Распечатать

Круглый стол «Безопасность в облаках: над чем нам работать?»

Журнал «Connect! Мир связи» №7-8, июль-август 2012 Круглый стол «Безопасность в облаках: над чем нам работать?» Говоря об облаках, как правило, обсуждают характерные для них виды угроз. Действительно ли речь должна идти о качественно новых угрозах или это типовые угрозы, просто «отягощенные» эффектами масштаба, многоплатформенности и т. д.?

19 сентября 2012

Журнал «Connect! Мир связи» №7-8, июль-август 2012, Круглый стол «Безопасность в облаках: над чем нам работать?»

Говоря об облаках, как правило, обсуждают характерные для них виды угроз. Действительно ли речь должна идти о качественно новых угрозах или это типовые угрозы, просто «отягощенные» эффектами масштаба, многоплатформенности и т. д.? Способно ли постепенно расширяющееся использование облаков послужить качественному и количественному развитию индустрии ИБ?

Айбулат Нигматуллин, эксперт по защите облачной инфраструктуры департамента информационной безопасности, компания «Энвижн Груп»

«Рассмотрим угрозы для основных вариантов облачных сред. Software-as-a-Service (SaaS) – наиболее простой вид облачных сервисов. На рынке представлено множество продуктов наподобие Office 365 и Salesforce; с некоторыми оговорками к этой категории можно отнести и социальные сети. Для них характерны традиционные угрозы для web-приложений (например, XSS-уязвимости) и проблемы, связанные с аутентификацией (например, в сети LinkedIn в этом году произошла утечка базы хэш-функций паролей).

Infrastructure-as-a-Service (IaaS) – услуга аренды инфраструктуры – по сути, является развитием услуг аренды ресурсов провайдера и размещения оборудования на площадке провайдера (hosting, collocation), которые приобрели популярность еще в 1990-х гг. Использование виртуализации и облачных систем управления обеспечивает гибкость данной модели, но в то же время имеет нюансы, о которых следует помнить.

Помимо традиционных угроз ИБ может возникнуть проблема изоляции заказчиков. Для ее решения требуется тщательное проектирование и конфигурирование арендуемых систем, исключающее ошибки в элементах облачной инфраструктуры.

Кроме того, имеется угроза инсайда со стороны персонала сервис-провайдера. Ключевым моментом здесь являются надежность исполнителя и доверие к нему со стороны заказчика. Основной способ противостояния – шифрование данных, которое сводится к ряду технических и юридических вопросов, требующих отдельного обсуждения.

Platform-as-a-Service (PaaS) – платформа для разработки облачных приложений. В данном случае доступ к сервисам осуществляется через программный интерфейс, поэтому угрозы обусловлены в основном недоработками в API. Наиболее распространенные проблемы – недостаточное или ненадежное шифрование при передаче и хранении данных, а также ошибки, позволяющие получить доступ к данным других клиентов.»