Yvision.kzYvision.kz
kk
Разное
Разное
399 767 постов40 подписчиков
Всяко-разно
2
22:19, 30 января 2013

Облачный атлас — часть вторая

Мы продолжаем статью о безопасности облачных сервисов. Первая часть статьи расположена здесь.

Сегодня мы подготовили для вас очень подробную наглядную иллюстрацию схемы безопасности сервиса.

Для создания полной картины о методах доступа к информации в облаке и связанных с этим ограничений рассмотрим основные средства обеспечения безопасности информации пользователей, применяемые провайдерами SaaS-решений. Начать, наверное, следует с того, что сами SaaS-провайдеры в силу особенностей своей деятельности уделяют самое пристальное внимание безопасности как основному фактору их успеха на рынке и залогу роста в дальнейшем. В таких компаниях занят большой штат опытных сотрудников по информационной безопасности, применяются современнейшие программные и аппаратные решения, которые не могут быть взяты на вооружение даже отдельно взятыми компаниями по причине их значительной стоимости и технической сложности, не говоря уже об обычных пользователях. Такой подход обеспечивает устойчивый иммунитет структуры провайдера к существованию критических уязвимостей на уровне операционных систем пользователя, к новым вирусным эпидемиям, к все более изощренным методам кибергангстеров. Пользователю просто остается подключиться с помощью компьютера или смартфона к сайту провайдера услуг и начать работать, сконцентрировавшись на своих задачах. При этом доступ может совершаться с разных по географическому расположению областей или даже стран при помощи разной техники с разными операционными системами. Таким образом, основную задачу по обеспечению безопасного подключения и использования услуг берет на себя провайдер, который обеспечивает максимальную безопасность на уровне используемых приложений. В этом направлении ведутся серьезные разработки, которые призваны обеспечивать сегодня и завтра высокий уровень безопасности пользовательских данных. Одной из самых перспективных является идея шифрования данных при помощи систем асимметричного шифрования перед передачей их в облако и их дешифрация в реальном времени на стороне пользователя непосредственно перед использованием, что гарантирует непрерывную цепочку защиты данных от несанкционированного доступа и обеспечивает их защиту от манипуляции во время хранения и передачи информации. Но и на сегодняшний день сделано уже немало в этом направлении. Перечислим на примере работы с сервисом типичного пользователя основные уровни защиты информации от несанкционированного доступа извне.

Blog post image

 

Blog post imageПервый уровень защиты передачи информации берет на себя интернет-браузер. Прежде чем будет установлено соединение со страничкой для передачи данных, происходит проверка сертификата, выданного провайдеру одним из центров сертификации, на предмет его актуальности, подлинности и отсутствия манипуляций. Надо заметить, что сервер всегда должен выполнять аутентификацию перед клиентом, исключая тем самым брешь в безопасности на начальном этапе сессии обмена данными и сводя на минимум возможность переброса пользователя на фишинговые сайты по причине допущенной опечатки в адресе. После обмена всеми необходимыми данными устанавливается зашифрованное соединение, использующее длину ключа в 256 бит. Подобный уровень секретности применяется в операциях интернет-банкинга, где доказал свою надежность. Все современные браузеры поддерживают этот режим, его активность можно распознать по наличию в адресной строке браузера символа навесного замка. Он должен быть с закрытой дужкой, часто также поле под начальными словами адреса подкрашено зеленым цветом.

Далее пользователь идентифицирует себя по отношению к сервису при помощи имени пользователя и пароля. Часто уже на этапе регистрации выбранный пользователем пароль анализируется на соответствие требованиям безопасности паролей (длина пароля, специальные знаки, цифры и т.д). На этом этапе возможно применение и других методов разграничения доступа (по географии разрешенных заранее IP-адресов, по времени суток, по иерархии в компании и так далее). Запрос со стороны пользователя на аутентификацию с помощью выбранного идентификатора пользователя (адрес электронной почты, цифробуквенный пароль и т.д.) и пароля проходит сквозь межсетевой экран провайдера, который пропускает только защищенные соединения, отсекая все попытки сканирования портов и прочих методов взлома. Распространенной практикой является мониторинг доступа к сервису со стороны провайдера, что в спорных случаях позволяет быстро определить возможные недочеты во внутрифирменной политике разграничения прав доступа.Непосредственная обработка программного кода и выдача ее результатов осуществляется на так называемом сервере приложений, который является модульным по структуре. Эта  его особенность позволяет пользователям иметь доступ только к разрешенным для них ресурсам, сужая возможный фронт атаки на другие модули приложения. Там же производится постоянный мониторинг активных сессий приложения, основанный на осуществленном заранее разграничении ролей доступа.

База данных является в этой цепочке самим защищенным элементом. Все пароли пользователей хранятся в виде контрольных сумм, а не в удобном для считывания виде. В зависимости от специфики массивов данных и конкретного провайдера услуг может применяться шифрование информации. Коммуникацию с базой данных осуществляет только сервер приложений, доступ извне к базе данных невозможен.

В заключение хочется сказать, что подробное рассмотрение всех возможных решений для обеспечения безопасности облачных сервисов вышло бы далеко за пределы этой небольшой статьи. Новые технологии проникают в нашу жизнь, иногда встречаются нами с опаской, иногда принимаются нами сразу. Факт в том, что вычисления и сервисы в облаке уже изменили нашу жизнь. Службы потокового видео, аудио и онлайн-радио дают нам возможность, не выходя из дома, видеть, слышать и переживать весь окружающий нас мир. Ведь даже всем знакомая электронная почта – это тоже облачный сервис. Первые шаги в этом направлении нами давно уже сделаны, и скоро мы ускорим шаг…

--

Присоединяйтесь к нам в соц сетях Вконтакте |  FacebookTwitter

2
509
2