Технологии облачных вычислений

 

5.2. Недостатки

1. Необходимость постоянного подключения к сети Интернет или корпоративной сети. В общем случае облачные сервисы требуют постоянного и, как правило, высокоскоростного доступа к глобальной сети Интернет или, в случае эксплуатации частной облачной инфраструктуры, к корпоративной сети. В ряде случаев возможно частичное использование облачных сервисов в условиях отключения от сети. Но при отсутствии доступа к сети пользователь теряет возможность работы со своими файлами и документами. Таким образом, существует высокая зависимость от качества работы каналов связи.
2. Возможное снижение скорости работы приложений. Поскольку для работы облачных сервисов необходима передача всех данных по сети, возможны задержки при работе с такими сервисами, связанные с ограничениями пропускной способности каналов связи, а также с возможными техническими неполадками на пути прохождения пакетов от пользователя к облачной инфраструктуре.
3. Ограниченная функциональность облачных решений. В сравнении со стационарными программными продуктами облачные сервисы, предоставляющие аналогичную функциональность, зачастую обладают ограниченными функциональными возможностями. В качестве примера можно привести различия в функциональных возможностях табличного процессора Microsoft Excel и аналогичного по назначению облачного сервиса, входящего в состав Google Docs.
4. Зависимость сохранности данных от провайдера облачных сервисов. Существенным недостатком облачных технологий является значительная зависимость от надежности и добросовестности провайдера услуг. Общеизвестны факты утери пользовательских данных при закрытии Интернет-компаний, предлагающих услуги по хранению и обработке данных. Тем не менее, риски безвозвратной утери данных при использовании облачных сервисов значительно ниже, чем при эксплуатации персонального компьютера и хранении данных в единственном экземпляре на собственном физическом носителе.
5. Появление провайдеров, захвативших монополию на рынке предоставления того или иного вида услуг в сфере облачных сервисов. Примером может служить компания «Google».

Исходя из перечисленных преимуществ и недостатков облачных технологий, можно следующие выводы. Несомненно, технологии облачных вычислений, хранения и обработки данных обладают серьезными преимуществами в сравнении с соответствующими традиционными вычислительными системами. К числу наиболее значимых преимуществ для конечных пользователей относятся универсальность средств доступа к данным, глобальная доступность и высокая надежность хранения данных. Вместе с тем, существуют и серьезные недостатки, которые необходимо учитывать при работе с критически важными или конфиденциальными данными. Кроме того, облачные технологии фактически недоступны для массового использования в регионах со слаборазвитой инфраструктурой ввиду ограничений, связанных с доступом в глобальную сеть Интернет. Тем не менее, подобные недостатки облачных сервисов постепенно нивелируются развитием телекоммуникационных средств. Ограничения же, связанные с необходимостью сохранения конфиденциальности и защищенности данных, как уже упоминалось, могут быть устранены развертыванием собственных облачных инфраструктур.

 

6. Безопасность облачных вычислений

Важнейшим вопросом при использовании облачных инфраструктур является обеспечение информационной безопасности. Любая уязвимость в ПО облачной инфраструктуры может нанести непоправимый ущерб данным. Рассмотрим основные угрозы информационной безопасности, характерные для технологий облачных вычислений и обработки данных.

 

 

 

6.1. Неправомерное использование облачных технологий 
и злоупотребление ресурсами

Особенностью IaaS-провайдеров является фактически неограниченный объем вычислительных ресурсов, выделяемых пользователям; при этом их выделение происходит прозрачно и максимально быстро. Зачастую процесс выделения новых ресурсов связан с подключением к системе нового пользователя. Уязвимости в системе регистрации пользователей публичных облачных сервисов могут привести к злоупотреблениям системными ресурсами и их бесконтрольному использованию. В связи с этим в настоящее время применяются расширенные средства проверки подлинности новых пользователей, в частности регистрация только с использованием банковской карты или номера мобильного телефона.

