Информационная безопасность в облачных вычислениях: уязвимости, методы и средства защиты, инструменты для проведения аудита и расследования инцидентов

Анализ рынка облачных вычислений и средств для обеспечения безопасности в них. Распространение облачных вычислений, негарантированный уровень безопасности обрабатываемой информации как их основная проблема. Расследование инцидентов и криминалистика.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 26.02.2015
Размер файла 4,3 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

· Производители владеют, а также должны делать все для того, чтобы соответствовать уровню сервиса для каждого клиента в отдельности. Все необходимые ресурсы и усилия, приложенные для достижения должного уровня сервиса в работе с клиентами, должны быть бесплатны для клиента, то есть не входить в стоимость сервиса.

· Клиенты, в свою очередь отвечают за и владеют уровнем сервиса, предоставляемого их собственным внутренним и внешним клиентам. При использовании решений производителя для предоставления собственных сервисов - ответственность клиента и уровень такого сервиса не должен целиком зависеть от производителя.

· В случае необходимости интеграции систем производителя и клиента, производители должны предлагать клиентам возможности мониторинга процесса интеграции. В случае, если у клиента существуют корпоративные стандарты по интеграции информационных систем, производитель должен соответствовать этим стандартам.

· Ни при каких условиях производители не должны закрывать учетные записи клиентов за политические высказывания, некорректную речь, религиозные комментарии, если это не противоречит специфическим законодательным нормам, не является выражением ненависти и т.п.

Статья 3: Производители владеют своими интерфейсами

· Производители не обязаны предоставлять стандартные интерфейсы или интерфейсы с открытым кодом, если обратное не прописано в соглашениях с клиентом. Правами на интерфейсы обладают производители. В случае, если производитель не считает возможным предоставить клиенту возможности по доработке интерфейса на привычном языке программирования, клиент может приобрести у производителя либо сторонних разработчиков услуги по доработке интерфейсов в соответствии с собственными требованиями.

· Клиент, однако, обладает правом использовать приобретенный сервис в собственных целях, а также расширять его возможности, реплицировать и улучшать. Данный пункт не освобождает клиентов от ответственности патентного права и права на интеллектуальную собственность.

Приведенные выше три статьи - основа основ для клиентов и производителей "в облаке". С их полным текстом вы можете ознакомиться в открытом доступе в сети Интернет. Конечно, данный билль не является законченным юридическим документом, а уж тем более официальным. Статьи его могут меняться и расширяться в любое время, равно как и билль может дополняться новыми статьями. Это попытка формализовать "право собственности" в облаке, чтобы хоть как-то стандартизировать эту свободолюбивую область знаний и технологий.

Взаимоотношения между сторонами

На сегодняшний день лучшим экспертом в сфере облачной безопасности является Cloud Security Alliance (CSA). Эта организация выпустила и недавно обновила руководство, включающее описание сотни нюансов и рекомендаций, которые необходимо принимать во внимание при оценке рисков в облачных вычислениях.

Еще одной организацией, деятельность которой затрагивает аспекты безопасности в облаке, выступает Trusted Computing Group (TCG). Она является автором нескольких стандартов в этой и других сферах, в том числе широко используемых сегодня Trusted Storage, Trusted Network Connect (TNC) и Trusted Platform Module (TPM).

Эти организации совместно выработали ряд вопросов, которые заказчик и провайдер должны проработать при заключении договора. Данные вопросы позволят решить большую часть проблем при использовании облака, форс-мажорных обстоятельствах, смене провайдера облачных услуг и прочих ситуациях.

1. Сохранность хранимых данных. Как сервис-провайдер обеспечивает сохранность хранимых данных?

Лучшая мера по защите расположенных в хранилище данных - использование технологий шифрования. Провайдер всегда должен шифровать хранящуюся на своих серверах информацию клиента для предотвращения случаев неправомерного доступа. Провайдер также должен безвозвратно удалять данные тогда, когда они больше не нужны и не потребуются в будущем.

