthem Insurance. Атаку
оценили в 10 баллов по Индексу критичности, было скомпрометировано более
80 миллионов учетных записей, что составило одну треть от общего числа
данных, похищенных за первое полугодие 2015 года.
Рекомендуется использовать механизмы многофакторной
аутентификации(MFA), включая одноразовые пароли, токены, смарт-карты,
USB-ключи. Это позволит защитить облачные сервисы, поскольку применение
озвученных методов усложняет процесс компрометации паролей.

Угроза 3: взлом интерфейсов и API


Сегодня облачные сервисы и приложения немыслимы без удобного
пользовательского интерфейса. От того, насколько хорошо проработаны
механизмы контроля доступа, шифрования в API, зависит безопасность и
доступность облачных сервисов. При взаимодействии с третьей стороной,
использующей собственные интерфейсы API, риски значительно возрастают,
потому что требуется предоставлять дополнительную информацию, вплоть до
логина и пароля пользователя. Слабые с точки зрения безопасности интерфейсы
становятся слабым местом в вопросах доступности, конфиденциальности,
целостности и безопасности.
Рекомендуется организовать надлежащий контроль доступа, использовать
инструменты защиты и раннего обнаружения угроз. Умение моделировать
угрозы и находить решения — достойная профилактика от взломов. Кроме того,
рекомендуется выполнять проверку безопасности кода и запускать тесты на
проникновение.

Угроза 4: уязвимость используемых систем


Уязвимость используемых систем — проблема, встречающаяся в
мультиарендных облачных средах. К счастью, она минимизируется путем
правильно подобранных методов управления ИТ. Лучший вариант: регулярное
сканирование на выявление уязвимостей, применение последних патчей и
быструю реакцию на сообщения об угрозах безопасности.
Распространена ошибка, когда при использовании облачных решений в модели
IaaS компании уделяют недостаточно внимания безопасности своих
приложений, которые размещены в защищенной инфраструктуре облачного
провайдера. Уязвимость самих приложений становится слабым местом в
безопасности корпоративной инфраструктуры.

Угроза 5: кража учетных записей


Фишинг, мошенничество, эксплойты встречаются и в облачном окружении.
Добавим сюда угрозы в виде попыток манипулирования транзакциями и
изменение данных. Необходимо запретить совместное использование учетных
записей пользователей и служб, а также обратить внимание на механизмы
многофакторной аутентификации. Сервисные аккаунты и учетные записи
пользователей необходимо контролировать, детально отслеживая выполняемые
транзакции. Главное — обеспечить защиту учетных записей от кражи.
Угроза 6: инсайдеры-злоумышленники
Угроза может исходить от нынешних или бывших сотрудников, системных
администраторов, подрядчиков или партнеров по бизнесу. Инсайдеры-
злоумышленники преследуют разные цели, начиная от кражи данных до
желания просто отомстить. В случае с облаком цель может заключаться в
полном или частичном разрушении инфраструктуры, получении доступа к
данным и прочем. Рекомендуется позаботиться о механизмах шифрования и
взять под собственный контроль управление ключами шифрования. Не стоит
забывать про логирование, мониторинг и аудит событий по отдельно взятым
учетным записям.

Угроза 7: целевые кибератаки


Целевая кибератака в наше время не редкость. Злоумышленника, задавшегося
целью установить и закрепить собственное присутствие в целевой
инфраструктуре, не так легко обнаружить. Для минимизации рисков и
профилактики подобных угроз поставщики облачных услуг используют
продвинутые средства безопасности. Но помимо современных решений,
требуется понимание сущности и природы такого вида атак.
Рекомендуется проводить специализированное обучение сотрудников по
распознаванию техник злоумышленника, использовать расширенные
инструменты безопасности, уметь правильно управлять процессами, знать о
плановых ответных действиях на инциденты, применять профилактические
методы, повышающие уровень безопасности инфраструктуры.

