Доклады, выступления, видео и электронные публикации
Безопасный доступ к корпоративным облачным приложениям
Облако можно считать защищенным, если, как минимум:
- обеспечена доверенная среда накомпьютерах пользователей;
- защищен доступ пользователей кВМ (WEB или терминальный);
- обеспечен контролируемый старт серверов ЦОД иВМ насерверах;
- защищены ВМ;
- обеспечена контролируемая миграцияВМ (тоесть используется защищенный планировщик).
Эти меры являются необходимыми, но не достаточными, без них говорить о защищенности облачной инфраструктуры нельзя, но они могут сильно расширяться.
Опишем кратко возможные варианты и средства защиты.
1. Доверенная среда на компьютерах пользователей может создаваться применением СЗИ НСД «Аккорд», СОДС «МАРШ!» или доверенным микрокомпьютером;
2. Защищенный доступ пользователей к ВМ можно обеспечить применением VPN в доверенной среде для WEB-доступа, или системой доверенной терминальной загрузки «Центр-Т», основанной на применении СКЗИ «ШИПКА»;
3. Контролируемый старт (доверенная загрузка) системы виртуализации обеспечивается для VM Ware системой «Аккорд-В.», для MS HyperV — системой «ГиперАккорд»;
4. Защита ВМ осуществляется СЗИ НСД «Аккорд-VE» из состава названных выше «Аккорд-В.» или «ГиперАккорд»;
5. Защита планировщика облака еще находится в разработке.
Создать доверенную среду хотя и непросто, но можно. Но достаточно ли этого? Вся логика развития технической защиты информации говорит, что нет, не достаточно. Действительно, даже для отдельного компьютера почти никогда не достаточно только применить электронный замок (например, Аккорд-АМДЗ), необходимо еще создавать и поддерживать изолированность программной среды, то есть применять средства разграничения доступа (например, Аккорд Win64). Причем необходимо эти средства настраивать правильным образом, то есть с учетом всех программных средств, применяемых в составе информационной технологии.
Все, кто профессионально занимается защитой, хорошо понимает, что при изменении состава программных средств изолированность среды нужно проверять, часто - перенастраивать. В облаке — только сложнее. Мы, клиенты, никогда не узнаем, что инженер службы защиты информации что-то перестроил или что-то добавил в среду. А эти действия могут все изменить.
Более того — и действия клиента могут все изменить. И если специалисту по безопасности еще можно, условно, доверять, то в подготовке клиента уверенности у нас еще меньше.
Если действия клиента по настройке своего компьютера несут в себе потенциальную угрозу, которая становится вполне реальной с учетом того, что в облаке клиентов много, то вывод напрашивается сам собой — средства клиента должны быть ненастраиваемые.
Ненастраиваемый защищенный микрокомпьютер для безопасного доступа к защищенным облачным сервисам создан в группе российских компаний. Его рабочее название — МК-ТРАСТ, торговая марка разрабатывается.
МК-ТРАСТ — это компактный микрокомпьютер на базе 4-х ядерного Cortex-А9 процессора с HDMI выходом, выполненный в виде dongle mini PC. Это позволяет использовать его практически с любым монитором или телевизором, а также с устройствами с DVI разъемом при наличии переходника.
МК-ТРАСТ внешне похож на обычные устройства формата mini PC, но на самом деле это конструктивно доработанный микрокомпьютер с проверенной защищенной операционной системой Android, специальной подсистемой управления доступом к памяти.
Основная задача МК-ТРАСТ — создание доверенной вычислительной среды. Для этого память устройства, в которой расположена ОС, находится в аппаратно-защищенном режиме — Read Only (только для чтения), что исключает возможность несанкционированных модификаций критичного программного обеспечения.
Для того чтобы начать доверенный сеанс связи с защищенным сервисом пользователю достаточно подключить МК-ТРАСТ к монитору или телевизору с HDMI/DVI портом и включить устройство, тем самым создав доверенную среду. В этой среде стартует браузер и всё сопутствующие программное обеспечение, необходимое для работы, устанавливается защищенное соединение с сервером (VPN-шлюзом) удаленной защищенной информационной системы. В рамках доверенного сеанса связи обеспечивается защищенный обмен информацией между сервисом и клиентом с соблюдением всех требований 63-ФЗ «Об электронной подписи».
Во время доверенного сеанса связи с сервисом пользователю гарантированно недоступны другие информационные ресурсы, которые могут быть потенциально опасными.
Рассмотрим особенности доверенного сеанса связи в случае, если сервис — это дистанционное банковское обслуживание (ДБО).
Концепция применения технологии защищенного мобильного устройства доступа к ДБО базируется, в первую очередь, на том факте, что клиент банка не обязан и не может быть специалистом по информационной безопасности. Зачастую они даже не имеют представления о том, как уязвимы их банковские счета. При этом банк, предоставляющий услуги ДБО, просто не в состоянии проследить за состоянием защиты клиентского рабочего места, однако, в соответствии с законодательством, обязан компенсировать потери клиента.
В нашем случае Клиент банка получает ненастраиваемое устройство, которое обеспечивает загрузку неизменяемой проверенной операционной системы, устанавливает защищенное с использованием криптографических алгоритмов соединение с защищенным центром обработки данных, в котором установлено программное обеспечение (клиент ДБО) для доступа к АБС банка. Риски клиентов и банка сведены к минимуму.
Для доступа к ДБО достаточно подключить защищенный микрокомпьютер МК-ТРАСТ к телевизору или монитору и безопасное взаимодействие уже обеспечено.
Рабочее место Клиента размещается на ЦОД, отвечающего всем требованиям по защите информации.
Доступ к АБС выполняется из одной, достоверно известной точки — ЦОД, — по защищенному каналу.
Технология доверенного сеанса связи гарантирует безопасность доступа из любой точки мира.
Данные обрабатываются в защищенной вычислительной среде, а хранятся на устройстве.
Уровень защищенности ЦОД позволяет предложить программу страхования от кибермошенничества.
Авторы: Акаткин Ю. М.; Конявский В. А.
Дата публикации: 01.01.2014
Библиографическая ссылка: Акаткин Ю. М., Конявский В. А. Безопасный доступ к корпоративным облачным приложениям // Information Security/Информационная безопасность. М., 2014. № 1. С. 23.
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.