2. Защита данных при передаче. Как провадйер обеспечивает сохранность данных при их передаче (внутри облака и на пути от/к облаку)?

Передаваемые данные всегда должны быть зашифрованы и доступны пользователю только после аутентификации. Такой подход гарантирует, что эти данные не сможет изменить или прочитать ни одно лицо, даже если оно получит к ним доступ посредством ненадежных узлов в сети. Упомянутые технологии разрабатывались в течение "тысяч человеко-лет" и привели к созданию надежных протоколов и алгоритмов (например TLS, IPsec и AES). Провайдеры, должны использовать эти протоколы, а не изобретать свои собственные.

3. Аутентификация. Как провайдер узнает подлинность клиента?

Наиболее распространенным способом аутентификации является защита паролем. Однако провайдеры, стремящиеся предложить своим клиентам более высокую надежность, прибегают к помощи более мощных средств, таких как сертификаты и токены. Наряду с использованием более надежных к взлому средств аутентификации провайдеры должны иметь возможность работы с такими стандартами как LDAP и SAML. Это необходимо для обеспечения взаимодействия провайдера с системой идентификации пользователей клиента при авторизации и определении выдаваемых пользователю полномочий. Благодаря этому провайдер всегда будет располагать актуальной информацией об авторизованных пользователях. Худший вариант - когда клиент предоставляет провайдеру конкретный список авторизованных пользователей. Как правило, в этом случае при увольнении сотрудника или его перемещении на другую должность могут возникнуть сложности.

4. Изоляция пользователей. Каким образом данные и приложения одного клиента отделены от данных и приложений других клиентов?

Лучший вариант: когда каждый из клиентов использует индивидуальную виртуальную машину (Virtual Machine - VM) и виртуальную сеть. Разделение между VM и, следовательно, между пользователями, обеспечивает гипервизор. Виртуальные сети, в свою очередь, развертываются с применением стандартных технологий, таких как VLAN (Virtual Local Area Network), VPLS (Virtual Private LAN Service) и VPN (Virtual Private Network).

Некоторые провайдеры помещают данные всех клиентов в единую программную среду и за счет изменений в ее коде пытаются изолировать данные заказчиков друг от друга. Такой подход опрометчив и ненадежен. Во-первых, злоумышленник может найти брешь в нестандартном коде, который позволит ему получить доступ к данным, которые он не должен видеть. Во-вторых, ошибка в коде может привести к тому, что один клиент случайно "увидит" данные другого. За последнее время встречались и те, и другие случаи. Поэтому для разграничения пользовательских данных применение разных виртуальных машин и виртуальных сетей является более разумным шагом.

5. Нормативно-правовые вопросы. Насколько провайдер следует законам и правилам, применимым к сфере облачных вычислений?

В зависимости от юрисдикции, законы, правила и какие-то особые положения могут различаться. Например, они могут запрещать экспорт данных, требовать использования строго определенных мер защиты, наличия совместимости с определенными стандартами и наличия возможности аудита. В конечном счете, они могут требовать, чтобы в случае необходимости доступ к информации смогли иметь государственные ведомства и судебные инстанции. Небрежное отношение провайдера к этим моментам может привести его клиентов к существенным расходам, обусловленными правовыми последствиями.

Провайдер обязан следовать жестким правилам и придерживаться единой стратегии в правовой и регулятивной сферах. Это касается безопасности пользовательских данных, их экспорта, соответствия стандартам, аудита, сохранности и удаления данных, а также раскрытия информации (последнее особенно актуально, когда на одном физическом сервере может храниться информация нескольких клиентов). Чтобы это выяснить, клиентам настоятельно рекомендуется обратиться за помощью к специалистам, которые изучат данный вопрос досконально.

6. Реакция на происшествия. Как провайдер реагирует на происшествия, и насколько могут быть вовлечены его клиенты в инцидент?

