Προστασία δεδομένων στο cloud: από πού να ξεκινήσετε. Η τοποθεσία είναι επίσης μια σημαντική πτυχή. Επιθέσεις σε συστήματα ελέγχου

Από αυτή την άποψη, αποφασίσαμε να απευθυνθούμε σε ειδικούς στον τομέα της ασφάλειας πληροφοριών και τεχνολογίες cloudγια να κατανοήσουμε εάν η αποθήκευση cloud μπορεί να αντικαταστήσει τα φυσικά μέσα, πόσο ασφαλείς είναι αυτές οι υπηρεσίες και πώς οι χρήστες μπορούν να προστατεύσουν τις πληροφορίες τους που είναι αποθηκευμένες στο cloud.

"Είναι η αποθήκευση cloud το μέλλον;" Η αποθήκευση cloud θα αντικαταστήσει πλήρως τα φυσικά μέσα αποθήκευσης;

Αλεξέι Φεντόροφ, Διευθυντής Συστήματος Συστάσεων Υπηρεσιών Cloud Startpack :
«Σε εφαρμοσμένες εργασίες, όπως η εργασία με έγγραφα, η αποθήκευση cloud θα αντικαταστήσει πραγματικά τα φυσικά μέσα. Αυτό το μοντέλο χρησιμοποιείται από την Google και τη Microsoft σε υπηρεσίες Google Driveκαι OneDrive αντίστοιχα. Σύννεφο Αποθηκευτικός χώρος Dropbox, Yandex Disk, Mail.Ru Cloud αρχικά δεν είχαν τη δυνατότητα να εργαστούν με έγγραφα, αλλά εισήγαγαν μια τέτοια δυνατότητα. Ο συνδυασμός της εργασίας με έγγραφα και της αποθήκευσης τους είναι τόσο φυσικός που το 2005, ο χώρος αποθήκευσης Box τοποθετήθηκε «όπως το SharePoint, μόνο καλύτερα». Έξι χρόνια ύπαρξης του Chromebook - ενός φορητού υπολογιστή που δεν έχει τίποτα άλλο εκτός από ένα πρόγραμμα περιήγησης - δείχνει επίσης ότι το μοντέλο έχει δικαίωμα ύπαρξης. Ταυτόχρονα, υπάρχουν εφαρμοσμένες εργασίες για τις οποίες η αποθήκευση αρχείων στο cloud δεν είναι πρακτική: επεξεργασία βίντεο, εργασία με ήχο, μηχανικός σχεδιασμός. Τα περισσότερα παιχνίδια απαιτούν από τον χρήστη να έχει έναν υπολογιστή με μεγάλο σκληρός δίσκος. Ακόμη και για την εκκίνηση μιας απομακρυσμένης επιφάνειας εργασίας, λεπτός πελάτηςπρέπει να έχει μερικά βασικές λειτουργίες"επί τόπου."

Alexey Shipov, επικεφαλής ανάπτυξης της πλατφόρμας cloud ICL Cloud στην ICL Services

Αλεξέι Σίποφ, Επικεφαλής Ανάπτυξης πλατφόρμας Cloud ICL Cloudμε παρέα Υπηρεσίες ICL :
«Βλέπουμε τώρα μια έκρηξη στη χρήση της αποθήκευσης cloud για δεδομένα που παράγονται σε στα κοινωνικά δίκτυα. Εξάλλου, πολλές φωτογραφίες και βίντεο που τραβήχτηκαν σε smartphone πηγαίνουν αυτόματα στο "σύννεφο". Η χρήση του cloud για επιχειρηματικά δεδομένα αυξάνεται με ελαφρώς πιο αργό αλλά σταθερό ρυθμό 30-50% κάθε χρόνο. Δείτε πώς αναπτύσσεται η Microsoft Windows Serverτη δυνατότητα γρήγορης μεταφοράς δεδομένων στο δημόσιο σύννεφο Azure. Οι ίδιες τάσεις είναι ορατές μεταξύ άλλων προμηθευτών. Πιθανώς, σε 5-10 χρόνια περισσότερα από τα μισά δεδομένα θα αποθηκευτούν στο cloud. Ωστόσο, για ιδιαίτερα πολύτιμες και σημαντικές πληροφορίες, η τοπική αποθήκευση χρησιμοποιεί τα περισσότερα σύγχρονα μέσαασφάλεια, όπως η κβαντική κρυπτογράφηση."

Denis Polyansky, επικεφαλής προστασίας εικονικοποίησης και πλατφορμών cloud στην Code Security

Ντένις Πολυάνσκι, Επικεφαλής Προστασίας Εικονικοποίησης και Πλατφορμών Cloud στην εταιρεία "Κωδικός ασφαλείας" :
«Η αποθήκευση στο cloud έχει πολλά πλεονεκτήματα: μεγάλη διαθεσιμότητα, επεκτασιμότητα και ούτω καθεξής. Και θα συνεχίσουν να κερδίζουν δημοτικότητα στο εγγύς μέλλον. Ωστόσο, υπάρχουν ορισμένες πτυχές που κάνουν το μοντέλο cloud δύσκολο να εφαρμοστεί σε ορισμένες περιπτώσεις. Για παράδειγμα, η αδυναμία λήψης της συγκατάθεσης των υποκειμένων για τη μεταφορά προσωπικών δεδομένων στον πάροχο ή η απροθυμία του πελάτη να μεταβιβάσει ορισμένου τύπουδεδομένα στο πλάι ( πελατειακές βάσεις, χρηματοπιστωτικά συστήματα). Μπορεί επίσης να προκύψει δυσκολία εάν υπάρχουν προβλήματα με τη σύνδεση δικτύου στην πλευρά του πελάτη, αλλά πρέπει να συνεχίσετε να εργάζεστε (τοπικά). Επομένως, στο εγγύς μέλλον, οι υπηρεσίες cloud δεν θα αντικαταστήσουν πλήρως την τοπική επεξεργασία δεδομένων. Το πιο δημοφιλές και πολλά υποσχόμενο μοντέλοσήμερα – τα λεγόμενα «υβριδικά σύννεφα», που συνδυάζουν τα πλεονεκτήματα των υπηρεσιών cloud και της τοπικής αποθήκευσης και επεξεργασίας δεδομένων. Τα σύννεφα έχουν αποδειχθεί καλά για εφεδρική αποθήκευσηενημέρωση σε περίπτωση προβλημάτων στις τοπικές υποδομές».

Rustem Khairetdinov "Atak Killer"

Rustem Khairetdinov, Διευθύνων Σύμβουλοςεταιρείες "Atak Killer" :

«Φυσικά, δεν θα υπάρξει πλήρης αντικατάσταση, τουλάχιστον όχι στο άμεσο μέλλον. Για εκατό χρόνια, η ανθρωπότητα δεν έχει μάθει να παρέχει στους ανθρώπους ηλεκτρισμό με 100% εγγύηση συμβαίνουν κάθε τόσο διακοπές και διακοπές ρεύματος λόγω φυσικών φαινομένων και ανθρωπογενών καταστροφών, οπότε τι να πούμε για τις υπηρεσίες cloud. Υπάρχουν πληροφορίες που σήμερα είναι πιο βολικό να αποθηκεύονται στα "σύννεφα" - αυτά είναι "βαριά", δεν χρειάζονται συχνά και ταυτόχρονα αλλάζουν σπάνια αρχεία, για παράδειγμα, ταινίες, μουσική, φωτογραφίες. Καλό θα ήταν όμως να έχουν ένα φυσικό αντίγραφο ασφαλείας προς το παρόν, ειδικά αν τέτοιες πληροφορίες έγιναν από εσάς και υπάρχουν σε ένα μόνο αντίγραφο. Για δεδομένα που χρειάζονται συνεχώς και ταυτόχρονα αλλάζουν συνεχώς, προς το παρόν είναι καλύτερο να χρησιμοποιήσετε έναν διαδικτυακό ιστότοπο ή τουλάχιστον υβριδική αρχιτεκτονική– αποθήκευση δεδομένων τόσο στο cloud όσο και στο σπίτι.”

Πόσο ασφαλείς είναι οι υπηρεσίες cloud;

Αλεξέι Φεντόροφ:
«Οι κίνδυνοι από τη χρήση της αποθήκευσης cloud μπορούν να χωριστούν σε δύο τύπους: απώλεια πληροφοριών και διαρροή πληροφοριών. Η απώλεια πληροφοριών είναι πλέον αδύνατη σε σχεδόν οποιοδήποτε χώρο αποθήκευσης cloud, καθώς οι πληροφορίες αντιγράφονται και αποθηκεύονται επανειλημμένα διαφορετικούς διακομιστέςκαι σε διαφορετικά κέντρα δεδομένων. Για παράδειγμα, για να χάσει η Google αρχεία χρηστών, δύο ήπειροι πρέπει να εξαφανιστούν εν μία νυκτί. Ωστόσο, στην αυγή της εμφάνισής τους, η εσωτερική αποθήκευση cloud είχε προηγούμενα με την απώλεια δεδομένων χρήστη. Ορισμένες εγκαταστάσεις αποθήκευσης, σύμφωνα με τους όρους της σύμβασης χρήστη, διαγράφουν δεδομένα εάν ο χρήστης δεν τα έχει χρησιμοποιήσει για αρκετούς μήνες. Συνήθως, για να συνδεθείτε στο χώρο αποθήκευσης στο cloud, χρειάζεστε ένα login και έναν κωδικό πρόσβασης, εάν ένας εισβολέας ανακαλύψει αυτά τα δεδομένα, μπορεί να αποκτήσει πρόσβαση στα αποθηκευμένα αρχεία. Έτσι διέρρευσαν προσωπικές φωτογραφίες διασημοτήτων από το iCloud».