Угроза 8: перманентная потеря данных

Случаи с потерей данных без возможности восстановления по причине


поставщика услуг крайне редки. Облачные хостинг-провайдеры для
соблюдения мер безопасности рекомендуют отделять пользовательские данные
от данных приложений, сохраняя их в разных местах. Не стоит забывать и про
эффективные методы резервного копирования. Ежедневный бэкап и хранение
резервных копий на внешних альтернативных защищенных площадках
особенно важны для облачных сред.
Кроме того, если клиент шифрует данные до размещения в облаке, стоит
заранее позаботиться о безопасности хранения ключей шифрования. Как только
они попадают в руки злоумышленнику, с ними становятся доступны и сами
данные, потеря которых может вызвать серьезные последствия.
Угроза 9: недостаточная осведомленность

Организации, которые переходят в облако без понимания облачных


возможностей, сталкиваются с рисками. Если, к примеру, команда
разработчиков со стороны клиента недостаточно знакома с особенностями
облачных технологий и принципами развертывания облачных приложений,
возникают операционные и архитектурные проблемы.

Необходимо понимать функционирование облачных сервисов, предоставляемых


поставщиком услуг. Это поможет ответить на вопрос, какие риски берет на себя
компания, заключая договор с хостинг-провайдером.

Угроза 10: злоупотребление облачными сервисами

Облака могут использоваться легитимными и нелегитимными организациями.


Цель последних — использовать облачные ресурсы для совершения
злонамеренных действий: запуска DDoS-атак, отправки спама, распространения
вредоносного контента и т.д. Поставщикам услуг крайне важно уметь
распознавать таких участников, для чего рекомендуется детально изучать
трафик и использовать инструменты мониторинга облачных сред.

Угроза 11: DDoS-атаки

Несмотря на то что DoS-атаки имеют давнюю историю, развитие облачных


технологий сделало их более распространенными. В результате DoS-атак может
сильно замедлиться или вовсе прекратиться работа значимых для бизнеса
компании сервисов. Известно, что DoS-атаки расходуют большое количество
вычислительных мощностей, за использование которых будет платить клиент.
Несмотря на то что принципы DoS-атак, на первый взгляд, просты, необходимо
понимать их особенности на прикладном уровне: они нацелены на уязвимости
веб-серверов и баз данных. Облачные поставщики, безусловно, лучше
справляются с DoS-атаками, чем отдельно взятые клиенты.
Угроза 12: совместные технологии, общие риски

Уязвимости в используемых технологиях — достаточная угроза для облака.


Поставщики облачных услуг предоставляют виртуальную инфраструктуру,
облачные приложения, но если на одном из уровней возникает уязвимость, она
влияет на все окружение. Рекомендуется использовать стратегию «защиты в
глубину», внедрять механизмы многофакторной аутентификации, системы
обнаружения вторжений, придерживаться концепции сегментирования сети и
принципа предоставления наименьших привилегий.

Классификация атак на облака и решения по их


устранению

Классификация атак на облака[3][4]


1. Традиционные атаки на ПО

Уязвимости операционных систем, модульных компонентов, сетевых


протоколов и др — традиционные угрозы, для защиты от которых достаточно
установить межстевой экран, firewall, антивирус, IPS и другие компоненты,
решающие данную проблему. При этом важно, чтобы данные средства защиты
эффективно работали в условиях виртуализации.

2. Функциональные атаки на элементы облака

Этот тип атак связан с многослойностью облака, общим принципом


безопасности. В статье об опасности облаков было предложено следующее
решение: Для защиты от функциональных атак для каждой части облака
необходимо использовать следующие средства защиты: для прокси –
эффективную защиту от DoS-атак, для веб-сервера — контроль целостности
страниц, для сервера приложений — экран уровня приложений, для СУБД —
защиту от SQL-инъекций, для системы хранения данных – правильные бэкапы
(резервное копирование), разграничение доступа. В отдельности каждые из
этих защитных механизмов уже созданы, но они не собраны вместе для
комплексной защиты облака, поэтому задачу по интеграции их в единую
систему нужно решать во время создания облака.
3. Атаки на клиента

Большинство пользователей подключаются к облаку, используя браузер. Здесь


рассматриваются такие атаки, как Cross Site Scripting, «угон» паролей,
перехваты веб-сессий, «человек посредине» и многие другие. Единственная
защита от данного вида атак является правильная аутентификация и
использование шифрованного соединения (SSL) с взаимной аутентификацией.
Однако, данные средства защиты не очень удобны и очень расточительны для
создателей облаков. В этой отрасли информационной безопасности есть еще
множество нерешенных задач.

