К вопросу о безопасности облачных технологий в информационной среде | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 30 ноября, печатный экземпляр отправим 4 декабря.

Опубликовать статью в журнале

Авторы: ,

Рубрика: Спецвыпуск

Опубликовано в Молодой учёный №5 (64) апрель-2 2014 г.

Дата публикации: 16.04.2014

Статья просмотрена: 2492 раза

Библиографическое описание:

Котяшичев, И. А. К вопросу о безопасности облачных технологий в информационной среде / И. А. Котяшичев, С. В. Смоленцев. — Текст : непосредственный // Молодой ученый. — 2014. — № 5.1 (64.1). — С. 25-28. — URL: https://moluch.ru/archive/64/10351/ (дата обращения: 16.11.2024).

В данной статье автор раскрывает определение, назначение облачных вычислений, а также определяет направления защиты и обеспечения безопасности их свойств,  основные достоинства и недостатки.

Облачные вычисления (англ. cloud computing) – технология распределённой обработки данных, в ней компьютерные ресурсы и мощности предоставляются как Интернет-сервис.

Ключевой вопрос облачных вычислений – расположение приложений. Существуют три модели расположения приложений (см. рис 1):

Рисунок 1. Модели расположения приложений

-          в инфраструктуре заказчика (полный контроль за инфраструктурой, аппаратным и программным обеспечением при высоких капитальные затратах);

-          у компании-хостера (меньший контроль за инфраструктурой, аппаратным и программным обеспечением, базируется на оплате фиксированного числа ресурсов, что обычно предполагает оплату даже в тех случаях, когда арендуемые ресурсы не используются);

-          в облаке (отсутствует контроль за инфраструктурой, аппаратным обеспечением) [1].

Таким образом, облачные вычисленияэто подход к размещению, предоставлению и потреблению приложений и компьютерных ресурсов, при котором приложения и ресурсы становятся доступны через Интернет в виде сервисов, потребляемых наплатформах и устройствах. Оплата таких сервисов осуществляется по их фактическому использованию.

Основными характеристиками облачных вычислений являются:

масштабируемость (масштабируемое приложение обеспечивает большую нагрузку за счет увеличения количества запущенных экземпляров);

эластичность (позволяет быстро нарастить мощность инфраструктуры без внедрения инвестиций в оборудование и программное обеспечение);

мультитенантность (снижает расходы на облачную платформу и использует доступные вычислительные ресурсы);

оплата за использование (перевод части капитальных издержек в операционные);

самообслуживание (позволяет потребителям запросить и получить требуемые ресурсы за считанные минуты).

Облачные вычисления и предоставляемые ими сервисы можно сравнить с коммунальными услугами. Как в жару или холод меняется потребление воды и электричества, так и потребление сервисов, предоставляемых «облачными» платформами, может возрастать или уменьшаться в зависимости от повышения или понижения нагрузок [2].

Схожесть сервисов и коммунальных услуг заключается в том, что:

во-первых, потребители платят только за реальную утилизацию;

во-вторых, ресурсы берутся в аренду – т.е. поставщики таких сервисов обеспечивают их доступность в виде арендуемых «ресурсов», оставляя за собой вопросы создания и поддержания инфраструктуры;

в-третьих, заключая договор с соответствующей организацией, подразумевается доступность тех или иных ресурсов, а организация обеспечивает своевременную оплату их аренды.

Говоря про «облачные» платформы, употребляют словосочетание «...как сервис». Выделяют следующие основные сервисы:

программное обеспечение как сервис (SaaS) – обеспечивает аренду приложений. Потребители этих сервисов – конечные пользователи, они работают с приложениями в «облаке». Модель предоставления программного обеспечения как сервиса – модель обеспечения доступа к приложениям через Интернет с оплатой по факту их использования;

платформа как сервис (PaaS) – предоставляет возможность аренды платформы. Потребители – сами компании, разработавшие приложения. Платформа обеспечивает среду для выполнения приложений, сервисы по хранению данных и ряд дополнительных сервисов, например, интеграционные или коммуникационные;

инфраструктура как сервис (IaaS) – имеет возможность аренды серверов, устройства хранения данных и сетевого оборудования. Потребители – владельцы приложений, ИТ-специалисты, подготавливающие образы ОС для их запуска в сервисной инфраструктуре. В этой модели могут быть запущены практически любые приложения, установленные на стандартные образы ОС [3].

Основными достоинствами облачных вычислений являются:

доступность (облака доступны всем, из любой точки, где есть Интернет, с любого компьютера, где есть браузер);

низкая стоимость (1)снижение расходов на обслуживание виртуальной инфраструктуры; 2) пользователь «облака» платит за фактическое использование вычислительных мощностей; 3) использование «облака» на правах аренды; 4)развитие аппаратной части вычислительных систем ).