Иногда не все идет по плану. Поэтому провайдер услуг обязан придерживаться конкретных правил поведения в случае возникновения непредвиденных обстоятельств. Эти правила должны быть задокументированы. Провайдеры обязательно должны заниматься выявлением инцидентов и минимизировать их последствия, информируя пользователей о текущей ситуации. В идеале им следует регулярно снабжать клиентов информацией с максимальной детализацией по проблеме. Кроме того, клиенты сами должны оценивать вероятность возникновения проблем, связанных с безопасностью, и предпринимать необходимые меры.

10. Международные и отечественные стандарты

Эволюция облачных технологий опережает деятельность по созданию и модификации необходимых отраслевых стандартов, многие из которых не обновлялись уже много лет. Поэтому законотворчество в сфере облачных технологий - один из важнейших шагов к обеспечению безопасности.

IEEE

IEEE, одна из крупнейших организаций по разработке стандартов, объявила о запуске специального проекта в области облачных технологий Cloud Computing Initiative. Это первая инициатива по стандартизации облачных технологий, выдвинутая на международном уровне - до сегодняшнего дня стандартами в сфере облачных вычислений занимались преимущественно отраслевые консорциумы. В настоящее время инициатива включает в себя 2 проекта: IEEE P2301 (tm), "Черновое руководство по обеспечению портативности и интероперабельности профилей облачных технологий”, и IEEE P2302 (tm) - "Черновой стандарт по обеспечению интероперабельности и распределенного взаимодействия (Federation) облачных систем”.

В рамках Ассоциации по разработке стандартов IEEE создано 2 новых рабочих группы для работы над проектами IEEE P2301 и IEEE P2302 соответственно. IEEE P2301 будет содержать профили существующих и находящихся в разработке стандартов в области приложений, переносимости, управления и интерфейсов обеспечения интероперабельности, а также файловых форматов и соглашений в области эксплуатации. Информация в документе будет логически структурирована в соответствии с различными группами целевой аудитории: вендоры, поставщики услуг и другие заинтересованные участники рынка. Ожидается, что по завершении стандарт можно будет использовать при закупке, разработке, построении и использовании облачных продуктов и сервисов, основанных на стандартных технологиях.

В стандарте IEEE P2302 будет описана базовая топология, протоколы, функциональность и методы управления, необходимые для взаимодействия различных облачных структур (например, для взаимодействия приватного облака и публичного, такого, как EC2). Этот стандарт позволит поставщикам облачных продуктов и услуг извлечь экономические преимущества из эффекта масштаба, обеспечивая в то же время прозрачность для пользователей сервисов и приложений.

ISO

ISO готовит специальный стандарт, посвященный безопасности облачных вычислений. Основная направленность нового стандарта - решение организационных вопросов, связанных с облаками. Однако в силу сложности согласовательных процедур ISO окончательная версия документа должна выйти лишь в 2013 г.

Ценность документа в том, что в его подготовку вовлечены не только правительственные организации (NIST, ENISA), но и представители экспертных сообществ и ассоциаций, таких как ISACA и CSA. Причем, в одном документе собраны рекомендации как для провайдеров облачных услуг, так и для их потребителей - организаций-клиентов.

Основная задача данного документа - подробно описать лучшие практики, связанные с использованием облачных вычислений с точки зрения информационной безопасности. При этом стандарт не концентрируется только на технических аспектах, а скорее на организационных аспектах, которые никак нельзя забывать при переходе на облачные вычисления. Это и разделение прав и ответственности, и подписание соглашений с третьими лицами, и управление активами, находящимися в собственности разных участников "облачного" процесса, и вопросы управления персоналом и так далее.

Новый документ во многом вобрал в себя материалы, разработанные в ИТ-индустрии ранее.

Правительство Австралии

После нескольких месяцев "мозгового штурма", правительство Австралии выпустило ряд руководств по переходу на использование облачных вычислений.15 февраля 2012 года эти руководства были выложены на блоге департамента управления информацией правительства Австралии (Australian Government Information Management Office, AGIMO).