4. Атаки на гипервизор

Гипервизор является одним из ключевых элементов виртуальной системы.


Основной его функцией является разделение ресурсов между виртуальными
машинами. Атака на гипервизор может привести к тому, что одна виртуальная
машина сможет получить доступ к памяти и ресурсам другой. Также она
сможет перехватывать сетевой трафик, отбирать физические ресурсы и даже
вытеснить виртуальную машину с сервера. В качестве стандартных методов
защиты рекомендуется применять специализированные продукты для
виртуальных сред, интеграцию хост-серверов со службой каталога Active
Directory, использование политик сложности и устаревания паролей, а также
стандартизацию процедур доступа к управляющим средствам хост-сервера,
применять встроенный брандмауэр хоста виртуализации. Также возможно
отключение таких часто неиспользуемых служб как, например, веб-доступ к
серверу виртуализации.

5. Атаки на системы управления

Большое количество виртуальных машин, используемых в облаках требует


наличие систем управления, способных надежно контролировать создание,
перенос и утилизацию виртуальных машин. Вмешательство в систему
управления может привести к появлению виртуальных машин — невидимок,
способных блокировать одни виртуальные машины и подставлять другие.
Решения по защите от угроз безопасности от компании
Cloud Security Alliance (CSA)[5][6]

Наиболее эффективные способы защиты в области безопасности облаков


опубликовала организация Cloud Security Alliance (CSA). Проанализировав
опубликованную компанией информацию, были предложены следующие
решения.

1. Сохранность данных. Шифрование

Шифрование – один из самых эффективных способов защиты данных.


Провайдер, предоставляющий доступ к данным должен шифровать
информацию клиента, хранящуюся в ЦОД(Центр обработки данных), а также в
случае отсутствия необходимости, безвозвратно удалять.

2. Защита данных при передаче

Зашифрованные данные при передаче должны быть доступны только после


аутентификации. Данные не получится прочитать или сделать изменения, даже
в случаи доступа через ненадежные узлы. Такие технологии достаточно
известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно
используются провайдерами.

3. Аутентификация

Аутентификации — защита паролем. Для обеспечения более высокой


надежности, часто прибегают к таким средствам, как токены и сертификаты.
Для прозрачного взаимодействия провайдера с системой индетификациии при
авторизации, также рекомендуется использовать LDAP (Lightweight Directory
Access Protocol) и SAML (Security Assertion Markup Language).

4. Изоляция пользователей

Использование индивидуальной виртуальной машины и виртуальную сеть.


Виртуальные сети должны быть развернуты с применением таких технологий,
как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS
(Virtual Private LAN Service). Часто провайдеры изолируют данные
пользователей друг от друга за счет изменения данных кода в единой
программной среде. Данный подход имеет риски, связанные с опасностью
найти дыру в нестандартном коде, позволяющему получить доступ к данным. В
случаи возможной ошибки в коде пользователь может получить данные другого.
В последнее время такие инциденты часто имели место.

