Доклады, выступления, видео и электронные публикации

Облако ЦОДов, или Сон разума: о том, почему необходимо мыть руки перед едой, даже если они «чистые»

В предыдущей серии [2] были рассмотрены средства доверенной загрузки (СДЗ) и критерии их сравнения для осознанного и целесообразного выбора. Теперь хочется сказать о тех случаях, в которых необходимость их применения несправедливо подвергается сомнениям разного рода.

Доверенная загрузка рабочих станций и серверов является обязательным условием построения защищенных систем обработки информации. Только при условии правильного защищенного старта операционной системы (ОС) можно говорить о надежной системе защиты в целом. Это доказано так давно, что уже стало аксиомой. Для реализации доверенной загрузки применяется комплекс организационно-технических мер, который в совокупности и обеспечивает старт нужного набора программного обеспечения в нужной конфигурации. Важно отметить, что это именно комплекс организационно-технических мер. И СДЗ являются обязательным элементом этих мер как техническая составляющая.

В общем случае никто не оспаривает того, что СДЗ должны применяться на серверах облачной инфраструктуры, на оборудовании ЦОДа. В общем случае — потому что производители некоторых средств защиты информации для виртуальным систем включают в состав предлагаемых средств защиты лишь рекомендацию (не само СДЗ, и даже не требование) устанавливать СДЗ. Однако хочется верить, что здравого смысла проектировщика как правило хватает на то, чтобы этой рекомендации последовать, и мы не будем специально останавливаться в этой серии на агитации в пользу здравого смысла такого уровня, с этим обычно справляется естественный отбор.

Однако столь же естественный постулат, что защита облачной инфраструктуры бессмысленна без обеспечения доверенной среды на компьютерах пользователей - уже не кажется таким же очевидным.

Во-первых, на клиентских рабочих местах может отсутствовать возможность установки этих самых СДЗ (на терминалах, планшетах просто нет слотов, в которые можно было бы установить аппаратные модули доверенной загрузки). Во-вторых, клиентские места могут исполнять только единственную задачу подключения к защищенному центру обработки информации и не хранить пользовательские данные. В-третьих, в качестве клиентских мест могут применяться пользовательские устройства, которые выполнены на принципиально другой архитектуре и СДЗ для них пока не существует.

Все это побуждает пренебрегать техническим аспектом организации доверенной загрузки, обосновывать невозможность применения технических мер и смещать акцент защиты в сторону организационных мер. По сути это ничем не отличается от обоснования возможности стоять под стрелой и не мыть руки перед едой. Потому что для безопасности всей системы целиком — со всеми ее владельцами и пользователями — нет никакой разницы, что именно не защищено - ЦОД или компьютер клиента: защищенность системы равна защищенности ее самого слабого звена.

Первое и главное заблуждение — считать, что если нельзя применить знакомые средства защиты, то можно заменить их имитацией защитных мероприятий. Муляж пожарной лестницы поможет во время не особенно заинтересованной проверки, но никак не поможет во время пожара.

Довод о том, что если данные хранятся и обрабатываются в облаке, то защищать клиентские места не нужно, является вторым типичным заблуждением. Это заблуждение присуще и организаторам облаков, и пользователям. Да, данные хранятся и обрабатываются в облаке, но пользователь с ними работает со своего рабочего места: на него он данные из облака получает, обрабатывает и сохраняет обратно в облако. Процесс изменения данных, переход их из одного состояния в другое пользователь производит с использованием своего клиентского устройства (компьютера). Значит, необходимо обеспечить корректность функционирования программного обеспечения на клиентском компьютере: оно должно правильно подключится к нужному облаку, корректно визуализировать получаемые из облачной инфраструктуры данные, правильно обрабатывать вводимые пользователем данные и сохранять результат именно в том облаке, в котором необходимо. Сбой на любом из перечисленных выше этапов может привести к утечкам пользовательских данных, даже несмотря на то, что облако защищено в центре. На компьютерах пользователей должна быть создана доверенная среда.