Кроме того, в случае возможности автоматических регистраций облачная инфраструктура может стать площадкой для создания сервисов взлома паролей, атак типа DDoS, размещения вредоносного кода, ботнет-сетей и иной незаконной деятельности.

Данная проблема потенциально влечет за собой включение адресного пространства провайдера услуг в различные «черные списки», что вызывает трудности при работе с почтовыми сервисами и иными сервисами глобальной сети Интернет.

Широко известны примеры эксплуатации подобных уязвимостей, в частности, случаи размещения ботнет-сетей и вирусов.

Данная угроза информационной безопасности затрагивает как IaaS-, так и PaaS-провайдеров и может быть устранена следующими способами:

• Усовершенствованием процедур регистрации пользователей и их верификации.
• Постоянным мониторингом сетевой активности сервиса.
• Контролем за фактами включения адресного пространства подсетей поставщика услуг в «черные списки».

 

6.2. Уязвимости в программных интерфейсах (API)

Доступ к облачным сервисам в общем случае осуществляется через веб-интерфейсы либо иные программные интерфейсы. Поскольку процесс взаимодействия с сервисом полностью контролируется программным интерфейсом, от его безопасности и защищенности зависит безопасность функционирования сервиса в целом. Кроме того, важное значение имеет безопасность передачи данных от пользователя к сервису. Таким образом, значительное внимание при проектировании и разработки облачного сервиса должно быть уделено вопросам аутентификации и авторизации, проверке пользовательских данных и их шифрованию и т. п. с целью обеспечения максимального уровня защищенности от различного типа атак, направленных на эксплуатацию уязвимостей интерфейса пользователя и алгоритмов передачи данных.

Примером уязвимостей подобного рода являются возможность анонимного доступа к сервису, передача учетных данных в незашифрованном виде и т. п. Кроме того, косвенное влияние на безопасность программных интерфейсов и средств взаимодействия оказывают ограниченные возможности средств мониторинга запросов к программным интерфейсам, отсутствие средств журналирования и отсутствие тщательного контроля за взаимодействием с внешними сервисами.

Уязвимости в программных интерфейсах характерны для всех типов провайдеров облачных сервисов. Для устранения подобных уязвимостей необходимы тщательная проработка модели безопасности сервиса, использование устойчивых алгоритмов шифрования данных и надежных методов авторизации, тщательных контроль внешних взаимосвязей.

 

6.3. Внутренние злоупотребления

Как и в большинстве коммерческих компаний, в организациях, предоставляющих услуги облачных сервисов, остро стоит проблема злоупотребления должностными полномочиями. Например, большинство провайдеров не уделяют должного внимания контролю активности сотрудников, что может повлечь за собой неправомерное получение доступа к данным клиентам. В случае крупных провайдеров, обслуживающих корпоративных и правительственных клиентов, актуальна проблема наличия потенциальной возможности внедрения в коллектив сотрудников компании-провайдера злоумышленников, имеющих целью дискредитацию организации или хищение конфиденциальных данных.

Данная проблема затрагивает всех провайдеров облачных сервисов и может быть решена следующими способами:

• Внедрением строгих правил закупки оборудования и использованием надежных и функциональных систем обнаружения попыток несанкционированного доступа.
• Строгим регламентом порядка найма сотрудников, отраженным в том числе в публичных соглашениях об использовании услуг провайдера, заключаемых с конечными пользователями.
• Созданием прозрачной системы обеспечения безопасности наряду с регулярной публикацией отчетов об аудите информационной безопасности внутренней производственной деятельности провайдера.

 

6.4. Технологические ограничения

Спецификой функционирования облачных сервисов типа IaaS является виртуализация вычислительных процессов и аппаратных ресурсов. Однако зачастую аппаратные средства изначально спроектированы без учета ориентации на работу с разделяемыми ресурсами. Для минимизации аппаратных конфликтов, связанных с использованием систем виртуализации, в систему внедряется гипервизор, управляющий доступом виртуальных машин к физическим аппаратным ресурсам. Тем не менее, это порождает возможность возникновения разнообразных уязвимостей в функционировании гипервизора, эксплуатация которых может привести к повышению привилегий пользователя или получению неправомерного доступа к физическому оборудованию.

Для защиты системы от подобного рода угроз необходимо внедрение механизмов изоляции виртуальных сред и средств обнаружения сбоев.

Устранение или минимизация влияния данных угроз могут быть выполнены следующими способами:

• Использованием самых последних версий систем виртуализации.
• Повсеместным использованием систем контроля доступа к оборудованию, разработкой и соблюдением строгого регламента на проведение административных работ.
• Ужесточением требований к длительности процедур обновления критического системного ПО.
• Регулярным выполнением сканирования на наличие уязвимостей системного ПО.

 

6.5. Потеря или утечка данных

Потенциальной уязвимостью любой облачной инфраструктуры является возможность потери или утечки данных. Из-за распределенного характера процессов хранения и обработки данных существует большое число потенциальных проблем, способных привести к нарушению целостности данных. Например уничтожение или изменение ключа шифрования, приведет к невозможности расшифровки и использования зашифрованных данных. Возможны также удаление данных или их части, неправомерный доступ к информации, выход из строя физических носителей, неправильное применение правил аутентификации и методов шифрования и т. п. В распределенной облачной инфраструктуре вероятность возникновения подобных событий возрастает пропорционально числу физических узлов.

Для защиты от подобных угроз применяются следующие подходы:

1. Использование надежных и безопасных программных интерфейсов.
2. Шифрование и защита данных.
3. Анализ модели обеспечения защищенности данных на всех этапах проектирования и функционирования системы.
5. Внедрение надежной системы управления ключами шифрования.
6. Тщательный выбор устройств хранения данных.
7. Распределенное хранение данных и регулярное резервное копирование.

 

6.6. Неправомерный доступ к сервису

Наиболее известными угрозами безопасности при работе с онлайн-сервисами являются возможность кражи регистрационных данных и неправомерное использование сервиса от лица пользователя, ставшего жертвой хищения данных. В случае облачных сервисов неправомерный доступ к сервису третьими лицами увеличивает риск использования персональных данных, пользовательских файлов и документов, хранящихся в облачной инфраструктуре. Во многих случаях несанкционированный доступ к конфиденциальным данным влечет за собой репутационные проблемы и раскрытие коммерческой тайны, что является недопустимым для корпоративных клиентов.

С целью увеличения защищенности от подобных угроз применяются различные средства обеспечения безопасной авторизации и работы пользователей, включая запрет на передачу учетных записей, двухфакторные методы авторизации, проактивный мониторинг доступа пользователей и др. Кроме того, важное значение имеет тщательная проработка модели обеспечения информационной безопасности на этапе проектирования облачного сервиса.

 

6.7. Прочие уязвимости

Существуют различные косвенные уязвимости в технологиях облачных вычислений и обработки данных, обусловленные спецификой функционирования облачных сервисов. Одной из подобных уязвимостей является необходимость контроля за распространением сведений о внутренней структуре аппаратных средств, реализующих облачный сервис. В частности, необходимы строгий контроль за раскрытием деталей реализации сервиса в рекламных материалах, контроль информационных утечек и недопущение внешнего доступа к физической инфраструктуре компании. Вместе с тем, необходимо соблюдать баланс между степенью закрытости информации о внутренних производственных процессах провайдера и уровнем распространения сведений о сервисе, необходимых клиентам для принятия решений о целесообразности использования услуг данного провайдера. Это связано с тем, что чрезмерная закрытость компании не способствует повышению доверия к ней со стороны существующих и потенциальных клиентов, неспособных оценить функциональные особенности работы сервиса и его преимущества.

Известными примерами проявления данной проблемы является отказ компании «Amazon» от проведения аудита безопасности сервиса EC2, а также уязвимость в процессинговом ПО, приведшая к взлому системы безопасности центра обработки данных провайдера Hearthland.