Andrey Rybin, επικεφαλής τομέα ασφάλεια πληροφοριώνΤμήμα Τεχνολογίες πληροφορικής(DIT) της πόλης της Μόσχας

Andrey Rybin, Προϊστάμενος Τομέα Ασφάλειας Πληροφοριών Τμήμα Τεχνολογιών Πληροφορικής (DIT)πόλεις Μόσχα:

«Η χρήση υπηρεσιών cloud δεν είναι ασφαλής. Οι κύριες απειλές για την ασφάλεια των πληροφοριών κατά τη χρήση τεχνολογιών cloud είναι: κλοπή και απώλεια δεδομένων, παραβίαση λογαριασμού, ευπάθειες σε διεπαφές και API, επιθέσεις DDoS, ενέργειες εμπιστευτικών πληροφοριών, πιθανότητα διείσδυσης χάκερ, καθώς και απλή αμέλεια του παρόχου. Επιπλέον, υπάρχουν πρόσθετες απειλές που σχετίζονται με τη χρήση εικονική υποδομή- ο δυναμισμός των εικονικών μηχανών, οι επιθέσεις στον hypervisor, και τα δύο βασικό στοιχείοσυστήματα εικονικοποίησης, επιθέσεις σε συστήματα ελέγχου».

Csaba Krasnai, Ευαγγελιστής Πληροφορικής στο Balabit

Τσάμπα Κρασνάι, IT ευαγγελιστής της εταιρείας Balabit :

«Για πολλές εταιρείες, κυρίως στον τομέα των ΜΜΕ, το cloud είναι πιο ασφαλές από τη δική τους υποδομή. Οι πάροχοι cloud διαθέτουν την απαραίτητη τεχνογνωσία και ανθρώπινο δυναμικό για να διασφαλίσουν την ασφάλεια. Στις μεγάλες εταιρείες, εξαρτάται από τις πληροφορίες που πρέπει να διαχειρίζονται. Οι οργανισμοί κινούνται προς τα υβριδικά σύννεφα, με ορισμένες επιχειρηματικές διαδικασίες να χρησιμοποιούν δημόσια σύννεφα και άλλες να παραμένουν εντός της εσωτερικής υποδομής. Για να προσδιοριστεί το επίπεδο ασφάλειας των υπηρεσιών cloud, απαιτείται αξιολόγηση κινδύνου. Πολλές λύσεις βοηθούν στην προστασία της υβριδικής υποδομής, όπως τα εργαλεία PAM που ελέγχουν και παρακολουθούν τη δραστηριότητα του διαχειριστή στο περιβάλλον δικτύου.»

Vladimir Fomenko, επικεφαλής της εταιρείας φιλοξενίας King Servers

Βλαντιμίρ Φομένκο, επικεφαλής της εταιρείας φιλοξενίας Διακομιστές King :

«Οι υπηρεσίες cloud προστατεύονται σαφώς καλύτερα από τεχνικές βλάβες λόγω πολλών παραγόντων:

Για αποθήκευση χρησιμοποιείται εξειδικευμένο υλικό, η πιθανότητα αστοχίας του οποίου είναι πολύ μικρότερη από αυτή των συμβατικών οικιακών συσκευών.
Ο εξοπλισμός τέτοιων υπηρεσιών βρίσκεται σε εξειδικευμένα κέντρα δεδομένων, όπου προστατεύεται από υπερτάσεις και υπερθέρμανση.
Φυσικά, χρησιμοποιούνται τεχνολογίες δημιουργίας αντιγράφων ασφαλείας για την αποθήκευση δεδομένων, οι οποίες θα αποθηκεύσουν τα δεδομένα σε περίπτωση βλάβης του εξοπλισμού.

Από την άποψη της ασφάλειας των πληροφοριών, τέτοιες υπηρεσίες είναι αρκετά αξιόπιστες ώστε μόνο ο εξουσιοδοτημένος κάτοχος λογαριασμού μπορεί να έχει πρόσβαση στα δεδομένα.

Το μόνο ευάλωτο σημείο θα είναι η ανεπαρκής φροντίδα ασφαλείας από την πλευρά του ίδιου του χρήστη, όπως ο ορισμός ενός απλού κωδικού πρόσβασης ή η σύνδεση στο χώρο αποθήκευσης από μη αξιόπιστες συσκευές. Από την άποψη της αξιοπιστίας των ίδιων των υπηρεσιών, εάν ο χρήστης ενδιαφέρεται για την ασφάλεια των δεδομένων, τότε συνιστώ ανεπιφύλακτα τη χρήση μεγάλων υπηρεσιών και να μην βασίζεστε σε εκκινήσεις που παρέχουν περισσότερο χώρο αποθήκευσης. δωρεάν λογαριασμούς. Πολύ πιθανό, ότι για τις μικρές εταιρείες η παροχή τέτοιων υπηρεσιών θα είναι ασύμφορη, και θα κλείσουν μετά από λίγο, όπως έγινε με τις υπηρεσίες vSeife και Copy. Σε μια τέτοια περίπτωση, ενδέχεται να μην έχετε χρόνο να κάνετε λήψη των δεδομένων σας ξανά και θα χαθούν."

Artem Marusov, ειδικός στο Κέντρο Ασφάλειας Πληροφοριών της Jet Infosystems

Άρτεμ Μαρούσοφ, ειδικός στο Κέντρο Ασφάλειας Πληροφοριών της εταιρείας "Jet Infosystems":

«Πόσο ασφαλείς είναι οι υπηρεσίες cloud; Δυστυχώς, δεν υπάρχει σαφής απάντηση σε αυτό το ερώτημα. Και ακόμη και η επαγγελματική κοινότητα δεν μπορεί να καταλήξει σε συναίνεση για αυτό το θέμα. Αρκεί να ρίξετε μια ματιά σε εξειδικευμένους ιστότοπους και φόρουμ για να καταλάβετε ότι έχουν ήδη εκφραστεί (και συνεχίζουν να εκφράζονται) για το θέμα πολλές αμφίθυμες απόψεις, και αρκετά καλά αιτιολογημένες. Οι υποστηρικτές των υπηρεσιών cloud πιστεύουν ότι εφόσον τέτοιες υπηρεσίες παρέχονται, κατά κανόνα, από μεγάλες εταιρείες με σοβαρές ικανότητες ασφάλειας πληροφορικής και πληροφοριών, η ασφάλεια διασφαλίζεται από αυτές, αν όχι στο υψηλότερο, τότε σε αρκετά επαρκές επίπεδο. Οι αντίπαλοι των «σύννεφων» δεν παύουν να απαριθμούν τα γεγονότα μεγάλων διαρροών δεδομένων από υπηρεσίες cloud, υπενθυμίζοντας ότι με τη χρήση τους, στην πραγματικότητα, δίνουμε τα δεδομένα μας σε ένα είδος «μαύρου κουτιού», οι πτυχές υλοποίησης του οποίου είναι άγνωστο σε εμάς και, κατά συνέπεια, δεν μπορεί να τιμολογηθεί επαρκώς. Προσωπικά, πιστεύω ότι είναι απαραίτητο να αποδεχθούμε το γεγονός ότι κανείς δεν μπορεί να παρέχει 100% εγγύηση ασφάλειας έναντι διαρροών. Από αυτή την άποψη, πρέπει απλώς να το λάβετε ως κανόνα:

1) Μην ανεβάζετε ποτέ σε υπηρεσίες cloud στο ανοιχτή μορφήπληροφορίες των οποίων η διαρροή είναι ανεπιθύμητη για εσάς (εργασιακά και οικονομικά έγγραφα, προσωπικά αρχεία).

2) Εάν μια τέτοια ανάγκη δεν μπορεί να αποφευχθεί, τότε είναι επιτακτική ανάγκη να κρυπτογραφήσετε τα αρχεία πριν τα στείλετε στο cloud. Για να το κάνετε αυτό, μπορείτε να χρησιμοποιήσετε εργαλεία τόσο απλά (για παράδειγμα, δημιουργία αρχείων που προστατεύονται με κωδικό πρόσβασης) όσο και πιο προηγμένα (λογισμικό για τη δημιουργία κρυπτογραφημένων κατατμήσεων).

Πώς μπορούν οι χρήστες να διασφαλίσουν την ασφάλεια των πληροφοριών τους στο cloud;

Ashot Oganesyan, Τεχνικός διευθυντήςκαι ιδρυτής του DeviceLock

Ashot Oganesyan, CTO και Ιδρυτής Κλείδωμα συσκευής :

«Πρώτα απ 'όλα, πρέπει να χρησιμοποιήσετε έλεγχο ταυτότητας δύο παραγόντων (2FA) για να αποκτήσετε πρόσβαση σε υπηρεσίες cloud. Συνιστάται ανεπιφύλακτα η αποθήκευση αρχείων σε τέτοιες υπηρεσίες σε ασφαλή κοντέινερ (τουλάχιστον σε αρχεία που προστατεύονται με κωδικό πρόσβασης). Οι οργανισμοί που χρησιμοποιούν ενεργά την αποθήκευση στο cloud για την αποθήκευση και την ανταλλαγή πληροφοριών πρέπει να σαρώνουν τακτικά τα δεδομένα τους που είναι αποθηκευμένα στο cloud χρησιμοποιώντας προϊόντα κατηγορίας Data Discovery για να αναγνωρίζουν δεδομένα που εισήχθησαν στο χώρο αποθήκευσης cloud κατά λάθος ή κατά παράβαση των πολιτικών της εταιρείας.