Самым простым и надежным средством для этого является Аппаратный Модуль Доверенной Загрузки (АМДЗ). АМДЗ — это специализированный контроллер, устанавливаемый в слот расширения материнской платы компьютера (в настоящее время чаще всего для этой цели используются слоты PCI-Express и mini PCI-Express), стартующий до загрузки операционной системы компьютера и самостоятельно проводящий процедуры контроля целостности программного (исполняемых и конфигурационных файлов, реестра, документов и т. д.) и аппаратного (состав жестких дисков, их настройку, наличие плат расширения и т. д.) обеспечения. Дополнительно АМДЗ проводит аппаратную (с помощью TM-идентификатора или смарт-карты) идентификацию пользователя с последующей аутентификацией по паролю. Применение АМДЗ удобно для пользователя (он привычно прислоняет смарт-карту и вводит пароль) и необременительно для администратора (достаточно один раз настроить контроллер, и он каждый день надежно и быстро производит все контрольные процедуры, обеспечивая корректную и безопасную работу компьютера с настроенной пользовательской средой). Стартуя до запуска операционной системы клиентского рабочего места, АМДЗ позволяет создать доверенную среду на компьютере пользователя. АМДЗ широко применяется в корпоративной среде и его также можно применять в облачной инфраструктуре.

Необходимость применения АМДЗ глубоко проработана в научных трудах [1, 2 и др.] и подтверждается давней практикой применения. Настолько глубоко и давно, что ФСТЭК разработал и выпустил отдельный документ, посвященный требованиям к средствам доверенной загрузки (СДЗ) [3]. В этом документе подробно рассматриваются различные типы СДЗ, выделяются классы их защиты, специфицируются профили защиты СДЗ. При всем описываемом многообразии и различиях СДЗ их объединяет одно общее свойство — считается, что они должны быть постоянно установлены в защищаемые компьютеры.

Это входит в противоречие с двумя очень существенными свойствами облачной инфраструктуры:

  1. возможность использования в качестве клиентского устройства практически чего угодно;
  2. доступ к своей персональной информационной среде откуда угодно, мобильность рабочего места вместо привязанности к своему рабочему кабинету.

Проблему можно решать в двух направлениях — использовать всегда только те компьютеры, для которых есть широко известные средства защиты, установив стационарные СДЗ на все компьютеры в Мире (любой разработчик стационарных СДЗ поддержит этот способ), либо — использование мобильных СДЗ и клиентских компьютеров с новой защищенной архитектурой.

Каким именно способом целесообразно создавать доверенную среду на клиентском компьютере, в первую очередь зависит, конечно, от того, что это за клиентский компьютер. А это в свою очередь определяется тем, какой сценарий работы актуален для эксплуатирующей облако организации или для конкретного пользователя.

Далее рассмотрим варианты именно исходя из этих посылок.

1. Пользователь должен работать со своей информационной средой на ограниченном круге компьютеров и/или ноутбуков, расположенных в разных местах. Этот вариант включает в себя два возможные подпункта: пользователь должен работать с использованием ресурсов тех компьютеров, которые определены его рабочими местами, или без использования этих ресурсов.

В первом случае, если нет возможности применения СДЗ уровня базовой системы ввода-вывода, платы расширения или загрузочной записи вместо замены желаемого клиентского компьютера на более дорогое, но привычно защищаемое СВТ, можно рассмотреть вариант использования аппаратного модуля доверенной загрузки (АМДЗ), выполненного в форм-факторе USB-устройства. Функционально АМДЗ, выполненный в таком варианте, полностью аналогичен устройству, выполненному в виде платы расширения. То есть он выполняет контроль целостности аппаратуры, контроль целостности файлов и реестра, производит аппаратную идентификацию пользователя. Этого функционала достаточно (enough) для полноценной работы в качестве АМДЗ.