гибкость (неограниченность ресурсов (память, процессор, диски));

надежность (очень высокая, особенно в специально оборудованных ЦОД);

безопасность («облачные» сервисы имеют высокую безопасность при должном ее обеспечении, однако при халатном отношении эффект может быть полностью противоположным);

большие вычислительные мощности (пользователь «облачной» системы может использовать все ее вычислительные способности, заплатив только за фактическое время использования. Предприятия могут использовать данную возможность для анализа больших объемов данных).

Основными недостатками облачных вычислений являются:

постоянное соединение с сетью (для получения доступа к услугам «облака» необходимо постоянное соединение с сетью Интернет);

программное обеспечение и его кастомизация (есть ограничения по ПО, которое можно разворачивать на «облаках» и предоставлять пользователю);

конфиденциальность (нет технологии, которая бы гарантировала 100% конфиденциальность хранимых данных);

надежность (если информация, хранимая в “облаке” потеряна, то она потеряна навсегда);

дороговизна оборудования (для построения собственного «облака» компании необходимо выделить значительные материальные ресурсы, что невыгодно только что созданным и малым компаниям);

безопасность («облако» является надежной системой, но, проникнув, злоумышленник получает доступ к огромному хранилищу данных, а также эта система может подвергнуться вирусной атаке). Безопасности в облачных технологиях рассмотрим более подробно.

Один из минусов облачных технологий состоит в их главном принципе – “облачности”. Человек не знает, где хранятся, обрабатываются и как защищены его данные. А незнание означает отсутствие контроля. Поэтому пользователь либо полагается на хорошую репутацию хостинг-провайдера, либо отказывается пользоваться такими технологиями.

Единственной гарантией контроля за данными является шифрование. Если эта процедура проведена и в систему передан ключ дешифрования, то пользователь может быть уверен в том, что посторонние, пользующиеся услугами того же хостинг-провайдера, не смогут добраться до его данных. Но внедрение шифрования затруднено.

Распространение услуг шифрования в “облаках” идет крайне медленно по ряду причин. Основная причина – это нагрузка. Шифрование, встроенное в облачную инфраструктуру, будет сильно тормозить работу приложений. Дешифрование также может сказаться на дальнейшей работе приложения. Задержки при постоянных циклах шифрования-дешифрования могут сильно сказаться на работе системы, вплоть до разрушения. Для решения этой проблемы специалисты предлагают шифровать не всю виртуальную среду, а только сами данные. Этот процесс тоже повлияет на работу системы, но в гораздо меньшей степени. И при этом обеспечит защиту информации.

Следующий немаловажный изъян можно обозначить как «пробелы в законе».

Несовершенство законодательства делают облачные технологии в России в плане защиты информации крайне уязвимыми. В законе “О персональных данных” не прописано, кто является владельцем системы, если хотя бы часть ее находится в “облаке”. При работе с облачными приложениями пользователи сталкиваются и с рядом других проблем. Например, если в “облако” нужно перенести персональные данные клиентов компании, то их необходимо зашифровать, причем по системе криптографии, сертифицированной в ФСБ. Облачных приложений, которые прошли бы подобную процедуру, в настоящее время нет. И когда они появятся, неизвестно.

Подводя итог, можно сказать, что облачные технологии являются удобным инструментом работы, который может значительно облегчить жизнь компании и сэкономить ее расходы. Но с точки зрения защиты информации, “облако” в настоящее время является очень уязвимой системой, особенно в России.

Говоря о колоссальных минусах облачных технологий, стоит отметить следующие методы борьбы с данными проблемами для гарантии безопасности обслуживания. Провайдеры облачных технологий могут использовать соответствующие технологии, представленные в таблице:

Таблица 1

Рекомендации по облачной безопасности для операторов и пользователей

Приватность пользовательской информации

Зонирование выделенной сети, переадресация принимаемых данных.

Очистка дисков после обращения к ним.

Аутентификация файловой системы.

Шифрование устройства

Шифрование файловой системы

Приватность пользовательских данных во время выполнения

Изоляция виртуальной машины (ВМ) и операционной системы (ОС).

Изоляция ОС

Приватность во время транспортировки пользовательских данных по сети

SSL, VLAN, VPN

SSL, VPN

Необходимая аутентификация и авторизация для получения доступа пользователей к своим данным

Файрвол,

VPN-аутентификация,

Аутентификация ОС

VPN-аутентификация,

Аутентификация ОС

Приватность хранения пользовательских данных. Хранимые пользовательские данные не могут быть просмотрены или изменены другими людьми, включая операторов.

