Файловый архив студентов. Файловый архив студентов.
1299 вузов, 5053 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Поволжский государственный технологический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Обзор облачных технологий.doc
Скачиваний:
0
Добавлен:
12.01.2020
Размер:
21.91 Mб
Скачать
►Содержание►

  1. Модель угроз

В 2010 году CSA провела анализ основных угроз безопасности в облачных технологиях. Результатом их труда стал документ «Top threats of Cloud Computing v 1.0» в котором наиболее полно на данный момент описываются модель угроз и модель нарушителя. На данный момент разрабатывается более полная, вторая версия этого документа.

Текущий документ описывает нарушителей для трёх сервисных моделей SaaS, PaaS и IaaS. Выявлены 7 основных направлений атак. По большей части все рассматриваемые виды атак – это атаки, присущие обычным, «необлачным» серверам. Облачная инфраструктура накладывает на них определенные особенности. Так, например, к атакам на уязвимости в программной части серверов добавляются атаки на гипервизор, тоже являющийся их программной частью.

Угроза безопасности №1

Неправомерное и нечестное использование облачных технологий.

Описание:

Для получения ресурсов у облачного провайдера IaaS пользователю достаточно иметь кредитную карту. Простота регистрации и выделения ресурсов позволяет спамерам, авторам вирусов и т.п. использовать облачный сервис в своих преступных целях. Раньше подобного рода атаки наблюдались лишь в PaaS, однако последние исследования показали возможность использования IaaS для DDOS-атак, размещения вредоносного кода, создания ботнет сетей и прочего.

Примеры

IaaS сервисы были использованы для создания ботнет сети на основе троянской программы “Zeus”, хранения кода троянского коня “InfoStealer” и размещения информации о различных уязвимостях MS Office и AdobePDF.

К тому же ботнет сети используют IaaS для управления своими пирами и для рассылки спама. Из-за этого некоторые IaaS сервисы попали в чёрные списки, а их пользователи полностью игнорировались почтовыми серверами.

Рекомендации по устранению:

  • Усовершенствование процедур регистрации пользователя

  • Усовершенствование процедур верификации кредитных карт и мониторинг использования платежных средств

  • Всестороннее исследование сетевой активности пользователей сервиса

  • Отслеживание основных черных листов на предмет появления там сети облачного провайдера.

Затронутые сервис-модели:

  • IaaS

  • PaaS

Угроза безопасности №2

Небезопасные программные интерфейсы (API)

Описание:

Провайдеры облачной инфраструктуры предоставляют пользователям набор программных интерфейсов для управления ресурсами, виртуальными машинами или сервисами. Безопасность всей системы зависит от безопасности этих интерфейсов.

Начиная от процедуры аутентификации и авторизации и заканчивая шифрованием, программные интерфейсы должны обеспечивать максимальный уровень защиты от различного сорта атак злоумышленников.

Примеры:

Анонимный доступ к интерфейсу и передача учетных данных открытым текстом являются основными признаками небезопасных программных интерфейсов. Ограниченные возможности мониторинга использования API, отсутствие систем журналирования, а так же неизвестные взаимосвязи между различными сервисами только повышает риски взлома.

Рекомендации по устранению:

  • Выполнить анализ модели безопасности облачного провайдера

  • Убедиться, что используются устойчивые алгоритмы шифрования

  • Убедится, что используются надежные методы аутентификации и авторизации

  • Понять всю цепочку зависимости между различными сервисами.

Затронутые сервис модели:

  • IaaS

  • PaaS

  • SaaS

Угроза безопасности №3

Внутренние нарушители

Описание:

Проблема неправомерного доступа к информации изнутри чрезвычайно опасна. Зачастую, на стороне провайдера не внедрена система мониторинга за активностью сотрудников, а это означает, что злоумышленник может получить доступ к информации клиента, используя своё служебное положение. Так как провайдер не раскрывает своей политики набора сотрудников, то угроза может исходить как от хакера-любителя, так и от организованной преступной структуры, проникшей в ряды сотрудников провайдера.

Примеры:

На данный момент нет примеров подобного рода злоупотреблений.