Принципиальных отличий два:

  1. для корректной работы АМДЗ в форм-факторе USB необходимо настроить СВТ на загрузку именно с него (традиционные АМДЗ самостоятельно перехватывают управление во время старта компьютера до загрузки ОС, а АМДЗ в форм-факторе USB может прерывать загрузку компьютера только в том случае, если он подключен к СВТ и получил управление).
  2. необязательность постоянной установки такого устройства (назовем его для краткости Инаф) в СВТ, позволяет использовать его в виде мобильного СДЗ (можно построить такую защищенную технологию обработки данных, когда пользователь проверяет среду функционирования только тогда, когда ему необходимо, а не каждый раз при старте).

Еще одним эффектом использования Инафа является возможность применения планшетов в защищенных информационных системах. В том случае, если у планшета есть возможность загрузки с USB, Инаф может проконтролировать целостность среды функционирования [3] и планшета тоже.

С помощью такого мобильного замка можно проверить целостность программного и аппаратного обеспечения компьютера и создать доверенную среду на компьютерах пользователей облачной инфраструктуры. Его мобильность позволяет реализовывать разнообразные сценарии работы корпоративных пользователей с облаками без снижения общего уровня защищенности клиентских мест. В частности, можно позволить пользователю быть не привязанным к конкретному рабочему месту. Для этого достаточно создать в Инафе пользователя набор контролируемых компьютеров создать для них профили (списки контролируемых файлов и аппаратуры) и обеспечить на этих компьютерах доступ к корпоративному облаку. При включении любого такого компьютера пользователь должен будет подключить в USB-порт компьютера свое устройство, оно получит управление до старта основной операционной системы, выполнит все необходимые контрольные процедуры и в случае их успешного завершения предоставит пользователю защищенный доступ к корпоративному облаку. Само устройство при этом может быть идентификатором пользователя в средствах защиты на ЦОДе.

Одним из аргументов в пользу переноса акцента в построении системы защиты в сторону организационных мер является «ограниченность» СВТ с точки зрения выполняемых функций и хранения данных пользователя. Терминалы и примкнувшие к ним zero-клиенты действительно содержат ОС в минимальном составе, ряд утилит по настройке и программное обеспечение, обеспечивающее подключение к терминальному серверу или виртуальному рабочему столу. На подобных рабочих местах не хранятся пользовательские данные. И как в предыдущем случае отсутствует возможность установки СДЗ. Но доверенная загрузка необходима и в этом случае. Даже в минимальную по размеру ОС может быть внедрена закладка.

Таким образом, если сценарий работы с облаком предполагает использование рабочих станций, предназначенных только для подключения к удаленному рабочему столу, их ОС тоже должна быть контролируемой. В этом случае можно предложить использование комплексов защищенного хранения и сетевой загрузки ОС терминальных станций.

Универсальная часть образа ОС клиентского терминала при этом загружается с отчуждаемого персонального устройства пользователя, а затем, со специального сервера хранения и сетевой загрузки на клиент скачивается и после успешной проверки целостности и аутентичности полученного образа — загружается та его часть, которая требует администрирования. Эта часть образа, включающая средства поддержки периферии (она может выходить из строя или просто заменяться), ограничения доступа к устройствам ввода-вывода и съемным носителям (принтерам, флешкам), клиент VPN и тому подобные «индивидуальные» настройки, должна быть доступной для изменений, но в то же время верифицируемой. Это и обеспечивается комплексами защищенного хранения и сетевой загрузки образов терминальных станций, которые помимо персональных загрузочных устройств и сервера хранения и сетевой загрузки включают в себя АРМ для конструирования загружаемых образов ОС.

Чтобы обеспечивать комфортное применение и администрирование, такой комплекс должен включать в себя средства сопоставления загружаемых образов, загрузочных устройств и пользователей между собой, а также быть интегрированными со средствами защиты ЦОДа. А чтобы обеспечивать необходимый уровень защищенности, комплекс должен иметь механизмы контроля целостности и аутентичности загружаемых образов.