Защита от внешних атак


Для защиты от внешних атак используются следующие средства:
• Межсетевой экран(Network Firewall, или «фаерволл») – элемент сети,
осуществляющий контроль и фильтрацию проходящего через него
трафика в соответствии с заданными правилами. В функционал
межсетевого экрана входит ограничение доступа извне к внутренней сети,
разграничение доступа пользователей защищаемой сети к внешним
ресурсам. Спросите у провайдера, какой именно «фаерволл» он
использует – сетевой фильтр (самый простой) или межсетевой экран
второго поколения (stateful firewall).
• Экран для защиты веб-приложений WAF(Web-application Firewall).
Его не надо путать с обычным «межсетевым экраном» (network firewall)
или «системой предотвращения вторжений» IPS. Веб-приложения
отличаются от обычных тем, что они располагаются в облаке, а не в
собственной ИТ-системе предприятия. Они работают через Интернет и
активно обмениваются данными, которые можно перехватить. Это создаёт
ряд угроз, с которыми традиционные межсетевые экраны не справляются.
Бòльшая часть атак на корпоративные сети в облаке осуществляется
именно через веб-приложения. WAF, защитный экран для приложений,
передающих данные через протоколы HTTP и HTTPS, должен
обеспечивать сигнатурный анализ атак, автоматическое обучение,
поведенческий анализ, защиту данных пользователей, сканирование
уязвимостей, виртуальный патчинг, корреляционный анализ
последовательностей атак.
• Системы обнаружения вторжений IDS(Intrusion Detection System) и
системы предотвращения вторжений IPS(Intrusion Prevention System).
[7]IDS— программное или аппаратное средство, предназначенное для
выявления фактов неавторизованного доступа в компьютерную систему
или сеть либо несанкционированного управления ими в основном через
Интернет.
Системы обнаружения вторжений используются для обнаружения
некоторых типов вредоносной активности, которая может нарушить
безопасность компьютерной системы. К такой активности относятся
сетевые атаки против уязвимых сервисов, атаки, направленные на
повышение привилегий, неавторизованный доступ к важным файлам, а
также действия вредоносного программного обеспечения (компьютерных
вирусов, троянов и червей)
Обычно архитектура IDS включает:
• Сенсорную подсистему, предназначенную для сбора событий, связанных
с безопасностью защищаемой системы
• Подсистему анализа, предназначенную для выявления атак и
подозрительных действий на основе данных сенсоров
хранилище, обеспечивающее накопление первичных событий и
результатов анализа
• Консоль управления, позволяющая конфигурировать IDS, наблюдать
за состоянием защищаемой системы и IDS, просматривать выявленные
подсистемой анализа инциденты
Во многих простых IDS все компоненты реализованы в виде одного
модуля или устройства.
Классификация IDS:
• Сетевая IDS (Network-based IDS, NIDS)отслеживает вторжения, проверяя
сетевой трафик и ведет наблюдение за несколькими хостами.
• Основанная на протоколе IDS(Protocol-based IDS, PIDS)представляет
собой систему (либо агента), которая отслеживает и анализирует
коммуникационные протоколы со связанными системами или
пользователями.
• Основанная на прикладных протоколах IDS (Application Protocol-based
IDS, APIDS) — это система (или агент), которая ведет наблюдение и
анализ данных, передаваемых с использованием специфичных для
определенных приложений протоколов. Например, на веб-сервере с SQL
базой данных IDS будет отслеживать содержимое SQL команд,
передаваемых на сервер.
• Узловая IDS(Host-based IDS, HIDS) — система (или агент),
расположенная на хосте, отслеживающая вторжения, используя анализ
системных вызовов, логов приложений, модификаций файлов
(исполняемых, файлов паролей, системных баз данных), состояния хоста
и прочих источников. Примером является OSSEC.
Гибридная IDS совмещает два и более подходов к разработке IDS. В
качестве примера гибридной IDS можно привести Prelude.

Пассивные и активные системы обнаружения вторжений:


В пассивной IDS при обнаружении нарушения безопасности информация
о нарушении записывается в лог приложения, а также сигналы опасности
отправляются на консоль и/или администратору системы по
определенному каналу связи.
В активной системе, также известной как Система Предотвращения
Вторжений (IPS— Intrusion Prevention system), IDS ведет ответные
действия на нарушение, сбрасывая соединение или перенастраивая
межсетевой экран для блокирования трафика от злоумышленника.
Ответные действия могут проводиться автоматически либо по команде
оператора.
Сравнение IDS и межсетевого экрана
Системы IDS, в отличие от межсетевого экрана, осуществляют так
называемый «глубокий анализ пакетов» DPI(Deep Packet Inspection).
Межсетевой экран отличается тем, что ограничивает поступление на хост
или подсеть определенных видов трафика для предотвращения вторжений
и не отслеживает вторжения, происходящие внутри сети. IDS пропускает
трафик, анализируя его и сигнализируя при обнаружении подозрительной
активности. Обнаружение нарушения безопасности проводится обычно с
использованием эвристических правил и анализа сигнатур известных
компьютерных атак.
[8]IPS — программная или аппаратная система сетевой и компьютерной
безопасности, обнаруживающая вторжения или нарушения безопасности
и автоматически защищающая от них.
Системы IPS можно рассматривать как расширение систем обнаружения
вторжений (IDS), так как задача отслеживания атак остается одинаковой.
Однако они отличаются тем, что IPS должна отслеживать активность в
реальном времени и быстро реализовывать действия по предотвращению
атак. Возможные меры — блокировка потоков трафика в сети, сброс
соединений, выдача сигналов оператору.

Методы реагирования на атаки

После начала атаки


Методы реализуются уже после того, как была обнаружена
информационная атака. Это значит, что даже в случае успешного
предотвращения атаки, защищаемой системе может быть нанесён ущерб.
• Блокирование соединения
Если для атаки используется TCP-соединение, то реализуется его
закрытие с помощью посылки каждому или одному из участников TCP-
пакета с установленным флагом RST. В результате злоумышленник
лишается возможности продолжать атаку, используя это сетевое
соединение. Данный метод, чаще всего, реализуется с помощью
имеющихся сетевых датчиков.
• Блокирование записей пользователей
Если несколько учётных записей пользователей были скомпрометированы
в результате атаки или оказались их источниками, то осуществляется их
блокирование хостовыми датчиками системы. Для блокировки датчики
должны быть запущены от имени учётной записи, имеющей права
администратора. Также блокирование может происходить на заданный
срок, который определяется настройками Системы предотвращения
вторжений.
• Блокирование хоста компьютерной сети
Если с одного из хостов была зафиксирована атака, то может быть
произведена его блокировка хостовыми датчиками или блокирование
сетевых интерфейсов либо на нём, либо на маршрутизаторе или
коммутаторе, при помощи которых хост подключён к сети.
Разблокирование может происходить спустя заданный промежуток
времени или при помощи активации администратора безопасности.
Блокировка не отменяется из-за перезапуска или отключения от сети
хоста. Так же для нейтрализации атаки можно блокировать цель, хост
компьютерной сети
• Блокирование атаки с помощью межсетевого экрана
IPS формирует и отсылает новые конфигурации в МЭ, по которым экран
будет фильтровать трафик от нарушителя. Такая реконфигурация может
происходить в автоматическом режиме с помощью стандартов OPSEC
(например SAMP, CPMI).
Для МЭ, не поддерживающих протоколы OPSEC, для взаимодействия с
Системой предотвращения вторжения может быть использован модуль-
адаптер.
• Активное подавление источника атаки
Метод теоретически может быть использован, если другие методы
окажутся бесполезны. IPS выявляет и блокирует пакеты нарушителя, и
осуществляет атаку на его узел, при условии, что его адрес однозначно
определён и в результате таких действий не будет нанесён вред другим
легальным узлам.
Такой метод реализован в нескольких некоммерческих ПО:
• NetBuster предотвращает проникновение в компьютер «Троянского коня».
Он может также использоваться в качестве средства «fool-the-one-trying-
to-NetBus-you» ("обмани того, кто пытается проникнуть к тебе на
«Троянском коне»). В этом случае он разыскивает вредоносную
программу и определяет запустивший её компьютер, а затем возвращает
эту программу адресанту.
• Tambu UDP Scrambler работает с портами UDP. Продукт действует не
только как фиктивный UDP-порт, он может использоваться для
«парализации» аппаратуры хакеров при помощи небольшой программки
UDP flooder.
Так как гарантировать выполнение всех условий невозможно, широкое
применение метода на практике пока невозможно.
В начале атаки
Методы реализуют меры, которые предотвращают обнаруженные атаки
до того как они достигают цели.
• С помощью сетевых датчиков
Сетевые датчики устанавливаются в разрыв канала связи так, чтобы
анализировать все проходящие пакеты. Для этого они оснащаются двумя
сетевыми адаптерами, функционирующими в «смешанном режиме», на
приём и на передачу, записывая все проходящие пакеты в буферную
память, откуда они считываются модулем выявления атак IPS. В случае
обнаружения атаки эти пакеты могут быть удалены.
Анализ пакетов проводится на основе сигнатурного или поведенческого
методов.
• С помощью хостовых датчиков
Удаленные атаки, реализуемые отправкой от злоумышленника серией
пакетов. Защита реализуется с помощью сетевой компоненты IPS по
аналогии с сетевыми датчиками, но в отличие от последних сетевая
компонента перехватывает и анализирует пакеты на различных уровнях
взаимодействия, что даёт предотвращать атаки по криптозащищённым
IPsec- и SSL/TLS соединениям.
Локальные атаки при несанкционированном запуске злоумышленником
программ или других действиях, нарушающих информационную
безопасность. Перехватывая системные вызовы всех приложений и
анализируя их, датчики блокируют те вызовы, которые представляют
опасность.

• Система единого управления угрозами UTM(Unified Threat


Management) или межсетевые экраны нового поколения NGFW(Next
Generation Firewall).
[9]UTM-система — универсальное устройство, решение в сфере
компьютерной безопасности, обеспечивающее мощную комплексную
защиту от сетевых угроз. Эта технология появилась примерно в 2004 году
как реакция на новые изощренные атаки, с которыми привычные
файерволы уже не справлялись. UTM — модификация обыкновенного
файервола, продукт «все включено», объединяющий в себе множество
функций, связанных с обеспечением безопасности, например: система
обнаружения и предотвращения вторжений, межсетевой экран, VPN,
антивирус.

Преимуществом единой системы безопасности является следующее:


вместо того, чтобы администрировать множество отдельных устройств,
каждое из которых в отдельности выполняет роль антивируса, контент-
фильтра, службы предотвращения вторжений (IPS), спам-фильтра и
прочих, предлагается единое UTM-устройство с гибкими настройками,
охватывающее все вышеописанные функции.
Необходимость в UTM-решениях возникла на почве растущего числа
хакерских атак на корпоративные информационные системы с помощью
взлома, вирусов, червей. Новые виды атак нацелены на пользователей как
на самое слабое звено в предприятии.
Сейчас существует множество средств для взлома систем, имеющих
слабую защиту. Таким образом, безопасность данных и
несанкционированный доступ своих же сотрудников к данным стали
основными проблемами, с которыми столкнулись современные компании.
Нарушение конфиденциальности данных в конечном итоге может
привести к большим финансовым потерям. Компании только недавно
начали признавать тот факт, что пренебрежение основами
информационной безопасности среди сотрудников способно привести к
компрометации не подлежащих разглашению данных, находящихся во
внутренней сети предприятия.
Цель создания UTM-системы - предоставить наиболее полный набор
утилит для безопасности в одном продукте, простом в использовании.
Интегрированные решения наподобие UTM-решений развивались по
мере необходимости предупреждать все более новые, сложные,
смешанные сетевые угрозы.
Достоинства:
Уменьшение количества устройств. Одно устройство, один
производитель.
Сокращение количества разнообразного программного обеспечения, а
следовательно и расходов на его поддержку.
Простое управление. Расширяемая архитектура, веб-интерфейс для
управления настройками.
Более быстрое обучение, необходимое для работы с одним устройством.

Недостатки:
UTM является единой точкой отказа. Тем не менее, вероятность отказа
такого устройства невелика.
Возможно влияние на время отклика и пропускную способность сети,
если UTM-устройство не поддерживает максимально возможную в сети
скорость передачи траффика.

NGFW (next generation firewall) - "фаервол следующего поколения".


Данное устройство очень схоже с UTM, имеет практически такую же
функциональность. Первоначально создавалось как попытка объединить
фильтрацию по портам и протоколам с функциональностью IPS и
возможностью обработки траффика на уровне приложений. Со временем
были добавлены и другие функции. NGFW создавался для крупных
предприятий, в отличие от UTM-решений, которые рассчитывались для
среднего бизнеса.

• Неплохо также провести тестирование облачной системы провайдера


на преодоление защиты(penetration testing), то есть моделирование
атаки извне с целью выявления «слабых» мест в облачной ИТ-
инфраструктуре.

Защита от внутренних атак

Внутренние угрозы – это, прежде всего, вирусы в облачной ИТ-системе (они,


конечно, не сами заводятся в облаке, а попадают в систему извне, но если их не
удалось выявить вышеописанными средствами, будем считать их внутренними).
К внутренним угрозам также следует отнести различные возможности для
утечек информации.

Для защиты от внутренних угроз используются следующие средства:


• Программные средства антивирусной защиты. Эти средства
используются для обнаружения и блокировки вирусов, других
вредоносных программ, которые могут повредить данные, похитить их
или сделать непригодными для использования. В функционал
антивирусов входит сканирование на наличие вирусных сигнатур
(фрагментов кода вирусной программы), сканирование подозрительных
команд и программ и т.д., а также их блокировка и деактивация.
Антивирус необходимо постоянно поддерживать в актуальном состоянии,
т.е. обновлять базу данных возможных сигнатур вирусов. Это входит в
обязанности облачного провайдера, и, если он этого не делает,
сотрудничество с ним можно прекращать.
• Средства для предотвращения утечек DLP (Data Leak Prevention). Эти
программные или программно-аппаратные средства защищают от
возможных утечек конфиденциальных данных из информационной
системы. DLP-системы строятся на основе анализа потоков данных,
пересекающих границу (периметр) ИС. При обнаружении в этом потоке
конфиденциальной информации, которую нельзя передавать вовне,
должна срабатывать блокировка передачи сообщений. В функционал DLP
входит контроль доступа к системе, запись и передача администраторам
облачной ИТ-системы заказчика логов (журналов) событий.
• Различные средства (устройства, приборы, технические системы) для
защиты информации. В их функционал входит создание доверенной
среды, контроль подключения внешних устройств, разграничение прав
доступа, контроль целостности операционной системы и т.д.

Существуют также общие средства защиты как от внутренних, так и от


внешних атак:

• Средства обеспечения безопасности информации и управления


событиями SIEM(Security Information and Event Management).
Система SIEM должна собирать, анализировать и представлять
информацию из сетевых устройств и устройств безопасности. В SIEM
входят приложения для управления идентификацией и доступом,
инструменты управления уязвимостями и базы данных и приложений.
SIEM должна иметь возможность в реальном времени отправлять
предупреждения на основе предварительных настроек, генерировать
отчёты и собирать события для последующего аудита. Необходима также
опция просмотра данных с разным уровнем детализации.
• Кроме того, облачный провайдер должен обладать определённым
набором организационно-распорядительной документации (ОРД),
включая сертификаты по ИБ. И чем она детальнее и конкретнее, тем
лучше.

Заключение

Следует отметить, что для защиты ИТ-системы в облаке необходимо применять


комплексные решения, а не какой-то один из описанных выше способов.
Важно соблюдать и элементарные средства «информационной гигиены».
Любые новейшие средства WAF, IPS/IDS, межсетевые экраны и т.д. будут
бессильны перед злонамеренными или просто беспечными действиями
сотрудников предприятия. Если сотрудник записал свой пароль на листочке и
приклеил его на монитор, инсайдеру обеспечен доступ во внутреннюю ИТ-
инфраструктуру компании. Это самый простой пример. Никакие WAF и SIEM
не помогут и в случае, когда сотрудник записывает конфиденциальную
информацию на «флешку» либо другой носитель и уносит домой, желая
поработать сверхурочно.

В отдельных странах для госслужащих выработаны правила по


информационной безопасности. К примеру, в Австралии регламент
предусматривает несколько десятков позиций, в том числе обязательное
обновление антивируса, запрет на использование посторонних флешек,
регулярную смену пароля и т.п. Статистика показывает, что соблюдение только
нескольких первых пунктов уже помогает предотвратить до 80-90% инцидентов
информационной безопасности. Таким образом, дисциплина – это основной
фактор обеспечения ИБ, а технические средства – важное дополнение,
необходимое для контроля внешнего и внутреннего периметра.
Список используемых материалов:

Библиография
1: , Облачные вычисления, , https://ru.wikipedia.org/wiki/Облачные_вычисления
2: Fahmida Y. Rashid, The top 12 cloud security threats,
3: Мурад Мустафаев, Атаки на облачные сервисы и технологии защиты от них,
4: , Угрозы безопасности в облаке,
5: С.А.Климачев, К вопросу безопастности облачных вычислений,
6: М.Я. Беккер, Ю.А. Гатчин, Н.С. Кармановский, А.О. Тереньтьев,
Д.Ю.Федоров, Информационная безопасность при облачных вычислениях.
Пробелемы и перспективы,
7: , Система обнаружения вторжений, ,
https://ru.wikipedia.org/wiki/Система_обнаружения_вторжений
8: , Система предотвращения вторжений, ,
https://ru.wikipedia.org/wiki/Система_предотвращения_вторжений
9: , Unified threat management , ,
https://ru.wikipedia.org/wiki/Unified_threat_management