Критика облачных технологий

ЗАКЛЮЧЕНИЕ
Облачные сервисы – это современные технологии, основанные на виртуализации и сетецентрическом взаимодействии. При решении о переходе на облачные технологии руководители предприятий должные обязательно учитывать проблему защиты конфиденциальной информации (в частности, персональных данных). Значимость данного вопроса обусловлена и критической важностью информационных ресурсов, содержащих персональные данные, и необходимость строго соответствия нормативно-правовым актам, регулирующих отношения в этой сфере.
В рамках представленного исследования была определена проблема информационной безопасности в облачных сервисах и таким образом обусловлена необходимость защиты данных в «облаке»; выделены трудности при построении системы защиты. Выделены технические меры защиты данных в облачн ...

ОГЛАВЛЕНИЕ
Введение 3
1. Особенности облачных технологий 4
2. Критика облачных технологий 7
2.1 Анализ и оценка рисков в облачных технологиях 7
2.2 Проблемы защиты персональных данных в облачных сервисах 11
2.3 Способы решения проблем облачных технологий 13
Заключение 19
Список используемой литературы 20

ВВЕДЕНИЕ
Сервисы в Интернет способны стать незаменимыми инструментами функционирования современной, динамично развивающейся компании, к числу которых можно отнести электронную почту; обмен файлами, голосовыми сообщениямии данных с использованием видео-приложений; разработка собственных Web-ресурсов.
Одним из перспективных направлений применения сервисов Интернет становятся облачные технологии. Однако по мнению многих специалистов использование услуг облачных сервисов требует построения системы эффективной защиты информационной системы предприятия, так как возможна реализация различных угроз (например, вопросы утечки информации по техническим каналам рассмотрены в учебном пособии Техническая защита информации автора Хорев А.А.). Такими угрозами могут стать внедрение вредоносного программн ого обеспечения, задержка коммуникаций в связи с перегрузкой канала, утечка информации, атаки на вычислительную систему и т.д.
Таким образом, вопросы критического осмысления возможностей применения облачных технологий выходят на первый план и требуют всестороннего анализа. Именно поэтому тема исследования актуальна.
Цель исследования – провести анализ проблем применения облачных технологий.
Для достижения цели необходимо решение ряда задач:
1. Провести обзор литературы и Интернет-источников по вопросам организации безопасного доступа и по улучшению системы защиты использовании облачных технологий.
2. Рассмотреть особенности облачных технологий.
3. Выявить основные проблемы, возникающие при потреблении услуг облачных сервисов.
4. Провести анализ рисков и угроз при доступе к «облаку»
5. Предложить пути решения проблем облачных технологий.
Вопросам безопасного использования облачных технологий посвящены работы таких авторов, как Бородакий В.Ю. (рассматривает вариант безопасного хранения ресурсов средствами облачных технологий); Щеглов А.Ю. (проводит анализ методов и средств защиты компьютерной информации от несанкционированного доступа), Хорев А.А. (анализирует технические меры защиты информации).
Методы исследования: анализ, синтез, изучение источников информации, диагностика.
Реферат состоит из введения, двух глав и заключения.
Во введении раскрывается актуальность работы, ставится цель, формулируются задачи.
Первая глава посвящена рассмотрению особенностей облачных технологий. Во второй главе проведен анализ рисков и угроз при использовании облачных сервисов.
Заключение посвящено основным выводам, касающимся критике облачных технологий.

