Основные преимущества и недостатки облачных технологий с точки зрения защиты информации

Введение

Актуальность темы исследования. Облачные технологии – одно из благ цивилизации. Каждый второй интернет-пользователь использует их для хранения и обмена данными, но на практике мало кто понимает, как и насколько безопасно это работает.Сегодня активные пользователи не ограничиваются одним гаджетом — у каждого есть смартфон плюс ноутбук, стационарный компьютер или планшет. В любой момент может понадобиться доступ к файлу, но таскать с собой флешку и прочие накопители не хочется. Такая же ситуация возникает, когда нужно синхронизировать информацию на рабочем и домашнем ПК, внести изменения в документы, отредактировать файлы.Облачные технологии представляют собой распределенную обработку данных, при которой пользователь получает доступ к программам для ЭВМ, вычислительным и другим мощностям в виде онлайн-сервиса — в режиме реального времени.Это также подразумевает доступ к виртуальному хранилищу из любой точки мира. Для этого требуется любое устройство с подключением к Интернету и веб-браузер.Цель данной работы – рассмотреть преимущества и недостатки облачных технологий с точки зрения обеспечения защиты информации.Для достижения поставленной цели необходимо решить следующие задачи:- раскрыть понятие и сущность облачных технологий;- изучить безопасность облачных технологий;- охарактеризовать основные преимущества и недостатки облачных технологий с точки зрения защиты информации.1. Понятие и сущность облачных технологийОблачные технологии — это технологии обработки данных, при которых компьютерные ресурсы предоставляются пользователю Интернета в виде онлайн-сервиса. Слово «облако» здесь присутствует как метафора, олицетворяющая сложную инфраструктуру, скрывающую все технические детали.Облачные технологии — это инновационные технологии для работы в сети Интернет. Технология распределенной обработки данных, при которой компьютерные ресурсы и мощности предоставляются пользователю в виде интернет-сервиса. Если объяснить доступным языком, то облачные сервисы — это рабочая площадка в Интернете, а точнее на удаленном сервере, который предоставляется как интернет-сервисы для достижения целей, задач, проектов.С технической точки зрения облачные технологии представляют собой способ организации физических и программных средств, а также набор средств, с помощью которых пользователь получает вычислительную мощность для выполнения стоящих перед ним задач.Облачные вычисления — это ресурс, который пользователь получает как услугу и работает с ним удаленно. Это значит, что для проведения расчетов и обработки информации вы используете мощности не своего компьютера, а сторонних.Облачные технологии — это одна большая концепция, включающая множество различных концепций, предоставляющих услуги. Например, облачные услуги:- почта: gmail, hotmail;- удаленная работа с документами: документы Google, Office Web Apps;- хранилище данных: Google Drive, OneDrive, Dropbox;- редактирование изображений в реальном времени: Figma;- сервисы для создания заметок, совместной работы над задачами: Trello, Jira, Evernote;- интернет-магазины приложений: Google Play, App Store и Microsoft Store;- облачный хостинг — размещение сайта в облаке.Перечисленные сервисы имеют набор сервисов для обычных пользователей и облачных решений для бизнеса. В первом случае вы получаете минимальный набор функций, которого хватит для решения повседневных задач. Для работы предприятия нужен облачный сервис для бизнеса, ведь там функционал шире.Облачное хранилище данных (англ. cloud storage) — модель онлайн-хранилища, при которой данные хранятся на многочисленных серверах, распределенных по сети, предоставляемых в пользование клиентам, преимущественно третьей стороной. В отличие от модели хранения данных на собственных выделенных серверах, купленных или арендованных специально для таких целей, количество или какая-либо внутренняя структура серверов, как правило, не видны клиенту. Данные хранятся, а также обрабатываются в так называемом облаке, которое с точки зрения клиента представляет собой один большой виртуальный сервер. Физически такие серверы могут быть удалены друг от друга территориально, вплоть до расположения на разных континентах.История облачных технологий (вычислений) начинается в 1970 году — с того момента, как американский ученый Джозеф Ликлайдер озвучил свою идею. Она заключалась в возможности предоставления пользователям Интернета доступа не только к данным, но и к программам.Похожую идею предложил Джон Маккарти, предложив использовать вычислительную мощность в качестве интернет-сервиса. Вскоре работы в этой области прекратились почти на 20 лет.В 90-е годы пропускная способность Интернета увеличилась, но прорыва не произошло из-за неподготовленности специализированных компаний. На рубеже веков появилась фирма, которая предоставляла посетителям доступ к приложению через веб-сайт. Она была первой, кто предложил доступ к программному обеспечению как услугу.В 2002 году Amazon воспользовалась новыми возможностями. Его веб-сервис обеспечивал хранение информации и позволял производить вычисления. Четыре года спустя Amazon призвала пользователей запускать собственные приложения.Следующим этапом развития стал анонсированный Microsoft запуск платформы Google Apps и запуск полноценной операционной системы в облаке.Технический прогресс, появление открытого программного обеспечения во многом способствовали модернизации и расширению функциональных возможностей технологических решений.Облачные технологии появились в России в 2010 году. На старте годовой объем их рынка составлял:- 15 миллионов долларов из общедоступного облака;- 5 миллионов долларов — от частной компании.Через 4 года эти цифры увеличились до 125 и 33 миллионов долларов соответственно. Тенденция к росту продолжилась и в последующие годы, что само по себе свидетельствует об интересе к облачным решениям.Национальный институт стандартов и технологий США зафиксировал следующие обязательные характеристики облачных вычислений:- Самообслуживание по требованию, потребитель самостоятельно определяет и изменяет вычислительные потребности, такие как серверное время, скорость доступа и обработки данных, объем хранимых данных без взаимодействия с представителем поставщика услуг;- Универсальный доступ по сети, услуги доступны потребителям по сети передачи данных независимо от используемого терминального устройства;- Объединение ресурсов, поставщик услуг объединяет ресурсы для обслуживания большого количества потребителей в единый пул для динамического перераспределения мощности между потребителями в условиях постоянно меняющегося спроса на мощность; при этом потребители контролируют только основные параметры услуги (например, объем данных, скорость доступа), а фактическое распределение ресурсов, предоставляемых потребителю, осуществляет провайдер (в ряде случаев потребители могут еще управлять некоторыми физическими параметрами перераспределения, например указать желаемый центр обработки из соображений географической близости);- Эластичность, услуги могут предоставляться, расширяться, сужаться в любое время, без дополнительных затрат на взаимодействие с поставщиком, как правило, автоматически;- Учет потребления, поставщик услуг автоматически рассчитывает потребляемые ресурсы на определенном уровне абстракции (например, объем хранимых данных, пропускную способность, количество пользователей, количество транзакций) и на основе этих данных оценивает объем услуги, оказываемые потребителям.Как работают облачные технологии, станет намного понятнее, если мы рассмотрим следующий пример одного из первых способов использования облачных технологий. В США был запущен облачный сервис OnLive, позволяющий играть в современные игры даже на самом простом оборудовании. Технически это выглядит так: сама игра находится на удаленном сервере и там обрабатывается графика, которая доставляется на компьютер конечного пользователя уже в «готовом» виде. Проще говоря, те вычисления, которые выполняются видеокартой и процессором при обычной игре на компьютере, здесь уже выполняются на сервере, а наш компьютер используется только как монитор.Суть облачных технологий заключается в следующем:- У нас может не быть никаких программ на нашем компьютере, а только доступ в Интернет.- Платно или бесплатно, это зависит от того, что вам нужно.- Свою информацию можно хранить в облаке.Под «облаком» в данном случае понимается сеть взаимосвязанных интернет-серверов, и мы можем не знать, где физически находится этот сервер.2. Безопасность облачных технологийОблачные технологии используются для работы, в науке, здравоохранении и в личной жизни. Практически в каждом действии в Интернете, так или иначе, присутствует наличие сервисов из облака. Большие объемы данных, которые генерирует каждый человек и любая компания, необходимо хранить. Поэтому вопрос безопасности облачных сервисов является приоритетным как для поставщика услуг, так и для клиентов.Безопасность облачных технологий — это область, которой каждый провайдер уделяет особое внимание. В противном случае он потеряет клиентов, так как ИТ-инфраструктура используется для хранения конфиденциальных и стратегических данных, поэтому она должна быть надежно защищена.Безопасность зависит от типа сервера: виртуальный или выделенный. Виртуальные серверы предполагают размещение клиентской информации в единой среде. Есть вероятность, что при ошибке в коде владельцы других аккаунтов увидят чужие данные.Выделенные серверы позволяют создать более безопасную и функциональную среду, предоставляют свободу действий при выборе и установке операционной системы, программного обеспечения для нормальной работы.Поставщики услуг всегда шифруют информацию, размещенную на их серверах, с помощью специального криптографического программного обеспечения. Доступ к данным возможен только с паролем, установленным авторизованным пользователем.Руководитель компании всегда может отследить, кто и в какое время просматривал информацию, чем занимались его сотрудники и что происходит на их рабочем столе в конкретный период времени.Гарантией сохранности данных является их ежедневное копирование. Каналы передачи с серверов на ПК и обратно защищены несколькими надежными программами, поэтому код невозможно взломать.Защита данных в облаке — сложный многоуровневый процесс.Главный товар 21 века — персональные данные. Когда человек заходит на ваш сайт, он оставляет информацию о себе даже тогда, когда ничего не покупает и не заполняет никаких анкет. IP, DNS, история запросов посетителей остается на вашем ресурсе. Если это интернет-магазин, данные карты остаются.Злоумышленники могут украсть личную информацию и использовать ее в своих целях. В случае неправильной реализации мер по защите данных в облаке владелец ресурса будет наказан вплоть до лишения свободы. Также ресурс может быть использован для DDoS-атак.В чем может быть угроза? Вот лишь несколько основных причин:- вторжение;- вирусы и шпионское ПО;- социальная инженерия (человеческий фактор внутри компании).Большое количество профессиональных хакеров пытаются заработать на краже ценной информации для последующей продажи.Есть и другая сторона, о которой мало что известно. Среди них — хакеры государственных служб. Можно подумать, что обычные пользователи и частные фирмы тут ни при чем, но это не так. Например, Северная Корея постоянно атакует Южную Корею и других своих врагов в Интернете. Ходят слухи, что в ней есть специалисты, которые могут разработать систему, которая полностью уничтожит все компьютеры, подключенные к всемирной паутине. Во всей Северной Корее всего 2000 IP-адресов, так что эта угроза только для остального мира.Однако более опасными могут быть разработчики из других стран, которые не всегда находятся под контролем. Например, в 2010 году появился компьютерный червь Stuxnet, который может привести к апокалипсису. Его создали разработчики из Америки и Израиля. Этот вирус может повредить физическую инфраструктуру. После этого он попал в другие страны, где его пытались продать. В результате его можно было найти в системах различных организаций, а его подделки можно встретить и сегодня.3. Основные преимущества и недостатки облачных технологий с точки зрения защиты информацииК основным преимуществам облачного хранилища относятся:- доступность «облака» - доступна всем и везде, где есть доступ к глобальной сети Интернет с любого устройства, имеющего браузер;- низкая стоимость - снижены затраты на обслуживание (использование технологий виртуализации), оплата производится только за фактическое использование облачных ресурсов пользователем (позволяет сэкономить на покупке и лицензировании ПО), аренда «облака», разработка аппаратной части вычислительных систем;- гибкость - неограниченные вычислительные ресурсы (виртуализация);- надежность - специально оборудованные центры обработки данных (ЦОД) имеют дополнительные источники питания, регулярное резервное копирование данных, интернет-канал с высокой пропускной способностью, устойчивость к DDOS-атакам;- безопасность - высокий уровень безопасности при грамотной организации, однако при халатном отношении эффект может быть обратным;- большая вычислительная мощность - пользователь может использовать всю вычислительную мощность, доступную в «облаке».При всех своих преимуществах облачные технологии имеют ряд серьезных недостатков:- требуется постоянное подключение к сети - для работы с «облаком» необходимо обеспечить постоянное подключение к сети;- пользователю доступно только то программное обеспечение, которое находится в «облаке», и пользователь не может настраивать приложения под себя;- конфиденциальность - в настоящее время не существует технологии, обеспечивающей 100% конфиденциальность данных;- надежность - потеря информации в «облаке» означает невозможность ее восстановления;- безопасность — хоть «облако» и достаточно надежная система, но в случае проникновения злоумышленника ему будет доступен огромный объем данных;- дорогая стоимость оборудования - для создания собственного «облака» нужны значительные материальные ресурсы.Один из недостатков облачных технологий состоит в их главном принципе – «облачности».. Человек не знает, где его данные хранятся, обрабатываются и как его данные защищены. А незнание означает отсутствие контроля. Поэтому пользователь либо полагается на хорошую репутацию хостинг-провайдера, либо отказывается от использования таких технологий.Шифрование — единственная гарантия контроля данных. Если провести эту процедуру и передать в систему ключ дешифрования, то пользователь может быть уверен, что посторонние, пользующиеся услугами того же хостинг-провайдера, не смогут получить доступ к его данным. Но реализовать шифрование сложно.Распространение шифровальных сервисов в «облаках» происходит крайне медленно по ряду причин. Основная причина - нагрузка. Шифрование, встроенное в облачную инфраструктуру, сильно замедляет работу приложений. Расшифровка также может повлиять на дальнейшую работу приложения. Задержки при постоянных циклах шифрования-дешифрования могут сильно повлиять на работу системы, вплоть до разрушения. Для решения этой проблемы специалисты предлагают шифровать не всю виртуальную среду, а только сами данные. Этот процесс также повлияет на работу системы, но в гораздо меньшей степени. И при этом обеспечить защиту информации.Следующий важный недостаток можно охарактеризовать как «пробелы в законе».Несовершенство законодательства делает облачные технологии в России крайне уязвимыми с точки зрения защиты информации. В законе «О персональных данных» не указано, кто является владельцем системы, если хотя бы часть ее находится в «облаке». При работе с облачными приложениями пользователи сталкиваются с рядом других проблем. Например, если персональные данные клиентов компании необходимо перенести в «облако», то их необходимо зашифровать, причем с использованием криптографической системы, сертифицированной ФСБ. В настоящее время нет облачных приложений, которые прошли бы подобную процедуру. И когда они появятся, неизвестно.Говоря о колоссальных недостатках облачных технологий, стоит отметить следующие методы борьбы с этими проблемами для обеспечения безопасности сервиса. Провайдеры облачных технологий могут использовать соответствующие технологии, указанные в таблице:Приватность пользовательской информацииВыделенное зонирование сети, пересылка полученных данных. Очистка дисков после доступа к ним. Аутентификация файловой системыШифрование устройства. Шифрование файловой системыКонфиденциальность пользовательских данных во время выполненияИзоляция виртуальной машины (ВМ) и операционной системы (ОС)Изоляция ОСКонфиденциальность при передаче пользовательских данных по сетиSSL, VLAN, VPNSSL, VPNТребуемая аутентификация и авторизация пользователей для доступа к их даннымФайрвол, VPN-аутентификация, Аутентификация ОСVPN-аутентификация, Аутентификация ОСКонфиденциальность хранения пользовательских данных. Сохраненные пользовательские данные не могут быть просмотрены или изменены другими людьми, в том числе операторами. Конфиденциальность информации пользователя во время просмотра или выполнения других операций. Пользовательские данные не могут быть показаны или изменены другими людьми, пока они выполняются (загружаются в системную память). Конфиденциальность при передаче персональных данных через Интернет. Это включает в себя защиту информации при передаче в удаленный центр облачных вычислений. Информация не может быть показана или изменена другими людьми. Пользователи должны быть аутентифицированы и авторизованы для доступа к своим данным. Пользователи могут получить доступ к своей информации правильным образом и могут разрешать другим людям доступ к своей учетной записи. Следующая проблема заключается в том, что концепция информационной безопасности постепенно меняется от идеи защищенного периметра к облачной модели защиты приложений, данных и сервисов. На практике при миграции в облака необходимо будет найти баланс между централизованными мерами защиты информации, за которые отвечает поставщик инфраструктурных услуг, и локальными, предоставляемыми клиентом.Соответственно, первое, что нужно сделать при построении облачной защиты, — это определить, кто и какие облачные ресурсы контролирует. Это связано с самой организацией облаков. Таким образом, при предоставлении услуг IaaS провайдер не может контролировать действия клиента, связанные с установкой дополнительных программных компонентов и их настройкой с учетом требований информационной безопасности. Поставщик услуг PaaS не может гарантировать, что клиенты будут правильно разрабатывать свое программное обеспечение на предоставленной платформе (с точки зрения информационной безопасности). Поставщик услуг SaaS, в свою очередь, не может контролировать правильность организации доступа на стороне клиента. Задача провайдера — создать базовую безопасную среду, в которой данные разных клиентов сервиса будут изолированы друг от друга, а также обеспечить контроль над действиями их системных администраторов.ЗаключениеТаким образом, в настоящее время в России существуют как бесплатные, так и платные облачные сервисы, однако последние не нашли широкого применения. Учитывая все вышеизложенное, недоверие российского потребителя к новым продуктам вполне объяснимо.Однако даже в текущей ситуации на рынке облачные сервисы продолжают развиваться, появляются все новые и новые сервисы, появляются новые облачные провайдеры. Учитывая последние тенденции повышения «мобильности» пользователей (как в личных, так и в деловых интересах), развитие рынка телекоммуникаций должно сопровождаться расширением облачных сервисов, чему будет способствовать создание четкой, общепринятой законодательной базы, которая регулирует действия облачных провайдеров, обеспечивающих безопасность информации пользователей.

Список использованной литературы

1. Баранова, Е.К. Информационная безопасность и защита информации: Учебное пособие / Е.К. Баранова, А.В. Бабаш. - М.: Риор, 2018. - 400 c.2. Безопасность и защита данных в облачных технологиях. - https://boodet.online/blog/bezopasnost-i-zashhita-dannyh-v-oblachnyh-tehnologiyah-boodet-onine (дата обращения: 17.01.2022).3. Достоинства и недостатки облачных технологий. - https://olymp.hse.ru/data/2017/04/12/1168131586/170_%D0%A0%D0%B5%D1%88%D0%B5%D0%BD%D0%B8%D0%B5%207%20%D0%B2%D0%BE%D0%BF%D1%80%D0%BE%D1%81%D0%B0.pdf (дата обращения: 17.01.2022).4. Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.2 — Средства защиты в сетях / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. — М.: ГЛТ, 2018. — 558 c.5. Мельников, В. П. Информационная безопасность и защита информации / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - Москва: Высшая школа, 2019. - 336 c.6. Плюсы и минусы облачных технологий защиты. - http://computerologia.ru/plyusy-i-minusy-oblachnyx-texnologij-zashhity/ (дата обращения: 17.01.2022).