В первый день открывшегося в Сан-Франциско традиционного ежегодного форума RSA Сonference, посвященного вопросам безопасности, организация Cloud Security Alliance (CSA) и корпорация Hewlett-Packard представили документ “Top Threats to Cloud Computing V1.0” (“Главные угрозы развитию облачных вычислений”). Он составлен по результатам проведенного исследования и адресован как провайдерам облачных сервисов, так и их пользователям. Отметим также, что вклад в его подготовку внесли представители целого ряда известных компаний, включая Bank of America, CloudSecurity.org, HP, Microsoft, Rackspace, Oracle, Trend Micro, Verizon Business и др., так что говорить о чьей-либо особой заинтересованности в данном случае не приходится.
Индекс V1.0 в названии документа подчеркивает, что выпущена первая его версия, которая будет со временем обновляться. Как отмечают авторы, было довольно много дебатов относительно того, что следует отразить в первой версии, но в конечном счете было решено сфокусироваться на уникальных угрозах, присущих именно сфере облачных вычислений, а также на тех, которые существенно прибавили в своей значимости благодаря характерным особенностям организации облачной среды. Что же это за угрозы?
1. Злоупотребления и нечестная игра при использовании облачных ресурсов
Привлекая клиентов обещаниями неограниченных компьютерных и сетевых ресурсов и возможностей для хранения данных, IaaS-провайдеры предлагают им очень простую процедуру регистрации (пройти её может любой, у кого есть действующая кредитная карточка), а также зачастую и возможность бесплатного тестирования услуги в течение некоторого периода времени. Злоупотребляя сравнительной анонимностью процедуры регистрации и использования облачных ресурсов, спамеры, авторы зловредных кодов и другие злоумышленники получили возможность безнаказанно использовать облачные сервисы для своих целей. Ранее с подобного рода “неприятностями” сталкивались главным образом PaaS-провайдеры, но теперь стало очевидно, что все чаще целью для злоумышленников становятся и поставщики услуг IaaS. В дальнейшем можно ожидать, что их ресурсы могут использоваться для вскрытия паролей и ключей, DDoS-атак, хостинга вредоносных кодов, построения так называемых радужных таблиц (rainbow table) и инструментов обхода CAPTCHA-средств.
В частности, как было установлено, сервисы IaaS использовались для формирования ботсети Zeus, распространения трояна InfoStealer и эксплойтов для приложений Microsoft Office и Adobe PDF. А в результате противодействия распространению спама в черные списки попали целый блоки сетевых адресов IaaS-провайдеров.
2. Небезопасные интерфейсы и API
Для работы с облачными сервисами провайдеры предоставляют клиентам специальные программные интерфейсы и API. От того, как в этих инструментах реализованы меры обеспечения информационной безопасности (аутентификация, контроль доступа, шифрование, мониторинг активности), во многом зависит безопасность и самого сервиса. Проблема усложняется в случае, если на базе облачных ресурсов одного провайдера сторонняя компания строит и предлагает дополнительные услуги и ответственность перед заказчиком за меры безопасности оказывается распределенной. Так что перед тем, как начать пользоваться облачными сервисами, следует убедиться в безопасности предложенных провайдером инструментов, чтобы не подвергать свою компанию неоправданным рискам.
3. Злоумышленники из числа инсайдеров
Инсайдерские угрозы представляют опасность для любой компании, но для пользователей облачных сервисов они возрастают многократно, поскольку предоставляемые разным заказчикам сервисы базируются на единой, тесно интегрированной ИТ-инфраструктуре, а реализованные провайдером процессы и процедуры управления ею в значительной степени непрозрачны. В частности, провайдер может не раскрывать, чем лимитирован доступ его сотрудников к физическим и виртуальным ИТ-ресурсам, как организован контроль за деятельностью сотрудников, каким образом удовлетворяются требования регулирующих органов и т. д. В результате может сложиться весьма благоприятная ситуация для разного рода злоумышленников, промышленного шпионажа или даже нежелательного вмешательства государственных органов. Последствия для пользователя сервисов в таком случае могут быть весьма серьезными как в имиджевом плане, так и в финансовом.
4. Совместное использование ресурсов
Эффективную масштабируемость своих услуг IaaS-провайдеры обеспечивают за счет того, что эти услуги базируются на единой ИТ-инфраструктуре, ресурсы которой могут быть перераспределены между заказчиками. Однако многие компоненты такой инфраструктуры (в частности, графические процессоры, кэш-память центральных процессоров и т. д.) проектировались без учета необходимости строгой изоляции ресурсов, выделяемых разным пользователям. Эта проблема решается с помощью гипервизоров, образующих промежуточный слой между гостевыми ОС и физическими компонентами, однако и гипервизоры имеют свои недостатки, из-за чего не всегда исключена ситуация, когда гостевая ОС получает недопустимый уровень контроля за аппаратными средствами. Чтобы пользователи сервисов не могли проникнуть на “чужую” территорию, меры безопасности должны охватывать все уровни ИТ-инфраструктуры и обеспечивать надежный мониторинг использования вычислительных и сетевых компонентов и систем хранения.
5. Утрата или утечка данных
И при использовании традиционной инфраструктуры возникает масса ситуаций, чреватых утратой или кражей данных (например, при преждевременном удалении файлов, резервные копии которых еще не были созданы в ходе плановой процедуры резервного копирования, при утрате ключей шифрования данных и т. д.). В случае использования облачной инфраструктуры вероятность такого рода инцидентов и компрометации данных может оказаться еще более высокой в силу принципиальных отличий такой инфраструктуры от традиционной или, что еще хуже, в силу каких-либо архитектурных или операционных характеристик конкретной облачной среды.
6. Несанкционированное использование учетной записи или сервиса
Случаи, когда учетными записями и сервисами помимо их владельца пользуются еще и злоумышленники, которым удалось украсть учетные данные, отнюдь не редки — этот вид угроз сегодня занимает место в списке наиболее распространенных. Ситуация усугубляется еще и тем, что пользователи часто используют для доступа к разным услугам одни и те же пароли. Облачные же решения добавляют свои краски в эту безрадостную картину. Если злоумышленник получает доступ к учетной записи пользователя облачных сервисов, то у него появляется возможность отслеживать пользовательские транзакции, манипулировать данными, перенаправлять клиентов на другие сайты и т. д. Чтобы избежать этого, провайдер услуг должен применять надежные технологии аутентификации, строгие политики безопасности и мощные средства мониторинга процессов.
7. Неизвестный уровень рисков
Облачные сервисы весьма привлекательны для компаний, поскольку позволяют им сократить свой парк аппаратных и программных средств и сфокусироваться на собственном бизнесе. Тем не менее и в этом случае вопросы безопасности должны оставаться на первом плане. Своевременная установка обновлений, соблюдение политики безопасности, учет обнаруженных уязвимостей ПО, выявление попыток несанкционированного доступа к корпоративным ресурсам — все это компании должны постоянно иметь в виду. И ни в коем случае нельзя обойтись минимальным набором мер — этого может оказаться недостаточно, чтобы оставаться на плаву.