Ни одна комиссия не выдаст сертификат на такую систему при работе с информацией, не подлежащей разглашению.2.1 Анализ и оценка рисков в облачных технологияхСогласно статистическим исследованиям в 2014 году большая часть атак при доступе к облачным сервисам была направлена на базы данных (SQL- и NoSQL-инъекции). В результате успешной атаки нарушитель получает доступ ко всей базе данных, и, соответственно, как минимум ко всем учетным записям пользователей.Второе место в данном исследовании занимают атаки на клиентов. Они считаются менее опасными, так как направлены на конкретного пользователя или их группу, а не сервер целиком. Полная статистика представлена на рисунке 3.Рисунок 3. Статистика совершения атак в 2014 годуКоличество атак каждый месяц увеличивается, но это, прежде всего, связано с подключением новых клиентов. Еще одна причина роста числа атак на облачные ресурсы – допущение ошибок при разработке и администрировании ресурсов.Выделим самые распространенные проблемы взлома сетевых ресурсов:Отсутствие защиты у второстепенных элементов ресурсов.Несвоевременное обновление программного обеспечения.Заражение вредоносными программами компьютеров пользователей, имеющих необходимые ключи доступа.Ошибочная публикация учетных записей в открытом доступе.Разработка слабой парольной политики.Проведем анализ рисков в облачных вычислениях.Виртуализация центров обработки информации (ЦОД). Переход от традиционных способов хранения информации к облачным технологиям требует четкого разделения прав и контроля доступа на системном уровне, так как специалисты получают возможность работы с данными посредством сети Интернет. Динамичность виртуальных машин. Виртуальные машины могут быть дублированы или перемещены между физическими серверами, что негативно сказывается на целостности системы защиты. Поэтому важно надежно зафиксировать состояние защиты.Уязвимости внутри виртуальной среды. Высока вероятность удаленного взлома или заражения вредоносным программным обеспечением.Атаки на бездействующие виртуальные машины. Риск заражения выключенной виртуальной машины велик, так как абсолютно невозможен запуск специализированного защитного программного обеспечения.Отсутствие понятий периметр или границы сети. Общий уровень защищенности в облачных сервисах определен наименее защищенной частью сети. Инструменты корпоративной политики информационной безопасности не способны влиять на серверы в облачных средах. Таким образом, виртуальные машины должны сами обеспечивать себя защитой, перемещая сетевой периметр к самой виртуальной машине.Перейдем к ответу на вопрос, как правильно оценить риски в облачных вычислениях. Длят начала выделим параметры, на которые стоит опираться при построении системы доверия к системе безопасности:Стоимость данных. Как правило, данный показатель зависит от оценки пользователей, которая основана на критичности информации. Так, персональным данным назначается более высокая стоимость по сравнениюс менее критичными ресурсами.История поставщика услуг хранения данных. Данный параметр может включать в себя профиль провайдера, его достижения в прошлом, отзывы пользователей о конкретном сервисе. Неблагополучная история поставщика способна уменьшить фактор доверия.Расположение данных. Организация централизованного хранения данных в пределах страны способна снизить возможные риски.Отметим, что выделены лишь некоторые показатели. Данный список можно продолжить такими параметрами, как безопасность сервера, метод шифрования, стоимость услуги, поддержка мониторинга и т.п.На основе трех предложенных параметров составим матрицу доверия, которая используется как инструмент принятия решений при анализе рисков. Для наглядности представим матрицу в виде трехмерного графика, оси которого представляют: X- стоимость данных, Y- история услуг провайдера, Z- информация о местоположении данных. (см. рис.4).Рисунок 4. Матрица доверия для анализа степени рискаНаглядное представление возможных рисков дает возможность построения областей доверия. Так, зона наименьшего доверия характеризуется высокой стоимостью данных в совокупности с плохой историей провайдера и критичным местоположением информационных ресурсов.Таким образом, в исследовании выделены основные риски хранения персональных данных в облачных сервисах, а так же приведена модель их оценки.2.2 Проблемы защиты персональных данных в облачных сервисахЗадача обеспечения безопасности персональных данных сегодня выходит на первый план, так как информация превращается в дорогой товар, а в руках мошенника может стать орудием преступления. В настоящее время в России участились случаи неправомерного использования баз персональных данных, расширился круг способов их незаконного получения и распространения.В Российской Федерации основным законодательным актом по защите персональных данных является Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».В нем прописаны принципы осуществления обработки информации ограниченного доступа, в частности персональных данных, обязанности оператора, осуществляющего такую обработку, а также права субъекта персональных данных. Данным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. Согласно тексту данного закона, основной его целью является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайнуНеобходимость принятия мер по обеспечению безопасности персональных данных в облачных сервисах обусловлена дистанционной организацией работы с документами. Основная проблема – это контроль и управление «облаками». Для построения комплексной эффективной системы защиты в облачных сервисах следует учитывать широкий круг факторов – отсутствие неконтролируемых виртуальных машин; ограничение на запуск лишних процессов; регулярная проверка конфигурации элементов «облака» и т.д.Поставщики услуг облачных сервисов должны ориентироваться на сохранение конфиденциальности информации и выполнение всех требований безопасности. Это связано с тем, что хранение ресурсов в «облаке» существенно отличается от традиционных способов. И это отличие заключается в первую очередь в наличии таких элементов как виртуализация, масштабируемость, автоматическая установка и настройка приложений, которые и являются объектами атак.Еще одна трудность заключается в том, что на сегодняшний день сфера отношений между провайдером и пользователями «облака» недостаточно изучена и, соответственно, не всегда удается урегулировать конфликты, возникающие между сторонами. Проблема защиты персональных данных в облачных сервисах усугубляется еще и тем фактором, что размещая информацию в публичном облачном сервисе, пользователи не всегда могут контролировать уровень ее безопасности.Подчеркнем и такой факт, как отсутствие установленных стандартов информационной безопасности в облачных средах и инструментов эффективного измерения уровня рисков и угроз.Таким образом, вопросы обеспечения безопасности персональных данных в облачных сервисах требуют детального изучения и глубокого анализа, на основе которого можно будет разработать модель безопасности информации в «облаке».2.3 Способы решения проблем облачных технологийНа основе анализа технической литературы, касающейся вопросов информационной безопасности, а так же Интернет-источников, содержащих публикации специалистов в области защиты персональных данных в облачных сервисах, были выделены следующие методы обеспечения информационной безопасности в облачных сервисах:Шифрование. Многие авторы считают этот метод наиболее эффективным. Возможна его реализация двумя способами: шифрование средствами самого облачного сервиса или шифрование на стороне клиента. В первом случае существует угроза доступа к персональным данным со стороны специалистов провайдера, но стоит отметить удобство и простоту такой формы закрытия данных для конечного пользователя. Второй вариант предпочтительней, так как, во-первых, владелец «облака» не будет иметь доступа к содержимому файлов и, во-вторых, не будет такого доступа и у промежуточных звеньев цепи передачи данных (владелец wifi точки кафе, провайдер, владелец магистральных линий, админы сетки на вашей работе и т.п.). Защита данных при передаче. При правильно построенной системе защиты персональных данных информацию нельзя прочитать или изменить, даже в случаи доступа через ненадежные узлы. Достичь безопасности припередачи информационных пакетов можно, если применять надежные алгоритмы и протоколы для обеспечения защиты данных. Например, надежная пересылка файлов осуществляется по набору протоколов IPsecИдентификация и аутентификация.