Αλεξέι Φεντόροφ:

«Εάν τα δεδομένα είναι εξαιρετικά πολύτιμα, είναι καλύτερα να μην βασίζεστε σε μια αποθήκη και να τα στέλνετε σε άλλη αποθήκη. Να θυμάστε ότι εάν η συσκευή σας έχει εφαρμογή πελάτηαποθήκευση cloud, εάν τα αρχεία στο δίσκο έχουν καταστραφεί από ιό, τα κατεστραμμένα αρχεία θα μεταφορτωθούν στο χώρο αποθήκευσης, αντικαθιστώντας τα μη κατεστραμμένα. Και ακόμα κι αν το αποθετήριο σάς επιτρέπει να επιστρέψετε στο ΠΡΟΗΓΟΥΜΕΝΕΣ ΕΚΔΟΣΕΙΣ, η διόρθωση της ζημιάς θα είναι αρκετά προβληματική: θα πρέπει να επαναφέρετε κάθε αρχείο ξεχωριστά, το βάθος των αποθηκευμένων εκδόσεων μπορεί να μην είναι αρκετό. Επομένως, είναι καλύτερο να ανεβάσετε αρχεία σε τουλάχιστον μία τοποθεσία αποθήκευσης μέσω προγράμματος περιήγησης χωρίς να εγκαταστήσετε μια εφαρμογή πελάτη. Φυσικά, αξίζει να το βρείτε για τον λογαριασμό σας σύνθετος κωδικός πρόσβασης: 10 και περισσότερους χαρακτήρες, γράμματα σε διαφορετικά πεζά, αριθμούς και ειδικούς χαρακτήρες. Αποθηκεύστε τον κωδικό πρόσβασης στο κοντέινερ κωδικού πρόσβασης ή θυμηθείτε τον."

Denis Sukhovey, επικεφαλής του τμήματος ανάπτυξης τεχνολογίας στο Aladdin R.D.

Denis Sukhovey, επικεφαλής του τμήματος ανάπτυξης τεχνολογίας της εταιρείας "Aladdin R.D." :

«Σήμερα, οι χρήστες έχουν την ευκαιρία να χρησιμοποιήσουν ένα εντυπωσιακό οπλοστάσιο οργανωτικών και τεχνικά μέτραγια τη διασφάλιση της ασφάλειας των πληροφοριών στο cloud. Ωστόσο, αυτή η προσέγγιση αναιρεί όλα τα πλεονεκτήματα του ίδιου του «νέφους», καθώς αυξάνει το συνολικό κόστος χρήσης της υπηρεσίας. Υπό αυτό το πρίσμα κρυπτογραφική προστασίαοι εμπιστευτικές πληροφορίες στο «σύννεφο» είναι η μόνη επιλογή. Η κρυπτογράφηση δεδομένων λύνει αμέσως μια ολόκληρη σειρά προβλημάτων ασφάλειας «σύννεφου», συμπεριλαμβανομένης της αντιμετώπισης διαρροών σημαντικών και κρίσιμων για τις επιχειρήσεις πληροφοριών, διαφοροποίησης των δικαιωμάτων πρόσβασης, συμμόρφωσης με ένα σύνολο απαιτήσεων ρυθμιστικών οργανισμών και, φυσικά, οικονομικής αποδοτικότητας και απλότητας της λύσης».

Maxim Zakharenko, Διευθύνων Σύμβουλος της εταιρείας Oblakoteka

Μαξίμ Ζαχαρένκο, Διευθύνων Σύμβουλος της εταιρείας "Oblakoteka" :
«Είναι δυνατό να διασφαλιστεί σχεδόν απόλυτη εμπιστευτικότητα εάν τα δεδομένα μεταφέρονται στο cloud και αποθηκεύονται εκεί σε κρυπτογραφημένη μορφή και η αποκρυπτογράφηση γίνεται μόνο στο δικό σας υλικό. Κάτι άλλο είναι ότι αυτό είναι πολύ άβολο και μάλιστα σπάνια εφαρμόζεται, ειδικά αν αφορά ιδιώτες χρήστες. Μόλις τα αποκρυπτογραφημένα δεδομένα τοποθετηθούν στο «σύννεφο», φυσικά, η ασφάλεια μειώνεται σημαντικά, αλλά το ερώτημα είναι πόσο σχετική είναι αυτή η ασφάλεια, για παράδειγμα, για φωτογραφίες διακοπών ή για έναν μικρό ατομικό επιχειρηματία που δεν έχει τίποτα να «κρύψει». "ακόμα και από την εφορία."

Έτσι, στο πλαίσιο του αυξανόμενου ρόλου των υπηρεσιών cloud, οι χρήστες πρέπει να υιοθετήσουν μια πιο υπεύθυνη προσέγγιση για την τοποθέτηση των πληροφοριών τους στο cloud. Φυσικά, δεν αποκλείεται να αντιμετωπίσετε αμέλεια του παρόχου, αλλά δεν πρέπει να ξεχνάμε ότι ο ίδιος ο χρήστης πρέπει να προστατεύει τα δεδομένα του. Επομένως, ενώνουμε τα λόγια των ειδικών και συνιστούμε ανεπιφύλακτα τη χρήση του μηχανισμού έλεγχος ταυτότητας δύο παραγόντων, ορίστε ισχυρούς κωδικούς πρόσβασης και διαφοροποιήστε την αποθήκευση πληροφοριών (χρησιμοποιήστε πολλές διαφορετικές εγκαταστάσεις αποθήκευσης και δώστε προσοχή στα υβριδικά σύννεφα).

Κάποια στιγμή βρεθήκαμε αντιμέτωποι με την ανάγκη να οργανώσουμε κρυπτογραφημένη αποθήκευση για απομακρυσμένη τοποθέτηση αρχείων. Μετά από λίγο ψάξιμο βρήκα ένα εύκολο λύση σύννεφο, το οποίο τελικά ήταν απόλυτα ικανοποιητικό. Στη συνέχεια, θα περιγράψω εν συντομία αυτήν τη λύση και ορισμένες δυνατότητες εργασίας μαζί της, ίσως θα είναι χρήσιμο σε κάποιον. Κατά τη γνώμη μου, η επιλογή είναι αξιόπιστη και ταυτόχρονα αρκετά βολική.

Αρχιτεκτονική

Αποφάσισα να πάρω το σύστημα ως βάση αποθήκευση cloudδεδομένα Το οποίο εγκαταστάθηκε στο λειτουργικό σύστημα Debian Linux v7.1 και αναπτύχθηκε ως εικονική μηχανήκάτω από τον hypervisor Proxmox Virtual Environment v3.1.

Το σύστημα αποθήκευσης δεδομένων cloud εγκαταστάθηκε σε έναν κρυπτογραφημένο δίσκο λειτουργικού συστήματος Linux, η πρόσβαση στα δεδομένα είναι δυνατή μόνο μέσω Πρωτόκολλο HTTPS, για εξουσιοδότηση εκτός από τυπικό κωδικό πρόσβασηςΠρέπει επίσης να εισαγάγετε έναν κωδικό πρόσβασης μίας χρήσης (OTP). Πραγματοποιούνται τακτικά αντιγράφων ασφαλείας. Είναι δυνατή η γρήγορη απενεργοποίηση και διαγραφή όλων των δεδομένων του ownCloud.

Εικονικό περιβάλλον Hypervisor Proxmox

Το Proxmox Virtual Environment hypervisor είναι εξειδικευμένη διανομή OS Debian Linux v7.1, η απομακρυσμένη πρόσβαση στο σύστημα είναι δυνατή μέσω πρωτοκόλλου SSH σε ένα τυπικό Θύρα TCP 22. Ωστόσο, το κύριο εργαλείο εργασίας για τη διαχείριση εικονικές μηχανέςείναι μια διεπαφή Ιστού.

Η δημιουργία πραγματοποιείται μία φορά την ημέρα καυτό αντίγραφο(στιγμιότυπο) της εικονικής μηχανής ownCloud και εξαγωγή της σε διακομιστές NFS χρησιμοποιώντας τυποποιημένα χαρακτηριστικά Proxmox VE.

Στο στιγμιότυπο οθόνης, η εικονική μηχανή στη διεπαφή Ιστού έχει αναγνωριστικό 100 (ownCloud). Η πρόσβαση στην κονσόλα του είναι δυνατή μέσω του αντικειμένου κατάλογος συμφραζόμενων"Κονσόλα".

Για παράδειγμα, η εισαγωγή ενός κωδικού πρόσβασης για έναν κρυπτογραφημένο δίσκο κατά την εκκίνηση μοιάζει με αυτό:

Αποθηκευτικός χώρος στο cloud του ownCloud

Υπάρχει ένα αρκετά καλό άρθρο σχετικά με την εγκατάσταση του ownCloud στο Habré από τον χρήστη BlackIce13 http://habrahabr.ru/post/208566/ αναφέρει ήδη τα κύρια χαρακτηριστικά και ορισμένα πλεονεκτήματα αυτής της πλατφόρμας.