Приватность пользовательской информации во время просмотра или выполнения других операций. Пользовательские данные не могут быть показаны или изменены другими людьми во время их выполнения (загрузки в системную память).

Приватность во время передачи персональных данных по Сети. Это включает в себя защиту передаваемой информации в удаленный облачный вычислительный центр. Информация не может быть показана или изменена другими людьми.

Для доступа пользователей к своим данным необходима установка подлинности и авторизация. Пользователи могут получить доступ к своей информации правильным путем и могут разрешить авторизацию других людей для доступа к своему аккаунту.

Следующая проблема заключается в том, что постепенно происходит смена концепции информационной безопасности от идеи защищенного периметра к облачной модели защиты приложений, данных и сервисов. На практике при миграции в облака потребуется найти баланс между централизованными мерами обеспечения ИБ (информационной безопасности), ответственность за которые несет поставщик инфраструктурных услуг, и локальными, обеспечиваемыми клиентом.

Соответственно первое, что нужно сделать при построении защиты облаков, это определить, кто и какие ресурсы облака контролирует. Это обусловлено самой организацией облаков. Так, предоставляя IaaS-услуги, провайдер не может контролировать действия клиента, связанные с установкой дополнительных программных компонентов и их настройкой с учетом требований ИБ.

Провайдер PaaS-услуг не может гарантировать, что клиенты должным образом (с позиции обеспечения ИБ) будут разрабатывать свое ПО на предоставляемой платформе.

Провайдер SaaS-услуг, в свою очередь, не может контролировать корректность организации доступа на клиентской стороне.

Задача провайдера заключается, в создании базовой защищенной среды, в которой данные разных клиентов услуг будут изолированы друг от друга, а также в обеспечении контроля действий своих системных администраторов.

Таким образом:

1.Облачные вычисления – это подход к размещению, предоставлению и потреблению приложений и компьютерных ресурсов, при котором приложения и ресурсы становятся доступны через Интернет в виде сервисов, потребляемых на различных платформах и устройствах.

2. Основными характеристиками облачных вычислений являются: масштабируемость, эластичность, мультитенантность, оплата за использование, самообслуживание.

3. Основными сервисами, предоставляемыми облачными платформами, являются: программное обеспечение как сервис (SaaS), платформа как сервис (PaaS), инфраструктура как сервис (IaaS).

            4. Облачные вычисления, как и любые другие технологии, имеют свои достоинства и недостатки.

            5. Недостатком облачных технологий вызывающим особую тревогу является плохая защищенность и недостаточное обеспечение конфиденциальности информации в облаке.

         6. В реферате рассмотрены четыре способа, позволяющие обеспечить защиту любой информации, хранящейся в облаке.

Литература:

1.                  Windows Azure. Облачная платформа Microsoft / Алексей Федоров, Дмитрий Мартынов. – 2010. – 96 с.

2.                  Топ 10 облачных платформ для бизнеса [Электронный ресурс] – Режим доступа: http://www.livebusiness.ru/news/8937/. – Дата доступа: 15.12.2012.

3.                  Облачные вычисления: тенденции развития и основные «игроки». Часть 1 [Электронный ресурс] – Режим доступа: http://www.npsod.ru/rus2/analitics/document32865.phtml. – Дата доступа: 15.12.2012.

Основные термины (генерируются автоматически): данные, программное обеспечение, сервис, SSL, VPN, вычисление, пользователь, приложение, ресурс, информационная безопасность.


Похожие статьи

К вопросу безопасности облачных технологий

В данной работе дано определение понятию «облачные технологии», указана история возникновения концепции «облака», рассматриваются предпосылки и перспективы развития облачных сервисов. Особое внимание уделено вопросу безопасности и конфиденциальности ...

Анализ комплексных программных решений, реализующих планирование ресурсов предприятия

В статье рассматривается современное состояние рынка информационных систем планирования ресурсов предприятия. Приводится обзор наиболее распространенных программных решений в области автоматизации управления предприятием с выявлением общих характерны...

Маркетинг в социальных сетях как характерный признак сетевой экономики

Статья посвящена возможностям управления и продвижения брендов, товаров, услуг, идей в интернете с помощью SMM — инструментов. Рассмотрены предпосылки развития социальной среды в интернете. Преимущества, решаемые задачи, критерии эффективности исполь...

Проблемы обеспечения информационной безопасности в открытых компьютерных системах

В статье исследуются проблемы обеспечения информационной безопасности в открытых компьютерных системах. Описываются причины, угрозы, наиболее часто встречающиеся дефекты защиты и уязвимости открытых компьютерных систем. Раскрывается сложность противо...