2. Пользователь должен иметь возможность работать с облаком с использованием произвольного компьютера. Для таких случаев идеально подходят средства обеспечения доверенного сеанса связи (СОДС). СОДС позволяет расширить границы мобильности далеко за пределы офиса за счет изменения логики контроля неизменности программного обеспечения и соответствия его эталону. Суть решения СОДС состоит в том, что пользователь носит с собой не средство контроля целостности среды, а саму среду в недоступном для изменения виде. У пользователя есть устройство с интерфейсом USB размером со стандартную флешку, и по сути своей являющееся именно флешкой. Но имеющей ряд особенностей. Во-первых, с этого устройства можно загружать компьютер. Во-вторых, операционная система, которая будет загружаться на компьютере, хранится на диске в режиме «только для чтения». В-третьих, в этой операционной системе предустановлено все необходимое программное обеспечение для доступа к облачной инфраструктуре. Как на прикладном, так и системном уровне. Таким образом, корпоративные пользователи облачной инфраструктуры могут с любого компьютера, в том числе, планшетного работать с облаком из доверенной среды. При этом СОДС может быть идентификатором пользователя в средствах защиты ЦОДа, а в состав загружаемой ОС может входить VPN-клиент, сервер которого — в ЦОДе.

Дополнительным преимуществом такого подхода является то, что вирус не может за фиксироваться в памяти, которая функционирует в режиме RO, то есть нет необходимости использовать антивирусные программы. Таким образом, существенно сокращается не только цена приобретения, но и цена владения изделием.

Единственная особенность, которую необходимо иметь в виду — в отличие от описанных выше комплексов защищенного хранения и сетевой загрузки ОС терминальных станций СОДС не предоставляет возможности эксплуатирующей организации самостоятельно создавать или редактировать образы записанного в его защищенную память ОС. Поэтому при заказе устройств необходимо ясно понимать, что потребуется от устройства и четко сформулировать заказ.

3. Пользователь должен иметь доступ к своей персональной информационной среде даже в том случае, если компьютера нет совсем, а есть, например, только телевизор. Или проектор. В этом случае очевидно, что необходимо сделать следующий шаг и перенести в мобильное устройство последнее, что осталось — сам компьютер.

Современные, в том числе планшетные компьютеры создаются на основе «гарвардской» архитектуры, что создает возможность намного более простого и дешевого решения поставленной задачи. В этом случае достаточно микросхему банка памяти, в которой размещается ОС, перевести в режим «только чтение», read only, RO. Этот режим обеспечит неизменность ОС, как в классическом СОДС «МАРШ!». Если неизменность ОС обеспечивается аппаратным, физическим способом, то никакие программные действия хакеров не смогут изменить целостность, а, следовательно, доверенность программной среды.

При первоначальной подготовке такого компьютера к работе, операционную систему необходимо записать в банк памяти, то есть в этот момент память должна быть доступна не только не чтение, но и на запись (RW). По требованиям безопасности перевод из режима RO в режим RW должен осуществляться физическими, а не программными методами. Самый простой и дешевый способ - использование физического переключателя.

Однако доступ к переключателю должен быть у специалистов на аттестованном производстве, а пользователю переключение должно быть не доступно. Поэтому режим «только чтение» обеспечивается физическим переключением с помощью переключателя, размещаемого внутри корпуса устройства. Наличие этого переключателя создает предпосылку возможности защищенного обновления устройства в сервисном центре.

Нельзя не учитывать, что помимо защищенной работы с облаком пользователю хотелось бы иметь и обычные возможности незащищенной работы, например, в Интернете. Из доверенной среды нельзя выходить в незащищенный Интернет, так как в результате доверенность может быть нарушена.

Наилучшее разрешение этого противоречия — наличие еще одной ОС, незащищенной, без ограничений по доступу в интернет. Носителем этой ОС может быть еще один банк памяти с полным доступом.

Выбор той из двух ОС, которая должна быть загружена в каждом конкретном случае должен осуществляться пользователем. Целесообразно при этом выбор ОС осуществлять переключателем, размещаемом на корпусе устройства.

Условия сохранения доверенности защищенной ОС обеспечиваются тем, что разные ОС не имеют общего информационного ресурса. Взаимовлияние защищенной и незащищенной ОС друг на друга исключено, так как они размещены в физически разделенным банках памяти и ни при каких обстоятельствах не могут быть запущены одновременно.

Такое решение получено, и оно защищено более, чем 10-ю патентами. Основанные на этом решении компьютеры выпускаются в виде планшетов, в форм-факторе большой флэшки, в виде телефона, и в форм-факторе отчуждаемого активного блока и док-станции. Телефон и терминал с док-станцией — стационарные решения, планшеты же и устройства в виде большой флешки — это мобильные, носимые с собой устройства.

Сценарий работы выглядит так — если устройство не имеет собственного монитора (как планшет), оно подключается к телевизору, монитору или проектору через HDMI или DVI. С помощью внешнего переключателя выбирается нужный режим — защищенный, для работы с ЦОДом, или обычный, для работы с Интернет. Загружается нужная ОС и пользователь работает привычным образом. При желании переключиться в другой режим работы, пользователь выключает устройство, меняет положение переключателя и загружает вторую ОС.

За счет того, что микрокомпьютер разработан на базе 4-х ядерного Cortex-A9 процессора, причем в его состав включен мощный видеоускоритель, позволяющий воспроизводить файлы FullHD, его технические характеристики удовлетворяют всем бытовым потребностям современного человека.

CPU: на базе 1,6 ГГц CortexA9.

GPU: Mali400, 2D/ 3D OpenGL ES2.0/ OpenVG1.1.

ОЗУ: 2GBDRR3.

Обеспечивается доступ к Интернет, электронная почта, Skype, YouTube и все другие «блага цивилизации», включая высококачественное «проигрывание» видеофайлов, доступны приложения из GooglePlayStore. Офисные, медиа, интернет приложения и многие другие. Можно использовать для чтения документов, почты, отправки писем и документов, составления документов, общения с коллегами и друзьями и многого другого. Обеспечивается он-лайн потоковое видео из YouTube, Rutube и др., он-лайн фильмы, программы, сериалы и др. с сервисов бесплатных и платных кинотеатров iviRU, MegogoNET и др.

Мульти медиа форматы:

Аудио: MP3/WAV/AMR/AAC;

Видео:3GP,MPEG4,AVI,RMVB,MKV,FLV и т.д.

Декодирование видео: Поддержка 1920×1080p@60fps.

Кодирование видео: Поддержка записи в формат H.264. 1080p@60fps, 720@100fps.

Поддержка Flash 11.x / HTML5 видео он-лайн

Игры: Встроенный 3D-Ускоритель. Поддержка 3D игр

Электронная почта: Gmail, POP3/SMTP/IMAP4

Поддерживает управление проводными (USB) и беспроводными (2.4 Ghz, bluetooth) мышками, клавиатурами и пультами.

Поддерживается работа с защищенными ключевыми носителями по протоколу CCID.

Видно, что предложенный перечень вариантов защиты клиентского компьютера — исчерпывающий, так как от стационарного рабочего места отчуждается, делаясь мобильным, средство контроля среды, сама среда и, наконец, сам компьютер.

Особняком стоит еще один вид клиентского компьютера - ноутбук руководителя. При всей своей немногочисленности в процентном соотношении, руководители — это те люди, удобство которых стоит применения отдельных усилий.

На руководителя как правило возлагается так много совершенно необходимых обязанностей, что от выполнения «лишних» действий он закономерно хочет быть избавлен. Кроме того, в случае с компьютером или ноутбуком руководителя — крайне желательно избегнуть заметных изменений привычного порядка действий при загрузке компьютера и замедления процедуры загрузки ОС, что неизбежно в первых двух описанных случаях.

Поэтому загрузка защищенной ОС с клиентом для подключения к ЦОДу на СВТ руководителя должна производиться через интерфейс, который не станет узким местом по скорости чтения, и без подключения устройств, которые неудобно использовать, например, в дорожных условиях. Это значит, что клиент должен загружаться на такой компьютер прямо из аппаратного модуля доверенной загрузки, требуя от пользователя только указания желаемого в данный момент режима.

Естественно, защищенность клиентских компьютеров имеет смысл тогда, когда ЦОД имеет механизмы контроля того, из какой среды подключается к нему пользователь. Принятие отдельных невзаимосвязанных мер как правило обеспечивает только безосновательную успокоенность, а не защищенность. Применение перечисленных способов загрузки дает возможность ЦОДу контролировать не только то, что подключающийся пользователь легален, но и то, предпринял ли он меры по обеспечению доверенной среды на своем компьютере.

Очевидно, что на сегодняшний день квалификация разработчиков СЗИ достаточна для того, чтобы оперативно отвечать запросам рынка. Есть все возможности получать разнообразные варианты технических решений, которые помогут недорого создать защищенную информационную систему, сбалансированную в плане применения организационных и технических мер. Важно только расставить акценты именно таким образом, а не стараться обосновать возможность не применять средств защиты.

СПИСОК ЛИТЕРАТУРЫ:

  1. Конявский В. А. Управление защитой информации на базе СЗИ НСД «Аккорд». М.: Радио и связь., 1999. — 325 с.
  2. Конявский В. А., Гадасин В. А. Основы понимания феномена электронного обмена информацией. Мн: Серия «Библиотека журнала „УЗИ“», 2004. — 327c.
  3. Требования к средствам доверенной загрузки, утвержденные приказом ФСТЭК России от 27 сентября 2013 г. N 119 (зарегистрирован Минюстом России 16 декабря 2013 г., рег. N 30604).
  4. Мобильное устройство защиты информации с повышенным уровнем защищенности. Патент на полезную модель № 83862. 20.06.2009, бюл. № 17; Специальный съемный носитель информации. Патент на полезную модель № 94751. 27.05.2010, бюл. № 15; Съемный носитель информации. Патент на полезную модель № 102139. 10.02.11, бюл. № 4; Компьютер типа «тонкий клиент» с аппаратной защитой данных. Патент на полезную модель № 118773. 27.07.12, бюл. № 21; Способ защиты от несанкционированного доступа к информации, хранимой в компьютерных системах. Патент на полезную модель № 2470349. 20.12.2012, бюл. № 35; Съемный носитель информации с безопасным управлением доступом. Патент на полезную модель № 123571. 27.12.2012, бюл. № 36; Модем для безопасных коммуникаций в компьютерных сетях. Патент на полезную модель № 127596; Съемный носитель информации на основе энергонезависимой памяти с расширенным набором функций информационной безопасности. Патент на полезную модель № 130441. 20.07.2013, Бюл. № 20; Периферийное USB-устройство долговременного пользования для мобильной компьютерной техники. Патент на полезную модель № 133353. 10.10.2013, бюл. № 28; Мобильный компьютер с аппаратной защитой доверенной операционной системы. Патент на полезную модель № 138562. 20.03.2014, бюл. № 8; и ряд других.

[1] Начало сериала см.: Конявский В. А. Облако ЦОДов, или Сон разума // Защита информации. INSIDE. СПб., 2013. № 5. С. 36-37.

[2] Чепанова Е. Г., Лыдин С. С. Облако ЦОДов, или Сон разума. Сравнительный анализ решений для обеспечения доверенной загрузки ОС, представленных на рынке // Защита информации. Инсайд. СПб., 2014. № 3. С. 56-68.

[3] Программной среды и аппаратных компонентов средств вычислительной техники.

Авторы: Счастный Д. Ю.; Конявская С. В.

Дата публикации: 01.01.2014

Библиографическая ссылка: Счастный Д. Ю., Конявская С. В. Облако ЦОДов, или Сон разума: о том, почему необходимо мыть руки перед едой, даже если они «чистые» // Защита информации. Inside. СПб., 2014. № 5. С. 57–61.


Scientia potestas est
Кнопка связи