Για δικό μου λογαριασμό, μπορώ μόνο να προσθέσω ότι, κατά τη γνώμη μου, υπάρχει ένας ελαφρώς απλούστερος τρόπος εγκατάστασης του ownCloud για τη διανομή λειτουργικού συστήματος Linux Debian και πολλών άλλων από αυτόν που προτείνει ο συγγραφέας του άρθρου. Διατίθενται έτοιμα αποθετήρια: http://software.opensuse.org/download/package?project=isv:ownCloud:community&package=owncloud
Σε αυτήν την περίπτωση, όλες οι απαραίτητες εξαρτήσεις εγκαθίστανται αυτόματα και θα σας ζητηθεί μόνο να προσαρμόσετε τις ρυθμίσεις ώστε να ταιριάζουν στις συγκεκριμένες ανάγκες σας.

Το OwnCloud αναπτύχθηκε στο Debian Linux v7.1 OS μέσα σε ένα εικονικό κοντέινερ. Η απομακρυσμένη πρόσβαση στο χώρο αποθήκευσης είναι δυνατή μέσω του πρωτοκόλλου SSH ενεργοποιημένο τυπική θύρα TCP 22.
Η κύρια εργασία με το ownCloud πραγματοποιείται μέσω της διεπαφής Ιστού, είναι επίσης δυνατή η σύνδεση μέσω Πρωτόκολλο WebDAVκαι χρησιμοποιώντας προγράμματα-πελάτες συγχρονισμού (Sync).

Παρεμπιπτόντως, δεδομένου ότι η πρόσβαση στο ownCloud πραγματοποιείται μέσω HTTPS, τα αρχεία καταγραφής πρόσβασης και σφαλμάτων διατηρούνται από τον διακομιστή Apache στα αρχεία "/var/log/apache2/access.log" και "/var/log/apache2/error. ημερολόγιο», αντίστοιχα. Το OwnCloud έχει επίσης το δικό του αρχείο καταγραφής "/var/www/owncloud/data/owncloud.log".

One Time Passwords OTP

Για τη βελτίωση της ασφάλειας, η πρόσβαση στο ownCloud μέσω της διεπαφής Ιστού είναι δυνατή χρησιμοποιώντας έλεγχο ταυτότητας δύο παραγόντων: έναν παραδοσιακό κωδικό πρόσβασης και έναν κωδικό πρόσβασης OTP μίας χρήσης. Η λειτουργικότητα OTP υλοποιείται χρησιμοποιώντας το εξωτερικό πρόσθετο One Time Password Backend. Το ownCloud δεν διαθέτει ενσωματωμένη υποστήριξη OTP.

Η διαμόρφωση των βασικών παραμέτρων OTP πραγματοποιείται στην ενότητα "Διαχειριστής" στον λογαριασμό διαχείρισης.

Τα στιγμιότυπα οθόνης εμφανίζουν ρυθμίσεις ελέγχου ταυτότητας δύο παραγόντων και κωδικούς πρόσβασης μιας χρήσηςεπιλεγμένο για να διασφαλίζει τη συμβατότητα με γεννήτριες υλικού FEITIAN OTP c200.
Αλγόριθμος: Κωδικός μίας χρήσης βάσει χρόνου (TOTP)
Αριθμός ψηφίων στον κωδικό πρόσβασης: 6
Διάρκεια ζωής κωδικού πρόσβασης: 60 δευτερόλεπτα

Για να τεθεί σε ισχύ ο έλεγχος ταυτότητας δύο παραγόντων, πρέπει να εκχωρήσετε ένα Token Seed στον χρήστη. Μέχρι αυτό το σημείο, μπορεί να συνδεθεί στο ownCloud χρησιμοποιώντας μόνο έναν κανονικό κωδικό πρόσβασης. Αυτό που πραγματικά πρέπει να κάνετε αμέσως μετά τη δημιουργία ενός χρήστη είναι να μεταβείτε στην ενότητα "Προσωπικά" και να εισαγάγετε το Token Seed στο ομώνυμο πεδίο.

Δεν συνιστάται η δημιουργία Token Seed χρησιμοποιώντας τις ενσωματωμένες δυνατότητες της μονάδας OTP του ownCloud, καθώς υπάρχουν προβλήματα στον αλγόριθμο λειτουργίας της. Μορφή εισαγωγής: Base32 (%32) ΚΕΦΑΛΑΙΑ. Μετατροπή Token Seed σε διαφορετικές μορφέςμπορείτε να χρησιμοποιήσετε το βοηθητικό πρόγραμμα www.darkfader.net/toolbox/convert

Συγκεκριμένα για αυτό το έργο χρησιμοποιήθηκε Token Seed, ενσωματωμένο στο υλικό Token FEITIAN OTP c200. Γενικά, μπορείτε να χρησιμοποιήσετε οποιοδήποτε πρόγραμμα δημιουργίας κωδικών πρόσβασης και στη συνέχεια να το μετατρέψετε σε την απαιτούμενη μορφήχρησιμοποιώντας τον μετατροπέα που δίνεται στο κείμενο.

Ένα παράδειγμα τέτοιας εφαρμογής για Android OS είναι το Android Token: https://play.google.com/store/apps/details?id=uk.co.bitethebullet.android.token&hl=ru

Το αρχικοποιημένο Token Seed μοιάζει με αυτό:

Για να απενεργοποιήσετε το OTP, απλώς αφαιρέστε το Token Seed από τις ρυθμίσεις.Εάν αυτό δεν είναι δυνατό, για παράδειγμα επειδή έχει χαθεί η γεννήτρια OTP, τότε πρόσβαση σε ΠΡΟΣΩΠΙΚΟΣ ΛΟΓΑΡΙΑΣΜΟΣδεν υπάρχει χρήστης, τότε η απενεργοποίηση του OTP είναι δυνατή μόνο με την άμεση τροποποίηση των δεδομένων στο MySQL SUDB. Για να το κάνετε αυτό πρέπει να τρέξετε από γραμμή εντολώνΠελάτης MySQL:
# mysql -uowncloud –σελ
Εισάγετε τον κωδικό πρόσβασης:

Στη συνέχεια, εκτελέστε ένα ερώτημα παρόμοιο με το ακόλουθο, αλλάζοντας την τιμή του πεδίου "χρήστης" στην απαιτούμενη:
mysql> διαγραφή από owncloud.oc_user_otp όπου `user` = "test";

Λόγω αρχιτεκτονικών περιορισμών, το OTP λειτουργεί μόνο κατά την πρόσβαση στο ownCloud μέσω της διεπαφής Ιστού και όχι μέσω του WebDAV. Αυτό το μειονέκτημααντισταθμίζεται από το γεγονός ότι η λίστα των διευθύνσεων IP που μπορούν να χρησιμοποιήσουν το WebDAV είναι αυστηρά περιορισμένη. Οι οδηγίες "Να επιτρέπεται από" στο αρχείο ρυθμίσεων είναι υπεύθυνες για αυτό Διακομιστής Apache"/etc/apache2/conf.d/owncloud.conf". Λάβετε υπόψη ότι οι οδηγίες παρατίθενται δύο φορές εκεί.

Οι διευθύνσεις IP παρατίθενται χωρισμένες με κενά. Πρέπει να βεβαιωθείτε ότι η λίστα περιέχει το Loopback IP 127.0.0.1, καθώς και τη δημόσια IP του ίδιου του διακομιστή ownCloud. Διαφορετικά μέσα Εργασία WebDAVαποτυχίες είναι πιθανές. Αφού αλλάξετε τις ρυθμίσεις του Apache, πρέπει να το επανεκκινήσετε:
επανεκκίνηση της υπηρεσίας apache2

Προστασία ωμής βίας

ΣΕ πιο πρόσφατες εκδόσειςΤο ownCloud διατηρεί ένα αρχείο καταγραφής αποτυχημένων προσπαθειών εξουσιοδότησης: "/var/log/owncloud/auth.log". Τα περιεχόμενα του "/var/log/owncloud/auth.log" ελέγχονται από την υπηρεσία Fail2ban. Εάν εντοπίσει 5 ή περισσότερες ανεπιτυχείς προσπάθειες εξουσιοδότησης από την ίδια διεύθυνση IP μέσα σε σύντομο χρονικό διάστημα, αποκλείεται από το φίλτρο πακέτων IPTables για 10 λεπτά. Εάν μετά την αυτόματη απεμπλοκή συνεχιστούν οι προσπάθειες, τότε η IP μπλοκάρεται ξανά για πάντα. Μπορείτε να παρακολουθήσετε τη λειτουργία του Fail2ban στο αρχείο καταγραφής "/var/log/fail2ban.log".

Η λίστα των διευθύνσεων IP που δεν πρέπει να αποκλειστούν σε καμία περίπτωση καθορίζεται από την παράμετρο "ignoreip" στο αρχείο ρυθμίσεων "/etc/fail2ban/jail.conf". Οι IP παρατίθενται χωρισμένες με κενά.