Чтобы облегчить компаниям миграцию в облака, подготовлены рекомендации по наилучшей практике использования облачных услуг в свете исполнения требований закона 1997 года об управлении финансами и подотчетности (Better Practice Guides for Financial Management and Accountability Act 1997). В руководствах в общем плане рассматриваются финансовые и правовые проблемы, а также вопросы защиты персональных данных.

Руководства говорят о необходимости постоянного мониторинга и контроля использования облачных услуг посредством ежедневного анализа счетов и отчетов. Это поможет избежать скрытых "накруток" и попадания в зависимость от поставщиков облачных услуг.

Первое руководство называется "Облачные вычисления и защита персональных данных для учреждений правительства Австралии" (Privacy and Cloud Computing for Australian Government Agencies, 9 стр.). В этом документе особое внимание уделяется вопросам обеспечения неприкосновенности частной жизни и безопасности при хранении данных.

В дополнение к этому руководству, был также подготовлен документ "Переговоры о предоставлении облачных услуг - Правовые вопросы в соглашениях о предоставлении облачных услуг" (Negotiating the Cloud - Legal Issues in Cloud Computing Agreements,19 стр.), помогающий разобраться в положениях, включаемых в договора.

Последнее, третье руководство "Финансовые соображения при использовании государственными органами облачных вычислений" (Financial Considerations for Government use of Cloud Computing, 6 стр.) рассматривает финансовые вопросы, на которые компании следует обратить внимание, если она решит использовать облачные вычислений в своей деловой деятельности.

Помимо затронутых в руководствах, есть ряд других вопросов, которые необходимо решать при использовании облачных вычислений, включая вопросы, связанные с государственным управлением, с проведением закупок и с политикой управления деловой деятельностью.

Публичное обсуждение данного аналитического документа дает возможность заинтересованным сторонам рассмотреть и прокомментировать следующие проблемные вопросы:

· Несанкционированный доступ к секретной информации;

· Утрата доступа к данным;

· Неспособность обеспечить целостность и аутентичность данных, и

· Понимание практических аспектов, связанных с оказанием облачных услуг.

11. Территориальная принадлежность данных

В различных странах существует ряд нормативов, которые требуют, чтобы конфиденциальные данные оставались внутри страны. И хотя хранение данных в пределах определенной территории, на первый взгляд, не является сложной задачей, провайдеры облачных сервисов часто не могут этого гарантировать. В системах с высокой степенью виртуализации данные и виртуальные машины могут перемещаться из одной страны в другую для различных целей - балансировки нагрузки, обеспечения отказоустойчивости.

Некоторые крупные игроки на рынке SaaS (такие, как Google, Symantec) могут дать гарантию хранения данных в соответствующей стране. Но это, скорее, исключения, в целом выполнение этих требований встречается пока довольно редко. Даже если данные остаются в стране, у клиентов нет возможности проверить это. Кроме того, не надо забывать и о мобильности сотрудников компаний. Если специалист, работающий в Москве, командируется в Нью-Йорк, то лучше (или, как минимум, быстрее), чтобы он получал данные из ЦОД в США. Обеспечить это - задача уже на порядок сложнее.

12. Государственные стандарты

На данный момент в нашей стране отсутствует какая-либо серьёзная нормативная база по облачным технологиям, хотя наработки в этой области уже ведутся. Так приказом президента РФ №146 от 8.02.2012г. определено, что федеральными органами исполнительной власти, уполномоченными в области обеспечения безопасности данных в информационных системах, созданных с использованием суперкомпьютерных и грид-технологий, являются ФСБ России и ФСТЭК России.

В связи с этим указом расширены полномочия названных служб. ФСБ России теперь разрабатывает и утверждает нормативные и методические документы по вопросам обеспечения безопасности указанных систем, организует и проводит исследования в области защиты информации.

Также служба выполняет экспертные криптографические, инженерно-криптографические и специальные исследования этих информационных систем и готовит экспертные заключения на предложения о проведении работ по их созданию.

Также документом закреплено, что ФСТЭК России разрабатывает стратегию и определяет приоритетные направления деятельности по обеспечению безопасности сведений в информационных системах, созданных с использованием суперкомпьютерных и грид-технологий, обрабатывающих данные ограниченного доступа, а также следит за состоянием работ по обеспечению названной безопасности.

ФСТЭК заказала исследование, в результате которой появилася бета-версия "терминосистема в области "облачных технологи"”

Как можно понять, вся эта Терминосистема - это адаптированный перевод двух документов: "Focus Group on Cloud Computing Technical Report" и "The NIST Definition of Cloud Computing". Ну, то, что эти два документа не очень согласуются между собой - это отдельный вопрос. А визуально пока видно: в русской "Терминосистеме" авторы для начала просто не привели ссылки на эти английские документы.

Дело в том, что для подобной работы нужно обсуждать сначала концепцию, цели и задачи, методы их решения. Вопросов и замечаний много. Главное методическое замечание: нужно очень четко сформулировать - какую задачу решает данное исследование, его цель. Сразу отмечу, "создание терминосистемы" - не может быть целью, это - средство, а вот достижения чего - пока не очень понятно.

Не говоря о том, что нормальное исследование должно включать раздел "обзор существующего положения дел".

Обсуждать результаты исследования трудно, не зная исходной постановки задачи и того, как ее авторы решали.

Но одна принципиальная ошибка Терминосистемы хорошо видна: нельзя обсуждать "облачную тематику" в отрыве от "необлачной". Вне общего контекста ИТ. А вот этого контекста как раз в исследовании и не видно.

А результатом этого, является то, что на практике такую Терминосистему будет применять невозможно. Она может только еще больше запутать ситуацию.

13. Средства обеспечения защиты в облачных технологиях

Система защиты облачного сервера в своей минимальной комплектации должна обеспечивать безопасность сетевого оборудования, хранилища данных, сервера и гипервизора. Дополнительно возможно размещение в выделенном ядре антивируса для предотвращения заражения гипервизора через виртуальную машину, систему шифрования данных для хранения пользовательской информации в зашифрованном виде и средства для реализации зашифрованного тунелирования между виртуальным сервером и клиентской машиной.

Для этого нам понадобится сервер, поддерживающий виртуализацию. Решения подобного рода предлагаются компаниями Cisco, Microsoft, VMWare, Xen, KVM.

Так же допустимо использовать классический сервер, а виртуализацию на нем обеспечивать с помощью гипервизора.

Для виртуализации операционных систем для платформ x86-64 подходят любые сервера с совместимыми процессорами.

Подобное решение позволит упростить переход к виртуализации вычислений не внося дополнительных финансовых вложений в апгрейд оборудования.

Схема работы:

Рис. 11. Пример работы "облачного" сервера

Рис. 12. Реакция сервера на отказ блока оборудования

На данный момент рынок средств защиты облачных вычислений еще достаточно пуст. И это не удивительно. При отсутствии нормативной базы и неизвестности будущих стандартов компании-разработчики не знают, на чём акцентировать свои силы.

Однако, даже в таких условиях появляются специализированные программные и аппаратные комплексы, позволяющие обезопасить облачную структуру от основных видов угроз.

Как то:

· Нарушение целостности

· Взлом гипервизора

· Инсайдеры

· Идентификация

· Аутентификация

· Шифрование

Аккорд-В

Программно-аппаратный комплекс Аккорд-В. предназначен для защиты инфраструктуры виртуализации VMware vSphere 4.1, VMware vSphere 4.0 и VMware Infrastructure 3.5.

Аккорд-В. обеспечивает защиту всех компонентов среды виртуализации: ESX-серверов и самих виртуальных машин, серверов управления vCenter и дополнительных серверов со службами VMware (например, VMware Consolidated Backup).

