Перенестись в облака нынче стремятся не только мечтатели, но и вполне прагматичные бизнесмены. Они все чаще задумываются о переносе приложений своих компаний на сторонние мощности с обслуживанием внештатными специалистами. Не мудрено: кризис на дворе, экономить нужно. Да и развитие индустрии, казалось бы, способствует. Но так ли уж способствует?
Ведь любая еще не обтесавшаяся временем технология таит в себе неочевидные риски. И неочевидны они не только несведущим пользователям и новичкам. Порой на подводные камни новизны натыкаются и матерые ИТ-шники, повидавшие на своем веку от MS DOS'а и Fortran'а до Windows Server 2007 и С#.
Собравшись на конференции BlackHat 2009, специалисты по безопасности достаточно подробно разобрали, какие сложности ждут предприятия, решившие развернуть виртуальную инфраструктуру в облаке. Вывод, к которому пришли специалисты — прежде чем пойти на столь отчаянный шаг, хорошо подумайте, каким образом вы собираетесь защитить свои данные и сеть от вездесущих вредителей. Ведь уровень безопасности, который предоставляют сторонние компании, оставляет желать лучшего, — предупреждают эксперты. Скупой платит дважды. Эту простую истину никто не отменял.
«Многие используют облака, чтобы сократить расходы, но зачастую приступают к этим процессам безо всякой проверки провайдера услуг», — замечает Харун Меер (Haroon Meer), технический директор по безопасности компании SensePost, под чьим руководством было проведено исследование веб-сервиса Amazon Elastic Compute Cloud (Amazon EC2). Его эксперименты показали, что компании крайне редко проверяют системы безопасности, установленные на аппаратном обеспечении провайдеров услуг, что может привести к неприятным последствиям в виде проникнувших во внутренние сети компании-клиента троянцев.
Основываясь на опыте исследований, эксперты BlackHat 2009 выделили пять актуальных проблем, которые не помешало бы учесть компаниям, которые все-таки настроены использовать виртуализацию в облаках.
1. Облачные вычисления менее защищены с юридической точки зрения
изображение взято http://mason.gmu.edu
Предприятия должны понимать, что правовые стандарты на «облака» еще не успели сформироваться. Засим они менее защищены. Обыскивать и изымать данные из облачных ЦОД государственные и специальные организации могут даже без ордера на обыск.
«Поставщиков «облачных» услуг куда больше заботит защита собственных ресурсов, но никак ни клиентских, — считает Алекс Стамос (Alex Stamos), главный консультант по безопасности компании iSec Partners, — поэтому не ожидайте заключения грамотных юридических соглашений с вашей компанией, которые работали бы вам на пользу».
«Нынешние «облачные» компании подковывают своих юристов по полной программе. Для этих целей у них сформированы специальные департаменты, — добавляет Стамос, — и как результат, соглашения, которые подписывает провайдер с клиентом сформулировано вовсе не на пользу клиентам. По сути, последние совершенно не защищены от провайдерских юридических зубров».
«Если что-то сломается по вине провайдера, клиентское соглашение не предполагает ответственности фирмы перед заказчиком. Если по причине выхода из строя элемента ЦОД вы потеряете данные, провайдер не обязан делать для вас ровным счетом ничего, — продолжает Стамос, — в лучшем случае, в договоре написано, что поставщик услуги в случае аварии попытается вам помочь. Этакая забавная попытка очеловечить бездушные юридические нормы!»
2. Вы не являетесь владельцем аппаратных средств. Заключайте договора.
Компании, которые перевели ресурсы в «облака», захотят провести ревизию провайдера и тестирование ПО, должны помнить, что аппаратное обеспечение им не принадлежит. Провести проверку на уязвимости можно только с письменного разрешения поставщика услуг. В противном случае провайдер имеет полное право заявить о том, что клиент пытается взломать его системы.
Хотя в некоторых случаях, соглашение об услугах предполагает проведение тестирования ПО клиентом, но получение разрешения все-таки момент крайне важный.
«Мы хотим сказать, если вы решили протестировать приложение, находящееся в облаке, любой эксперт по правовым вопросам порекомендует вам получить официальное разрешение у кого-либо из компании-поставщика. Здесь следовать букве закона очень важно, ведь вы по сути вторгаетесь в их машины, их личную собственность», — подводит итог Алекс Стамос.
3. Очень важно прописать четкие права для пользователей. И, увы, культура пользователей компании с удаленными сервисами должна быть высокой
Конечно же, облачные вычисления предлагают компаниям огромные преимущества. Такие, например, как доступ из любой точки, где бы ни находился сотрудник клиента. Но где гарантия, что человек не войдет в сеть с компьютера, который подвергся фишинговой атаке?
Да, удаленный доступ определенно добавляет головной боли отделам безопасности! При таком положении дел, пользователь берет на себя ответственность не только за сохранность личных данных, но и за то, что данные компании не будут заражены из-за его халатных действий.
«Особенно сложно научить нетехнических сотрудников компании грамотному поведению в сети. Они должны понимать, чего не стоит делать, чтобы не попасть в фишинговые сети. Помните, в случае software-as-a-service, безопасность перестает быть личным и становится корпоративным вопросом», — утверждает Стамос.
4. Не доверяйте чужим автоматам!
Оригинал картинки лежит здесь
При использовании виртуальных машин, развернутых у провайдера, компании никогда не должны доверять автоматическим системам проверки, установленным у третьих лиц, считает Харун Меер.
В качестве эксперимента исследователи SensePost проверили серверы одного провайдера услуг, на которых развернуты приложения сторонней компании и обнаружили в КЭШе уйму личных данных, начиная от ключей атуентификации заканчивая данными о кредитных картах, а также фрагменты потенциально опасного кода. Как осуществляется такой шпионаж?
Самыми различными способами. Несанкционированному слежению спосбоствуют сами пользователи, и с этим ничего не поделаешь. Но обезопасить себя и клиентов от вредоносных фрагментов, вносимых посторонними разработчиками ПО, отдел безопасности компаний просто обязан. Например, очень многие пользуются системами аутентификации, основанными на распространенных в интернете наборах картинок для проверки на роботность.
«У некоторых клиентов вся система аутентификации построена на генераторах образов сторонних программистов», -— констатируют исследователи SensePost.
«Компании, чьи данные проходят сквозь облака, должны либо создавать свои собственные базы образы для внутреннего использования, либо защищать себя технически и юридически от потенциально вредоносных действий сторонних разработчиков», — утверждает г-н Меер.
5. Переосмыслите работу отделов ИБ. Теперь она еще интеллектуальнее.
Менеджеры, несущие ответ за безопасность корпоративных информационных технологий должны понимать, насколько меняются их обязанности при переходе в облака.
Приведем простой пример. Если вычислительное приложение развернуто в виртуализированном ЦОД, задействованные в нем генераторы случайных чисел работают вовсе не так, как предполагается. Причина этого в том, что виртуальные системы обладают куда меньшей энтропией, чем физические, поэтому случайные числа, образованные в виртуальной среде меньше отличаются друг от друга и их легче «угадать».
И это лишь один из скрытых от глаз обывателей примеров. На самом деле их море. Поэтому для создания грамотной удаленной инфраструктуры придется все переосмысливать, искать помощи сторонних специалистов и учиться на чужих и собственных ошибках.
По материалам http://www.cio.com/
Перевод и адаптация: Мария Чип