Αφού αλλάξετε τις ρυθμίσεις του Fail2ban, πρέπει να το επανεκκινήσετε:
επανεκκίνηση της υπηρεσίας fail2ban

Εάν χρειάζεται να ξεμπλοκάρετε με μη αυτόματο τρόπο μια IP, πρέπει να εκτελέσετε μια εντολή παρόμοια με την παρακάτω στον διακομιστή από το CLI, προσαρμόζοντας τη διεύθυνση σε αυτόν:
iptables -D fail2ban-Owncloud -s 187.22.109.14/32 -j DROP

ΥΣΤΕΡΟΓΡΑΦΟ.
Η ζωντανή έκδοση του ownCloud μπορεί να προβληθεί στον επίσημο ιστότοπο

Γεια σας, αγαπητοί αναγνώστες! Από τον τίτλο αυτού του άρθρου, καταλαβαίνετε ότι θα μιλήσουμε για ένα επίκαιρο θέμα σήμερα - την ασφάλεια στο Διαδίκτυο. Σε σχέση με ορισμένα γεγονότα (περισσότερα για αυτά παρακάτω), είναι πολύ σημαντικό να έχουμε μια ιδέα για το τι έχουμε να κάνουμε. Ειδικότερα, αυτό ισχύει για την αποθήκευση cloud (ή «σύννεφα»), από τα οποία μια μεγάλη ποικιλία έχει πλέον πολλαπλασιαστεί.

Πώς ξεκίνησαν όλα;

Ενδιαφέρθηκα για την αποθήκευση cloud πριν από μερικά χρόνια. Σε αναζήτηση του εαυτού μου απλός τρόποςμεταφέροντας αρχεία από φορητό υπολογιστή σε tablet χωρίς σύνδεση μιας συσκευής σε άλλη, κατέληξα στο συμπέρασμα ότι το "σύννεφο" είναι αυτό που χρειάζομαι. Η επιλογή μου αρχικά έπεσε στο Yandex.Disk. Γιατί;

Πρώτον, δεν χρειάζεται να κατεβάσετε κανένα πρόγραμμα στον φορητό υπολογιστή σας (η πρόσβαση παρέχεται μέσω του λογαριασμού σας Yandex).
Δεύτερον, παρέχεται δωρεάν έως και 10 GB (αυτό είναι αρκετά για μένα).
Τρίτον, για ένα tablet υπάρχει ένα πολύ βολική εφαρμογή(που διευκολύνει την εργασία με το cloud).

Θα μπορούσα να χρησιμοποιήσω άλλες υπηρεσίες, όπως το Dropbox ή Google Drive, αλλά το Yandex.Disk ήταν πολύ γνωστό σε μένα, και ως εκ τούτου δεν είχα σχεδόν καμία αμφιβολία για την επιλογή μου. Αργότερα, άρχισα επίσης να χρησιμοποιώ το "Mail.Ru Cloud", καθώς δίνουν 100 GB εντελώς δωρεάν.

Τι γνωρίζετε για την ασφάλεια στο cloud;

Έτσι, όταν επιλέγουν μία ή άλλη υπηρεσία cloud, πολλοί άνθρωποι δίνουν προσοχή μόνο στην ποσότητα της μνήμης που παρέχεται δωρεάν. Αλλά πρέπει να δούμε κάτι άλλο...

Για παράδειγμα, το Dropbox, το οποίο είναι μία από τις πιο δημοφιλείς υπηρεσίες αποθήκευσης και του οποίου οι υπηρεσίες χρησιμοποιούνται από αρκετές εκατοντάδες εκατομμύρια άτομα, δεν κρυπτογραφεί τα αρχεία σας όταν τα ανεβάζετε στο cloud. Εάν θέλετε, πρέπει να κρυπτογραφήσετε τις πληροφορίες μόνοι σας χρησιμοποιώντας προγράμματα τρίτων. Σε αντίθεση με το Dropbox, θα αναφέρω την υπηρεσία SpiderOak, η οποία δεν είναι πολύ δημοφιλής, αλλά χρησιμοποιεί δικό του σύστημακρυπτογράφηση πληροφοριών.

Το προαναφερθέν Yandex.Disk επίσης δεν φροντίζει ιδιαίτερα τα δεδομένα χρήστη - δεν υπάρχει κρυπτογράφηση εκεί. Επομένως, όταν επιλέγετε με ποιο αποθηκευτικό χώρο cloud να εργαστείτε, πρώτα απ 'όλα μάθετε εάν αυτή η υπηρεσία κρυπτογραφεί τα δεδομένα ή όχι.

Πρέπει να εμπιστεύεστε τις υπηρεσίες cloud;

Ας απαντήσουμε στην ερώτηση: αξίζει να βασιστούμε 100% στην ασφάλεια μιας συγκεκριμένης υπηρεσίας cloud; Ή εξακολουθεί να υπάρχει ένας μικρός κίνδυνος διαρροής πληροφοριών;

Πριν από λίγο καιρό, ένα μεγάλο σκάνδαλο ξέσπασε στην παγκόσμια κοινότητα όταν ο πρώην υπάλληλος της Υπηρεσίας Εθνικής Ασφάλειας των ΗΠΑ Έντουαρντ Σνόουντεν είπε ότι οι υπηρεσίες πληροφοριών των ΗΠΑ είχαν πρόσβαση στους διακομιστές όλων των μεγάλων εταιρειών (συμπεριλαμβανομένων των Google, Apple, Facebook και Microsoft). Και έτσι απέκτησαν πρόσβαση στα προσωπικά δεδομένα σχεδόν κάθε κατοίκου του πλανήτη.

Εξάλλου, όλοι χρησιμοποιούμε smartphone Android (το Android είναι παιδί της Google), υπολογιστές με εγκατεστημένα Windows ( Προϊόν της Microsoft), από το Gmailκαι τα λοιπά. Σύμφωνα με τον Σνόουντεν, κάθε μέσο επικοινωνία πληροφοριώνείναι μια τρύπα μέσω της οποίας τα προσωπικά μας δεδομένα διαρρέουν στις υπηρεσίες πληροφοριών.

Εφόσον η αμερικανική κυβέρνηση δεν αρνήθηκε επίσημα αυτές τις πληροφορίες, και ο ίδιος ο Σνόουντεν έχει ανακηρυχθεί σχεδόν εχθρός Νο. 1, θα πρέπει να υποθέσουμε ότι όλα όσα είπε είναι αλήθεια. Και αυτός είναι ένας λόγος να σκεφτούμε…

Δεν χρειάζεται να πιστεύετε ότι η NSA και η CIA των ΗΠΑ σας παρακολουθούν τώρα στενά ενώ σερφάρετε στο διαδίκτυο, διαβάζετε αυτό το άρθρο και ταυτόχρονα πραγματοποιείτε αλληλογραφία VKontakte με ο καλύτερος φίλος. Εάν δεν είστε σημαντικό άτομο για αυτούς, δεν νοιάζονται για εσάς.

Το ίδιο ισχύει και για τις εγχώριες υπηρεσίες πληροφοριών. Εφόσον δεν συνιστάτε απειλή για την εθνική ασφάλεια της χώρας (ελπίζω να μην γίνει αυτό), κανείς δεν νοιάζεται για εσάς. Αλλά αν υποθέσουμε ότι, καθαρά θεωρητικά, υπάρχει πρόσβαση στις προσωπικές πληροφορίες του καθενός μας, τότε, καθαρά θεωρητικά, αυτές οι πληροφορίες θα μπορούσαν να διαρρεύσουν στον δημόσιο τομέα. Και, πάλι, καθαρά θεωρητικά, οι προσωπικές πληροφορίες μπορεί να καταλήξουν σε λάθος χέρια.

Για τι μιλάω; Αν και υπάρχει ακόμη και η παραμικρή πιθανότητα τα προσωπικά σας στοιχεία να εμφανίζονται σε δημόσιο τομέα στο Διαδίκτυο, δεν θα πρέπει να βασίζεστε 100% στην προστασία των πληροφοριών σας στο ταχυδρομικές υπηρεσίες(Mail, Gmail, Yandex), κοινωνικά δίκτυα (Facebook, Odnoklassniki, VKontakte) και αποθήκευση δεδομένων cloud (ακόμη και εκείνων που χρησιμοποιούν κρυπτογράφηση).

Ας δούμε τι λένε οι ειδικοί από εταιρείες ασφάλειας πληροφοριών σχετικά με αυτό.

Andrey Komarov, Διευθυντής του Τμήματος Διεθνών Έργων, Ελέγχου και Συμβουλευτικής Εταιρεία Group-IB, δήλωσε ότι είναι επιθυμητό να ελαχιστοποιηθεί η χρήση της αποθήκευσης cloud για την αποθήκευση σημαντικών πληροφοριών.
Ο Sergey Komarov, επικεφαλής του τμήματος ανάπτυξης αντιιών στο Doctor Web, προειδοποίησε ότι η χρήση του cloud storage βασίζεται στην εμπιστοσύνη σε κάποιο άλλο μέρος. Το μόνο που μπορεί να κάνει ο χρήστης είναι να διαβάσει συμφωνία άδειαςκαι πιστεύουμε ότι η εταιρεία θα συμμορφωθεί με αυτό. Αλλά αν ανησυχείτε για το απόρρητο των δεδομένων σας, τότε ο μόνος τρόποςεξασφαλίστε προστασία - αποθηκεύστε τα εκεί όπου κανείς δεν θα έχει πρόσβαση σε αυτά.
Denis Bezkorovayny, τεχνικός σύμβουλος της εταιρείας Trend Microστη Ρωσία και την ΚΑΚ, προτείνει ότι η προστασία των δεδομένων χρήστη στο χώρο αποθήκευσης cloud είναι ευθύνη των ίδιων των χρηστών.
Ο Sergey Lozhkin, ειδικός στο Kaspersky Lab, συμβουλεύει την κρυπτογράφηση των δεδομένων πριν τα ανεβάσετε στο cloud storage.

