Безопасный доступ к корпоративным облачным приложениям

Облако можно считать защищенным, если, как минимум:

• обеспечена доверенная среда накомпьютерах пользователей;
• защищен доступ пользователей кВМ (WEB или терминальный);
• обеспечен контролируемый старт серверов ЦОД иВМ насерверах;
• защищены ВМ;
• обеспечена контролируемая миграцияВМ (тоесть используется защищенный планировщик).

Эти меры являются необходимыми, но не достаточными, без них говорить о защищенности облачной инфраструктуры нельзя, но они могут сильно расширяться.

Опишем кратко возможные варианты и средства защиты.

1. Доверенная среда на компьютерах пользователей может создаваться применением СЗИ НСД «Аккорд», СОДС «МАРШ!» или доверенным микрокомпьютером;

2. Защищенный доступ пользователей к ВМ можно обеспечить применением VPN в доверенной среде для WEB-доступа, или системой доверенной терминальной загрузки «Центр-Т», основанной на применении СКЗИ «ШИПКА»;

3. Контролируемый старт (доверенная загрузка) системы виртуализации обеспечивается для VM Ware системой «Аккорд-В.», для MS HyperV — системой «ГиперАккорд»;

4. Защита ВМ осуществляется СЗИ НСД «Аккорд-VE» из состава названных выше «Аккорд-В.» или «ГиперАккорд»;

5. Защита планировщика облака еще находится в разработке.

Создать доверенную среду хотя и непросто, но можно. Но достаточно ли этого? Вся логика развития технической защиты информации говорит, что нет, не достаточно. Действительно, даже для отдельного компьютера почти никогда не достаточно только применить электронный замок (например, Аккорд-АМДЗ), необходимо еще создавать и поддерживать изолированность программной среды, то есть применять средства разграничения доступа (например, Аккорд Win64). Причем необходимо эти средства настраивать правильным образом, то есть с учетом всех программных средств, применяемых в составе информационной технологии.

Все, кто профессионально занимается защитой, хорошо понимает, что при изменении состава программных средств изолированность среды нужно проверять, часто - перенастраивать. В облаке — только сложнее. Мы, клиенты, никогда не узнаем, что инженер службы защиты информации что-то перестроил или что-то добавил в среду. А эти действия могут все изменить.

Более того — и действия клиента могут все изменить. И если специалисту по безопасности еще можно, условно, доверять, то в подготовке клиента уверенности у нас еще меньше.

Если действия клиента по настройке своего компьютера несут в себе потенциальную угрозу, которая становится вполне реальной с учетом того, что в облаке клиентов много, то вывод напрашивается сам собой — средства клиента должны быть ненастраиваемые.

Ненастраиваемый защищенный микрокомпьютер для безопасного доступа к защищенным облачным сервисам создан в группе российских компаний. Его рабочее название — МК-ТРАСТ, торговая марка разрабатывается.

МК-ТРАСТ — это компактный микрокомпьютер на базе 4-х ядерного Cortex-А9 процессора с HDMI выходом, выполненный в виде dongle mini PC. Это позволяет использовать его практически с любым монитором или телевизором, а также с устройствами с DVI разъемом при наличии переходника.

МК-ТРАСТ внешне похож на обычные устройства формата mini PC, но на самом деле это конструктивно доработанный микрокомпьютер с проверенной защищенной операционной системой Android, специальной подсистемой управления доступом к памяти.

Основная задача МК-ТРАСТ — создание доверенной вычислительной среды. Для этого память устройства, в которой расположена ОС, находится в аппаратно-защищенном режиме — Read Only (только для чтения), что исключает возможность несанкционированных модификаций критичного программного обеспечения.

Для того чтобы начать доверенный сеанс связи с защищенным сервисом пользователю достаточно подключить МК-ТРАСТ к монитору или телевизору с HDMI/DVI портом и включить устройство, тем самым создав доверенную среду. В этой среде стартует браузер и всё сопутствующие программное обеспечение, необходимое для работы, устанавливается защищенное соединение с сервером (VPN-шлюзом) удаленной защищенной информационной системы. В рамках доверенного сеанса связи обеспечивается защищенный обмен информацией между сервисом и клиентом с соблюдением всех требований 63-ФЗ «Об электронной подписи».

Во время доверенного сеанса связи с сервисом пользователю гарантированно недоступны другие информационные ресурсы, которые могут быть потенциально опасными.

Рассмотрим особенности доверенного сеанса связи в случае, если сервис — это дистанционное банковское обслуживание (ДБО).

Концепция применения технологии защищенного мобильного устройства доступа к ДБО базируется, в первую очередь, на том факте, что клиент банка не обязан и не может быть специалистом по информационной безопасности. Зачастую они даже не имеют представления о том, как уязвимы их банковские счета. При этом банк, предоставляющий услуги ДБО, просто не в состоянии проследить за состоянием защиты клиентского рабочего места, однако, в соответствии с законодательством, обязан компенсировать потери клиента.

В нашем случае Клиент банка получает ненастраиваемое устройство, которое обеспечивает загрузку неизменяемой проверенной операционной системы, устанавливает защищенное с использованием криптографических алгоритмов соединение с защищенным центром обработки данных, в котором установлено программное обеспечение (клиент ДБО) для доступа к АБС банка. Риски клиентов и банка сведены к минимуму.

Для доступа к ДБО достаточно подключить защищенный микрокомпьютер МК-ТРАСТ к телевизору или монитору и безопасное взаимодействие уже обеспечено.

Рабочее место Клиента размещается на ЦОД, отвечающего всем требованиям по защите информации.

Доступ к АБС выполняется из одной, достоверно известной точки — ЦОД, — по защищенному каналу.

Технология доверенного сеанса связи гарантирует безопасность доступа из любой точки мира.

Данные обрабатываются в защищенной вычислительной среде, а хранятся на устройстве.

Уровень защищенности ЦОД позволяет предложить программу страхования от кибермошенничества.

Авторы: Акаткин Ю. М.; Конявский В. А.

Дата публикации: 01.01.2014

Библиографическая ссылка: Акаткин Ю. М., Конявский В. А. Безопасный доступ к корпоративным облачным приложениям // Information Security/Информационная безопасность. М., 2014. № 1. С. 23.

---