Проблемы безопасности в облачных вычислениях

Материал из Циклопедии
Перейти к навигации Перейти к поиску

Облачные вычисления — модель для обеспечения удобного сетевого доступа к общему пулу настраиваемых вычислительных ресурсов (например: сетей, серверов, хранилищ, приложений и услуг), которые могут быть быстро предоставлены с минимальной необходимостью взаимодействия с поставщиком услуг[1]. По сравнению с традиционной IT-моделью облачные вычисления имеют много потенциальных преимуществ, однако проблемы безопасности облачных вычислений вызывают обеспокоенность со стороны клиентов[2].

Введение[править]

Облачные вычисления являются масштабируемыми распределенными вычислительными средами в Интернете. В облаке виртуальная среда позволяет пользователям получать доступ к вычислительной мощности, превышающей ту, которая имеется на их физических устройствах. Как правило, пользователи не знают точного местоположения своих данных. Данные, которые хранятся в облаке, могут обладать высокой конфиденциальностью или иметь статус секретности. В руках злоумышленника они могут причинить вред различной степени тяжести: от шантажа компроматом[3] до теракта[4]. В целях предотвращения такого вреда требуется установить согласованную и эффективную политику для реализации надлежащих методов по обеспечению безопасности.[5]

Список проблем безопасности в облачных вычислениях[править]

DDoS[править]

DDoS (аббр. англ. Distributed Denial of Service) — это тип атаки, делающий ресурсы облака недоступными в течение неопределенного периода времени, наполняя его бесполезным трафиком[6]. Злоумышленник, реализующий данную атаку, преследует две цели. Во-первых, исчерпать ресурсы компьютера (процессорное время, пропускную способность сети), чтобы сделать облачные вычисления недоступными для пользователей. Во-вторых, остаться незамеченным, например, создать большую группу агентов для запуска атаки, чтобы сымитировать законный трафик веб-службы[7]. При DDoS-атаке мошенник обычно маскирует или «подделывает» раздел IP-адреса заголовка пакета, чтобы скрыть свою личность от жертвы. Это крайне затрудняет отслеживание источника атаки[8].

На GitHub можно ознакомится с реализацией данной атаки [9].

Атака облачным вредоносным ПО[править]

Существуют атаки, с помощью которых возможно внедрение вредоносного сервиса, приложения или даже виртуальной машины в облачную систему, в зависимости от модели облачной службы (SaaS, PaaS и IaaS)[10]. Чтобы осуществить данную атаку, злоумышленник должен создать собственный экземпляр вредоносного ПО и добавить его в облачную систему. Далее злоумышленнику требуется обмануть облачную систему, чтобы вредоносное ПО считалось допустимым экземпляром. В случае успеха обычные пользователи могут запросить экземпляр вредоносной службы, что приведет к её выполнению[11].

Другим сценарием этой атаки может быть попытка злоумышленника загрузить вирусную или троянскую программу для заражения самого облака. Как только облачная система определяет ПО как допустимый сервис, вирусная программа автоматически запускается и заражает облако, что может привести к его повреждению. Кроме того, после успешного заражения злоумышленник может попытаться использовать вирусную программу для атаки пользователей по первому сценарию. Как только клиент запрашивает экземпляр вредоносной программы, облачная система отправляет вирус клиенту, который впоследствии запускается на компьютере клиента[12].

Ошибки и/или атаки облачных провайдеров[править]

На рынке облачных услуг встречаются злонамеренные или небрежные облачные провайдеры. В настоящее время эта проблема решается в основном законодательными мерами, контрактами и передовым опытом. Облачный провайдер делает все возможное, чтобы внутренние процессы ограничивали доступ к данным как можно большему числу сотрудников. Может существовать договор, запрещающий провайдеру раскрывать данные третьим сторонам, и он может быть подкреплен законодательством, которое также направлено на предотвращение несправедливых действий провайдера. Однако эти подходы трудно масштабировать. Если поставщик облачных услуг очень большой, скорее всего у него имеются договоры субподряда с другими поставщиками услуг, которые также могут случайно или намеренно навредить клиентам. Кроме того, у облачного провайдера может быть большое число сотрудников, которых трудно проверить на соответствие всем стандартам, запрашиваемым владельцами данных. Также клиент может столкнуться с трудностями при попытке доказать ответственность провайдера в случае утечки данных, при этом запустить судебное разбирательство и получить компенсацию является ещё более трудной задачей[13].

Атака вымогателей[править]

Атака вымогателей представляет собой серьёзную угрозу для защиты информации. Основной жертвой становятся обычные пользователи Интернета. Сначала вымогатель получает доступ к пользовательским файлам, шифрует их, а затем путем вымогательства требует денежные средства в замен на ключ дешифрования. Мошенник берет на себя управление целевыми машинами или файлами, хранящимися на них, до тех пор, пока жертва не согласится выполнить требования. Обычно требуется перевод средств на валютный счет (такой как Webmoney) или перевод криптовалюты, который трудно отследить. Это очень серьёзная угроза, поскольку нет альтернативы для восстановления поврежденных данных[14].

Хакеры регулярно вводят новшества в эту модель атаки. Данная атака является привлекательной для хакеров, так как требует минимальных ресурсов в сочетании с низким риском раскрытия идентификационной информации. Более того, злоумышленникам не нужно похищать данные, необходимо только обеспечить отказ в доступе к данным владельца, пока он не заплатит выкуп за их освобождение.[15]

Пример реализации атаки вымогателей на Python.

Атаки через API[править]

API-интерфейсы действуют как интерфейсы между облачным провайдером и заказчиком, и безопасность облачных вычислений во многом зависит от безопасности этих API-интерфейсов. Следовательно, требуется сильный механизм контроля доступа API.[16]

Материалы по применению данной атаки есть в открытом доступе.

Утечка данных[править]

Утечка данных не требует внешнего участника, она может быть вызвана ошибкой в программном обеспечении, либо некоторым действием или бездействием стороны, владеющей данными. Обычно под утечкой в облаке подразумевается ситуация, когда конфиденциальные бизнес-данные, хранящиеся в частном облачном хранилище, случайно попадают в Интернет. Облако само по себе является частью Интернета. Разница в том, что облако предлагает компании приватизированное пространство, которое можно использовать для выполнения ИТ-операций масштаба предприятия[17]. Варианты облачного хранения, такие как Amazon S3, позволяют пользователям открывать свое хранилище для Интернета в целом. Здесь следует подчеркнуть, что сегменты S3 по умолчанию являются закрытыми. Это означает, что при каждой утечки в облаке, связанной с экземпляром хранилища Amazon S3, администратор изменял права доступа к данным. После таких изменений граница между облаком и интернетом стирается, и эти данные затем попадают в открытый доступ[18]. Так, например, Nice Systems, являющийся партнером Verizon, в 2017 году случайно опубликовала данные (ФИО, адреса, номера телефонов и PIN’ы) 6 миллионов пользователей Verizon[19]. Data Root Analytics по ошибке открыла доступ к базе, в которой хранились данные по отданным голосам 198 миллионов человек[20].

Список возможных решений проблем безопасности[править]

DDoS[править]

Cloud Traceback[править]

Основная цель Cloud Trace Back Architecture (CTB) — применить SOA-подход к методу Trace Back, чтобы определить истинный источник DDoS. CTB основан на алгоритме детерминированной маркировки пакетов (DPM). DPM отмечает поле идентификатора и зарезервированный флаг в заголовке IP.[21] По мере того, как каждый входящий пакет поступает через «пограничный» входной маршрутизатор, он помечается, в то время как исходящие пакеты обычно игнорируются. В результате применения метода все запросы на обслуживание отправляются в CTB для маркировки, и адрес злоумышленника эффективно удаляется, предотвращая прямую атаку. Если атака была обнаружена или успешно отключила веб-сервер, жертва сможет восстановить тег CTM (en:Cloud Trace Back Mark, русск: Метка обратного следа облака) и в результате выявить личность источника.[8]

Cloud Protector[править]

Одним из самых перспективных методов предотвращения DDoS-атак является Cloud Protector — обученная нейронная сеть, помогающая обнаруживать и отфильтровывать сообщения DDoS. При правильно подготовленном датасете и удачном выборе архитектуры Cloud Protector может давать высокие показатели эффективности[22].

Атака облачным вредоносным ПО[править]

Возможной контрмерой для данного типа атаки может быть проверка целостности экземпляра сервиса при входящих запросах. Для хранения в файле образа исходного экземпляра службы можно использовать значение некоторой хеш-функции и сравнивать это значение со значениями хеш-функции всех новых образов. Злоумышленнику необходимо добиться правильного сравнения хеш-значений, чтобы обмануть облачную систему и внедрить в неё вирус.[12]

Ошибки и/или атаки облачных провайдеров[править]

Владелец данных может зашифровать данные перед отправкой в облако. При обычном шифровании провайдер облака не может работать с данными, ограничивая роль облака простым хранением. Гомоморфное шифрование преодолевает данное ограничение. Это метод шифрования, который позволяет стороне, имеющей зашифрованные тексты, выполнять определённые операции над ними, в результате чего получать зашифрованный результат, который соответствует результату операций, выполненных с открытым текстом. В случае простого гомоморфного шифрования существует только одна операция с открытым текстом, которая имеет соответствующую операцию с зашифрованным текстом[13]. Сильно набравшее популярность полное гомоморфное шифрование поддерживает произвольные вычисления над зашифрованными текстами. Такая схема позволяет создавать программы любой желаемой функциональности, которые можно запускать на зашифрованных входных данных. Поскольку такая программа никогда не расшифровывает свои входные данные, она может быть запущена ненадежной стороной без раскрытия этих данных и внутреннего состояния[23].

Атака вымогателей[править]

Против атаки вымогателей есть несколько методов обороны:

  1. Анализ аномального поведения пользователей[24].
  2. Усовершенствование политики безопасности и защита данных[25].
  3. Шифрование или токенизация[26].

Атаки через API[править]

Механизмом контроля доступа API может являться управление доступом на основе ролей. Когда пользователь аутентифицируется, наряду с его учётными данными обрабатываются его атрибуты. Этими атрибутами могут быть IP-адрес компьютера, который он использует для доступа к облачной службе, или доменное имя. Предположим, что пользователь принадлежит организации, которая зарегистрировалась у поставщика облачных услуг. Эти атрибуты помогают идентифицировать организацию, которой принадлежит пользователь. Это делается путем проверки атрибутов в базе данных, которая ведет список зарегистрированных пользователей с их доменными именами или любым другим идентификатором. Организация и поставщик облачных услуг согласовывают набор ролей, а также разрешений, связанных с ролями пользователей. Любые изменения в политике организации должны быть немедленно сообщены поставщику облачных услуг, чтобы избежать нарушения правил безопасности.

Таким образом, процесс аутентификации можно разделить на 2 этапа. Первый этап выступает в качестве первой линии защиты, а также предоставляет информацию, необходимую для второго этапа — контроля доступа. Как только пользователь пересекает первый этап, его действительные разрешения на объект (в данном случае объектом является облачная служба) определяются его ролью, отсюда начинается процесс управления доступом на основе ролей.[16]

Утечка данных[править]

Утечки данных из облака возникают вследствие ошибок программного обеспечения или эксплуатации. Компании, создающие и поддерживающие облачные хранилища, должны учитывать эти риски и принимать дополнительные меры по предотвращению случайного появления данных в открытом доступе.

Источники[править]

  1. P M Mell, T Grance The NIST definition of cloud computing. — Gaithersburg, MD: National Institute of Standards and Technology, 2011.
  2. Deyan Chen, Hong Zhao Data Security and Privacy Protection Issues in Cloud Computing // 2012 International Conference on Computer Science and Electronics Engineering. — IEEE, 2012-03. — ISBN 978-0-7695-4647-6, 978-1-4673-0689-8. — DOI:10.1109/iccsee.2012.193
  3. F. J. Krautheim, Dhananjay S. Phatak, Alan T. Sherman Private Virtual Infrastructure: A Model for Trustworthy Utility Cloud Computing. — Fort Belvoir, VA: Defense Technical Information Center, 2010-01-01.
  4. Mario Gerla Vehicular Cloud Computing // 2012 The 11th Annual Mediterranean Ad Hoc Networking Workshop (Med-Hoc-Net). — IEEE, 2012-06. — ISBN 978-1-4673-2039-9, 978-1-4673-2038-2, 978-1-4673-2037-5. — DOI:10.1109/medhocnet.2012.6257116
  5. Lori M. Kaufman Data Security in the World of Cloud Computing // IEEE Security & Privacy Magazine. — 2009-07. — В. 4. — Vol. 7. — С. 61–64. — ISSN 1540-7993. — DOI:10.1109/msp.2009.87
  6. Bing Wang, Yao Zheng, Wenjing Lou, Y. Thomas Hou DDoS Attack Protection in the Era of Cloud Computing and Software-Defined Networking // 2014 IEEE 22nd International Conference on Network Protocols. — IEEE, 2014-10. — ISBN 978-1-4799-6204-4, 978-1-4799-6203-7. — DOI:10.1109/icnp.2014.99
  7. Qiao Yan, F. Richard Yu, Qingxiang Gong, Jianqiang Li Software-Defined Networking (SDN) and Distributed Denial of Service (DDoS) Attacks in Cloud Computing Environments: A Survey, Some Research Issues, and Challenges // IEEE Communications Surveys & Tutorials. — 2016. — В. 1. — Vol. 18. — С. 602–622. — DOI:10.1109/comst.2015.2487361
  8. 8,0 8,1 Bansidhar Joshi, A. Santhana Vijayan, Bineet Kumar Joshi Securing cloud computing environment against DDoS attacks // 2012 International Conference on Computer Communication and Informatics. — IEEE, 2012-01. — ISBN 978-1-4577-1583-9, 978-1-4577-1580-8, 978-1-4577-1582-2. — DOI:10.1109/iccci.2012.6158817
  9. GitHub - 649/Memcrashed-DDoS-Exploit: DDoS attack tool for sending forged UDP packets to vulnerable Memcached servers obtained using Shodan API
  10. Meiko Jensen, Jörg Schwenk, Nils Gruschka, Luigi Lo Iacono On Technical Security Issues in Cloud Computing // 2009 IEEE International Conference on Cloud Computing. — IEEE, 2009. — ISBN 978-1-4244-5199-9. — DOI:10.1109/cloud.2009.60
  11. Te-Shun Chou Security Threats on Cloud Computing Vulnerabilities // International Journal of Computer Science and Information Technology. — 2013-06-30. — В. 3. — Vol. 5. — С. 79–88. — DOI:10.5121/ijcsit.2013.5306
  12. 12,0 12,1 DANISH JAMIL, HASSAN ZAKI SECURITY ISSUES IN CLOUD COMPUTING AND COUNTERMEASURES. — Engg Journals Publication, 2011.
  13. 13,0 13,1 Mark D. Ryan Cloud computing security: The scientific challenge, and a survey of solutions // Journal of Systems and Software. — 2013-09. — В. 9. — Vol. 86. — С. 2263–2268. — ISSN 0164-1212. — DOI:10.1016/j.jss.2012.12.025
  14. Rajani S. Sajjan, Vijay R. Ghorpade Ransomware attacks: Radical menace for cloud computing // 2017 International Conference on Wireless Communications, Signal Processing and Networking (WiSPNET). — IEEE, 2017-03. — ISBN 978-1-5090-4442-9. — DOI:10.1109/wispnet.2017.8300039
  15. S Bhattacharya, C R S Kumar Ransomware: The CryptoVirus subverting cloud security // 2017 International Conference on Algorithms, Methodology, Models and Applications in Emerging Technologies (ICAMMAET). — IEEE, 2017-02. — ISBN 978-1-5090-3378-2. — DOI:10.1109/icammaet.2017.8186691
  16. 16,0 16,1 Avvari Sirisha, G. Geetha Kumari API access control in cloud using the Role Based Access Control Model // Trendz in Information Sciences & Computing(TISC2010). — IEEE, 2010-12. — ISBN 978-1-4244-9007-3. — DOI:10.1109/tisc.2010.5714624
  17. C. Wang, Q. Wang, K. Ren, W. Lou Privacy-Preserving Public Auditing for Data Storage Security in Cloud Computing // 2010 Proceedings IEEE INFOCOM. — 2010-03. — С. 1–9. — DOI:10.1109/INFCOM.2010.5462173
  18. How Do I Create an S3 Bucket? - Amazon Simple Storage Service. docs.aws.amazon.com. Проверено 4 декабря 2019.
  19. Cloud Leak: How A Verizon Partner Exposed Millions of Customer Accounts (en-us). www.upguard.com. Проверено 4 декабря 2019.
  20. The RNC Files: Inside the Largest US Voter Data Leak (en-us). www.upguard.com. Проверено 4 декабря 2019.
  21. Andrey Belenky, Nirwan Ansari On deterministic packet marking // Computer Networks. — 2007-07. — В. 10. — Vol. 51. — С. 2677–2700. — ISSN 1389-1286. — DOI:10.1016/j.comnet.2006.11.020
  22. Ashley Chonka, Yang Xiang, Wanlei Zhou, Alessio Bonti Cloud security defence to protect cloud computing against HTTP-DoS and XML-DoS attacks // Journal of Network and Computer Applications. — 2011-07. — В. 4. — Vol. 34. — С. 1097–1107. — ISSN 1084-8045. — DOI:10.1016/j.jnca.2010.06.004
  23. Craig Gentry Fully homomorphic encryption using ideal lattices // Proceedings of the 41st annual ACM symposium on Symposium on theory of computing - STOC '09. — New York, New York, USA: ACM Press, 2009. — ISBN 978-1-60558-506-2. — DOI:10.1145/1536414.1536440
  24. Jeong Kyu Lee, Seo Yeon Moon, Jong Hyuk Park CloudRPS: a cloud analysis based enhanced ransomware prevention system // The Journal of Supercomputing. — 2016-07-25. — В. 7. — Vol. 73. — С. 3065–3084. — DOI:10.1007/s11227-016-1825-5
  25. Ross Brewer Ransomware attacks: detection, prevention and cure // Network Security. — 2016-09. — В. 9. — Vol. 2016. — С. 5–9. — ISSN 1353-4858. — DOI:10.1016/s1353-4858(16)30086-1
  26. A study on issues of Cloud Security issues through Ransomewares. // International Journal of Recent Trends in Engineering and Research. — 2017-12-12. — В. 11. — Vol. 3. — С. 301–308. — ISSN 2455-1457. — DOI:10.23883/ijrter.2017.3530.cto51
Источник — http://cyclowiki.org/w/index.php?title=Проблемы_безопасности_в_облачных_вычислениях&oldid=1319723