Совершенствование процессов организации на основе инструментов управления качеством

В данной статье будут рассмотрены способы и инструменты управления качеством, их роль в процессах на производстве и решаемые с помощью них задачи.

Построение экосистемы как способ развития современного бизнеса. Преимущества и недостатки

Одна из основных тенденций развития бизнеса последних лет — это создание и развитие экосистем. Поэтому данная статья посвящена именно анализу экосистем и связанным с ними супераппами, а также суперсервисам как некоторой альтернативе. В работе рассмот...

Научное прикладное применение силового расчета плоских рычажных механизмов в промышленности.

В статье автор исследует и обосновывает научную важность силового расчета плоских рычажных механизмов в машиностроении и других отраслях промышленности, рассматривает основные его этапы и рассматривает его актуальность.

Техника покорения морских глубин. Необитаемые подводные аппараты вчера, сегодня и завтра

В данной статье представлена обобщающая информация о современном состоянии и перспективах дальнейшего развития необитаемых подводных аппаратов. Рассмотрены вопросы их классификации и типизации, приведены основные особенности аппаратов.

Основные механизмы защиты прав потребителей финансовых услуг

Статья посвящена изучению механизмов защиты прав потребителей финансовых услуг. Проанализированы характерные особенности внедрения и использования таких механизмов. На основе проведенного исследования автором предлагается выделить несколько групп так...

Обеспечение и подтверждение надежности модульных транспортных средств

В статье рассмотрены вопросы, связанные с обеспечением надежности транспортных средств модульной конструкции, ее задачами. Выявлены проблемы в данной области и найдены условия для достижения достаточной надежности модульных транспортных средств.

Похожие статьи

К вопросу безопасности облачных технологий

В данной работе дано определение понятию «облачные технологии», указана история возникновения концепции «облака», рассматриваются предпосылки и перспективы развития облачных сервисов. Особое внимание уделено вопросу безопасности и конфиденциальности ...

Анализ комплексных программных решений, реализующих планирование ресурсов предприятия

В статье рассматривается современное состояние рынка информационных систем планирования ресурсов предприятия. Приводится обзор наиболее распространенных программных решений в области автоматизации управления предприятием с выявлением общих характерны...

Маркетинг в социальных сетях как характерный признак сетевой экономики

Статья посвящена возможностям управления и продвижения брендов, товаров, услуг, идей в интернете с помощью SMM — инструментов. Рассмотрены предпосылки развития социальной среды в интернете. Преимущества, решаемые задачи, критерии эффективности исполь...

Проблемы обеспечения информационной безопасности в открытых компьютерных системах

В статье исследуются проблемы обеспечения информационной безопасности в открытых компьютерных системах. Описываются причины, угрозы, наиболее часто встречающиеся дефекты защиты и уязвимости открытых компьютерных систем. Раскрывается сложность противо...

Совершенствование процессов организации на основе инструментов управления качеством

В данной статье будут рассмотрены способы и инструменты управления качеством, их роль в процессах на производстве и решаемые с помощью них задачи.

Построение экосистемы как способ развития современного бизнеса. Преимущества и недостатки

Одна из основных тенденций развития бизнеса последних лет — это создание и развитие экосистем. Поэтому данная статья посвящена именно анализу экосистем и связанным с ними супераппами, а также суперсервисам как некоторой альтернативе. В работе рассмот...

Научное прикладное применение силового расчета плоских рычажных механизмов в промышленности.

В статье автор исследует и обосновывает научную важность силового расчета плоских рычажных механизмов в машиностроении и других отраслях промышленности, рассматривает основные его этапы и рассматривает его актуальность.

Техника покорения морских глубин. Необитаемые подводные аппараты вчера, сегодня и завтра

В данной статье представлена обобщающая информация о современном состоянии и перспективах дальнейшего развития необитаемых подводных аппаратов. Рассмотрены вопросы их классификации и типизации, приведены основные особенности аппаратов.

Основные механизмы защиты прав потребителей финансовых услуг

Статья посвящена изучению механизмов защиты прав потребителей финансовых услуг. Проанализированы характерные особенности внедрения и использования таких механизмов. На основе проведенного исследования автором предлагается выделить несколько групп так...

Обеспечение и подтверждение надежности модульных транспортных средств

В статье рассмотрены вопросы, связанные с обеспечением надежности транспортных средств модульной конструкции, ее задачами. Выявлены проблемы в данной области и найдены условия для достижения достаточной надежности модульных транспортных средств.

Задать вопрос