Τι προκύπτει από όλα τα παραπάνω;

Μην αποθηκεύετε ποτέ σημαντικές πληροφορίες στα σύννεφα (για παράδειγμα, κωδικούς πρόσβασης ηλεκτρονικά πορτοφόλιακαι αλληλογραφία). Το καλύτερο μέροςγια να αποθηκεύσετε τα δεδομένα σας - αυτό είναι ένα χειρόγραφο σημειωματάριο ή μια μονάδα flash USB, στην οποία κανείς δεν έχει πρόσβαση.
Εάν εξακολουθείτε να χρειάζεται να ανεβάσετε ένα σημαντικό αρχείο σε μια υπηρεσία cloud, τότε πριν το κάνετε αυτό, κρυπτογραφήστε το χρησιμοποιώντας κάποιο πρόγραμμα.
Πλέον η καλύτερη επιλογήχρήση «σύννεφων» - αποθήκευση ταινιών, μουσικής ή ηλεκτρονικά βιβλία, τα οποία βρίσκονται ήδη σε δημόσιο τομέα. Από αυτή την άποψη, οι υπηρεσίες cloud είναι πολύ χρήσιμες επειδή κάθε υπολογιστής έχει πολλά χρόνιασυσσωρεύεται πολλή μουσική, ταινίες και άλλο περιεχόμενο, κάτι που είναι κρίμα να διαγραφεί. Ανεβάστε τα στο cloud και ελευθερώστε χώρο στον υπολογιστή σας! Και αν τα 10 GB στο Yandex.Disk δεν είναι αρκετά για εσάς, τότε κανείς δεν σας εμποδίζει να εγγραφείτε σε πολλές υπηρεσίες ταυτόχρονα και να χρησιμοποιήσετε τις δυνατότητές τους στο μέγιστο.

Ορισμένοι χρήστες δεν σκέφτονται την ασφάλεια της αποθήκευσης στο cloud, τη μεταφόρτωση σημαντικών εγγράφων, κωδικών πρόσβασης και Προσωπικές Φωτογραφίες. Φυσικά, είναι απίθανο τα δεδομένα σας να διαρρεύσουν σε εγκληματίες, αλλά είναι καλύτερο να είστε ασφαλείς. ΓΙΑ ΝΑ ΜΗΝ ΜΕΤΑΝΕΙΣ ΑΡΓΟΤΕΡΑ...

Αποθηκεύετε προσωπικές πληροφορίες στα σύννεφα;;;

Με εκτίμηση, Sergey Chesnokov

Τον Ιούλιο του 2018, εκατομμύρια εμπιστευτικά έγγραφα χρήστη Έγγραφα Googleκατέληξε σε ανοιχτή πρόσβαση. Θα μπορούσαν να βρεθούν σε Αποτελέσματα αναζήτησης Yandex και αν έχετε λίγη εμπειρία - διαβάστε ή αντιγράψτε.

Για παράδειγμα, έγινε δημόσια κλειστές Πληροφορίες Tinkoff Bank, Leroy Merlin και η διοίκηση της Αικατερινούπολης.

Μετά από αυτό το περιστατικό, πολλοί επιχειρηματίες άρχισαν να ψάχνουν για άλλο εργαλείο συνεργασίαπάνω από έγγραφα: εξίσου βολικό, αλλά πιο αξιόπιστο από τα Έγγραφα Google, με καλή προστασία των προσωπικών δεδομένων.

Διαβάστε προσεκτικά τη συμφωνία χρήστη

Τα Έγγραφα Google αποθηκεύονται στο Google Drive - αυτό είναι σύννεφο σύστημαμε τους δικούς σου κανόνες μοιρασιάκαι εργάζονται σε έγγραφα.

Άλλα συστήματα αποθήκευσης cloud είναι δομημένα με παρόμοιο τρόπο: Dropbox, iCloud, Yandex.Disk, Mail.Ru Cloud, OneDrive από τη Microsoft. Οι εταιρείες που παρέχουν υπηρεσίες αποθήκευσης δεδομένων στο cloud ονομάζονται πάροχοι cloud.

Η αρχή λειτουργίας της αποθήκευσης cloud είναι η ίδια, αλλά το επίπεδο προστασίας δεδομένων σε αυτές είναι διαφορετικό. Στις περισσότερες περιπτώσεις, οι πληροφορίες στο σύννεφο προστατεύονται καλύτερα από ό,τι στον προσωπικό σας υπολογιστή, αλλά είναι χρήσιμο να συγκρίνετε διαφορετικά σύννεφα μεταξύ τους και να καταλάβετε ποιανού πανοπλία είναι ισχυρότερη.

Όταν επιλέγετε το cloud στο οποίο θα αποθηκεύετε έγγραφα, διαβάστε τη συμφωνία άδειας χρήσης και τους όρους παροχής υπηρεσιών. Θα τα βρείτε στις επίσημες ιστοσελίδες των παρόχων. Δώστε προσοχή στο επίπεδο προστασίας δεδομένων κατά τη μεταφορά από και προς το cloud, την προστασία των εμπιστευτικών πληροφοριών και τον όγκο αποθήκευσης.

Προστασία δεδομένων κατά τη μετάδοση. Μεταδίδετε πληροφορίες μέσω του Διαδικτύου - αυτή τη στιγμή οι εισβολείς μπορούν να υποκλέψουν κωδικούς πρόσβασης, προσωπικά δεδομένα υπαλλήλων, έγγραφα και άλλα σημαντικά αρχεία. Βεβαιωθείτε ότι οι πληροφορίες είναι κρυπτογραφημένες όχι μόνο στον ίδιο τον χώρο αποθήκευσης, αλλά και όταν μεταφέρονται από τον πελάτη στο cloud και πίσω.

Προστασία του απορρήτου των πληροφοριών. ΣΕ Συμφωνία Χρήστηαναφέρεται σε ποιον και υπό ποιες προϋποθέσεις ο πάροχος επιτρέπει την πρόσβαση στα δεδομένα σας. Ορισμένες υπηρεσίες αποθήκευσης cloud ενδέχεται να μεταφέρουν τις πληροφορίες σας σε τρίτους.

Διαβάστε όλες τις ρήτρες της συμφωνίας και τις αποχρώσεις της χρήσης πληροφοριών, βεβαιωθείτε ότι σας ταιριάζουν και ότι τα δεδομένα προστατεύονται από το να πέσουν σε λάθος χέρια. Πλέον αξιόπιστη επιλογή- περιορισμός πρόσβασης, όταν δίνετε προσωπικά την άδεια να κάνετε κάτι με τα αρχεία σας.

Για παράδειγμα, σε υπηρεσίες cloudΗ Microsoft ακόμη και οι μηχανικοί της εταιρείας όταν αποφασίζουν τεχνικά προβλήματαπρέπει πρώτα να σας ζητήσει δικαιώματα πρόσβασης.

Όγκος αποθήκευσης. Ο όγκος της αποθήκευσης καθορίζει πόσες πληροφορίες θα χωρέσουν σε αυτόν. Για παράδειγμα, δωρεάν εκδόσεις GoogleΤο Drive μπορεί να αποθηκεύσει μόνο 15 GB δεδομένων - αυτό είναι αρκετό για ένα άτομο. Όταν αγοράζετε μια συνδρομή στο το γραφείο της Microsoft 365 έχετε πρόσβαση σε 1 TB χώρου Αποθηκευτικός χώρος OneDrive- αυτός ο τόμος είναι αρκετός για την αποθήκευση αρχείων όλων των υπαλλήλων.

Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και έλεγχο ταυτότητας δύο παραγόντων

Η αποθήκευση στο cloud είναι κλειστή για εξωτερικούς. Μπορείτε να μπείτε σε αυτό μόνο μετά από ταυτοποίηση - επιβεβαίωση ότι έχετε δικαίωμα πρόσβασης σε πληροφορίες. Για να το κάνουν αυτό, χρησιμοποιούν κωδικούς πρόσβασης και μερικές φορές επίσης κωδικούς που αποστέλλονται στο τηλέφωνο ή στο email. Όσο πιο περίπλοκη είναι η αναγνώριση, τόσο πιο ασφαλή είναι τα αρχεία σας.

Ρύθμιση κωδικών πρόσβασης. Κατά τη σύνδεση στο cloud, θα σας δοθεί μόνο ένας κωδικός πρόσβασης - διαχειριστής. Όποιος συνδέεται με αυτόν τον κωδικό πρόσβασης έχει εκτεταμένα δικαιώματα. Για παράδειγμα, ένας διαχειριστής μπορεί να ανοίξει και να κλείσει την πρόσβαση σε πληροφορίες, να διαγράψει και να προσθέσει νέους συμμετέχοντες.

Ο κωδικός πρόσβασης διαχειριστή πρέπει να αλλάξει αμέσως για να τον γνωρίζετε μόνο εσείς. Στη συνέχεια, ο διαχειριστής δίνει κωδικούς πρόσβασης σε άλλους υπαλλήλους - ο καθένας με τους δικούς του.

ΣΕ ασφαλή κωδικό πρόσβασης 8-16 χαρακτήρες, υπάρχουν κεφαλαία και πεζά, ειδικούς χαρακτήρες, για παράδειγμα, #, * και άλλοι. Οι κωδικοί πρόσβασης δεν αποθηκεύονται στον δημόσιο τομέα, έτσι ώστε να μην προσεγγίζουν τους εισβολείς και να μην μπορούν να υποκλέψουν δεδομένα.

Ταυτοποίηση δύο παραγόντων. Το εταιρικό σύννεφο έχει πρόσβαση σε μεγάλη ποσότηταάνθρωποι, εμπιστευτικές πληροφορίες αποθηκεύονται εκεί. Ένας κωδικός πρόσβασης από μόνος του μπορεί να μην είναι αρκετός για προστασία.

Είναι καλύτερα να ρυθμίσετε την αναγνώριση δύο παραγόντων. Αυτό σημαίνει ότι για να συνδεθείτε στο σύστημα πρέπει πρώτα να εισαγάγετε έναν κωδικό πρόσβασης και στη συνέχεια τον κωδικό που θα σταλεί στο τηλέφωνό σας. Ένα παρόμοιο σχήμα χρησιμοποιείται για την πρόσβαση κινητές τράπεζες: Πρώτα εισάγετε τον κωδικό πρόσβασής σας και, στη συνέχεια, λαμβάνετε έναν κωδικό που δημιουργείται από το σύστημα μέσω SMS.

Αυτή η προστασία θα βοηθήσει στην αποφυγή κλοπής δεδομένων, ακόμα κι αν κάποιος εισαγάγει τον κωδικό πρόσβασής σας.

Χρησιμοποιήστε τηλεχειριστήριο σε gadget των εργαζομένων

Όταν οι εργαζόμενοι συνδέονται στο cloud μέσω μιας εφαρμογής για κινητά σε τηλέφωνο ή tablet, οι κωδικοί πρόσβασης και τα αντίγραφα των αρχείων από τον χώρο αποθήκευσης μπορούν να παραμείνουν στη μνήμη της συσκευής. Εάν το gadget πέσει στα χέρια των εισβολέων, μπορούν να συνδεθούν στο σύστημα χρησιμοποιώντας έναν αποθηκευμένο κωδικό πρόσβασης ή να διαβάσουν μυστικά έγγραφα. Υπάρχουν δύο τρόποι για να λυθεί αυτό το πρόβλημα.

Τηλεχειριστήριο. Βεβαιωθείτε ότι το εταιρικό σας cloud έχει αυτήν τη δυνατότητα τηλεχειριστήριο. Αυτό σημαίνει ότι, εάν είναι απαραίτητο, ο διαχειριστής του cloud μπορεί να διαγράψει εξ αποστάσεως εμπιστευτικές πληροφορίεςαπό τη μνήμη του τηλεφώνου που λείπει. Το Microsoft Office 365 διαθέτει αυτήν τη δυνατότητα.

Ρυθμίσεις κινητή πρόσβαση. Η σύνδεση στην εφαρμογή για φορητές συσκευές cloud θα πρέπει να είναι περιορισμένη. Ενεργοποιήστε την υποχρεωτική εισαγωγή κωδικού πρόσβασης στις ρυθμίσεις ή ενισχύστε την προστασία με αναγνώριση δύο παραγόντων, όπως όταν συνδέεστε από υπολογιστή.

Στο κινητό εφαρμογές της MicrosoftΤο Office έχει τη δυνατότητα προσαρμογής της πρόσβασης. Για παράδειγμα, μπορείτε να το κάνετε έτσι ώστε να μπορείτε να εισέλθετε στην εφαρμογή μόνο αφού εισαγάγετε τον κωδικό PIN της συσκευής, τον κωδικό πρόσβασης στο cloud και τον κωδικό που αποστέλλεται στο τηλέφωνό σας. Στη συνέχεια, όποιος κι αν μάθει τον κωδικό πρόσβασής σας και προσπαθήσει να ανοίξει την εφαρμογή στη συσκευή σας, δεν θα μπορέσει να το κάνει.

Εγκαταστήστε αξιόπιστη προστασία από ιούς

Μπορείτε επίσης να χάσετε σημαντικά εταιρικά δεδομένα ως αποτέλεσμα εξωτερικών επιθέσεων: ιούς ή παραβίαση συστήματος. Για παράδειγμα, εάν οι εργαζόμενοι τοποθέτησαν ένα μολυσμένο αρχείο στο χώρο αποθήκευσης.

Η Cybersecurity Ventures προέβλεψε ότι μέχρι το 2021 το έγκλημα στον κυβερνοχώρο θα κοστίζει στον κόσμο 6 τρισεκατομμύρια δολάρια το χρόνο. Η μεγαλύτερη ζημιά προέρχεται από αυτό μεγάλες εταιρείες, αλλά μικρό και μεσαίες επιχειρήσειςαπειλούνται επίσης.

Προστασία από ιούς. Για να αποτρέψετε επιθέσεις στον κυβερνοχώρο, βεβαιωθείτε ότι ο πάροχος cloud αποκλείει κακόβουλο λογισμικό και διαθέτει ενσωματωμένο πρόγραμμα προστασίας από ιούς. Έτσι, το Microsoft Office 365 διαθέτει λύσεις που προστατεύουν από κακόβουλο λογισμικόκαι ανεπιθύμητη αλληλογραφία.

Εγκατάσταση σε συσκευές εργαζομένων σύγχρονο antivirus. Είναι καλύτερα να χρησιμοποιείτε επιχειρηματικά προγράμματα - είναι κατάλληλα για εργασία ένας μεγάλος αριθμόςΥπολογιστές. U Kaspersky SecurityΥπάρχουν δύο εκδόσεις: για μικρές εταιρείες και πολύπλοκες υποδομές πληροφορικής.

Αναβάθμιση λογισμικού. Ενημερώνετε τακτικά λογισμικόεταιρείες, συμπεριλαμβανομένων προσωπικούς υπολογιστέςυπαλλήλους. Οι προγραμματιστές βελτιώνουν τις νέες εκδόσεις και είναι πιο ικανοί να αντιστέκονται σε νέους ιούς και απειλές.

Όταν εργάζεστε με έναν πάροχο cloud σε βάση συνδρομής, όπου πληρώνετε μηνιαία για πρόσβαση, δεν χρειάζεται να ενημερώσετε το λογισμικό cloud. Ενημερώνεται αυτόματα.

Και αν αγοράσατε ένα πρόγραμμα για μόνιμη χρήση, τότε με την πάροδο του χρόνου η προστασία θα είναι ξεπερασμένη και θα πρέπει να αγοράζετε τακτικά νέες εκδόσεις του προϊόντος.

Ρυθμίστε την αλάνθαστη προστασία

Οι περισσότερες διαρροές πληροφοριών δεν συμβαίνουν λόγω ιών, αλλά λόγω υπαιτιότητας υπαλλήλων της εταιρείας. Μπορείτε να χάσετε δεδομένα εάν ένας υπάλληλος κάνει λάθος και μεταφέρει κατά λάθος πληροφορίες σε λάθος άτομο, δώσει απερίσκεπτα πρόσβαση σε κάποιον ή καταστρέψει αρχεία από εκδίκηση.

480 αυτο

Ποιοι κίνδυνοι μπορεί να περιμένουν δεδομένα, συμπεριλαμβανομένου του cloud; - Πρώτον, η πιθανότητα τους απώλεια. Δεύτερον, η ευκαιρία πρόσβαση σε δεδομένα τρίτων, δηλαδή απώλεια του απορρήτου.

Σε αυτές τις περιπτώσεις θα πρέπει πάντα να υπάρχουν εύλογες ανησυχίες και μπορεί να μεγεθύνονται όταν η υπολογιστική υποδομή φιλοξενείται στο δημόσιο νέφος.

Απώλεια δεδομένων

Όλοι είναι συνηθισμένοι στο γεγονός ότι τα ψηφιακά δεδομένα αντιγράφονται εύκολα. Ωστόσο, για να αντιγράψετε οτιδήποτε χρειάζεστε ένα πρωτότυπο. Εάν χαθεί το πρωτότυπο, θα χαθούν και τα δεδομένα που περιέχονται σε αυτό.

Τα δεδομένα υπολογιστή μπορεί να χαθούν είτε ως αποτέλεσμα της διαγραφής των αντίστοιχων αρχείων είτε ως αποτέλεσμα της καταστροφής του μέσου στο οποίο βρίσκονται τα αρχεία.

Αντιγράφων ασφαλείας

Για να μην χάσετε όλα τα συσσωρευμένα δεδομένα, πρέπει να τα δημιουργείτε τακτικά. Ταυτόχρονα, για ασφάλεια αντίγραφα ασφαλείαςΕίναι σημαντικό να τα τοποθετήσετε όχι στο ίδιο μέσο στο οποίο βρίσκεται το πρωτότυπο, αλλά σε άλλο - φυσικά (!) Ένας άλλος δίσκος, σε άλλον υπολογιστή, σε άλλο δίκτυο.

Αξιόπιστα μέσα

Σήμερα, χρησιμοποιούνται διάφοροι τύποι μέσων για την αποθήκευση δεδομένων. Έχουν διαφορετικές αρχές αποθήκευσης δεδομένων και διαφορετική αξιοπιστία αποθήκευσης.

Επιπλέον, η αξιοπιστία αποθήκευσης μπορεί να αυξηθεί κατά μοιρασιάπολλά μέσα συνδυασμένα σε μια ομάδα, για παράδειγμα, σε .

Αλλά ακόμη και η πολύ υψηλή αξιοπιστία της αποθήκευσης δεδομένων δεν εξαλείφει την ανάγκη δημιουργίας αντιγράφων ασφαλείας.

Απώλεια ιδιωτικότητας

Στην πραγματικότητα, το καθήκον της διατήρησης του απορρήτου των δεδομένων προκύπτει όχι μόνο στην περίπτωση ενός περιβάλλοντος που βασίζεται σε σύννεφο, αλλά και στον συνηθισμένο κόσμο.

Πρόσβαση σε δεδομένα υπολογιστή ξένοςείναι αδύνατο να το επιστρέψετε - ποτέ δεν θα υπάρχει 100% βεβαιότητα ότι αυτά τα δεδομένα δεν αντιγράφηκαν. Επομένως, η προστασία δεδομένων καταλήγει στην εξάλειψη της ίδιας της πιθανότητας οποιασδήποτε μη εξουσιοδοτημένης πρόσβασης σε αυτά.

Τα δεδομένα άλλων ατόμων μπορούν να ληφθούν με δύο τρόπους: ως αποτέλεσμα της πρόσβασης στα μέσα αποθήκευσης τους ή μέσω του λειτουργικού συστήματος που επεξεργάζεται αυτά τα δεδομένα. Τα χαρακτηριστικά αυτών των μεθόδων πρόσβασης καθορίζουν τις μεθόδους προστασίας δεδομένων.

Ευτυχώς, η ψηφιακή φύση των δεδομένων υπολογιστή καθιστά δυνατή την προστασία τους μέσω κρυπτογράφησης. - Αν ξένοςθα έχει πρόσβαση σε ένα μέσο με κρυπτογραφημένα δεδομένα ή σε ένα αρχείο που αποθηκεύει κρυπτογραφημένα δεδομένα, δεν θα μπορεί να το χρησιμοποιήσει.

Στη συνέχεια θα εξετάσουμε εν μέρει τα μέτρα διαχείριση συστήματοςγια τη διατήρηση της εμπιστευτικότητας των δεδομένων υπολογιστή που βρίσκονται σε εικονικό σύννεφο. Ωστόσο, δεν θα θίξουμε ζητήματα ασφάλειας δεδομένων εντός εφαρμογών (προγραμμάτων) που χρησιμοποιούν αυτά τα δεδομένα.

Φυσική πρόσβαση

Οι δίσκοι εικονικών μηχανών είναι αρχεία που βρίσκονται σε μεγάλα συστοιχίες δίσκωνπου βρίσκονται σε κέντρα επεξεργασίας δεδομένων (DPC). Αντίστοιχα, η «φυσική» πρόσβαση σε δίσκους εικονικής μηχανής καταλήγει στην πρόσβαση σε αυτά τα αρχεία.

Θεωρητικά, οι υπάλληλοι των κέντρων δεδομένων και οι υπάλληλοι των παρόχων cloud μπορούν να έχουν πρόσβαση σε δίσκους εικονικών μηχανών.

Κέντρο επεξεργασίας δεδομένων

Το κέντρο δεδομένων παρέχει τον εξοπλισμό του παρόχου cloud:

σταθερή και αξιόπιστη παροχή ρεύματος.
ψύξη με καθαρό αέρα?
προστασία από μη εξουσιοδοτημένα άτομα.

Παρά το γεγονός ότι οι εργαζόμενοι στα κέντρα δεδομένων έχουν φυσική πρόσβαση στον εξοπλισμό του παρόχου cloud, δεν υπάρχει λόγος να φοβάστε ότι θα μπορέσουν να βρουν και να αντιγράψουν έναν συγκεκριμένο δίσκο μιας συγκεκριμένης εικονικής μηχανής. Για εξισορρόπηση φορτίου και ανοχή σφαλμάτων, οι εικονικοί δίσκοι μπορούν να μετακινηθούν σε όλο το υλικό χώρος στο δισκο, το οποίο επί του παρόντος μπορεί να φτάσει πολλές εκατοντάδες terabyte ή ακόμα και petabyte.

Επιπλέον, οι εργαζόμενοι στα κέντρα δεδομένων, κατά κανόνα, δεν έχουν λογική πρόσβασηστο σύννεφο (μέσα από το δίκτυο).

Προμηθευτής

Όσο για τους υπαλλήλους του παρόχου cloud, αυτοί (από τουλάχιστον, εξουσιοδοτημένοι διαχειριστές συστήματος) έχουν πάντα πρόσβαση και στα δύο αρχεία με τη διαμόρφωση "hardware" των εικονικών μηχανών και των αρχείων από τους εικονικούς δίσκους. Χωρίς τέτοιες δυνατότητες, απλά δεν θα μπορούν να διαχειριστούν το cloud και να παρέχουν υπηρεσίες στους πελάτες τους.

Επιπλέον, οι διαχειριστές συστημάτων ενός παρόχου cloud έχουν συχνά πρόσβαση στα λειτουργικά συστήματα των εικονικών μηχανών των πελατών τους. Αυτή η πρόσβαση απλοποιεί τη διαχείριση του cloud και των εικονικών μηχανών σε αυτό.

Είναι δυνατόν να γίνει χωρίς τέτοια πρόσβαση; - Ναι μπορείς. Αλλά με κάποιες διευκρινίσεις.

λειτουργικό σύστημα

Για την προστασία των δεδομένων σε επίπεδο λειτουργικό σύστημαχρησιμοποιούνται λογαριασμοί, των οποίων τα δικαιώματα μπορούν να διαχειρίζονται. Δεν πρέπει να υπάρχουν ξένοι λογαριασμοί στο σύστημα και οι υπάρχουσες εγγραφές δεν πρέπει να έχουν περιττά δικαιώματα.

Ωστόσο, απαιτούνται προγράμματα οδήγησης για να λειτουργεί το λειτουργικό σύστημα σε συγκεκριμένο υλικό. Για την εκτέλεση ενός λειτουργικού συστήματος σε υλικό cloud, απαιτούνται επίσης προγράμματα οδήγησης και κάποιος πρέπει να τα εγκαταστήσει. Δηλαδή, πρόσβαση διαχειριστή στο λειτουργικό σύστημα μιας εικονικής μηχανής με μη αυτόματο τρόπο ή αυτόματη λειτουργίαακόμα δεν μπορεί να αποφευχθεί. Μια τέτοια πρόσβαση μπορεί επίσης να απαιτείται για ρυθμίσεις δικτύουαυτοκίνητα.

Κατ 'αρχήν, μετά τη δημιουργία μιας νέας εικονικής μηχανής, μπορείτε να αλλάξετε τον κωδικό πρόσβασής της διαχειριστής συστήματοςκαι μάλιστα να διαγράψετε ή να μπλοκάρετε το αντίστοιχο λογαριασμός. Και μετά από αυτό, οι διαχειριστές του cloud a priori δεν θα έχουν πρόσβαση μέσα στην εικονική μηχανή.

Ωστόσο, πρέπει να συνειδητοποιήσετε ότι όλες οι περαιτέρω ανησυχίες σχετικά με τη διασφάλιση της λειτουργικότητας της εικονικής μηχανής θα βαρύνουν αποκλειστικά τον διαχειριστή συστήματος του πελάτη.

Το ζήτημα της δυνατότητας πρόσβασης των διαχειριστών του cloud στο λειτουργικό σύστημα μιας εικονικής μηχανής θα πρέπει να συζητηθεί και να επιλυθεί με ψυχραιμία και προσοχή.

Κρυπτογράφηση δίσκου

Όπως αναφέρθηκε ήδη, τα δεδομένα είναι προσβάσιμα χωρίς σύνδεση στο λειτουργικό σύστημα της εικονικής μηχανής. Για να γίνει αυτό, αρκεί να έχετε απευθείας πρόσβαση στους δίσκους του.

Ο μόνος τρόπος για να εξαλειφθεί εντελώς αυτή η πιθανότητα είναι η κρυπτογράφηση των μονάδων δίσκου. Ένα εμπόδιο θα προκύψει μόνο με ένα από αυτά - το συστημικό.

Το πρόβλημα είναι ότι ο κωδικός πρόσβασης για τη σύνδεση είναι κρυπτογραφημένος δίσκο συστήματοςπρέπει να εισαχθεί πριν από την εκκίνηση του λειτουργικού συστήματος, δηλαδή πριν παρουσιαστεί η ευκαιρία απομακρυσμένη σύνδεσηστην εικονική μηχανή.

Αυτό το εμπόδιο μπορεί να ξεπεραστεί μόνο με τη βοήθεια απομακρυσμένη πρόσβασηστην κονσόλα της εικονικής μηχανής, με απλά λόγια - στην οθόνη της, στην οποία μπορείτε να δείτε ολόκληρη τη διαδικασία φόρτωσης του λειτουργικού συστήματος.

Οι περισσότεροι σύγχρονοι πάροχοι cloud έχουν τα μέσα να παρέχουν στους πελάτες πρόσβαση στις κονσόλες των εικονικών μηχανών τους.

συμπέρασμα

Ας είμαστε ρεαλιστές, στον κόσμο μας είναι αδύνατο να αποκλείσουμε κάτι 100%, αλλά είναι δυνατόν να ελαχιστοποιήσουμε την πιθανότητα να συμβεί ένα γεγονός και να μειώσουμε το μέγεθος των αρνητικών συνεπειών του. Το σύννεφο 1cloud παρέχει πολλά μέσα για αυτό.

P.S. Λίγα περισσότερα για την ασφάλεια: