USD 92.26 ЕВРО 99.71

Пять предостережений: недостатки защиты облаков

Аналитика

Специалисты по информационной безопасности предлагают задуматься о юридических и технических тонкостях работы с облачными вычислениями

Сейчас во многих компаниях изучают возможность переноса приложений в облако, однако безопасность сервисов, предоставляемых независимыми компаниями, во многом оставляет желать лучшего. Таков был лейтмотив выступлений ряда экспертов по вопросам безопасности на конференции Black Hat Security Conference, состоявшейся в начале августа.

Спад в экономике придал особую актуальность вычислениям в облаке. Недавно созданные компании и небольшие фирмы стремятся сэкономить деньги, используя виртуальные машины в Internet, а более крупные организации переносят такие приложения, как системы управления отношениями с клиентами, на платформы, подобные Salesforce.com. Но компаниям, как считают эксперты, необходимо особенно тщательно контролировать все аспекты безопасности при переносе своей инфраструктуры в облако.

«Небольшие предприятия используют инфраструктуру облака, чтобы сэкономить деньги, но опасность состоит в том, что более крупные компании начинают использовать ее, не проводя никакого аудита», — отметил Харун Меер, технический директор компании SensePost, специализирующейся на вопросах безопасности. Меер рассказал на конференции Black Hat о проведенных его организацией исследованиях некоторых аспектов среды Elastic Compute Cloud (EC2), предоставляемой компанией Amazon.

Исследование показало, что компании зачастую не проверяют экземпляры сторонних машин, предоставляемые некоторыми провайдерами. По словам Меера, можно легко создать фальшивые экземпляры, подобные «троянцам», с тем чтобы получить доступ во внутреннюю сеть компании.

Вот пять главных аспектов, на которые обращали свое внимание выступавшие на конференции Black Hat.

1. Облако обеспечивает более слабую правовую защиту.

Компаниям необходимо понять, что данные в облаке оказываются в меньшей степени защищены в случае каких-либо действий, предпринимаемых правоохранительными и другими структурами. Государственные органы или адвокаты, проводящие расследования, вполне могут получить такие данные без ордера на обыск.

Провайдеры облака больше обеспокоены собственной безопасностью, а не защитой своего клиента, заметил Алекс Стамос, старший консультант по вопросам защиты компании iSec Partners, поэтому, по его словам, не стоит рассчитывать на то, что в соглашениях об уровне обслуживания будет предусмотрена дополнительная юридическая защита вашей компании.

«Все компании, предоставляющие подобные сервисы, имеют очень активные и профессиональные юридические отделы, – отметил Стамос. – А на деле соглашения, которые вы принимаете, когда подписываетесь на эти услуги, не обещают ничего».

По его словам, как правило, клиенту предлагается дать согласие не привлекать провайдера сервиса к ответственности в том случае, если он станет объектом незаконного проникновения из-за ошибки провайдера. Если будут потеряны данные из-за сбоя в центре обработки данных, провайдер не обязан для вас ничего делать.

Уже хорошо, заметил Стамос, если в соглашении будут какие-то слова о том, что в этом случае провайдер попытается помочь вам.

2. Нельзя забывать: вы не являетесь владельцем аппаратного обеспечения.

Компаниям, которые хотят вести аудит своих провайдеров и проводят свое собственное тестирование, необходимо помнить, что аппаратное обеспечение им не принадлежит. Сканирование с целью поиска уязвимых мест или тщательное тестирование требует недвусмысленного разрешения от провайдера сервисов облака, предупреждает Стамос. В противном случае это будет равнозначно тому, что клиент пытается получить неавторизованный доступ к системам провайдера.

Несмотря на то что некоторые соглашения об уровне обслуживания, в том числе и предлагаемые Amazon, указывают, что клиент может проводить тестирование их программного обеспечения, работающего на системах провайдера, крайне важно получить исчерпывающее разрешение.

«Юристы рекомендуют в случае, если требуется запустить в облаке приложения, выполняющие ту или иную проверку, непременно предварительно получить разрешение у компании-провайдера», — добавил Стамос.

3. Необходимы строгие правила работы и обучение пользователей.

Вычисления в облаке дают компаниям огромные преимущества, например возможность получать доступ к данным из любой точки и избавить специалистов по ИТ от проблем, связанных с поддержкой. Однако постоянная готовность к обслуживанию также означает, что атаки фишинга, которым подвергаются сотрудники дома, могут угрожать и компании, в которой они работают.

В силу этого крайне важно, подчеркнул Стамос, информировать пользователей о потенциальных опасностях, которым подвергаются не только они сами, но и их компании.

«Очень трудно объяснить всем пользователям в вашей компании, как не подвергнуться фишингу, но суть дела в том, что при использовании программного обеспечения как сервиса атаки фишинга перестают быть личным делом и становятся вопросом общекорпоративной безопасности», — сказал он.

4. Не следует доверять «чужим» машинам.

Меер считает, что при использовании предоставленной провайдером виртуальной машины, например экземпляров, созданных на инфраструктуре Elastic Cloud Computing (EC2) компании Amazon независимыми фирмами, систему нельзя считать безопасной.

Специалисты SensePost просканировали несколько предварительно сконфигурированных экземпляров и обнаружили в кэш-памяти ключи аутентификации, данные о кредитных картах и потенциально вредоносный код, скрытый в системе. Кроме того, они выяснили, что большинство пользователей даже не задумываются о том, насколько безопасно использовать образ машины, созданный независимым разработчиком.

«Некоторые пользователи полагаются на сервер аутентификации, базирующийся на предварительно сконфигурированных образах», — отметил Меер.

По его словам, компании должны либо создавать свои собственные образы для внутреннего использования, либо защищать себя технически и юридически от потенциально вредоносных продуктов сторонних разработчиков.

5. Стоит пересмотреть свои ожидания.

Во всех случаях, когда речь идет о безопасности, корпоративные менеджеры по информационным технологиям должны изменить свои ожидания в отношении облака.

Например: при развертывании приложения для работы в вычислительном экземпляре в виртуализованном центре обработки данных функции, опирающиеся на генератор случайных чисел, не обязательно будут работать так, как предполагается. Проблема состоит в том, что виртуальные системы обладают значительно меньшей энтропией, чем физические, поэтому, как заметил Стамос, случайные числа могут оказаться предсказуемыми.