В программно-аппаратном комплексе Аккорд-В реализованы следующие механизмы защиты:

· Доверенная загрузка всех элементов инфраструктуры виртуализации;

· Пошаговый контроль целостности гипервизора, виртуальных машин, файлов внутри виртуальных машин и серверов управления инфраструктурой;

· Разграничение доступа администраторов виртуальной инфраструктуры и администраторов безопасности;

· Разграничение доступа пользователей внутри виртуальных машин;

· Аппаратная идентификация всех пользователей и администраторов инфраструктуры виртуализации.

· СВЕДЕНИЯ О НАЛИЧИИ СЕРТИФИКАТОВ:

Сертификат соответствия ФСТЭК России №2598 от 20.03.2012 удостоверяет, что программно-аппаратный комплекс средств защиты информации от несанкционированного доступа "Аккорд-В.", является программно-техническим средством защиты информации, не содержащей сведения, составляющие государственную тайну, от несанкционированного доступа, соответствует требованиям руководящий документов "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищённости от несанкционированного доступа к информации" (Гостехкомиссия России, 1992) - по 5 классу защищенности, "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) - по 4 уровню контроля и технических условий ТУ 4012-028-11443195-2010, а также может использоваться при создании автоматизированных систем до класса защищенности 1Г включительно и для защиты информации в информационных системах персональных данных до 1 класса включительно.

vGate R2

vGate R2 - сертифицированное средство защиты информации от несанкционированного доступа и контроля выполнения ИБ-политик для виртуальной инфраструктуры на базе систем VMware vSphere 4 и VMware vSphere 5.

vGate-S R2 - версия продукта, применимая для защиты информации в виртуальных инфраструктурах государственных компаний, к ИС которых предъявляются требования по использованию СЗИ с высоким уровнем сертификации.

Позволяет автоматизировать работу администраторов по конфигурированию и эксплуатации системы безопасности.

Способствует противодействию ошибкам и злоупотреблениям при управлении виртуальной инфраструктурой.

Позволяет привести виртуальную инфраструктуру в соответствие законодательству, отраслевым стандартам и лучшим мировым практикам.

Компания "Код Безопасности" является технологическим партнером компании VMware, что гарантирует корректную совместную работу продуктов vGate R2 и vGate-S R2 с платформами компании VMware.

Информационно-аналитический центр Anti-Malware провел независимую экспертизу продукта vGate R2, в результате которой он получил высокую оценку и вошел в список рекомендуемых продуктов.

Продукт vGate R2 стал победителем Конкурса продуктов, организованного ассоциацией Virtualization Security Group Russia, в номинации "Контроль доступа".

Продукт vGate R2 удостоен наивысшей награды в категории "Информационная безопасность" отраслевой премии ЗУБР-2011.

Возможности vGate

· Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности.

· Защита средств управления виртуальной инфраструктурой от НСД.

· Защита ESX-серверов от НСД.

· Мандатное управление доступом.

· Контроль целостности конфигурации виртуальных машин и доверенная загрузка.

· Контроль доступа администраторов ВИ к данным виртуальных машин.

· Регистрация событий, связанных с информационной безопасностью.

· Контроль целостности и защита от НСД компонентов СЗИ.

· Централизованное управление и мониторинг.

Сертификаты vGate

Сертификат ФСТЭК России (СВТ 5, НДВ 4) позволяет применять продукт в автоматизированных системах уровня защищенности до класса 1Г включительно и в информационных системах персональных данных (ИСПДн) до класса К1 включительно.

Сертификат ФСТЭК России (ТУ, НДВ2) позволяет применять продукт в автоматизированных системах уровня защищенности до класса 1Б включительно и в информационных системах персональных данных (ИСПДн) до класса К1 включительно.