Рекомендации по устранению:

    • Внедрение строгих правил закупок оборудования и использование соответствующих систем обнаружение несанкционированного доступа

    • Регламентирование правил найма сотрудников в публичных контрактах с пользователями

    • Создание прозрачной системы безопасности, наряду с публикациями отчетов об аудите безопасности внутренних систем провайдера

Затронутые сервис модели:

  • IaaS

  • PaaS

  • SaaS

Рис.12 Пример внутреннего нарушителя

Угроза безопасности №4

Уязвимости в облачных технологиях

Описание:

Провайдеры IaaS сервиса используют абстракцию аппаратных ресурсов с помощью систем виртуализации. Однако аппаратные средства могут быть спроектированы без учета работы с разделяемыми ресурсами. Для того, что бы минимизировать влияние данного фактора, гипервизор управляет доступом виртуальной машины к аппаратным ресурсам, однако даже в гипервизорах могут существовать серьезные уязвимости, использование которых может привести к повышению привилегий или получению неправомерного доступа к физическому оборудованию.

Для того, что бы защитить системы от такого рода проблем необходимо внедрение механизмов изоляции виртуальных сред и систем обнаружения сбоев. Пользователи виртуальной машины не должны получить доступ к разделяемым ресурсам.

Примеры:

Есть примеры потенциальных узявимостей, а так же теоретические методы обхода изоляции в виртуальных средах.

Рекомендации по устранению:

  • Внедрение самых передовых методов установки, настройки и защиты виртуальных сред

  • Использование систем обнаружение несанкционированного доступа

  • Применение надежных правил аутентификации и авторизации на проведение административных работ

  • Ужесточение требований к времени применения патчей и обновлений

  • Проведение своевременных процедур сканирования и обнаружения уязвимостей.

Затронутые сервис модели:

  • IaaS

Угроза безопасности №5

Потеря или утечка данных

Описание:

Потеря данных может произойти из-за тысячи причин. Например, преднамеренное уничтожение ключа шифрования приведет к тому, что зашифрованная информация не будет подлежать восстановлению. Удаление данных или части данных, неправомерный доступ к важной информации, изменение записей или выход из строя носителя так же являются примером подобных ситуаций. В сложной облачной инфраструктуре вероятность каждого из событий возрастает ввиду тесного взаимодействия компонентов.

Примеры:

Неправильное применение правил аутентификации, авторизации и аудита, неверное использование правил и методов шифрования и поломки оборудования могут привести к потере или утечке данных.

Рекомендации по устранению:

  • Использование надежного и безопасного API

  • Шифрование и защита передаваемых данных

  • Анализ модели защиты данных на всех этапах функционирования системы

  • Внедрение надежной системы управления ключами шифрования

  • Отбор и приобретение только самых надежных носителей

  • Обеспечение своевременного резервного копирования данных

Затронутые сервис модели:

  • IaaS

  • PaaS

  • SaaS

Угроза безопасности №6

Кража персональных данных и неправомерный доступ к сервису

Описание:

Подобный вид угрозы не нов. С ним сталкиваются каждый день миллионы пользователей. Основной целью злоумышленников является имя пользователя (логин) и его пароль. В контексте облачных систем, кража пароля и имени пользователя увеличивает риск использования данных, хранящихся в облачной инфраструктуре провайдера. Так злоумышленник имеет возможность использовать репутацию жертвы для своей деятельности.

Примеры:

Использование украденных данных для рассылки спама.

Рекомендации по устранению:

  • Запрет на передачу учетных записей

  • Использование двух факторных методов аутентификации

  • Внедрение проактивного мониторинга несанкционированного доступа

  • Описание модели безопасности облачного провайдера.

Затронутые сервис модели:

  • IaaS

  • PaaS

  • SaaS

Угроза безопасности №7

Прочие уязвимости

Описание:

Применение облачных технологий для ведения бизнеса позволяет компании сосредоточиться на своем деле, предоставив заботу об IT-инфраструктуре и сервисах облачному провайдеру. Рекламируя свой сервис, облачный провайдер стремится показать все возможности, раскрывая при этом детали реализации. Это может составлять серьезную угрозу, так как знание внутренней инфраструктуры дает злоумышленнику возможность найти незакрытую уязвимость и провести атаку на систему. Для того, чтобы избежать подобных ситуаций, облачные провайдеры могут не предоставляют информацию о внутреннем устройстве облака, однако, такой подход также не способствует повышению доверия, поскольку потенциальные пользователи не имеют возможности оценить степень защищенности данных. К тому же подобный подход ограничивает возможности в своевременном нахождении и устранении уязвимостей.

Примеры:

  • Отказ компании Amazon от проведения аудита безопасности EC2 cloud

  • Уязвимость в процессинговом ПО, приведшая к взлому системы безопасности дата центра Hearthland

Рекомендации по устранению:

  • Раскрытие журнальных данных

  • Полное или частичное раскрытие данных об архитектуре системы и деталей об установленном ПО

  • Использование систем мониторинга уязвимостей.

Затронутые сервис модели:

  • IaaS

  • PaaS

  • SaaS

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности