Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах
Skip navigation

Как да обезопасим облачната услуга от уязвими приложения?

Networkworld България - брой 6, 2016 г. / Сигурност
При качване на клиентски приложения в облака трябва да се предвидят мерки за защита в случай на налични в тях уязвимости.
387 прочитания, 0

Осигуряването на безопасна облачна услуга е доста сложна задача. Отговорността за достъпност на услугата и защитеност на данните в нея са неотменима част от предложенията и важен пункт в SLA договорите. Доставчиците на облачни услуги не жалят средства за реализация на средства и мерки за информационна сигурност, тъй като защитата им дава сериозно конкурентно предимство. За тази цел се ползват антивирусни средства, защитни стени от различно ниво, системи за противодействие на DDoS и предотвратяване на прониквания, разнообразни „пясъчни сандъци“, SOC/SIEM и т.н. В добрия облачен център съществува 24-часов мониторинг и отразяване на атаки, като екипът е квалифицирани специалисти.

Въпреки това осигуряването на защита става доста по-трудно, когато доставчикът на облак предлага на своите потребители възможност да публикуват свои собствени услуги по модела IaaS и PaaS. Тогава в защитената система възниква слой от клиентски приложения, чието качеството доставчикът не е в състояние да контролира. Уязвимо приложение може да стане проблем не само за онези, които са го написали, но и за други клиенти на облачния доставчик. Нееднократно вече възникваха ситуации, при които атаката е бил насочена към приложение в центъра за данни, но под негово влияние всички приложения стават недостъпни. В допълнение чрез пробиването на едно приложение, например получаване на привилегирован достъп до него, нападателят е в състояние да зарази и компрометира и други в същия облак. Както и да са изолирани ресурсите, управлението им (или на част от него) често се извършва от едно централно място.

Предоставяйки на клиентите API или просто ресурси за облачен хостинг, собствениците на ЦОД трябва да са уверени, че качения в облака код няма да намали общата защитеност. Засега повечето облачните услуги за клиентски приложения се приемат „както са си“, а броят на атаките към уязвимите приложения расте непрекъснато. Как да се разреши този проблем? Да се провеждат тестове за проникване? Организирането на независимо приемане на приложения, както това става при пускането на масови продукти?

Прочетете още: Новият щам Mirai излиза далеч извън рамките на Deutsche Telekom

Дали клиентите на облачните услуги ще се съгласят на такива мерки? Дали те ще си платят изследването на своите приложения, качени в облака? Едва ли. В повечето случаи те са бизнесмени и скоростта на задействане на услугите за тях е по-важна от тяхната защитеност. Ресурсите, при това човешките, също са ограничени и изборът между „добавянето на нови функции“ и „коригирането на уязвимости в старите“ е очевиден – да не ги поправят. Те не се интересуват от рисковете за другите клиенти, как и за рисковете, произтичащи от други клиенти на облака. Те са подписали SLA договор за конкретна услуга и очакват, че всички проблеми със защитеността ще бъдат решавани от доставчика.

Всъщност собственикът на облачната услуга ще трябва да плаща такива процедури, тъй като уязвимостта на стартираните програми директно влияе върху защитеността на услугата и спазването на SLA. Някои центрове за обработка на данни, в които се качват клиентски приложения, вече въвеждат едни или други елементи от процеса на приемането. Скоро може би ще има пълноценни процедури, познати при приемането на алгоритми и програми.

Откъде да започнем? На първо място при формулирането на изисквания за приложенията, които ще се качват в облака. Вариантите тук са различи - от общи изисквания към стандартите на безопасното програмиране до частни изисквания относно използването на конкретен облачен API интерфейс или специфика на инфраструктурата. Малко е обаче да се опишат изискванията, трябва да има възможност за контролирането им. Затова доставчикът трябва да има продукти или услуги, предназначени за проверка именно на такива изисквания, както и персонал, обучен да ползва тези инструменти и да интерпретира резултатите от тяхната работа.

Наличието само на изисквания и способи за контролирането им също е недостатъчно за решаване на проблема с некачествени приложения. Най-трудният етап при внедряването на строги правила е реализацията на обратна връзка: „Установихме, че качеството на изпратения в облака продукт е неприемливо. А след това?“ Най-сложен за реализация е този елемент, защото при неговото внедряване възниква конфликт на интересите на бизнеса („Клиентът иска да разположи свой продукт в нашия облак, така че нека да му вземем парите!“) и услугата за сигурност („Разполагането на такъв продукт повишава риска от атака към клиента, целия облак и други клиенти“). Всеки път трябва да се съпоставя печалбата и риска.

Затова отношенията с клиентите трябва да са строго регламентирани. В социалните мрежи в потребителските споразумения се предвижда възможност за премахване на незаконни текстове и даже изключване (блокиране) на даден запис, от чието име се качват подобни текстове, дори пълна забрана. Аналогично на това правило за облачната услуга може да бъде договорено условие за разполагане на приложение — липса на уязвимост и други недекларирани възможности, способни да повлияят върху достъпността на услугата и конфиденциалността на данните. В частност трябва да бъде предвидена възможност за временно спиране на приложението, ако в него бъде открита уязвимост, чието наличие може да донесе опасност за облачната услуга и други клиенти. Такова условие трябва да се въведе и заради това, че конфиденциалността и достъпността на данните на клиента отговаря облачният доставчик и при инцидент е сложно да се докаже, че клиентът „сам е виновен“.

Облачните услуги стават все по-популярни, а разполагането на клиентските приложения става все по-сложно. Ако не се замислим сега за растящите рискове, може безвъзвратно да изпуснем времето за тяхното смекчаване.

(04.01.2017)

КОМЕНТАРИ

Трябва да сте регистриран потребител, за да коментирате статията
"Как да обезопасим облачната услуга от уязвими приложения?"



    

© Ай Си Ти Медиа ЕООД 1997 - 2017 съгласно общи условия за ползване