Рис. 13 Заявленные возможности vGate R2

Таким образом, подводя итог, приведем основные средства, которыми обладает vGate R2 для защиты датацентра сервис-провайдера от внутренних угроз, исходящих со стороны собственных администраторов:

· Организационное и техническое разделение полномочий администраторов vSphere

· Выделение отдельной роли администратора ИБ, который будет управлять безопасностью ресурсов датацентра на базе vSphere

· Разделение облака на зоны безопасности, в рамках которых действуют администраторы с соответствующим уровнем полномочий

· Контроль целостности виртуальных машин

· Возможность в любой момент получить отчет о защищенности инфраструктуры vSphere, а также провести аудит событий ИБ

В принципе, это практически все что нужно, чтобы защитить инфраструктуру виртуального датацентра от внутренних угроз с точки зрения именно виртуальной инфраструктуры. Безусловно, вам также потребуется защита на уровне оборудования, приложений и гостевых ОС, но это уже другая проблема, которая также решаема средствами продуктов компании Код Безопасности.

14. Практическая часть

В практической части я попробую реализовать систему безопасности для облачного сервера, выполняющего обслуживание клиентов по модели PaaS в режиме общественного облака.

Допустим Провайдер обладает оборудованием, состоящим из:

· Серверная платформа: 4 процессоров (2 или 4 ядра), 6 SATA дисков в RAID1+0, 16 Гб памяти

o Серверная платформа: 1U Intel SR1690WB

o Процессор: 4 Intel® Xeon® 5500

o Оперативная память: 16 Gb DDR3 (64 Gb максимум)

o Жесткий диск: 6 SATA

o Сеть: 2 порта Gigabit Ethernet

o Блок питания: 600 Вт

· Сервер доступа среднего предприятия (файрвол, прокси-сервер): 2 процессора (2 или 4 ядра), 12 Гб памяти, 2 SATA диска в RAID1, 2 интегрированных Gigabit Ethernet

o Серверная платформа: 1U Intel SR1600UR

o Процессор: 2 Intel® Xeon® 5500

o Оперативная память: 12 Gb DDR3 (96 Gb максимум)

o Жесткий диск: 2 SATA (3 SATA максимум)

o Сеть: 2 порта Gigabit Ethernet

o Блок питания: 600 Вт

Серверные платформы в количестве 6 штук расположены в машинном зале и объединены в топологию "звезда". Для объединения серверов используется маршрутизатор CISCO2911/K9 (Конфигурация: Cisco 2911 w/3 GE,4 EHWIC,2 DSP,1 SM,256MB CF,512MB DRAM, IPB). Перед соединением марщрутизатора с сетью установлен сервер доступа Intel SR1600UR (30 430 рублей). Маршрутизатор и сервер доступа дублируются.

На серверном оборудовании установлен гипервизор VMware ESX, позволяющий объединить сервера в общий пул ресурсов. Так как это гипервизор типа 1 (автономный), то он позволяет значительно повысить производительность оборудования. На каждый сервер требуется по одной лицензии. Так же для хранения информации используется сервер баз данных 1U Intel SR1690WB (Процессор: 2 Intel® Xeon® 5500, Оперативная память: 16 Gb DDR3 (64 Gb максимум), Жесткий диск: 4 SATA, Сеть: 2 порта Gigabit Ethernet, Блок питания: 650 Вт) который так же дублируется для надежности.

Рис. 14. Структура сервера.

Для обеспечения безопасности на подобном объекте необходимо обеспечить безопасность, согласно Таблице 2.

Для этого я предлагаю использовать программный продукт vGate R2. Он позволит решить такие задачи, как:

· Усиленная аутентификация администраторов виртуальной инфраструктуры и администраторов информационной безопасности.

· Защита средств управления виртуальной инфраструктурой от НСД.

· Защита ESX-серверов от НСД.

· Мандатное управление доступом.

· Контроль целостности конфигурации виртуальных машин и доверенная загрузка.

· Контроль доступа администраторов ВИ к данным виртуальных машин.

· Регистрация событий, связанных с информационной безопасностью.

· Контроль целостности и защита от НСД компонентов СЗИ.

· Централизованное управление и мониторинг.

Таблица 2. Соответствие необходимости обеспечения безопасности для модели PaaS

Параметр безопасности

Значение

Приложение

-

Данные

-

Среда выполнения

+

Связующее программное обеспечение

+

Операционная система

+

Виртуализация

+

Сервера

+

Хранилища данных

+

Сетевое оборудование

+

Сертификат ФСТЭК России (СВТ 5, НДВ 4) позволяет применять продукт в автоматизированных системах уровня защищенности до класса 1Г включительно и в информационных системах персональных данных (ИСПДн) до класса К1 включительно. Стоимость данного решения составит 24 500 рублей за 1 физический процессор на защищаемом хосте.

Помимо этого для защиты от инсайдеров потребуется установка охранной сигнализации. Данные решения достаточно богато предоставлены на рынке защиты серверов. Цена подобного решения с ограничением доступа в контролируемую зону, системой сигнализации и видеонаблюдения колеблется от 200 000 рублей и выше

Для примера возьмём сумму 250 000 рублей.

Для защиты виртуальных машин от вирусных инфекций, на одном ядре сервера будет запущен McAfee Total Protection for Virtualization. Стоимость решения составляет от 42 200 рублей.

Для предотвращения потери данных на хранилищах будет использоваться система Symantec Netbackup. Она позволяет надёжно провести резервное копирование информации и образов систем.

Итоговая стоимость реализации подобного проекта составит:

Продукт

Количество

Стоимость

Intel SR1600UR

2

60 860 рублей

vGate R2

16

392 000 рублей

McAfee Total Protection for Virtualization

1

42 200 рублей

Symantec Netbackup

1

76 220 рублей

Система охраны серверной

1

250 000 рублей

ИТОГО

821280 рублей

Реализацию подобного проектного решения на базе Microsoft можно скачать отсюда: http://www.microsoft.com/en-us/download/confirmation. aspx? id=2494

Вывод

"Облачные технологии" - одна из наиболее активно развивающихся сфер IT-рынка в настоящее время. Если темпы роста технологий не уменьшатся, то к 2015 году они будут привносить в казну европейских стран более 170 млн. евро в год. В нашей стране к облачным технологиям относятся с опаской. Отчасти это вызвано закостенелостью взглядов руководства, отчасти недоверием к безопасности. Но данный вид технологий при всех их преимуществах и недостатках - это новый локомотив IT-прогресса.

Приложению "с той стороны облака" совершенно неважно, формируете ли вы свой запрос на компьютере с x86 процессором Intel, AMD, VIA или составляете его на телефоне или смартфоне на базе ARM-процессора Freescale, OMAP, Tegra. Более того, ему по большому счёту будет без разницы, работаете ли вы под управлением Linux-операционок Google Chrome, OHA Android, Intel Moblin, Windows CE, Windows Mobile Windows XP/Vista/7, или используете для этого что-то ещё более экзотическое. Лишь бы запрос был составлен грамотно и понятен, а ваша система смогла "осилить" полученный ответ.

Вопрос безопасности является одним из основных в облачных вычислениях и его решение позволит качественно повысить уровень услуг в компьютерной сфере. Однако в этом направлении еще очень много предстоит сделать.

В нашей стране стоит начать с единого словаря терминов для всей IT-области. Выработать стандарты, опираясь на международный опыт. Выдвинуть требования к системам обеспечения защиты.

Литература

1. Financial Considerations for Government Use of Cloud Computing - Правительство Австралии 2010.

2. Privacy and Cloud Computing for Australian Government Agencies 2007.

3. Negotiating the cloud - legal issues in cloud computing agreements 2009.

4. Журнал "Современная наука: актуальные проблемы теории и практики" 2012.

Размещено на Allbest.ru


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.