Защита данных в облаке: с чего начать. Местонахождение - тоже важный аспект. Атаки на системы управления

В этой связи мы решили обратиться к экспертам в сфере ИБ и облачных технологий, чтобы разобраться в том, смогут ли облачные хранилища стать заменой физических носителей, насколько такие сервисы безопасны и как пользователи могут защитить свою информацию, помещенную в «облако».

«За облачными хранилищами - будущее?» Заменят ли полностью облачные хранилища физические носители информации?

Алексей Федоров , директор рекомендательной системы по облачным сервисам Startpack :
«В прикладных задачах, вроде работы с документами, облачные хранилища действительно заменят физические носители. Такую модель используют Google и Microsoft в сервисах Google Диск и OneDrive соответственно. Облачные хранилища Dropbox, Яндекс Диск, Облако Mail.Ru изначально не имели возможности работы с документами, но ввели такую возможность. Совмещение работы с документами и их хранения настолько естественно, что еще в 2005 году хранилище Box позиционировало себя «как SharePoint, только лучше». Шесть лет существования Chromebook - ноутбука, где нет ничего кроме браузера, также показывает, что модель имеет право на существование. Вместе с тем, существуют прикладные задачи, для которых хранение файлов в «облаке» нецелесообразно: обработка видео, работа со звуком, инженерное проектирование. Большинство игр подразумевают наличие у пользователя компьютера с объемным жестким диском. Даже для запуска удаленного рабочего стола, тонкий клиент должен обладать какие-то базовыми функциями «на месте».

Алексей Шипов, руководитель по развитию облачной платформы ICL Cloud в компании ICL Services

Алексей Шипов , руководитель по развитию облачной платформы ICL Cloud в компании ICL Services :
«Сейчас мы наблюдаем взрывной рост использования облачных хранилищ для данных, генерируемых в социальных сетях. Ведь многие фото и видео, снятые на смартфоне, автоматом уходят в «облако». Использование «облака» для коммерческих данных растет чуть медленнее, но стабильно на 30-50% каждый год. Посмотрите, как Microsoft встраивает в Windows Server возможности быстрого переноса данных в публичное «облако» Azure. Такие же тренды просматриваются и у остальных вендоров. Вероятно, уже через 5-10 лет больше половины данных будет храниться в «облаке». Однако, для особо ценной и важной информации не потеряет актуальности локальное хранение с использованием самых современных средств защиты, например, квантового шифрования».

Денис Полянский, руководитель направления защиты виртуализации и облачных платформ компании «Код безопасности»

Денис Полянский , руководитель направления защиты виртуализации и облачных платформ компании «Код безопасности» :
«У облачных хранилищ много преимуществ: высокая доступность, масштабируемость и так далее. И они продолжат набирать популярность в ближайшей перспективе. Но есть ряд аспектов, делающих облачную модель сложно применимой в некоторых кейсах. Например, невозможность получить согласие субъектов на передачу персональных данных на сторону провайдера или нежелание заказчика передавать определенный тип данных на сторону (клиентские базы, финансовые системы). Затруднение также может возникнуть, если есть проблемы с подключением к сети на стороне клиента, но продолжить работу надо (локально). Поэтому в ближайшее время стопроцентного вытеснения облачными сервисами локальной обработки данных не произойдет. Наиболее популярная и перспективная модель на сегодня – так называемые «гибридные облака», сочетающие в себе преимущества облачных сервисов и локального хранения и обработки данных. «Облака» хорошо зарекомендовали себя для резервного хранения информации на случай проблем в локальной инфраструктуре».

Рустэм Хайретдинов «Атак Киллер»

Рустэм Хайретдинов , генеральный директор компании «Атак Киллер» :

«Полной замены, конечно, не будет, во всяком случае – в обозримом будущем. За сотню лет человечество не научилось обеспечивать людей электричеством со стопроцентной гарантией, то и дело происходят обрывы и «блекауты» из-за природных явлений и техногенных катастроф, то что же говорить про облачные сервисы. Есть информация, которую уже сегодня удобнее хранить в «облаках» – это «тяжелые», не часто нужные и при этом редко меняющиеся файлы, например – фильмы, музыку, фотографии. Но и для них хорошо бы пока иметь резервную физическую копию, особенно, если такая информация сделана вами и существует в единственном экземпляре. Для данных же, которые нужны постоянно и при этом они постоянно меняются, пока лучше использовать он-сайт или хотя бы гибридную архитектуру – хранить данные и в «облаке», и у себя».

Насколько безопасны облачные сервисы?

Алексей Федоров :
«Опасность использования облачных хранилищ можно поделить на два типа: потеря информации и утечка информации. Потеря информации сейчас невозможна почти в любом облачном хранилище, поскольку информация многократно копируется и хранится на разных серверах и в разных дата-центрах. Например, чтобы Google потерял файлы пользователя, нужно чтобы в одночасье исчезли два континента. Однако, отечественные облачные хранилища на заре появления имели прецеденты с потерей данных пользователей. Некоторые хранилища, по условиям пользовательского соглашения, удаляют данные, если пользователь не пользовался ими несколько месяцев. Обычно для входа в облачное хранилище нужен логин и пароль, если злоумышленник узнал эти данные, он может получить доступ к хранящимся файлам. Так происходили утечки личных фотографий из iCloud знаменитостей».

Андрей Рыбин, заведующий сектором информационной безопасности Департамента информационных технологий (ДИТ) города Москвы

Андрей Рыбин , заведующий сектором информационной безопасности Департамента информационных технологий (ДИТ) города Москвы :

«Использование облачных сервисов не является безопасным. Основными угрозами информационной безопасности при использовании облачных технологий являются: хищение и потеря данных, взлом аккаунтов, уязвимости в интерфейсах и API, DDoS-атаки, действия инсайдеров, возможность проникновения хакеров, а также простая халатность провайдера. Кроме того, дополнительно появляются угрозы, связанные с использованием виртуальной инфраструктуры - динамичность виртуальных машин, атаки на гипервизор, как на ключевой элемент системы виртуализации, атаки на системы управления».

Чаба Краснаи, ИТ-евангелист компании Balabit

Чаба Краснаи , ИТ-евангелист компании Balabit :

«Для многих компаний, в основном МСБ-сектора, «облако» более безопасно, чем их собственная инфраструктура. У облачных провайдеров есть необходимая экспертиза и рабочая сила для обеспечения безопасности. В крупных компаниях, это зависит от информации, которой нужно управлять. Организации движутся в сторону гибридных «облаков», некоторые бизнес-процессы используют публичные «облака», а остальные - остаются в рамках внутренней инфраструктуры. Для определения уровня безопасности облачных сервисов нужна оценка рисков. Многие решения помогают защитить гибридную инфраструктуру, например, PAM-инструменты, которые контролируют и отслеживают активность администраторов в сетевом окружении».

Владимир Фоменко, руководитель хостинг компании King Servers

Владимир Фоменко , руководитель хостинг-компании King Servers :

«От технических сбоев облачные сервисы защищены явно лучше за счет нескольких факторов:

• Для хранения применяется специализированное «железо», вероятность выхода из строя которого значительно ниже, чем у обычной домашней техники.
• Оборудование таких сервисов расположено в специализированных ЦОД, где оно защищено от перепадов напряжения и перегрева.
• Естественно, что для хранения данных применяются технологии резервирования, которые сохранят данные в случае выхода из строя оборудования.

С точки зрения информационной безопасности такие сервисы достаточно надежны, чтобы получить доступ к данным мог только авторизованный владелец аккаунта.

Уязвимым местом будет только недостаточная забота о безопасности со стороны самого пользователя вроде установки простого пароля или подключение к хранилищу с недоверенных устройств. С точки зрения надежности самих сервисов – если пользователя интересует сохранность данных, то крайне рекомендую пользоваться крупными сервисами и не надеяться на стартапы, которые предоставляют больше места на бесплатных аккаунтах. Вполне возможно , что для небольших компаний предоставление таких сервисов окажется невыгодным, и они через некоторое время закроются, как это было с сервисами vSeife и Copy. В подобном случае можно не успеть скачать свои данные обратно, и они будут потеряны».

Артем Марусов, эксперт Центра информационной безопасности компании «Инфосистемы Джет»

Артем Марусов , эксперт Центра информационной безопасности компании «Инфосистемы Джет» :

«Насколько безопасны облачные сервисы? К сожалению, однозначного ответа на этот вопрос нет. И даже профессиональное сообщество не может прийти к единому мнению на этот счет. Достаточно полистать профильные сайты и форумы, чтобы понять, что по теме уже было высказано (и продолжает высказываться) множество амбивалентных мнений, причем достаточно неплохо аргументированных. Сторонники облачных сервисов считают, что поскольку такие услуги предоставляют, как правило, крупные корпорации с серьезными ИT и ИБ компетенциями, то и безопасность обеспечивается ими если не наивысшем, то на достаточно адекватном уровне. Противники же «облаков» не перестают перечислять факты крупных утечек данных из облачных сервисов, напоминая, что, пользуясь ими, мы, по сути, отдаем свои данные в некий «черный ящик», аспекты реализации которого нам неизвестны и, соответственно, не могут быть оценены адекватно. Лично я считаю, что необходимо принять тот факт, что стопроцентной гарантии защищенности от утечек не может обеспечить никто. В связи с этим, надо просто принять за правило:

1) Никогда не выкладывать в облачные сервисы в открытом виде информацию, утечка которой нежелательна для вас (рабочие и финансовые документы, личные файлы).

2) Если такой необходимости не избежать, то обязательно шифровать файлы перед их отправкой в «облако». Для этого можно использовать средства как простые (например, создание архивов, защищенных паролем), так и более продвинутые (ПО для создания шифрованных разделов)».

Как пользователи могут обеспечить безопасность своей информации, находящейся в «облаке»?

Ашот Оганесян, технический директор и основатель DeviceLock

Ашот Оганесян , технический директор и основатель DeviceLock :

«В первую очередь необходимо использовать двухфакторную аутентификацию (2FA) для доступа к облачным сервисам. Настоятельно рекомендуется хранить файлы на таких сервисах в защищенных контейнерах (как минимум в запароленных архивах). Организациям, активно использующим облачные хранилища для хранения и обмена информацией, необходимо проводить регулярное сканирование своих данных, хранящихся в «облаке», с помощью продуктов класса Data Discovery, выявлять те данные, которые попали в облачные хранилища случайно или в нарушение политик компании».

Алексей Федоров :

«Если данные крайне ценны, лучше не надеяться на одно хранилище и отправлять их в еще одно хранилище. Следует помнить, что если на устройство установлено клиентское приложение облачного хранилища, при порче файлов на диске вирусом, испорченные файлы загрузятся и в хранилище, заменив собой неиспорченные. И даже если хранилище позволяет откатываться к предыдущим версиям, исправить порчу будет довольно проблематично: восстанавливать придется каждый файл отдельно, глубины хранимых версий может не хватить. Потому хотя бы в одно хранилище лучше заливать файлы через браузер, не устанавливая клиентское приложение. Разумеется, стоит придумать для своей учетной записи сложный пароль: 10 и больше символов, буквы в разном регистре, цифры и специальные символы. Хранить пароль в контейнере паролей или запомнить».

Денис Суховей, руководитель департамента развития технологий компании «Аладдин Р.Д.»

Денис Суховей , руководитель департамента развития технологий компании «Аладдин Р.Д.» :

«Сегодня пользователи имеют возможность задействовать внушительный арсенал организационных и технических мер по обеспечению защиты информации в «облаке». Однако такой подход сводит на нет все преимущества самого «облака», так как повышает совокупную стоимость использования сервиса. В этом свете криптографическая защита конфиденциальной информации в «облаке» является безальтернативным вариантом. Шифрование данных решает сразу целый букет «облачных» проблем безопасности, среди которых противодействие утечкам важной и критичной для бизнеса информации, разграничение прав доступа, соответствие целому набору требований регулирующих организаций и, конечно, экономическая эффективность и простота решения».

Максим Захаренко, генеральный директор компании «Облакотека»

Максим Захаренко , генеральный директор компании «Облакотека» :
«Возможно обеспечение практически абсолютной конфиденциальности, если данные в «облако» передаются и хранятся там в шифрованном виде, а расшифровка происходит только на своем железе. Другое дело, что это очень неудобно и фактически такое практикуется редко, особенно, если это касается частных пользователей. Как только расшифрованные данные размещены в «облаке», конечно, безопасность существенно уменьшается, но вопрос, насколько эта безопасность актуальна, например, для фотографий из отпуска или для небольшого ИП, которому нечего «прятать» даже от налоговой».

Таким образом, на фоне возрастающей роли облачных сервисов пользователям необходимо с большей ответственностью подходить к размещению своей информации в «облаке». Безусловно, нельзя исключать того, что вы можете столкнуться с халатностью провайдера, но нельзя забывать, что защищать свои данные должен и сам пользователь. Поэтому мы присоединяемся к словам экспертов и настоятельно рекомендуем задействовать механизм двухфакторной аутентификации, устанавливать надежные пароли и дифференцировать хранение информации (пользоваться несколькими разными хранилищами и обратить внимание на гибридные «облака»).

В какой-то момент мы столкнулись с необходимостью организовать шифрованное хранилище для удаленного размещения файлов. После недолгих поисков нашел легкое облачное решение, которое в итоге полностью устроило. Далее я вкратце опишу это решение и некоторые особенности работы с ним, возможно, кому-нибудь пригодится. На мой взгляд, вариант надежный и вместе с тем достаточно удобный.

Архитектура

За основу я решил взять систему облачного хранения данных . Которая была установлена в OS Debian Linux v7.1 и развернута в виде виртуальной машины под гипервизором Proxmox Virtual Environment v3.1.

Систему облачного хранения данных установил на зашифрованный диск ОС Linux, доступ к данным возможен только по протоколу HTTPS, для авторизации помимо стандартного пароля необходимо ввести также одноразовый пароль (OTP). Регулярно осуществляется резервное копирование. Предусмотрена возможность экстренного отключения и удаления всех данных ownCloud.

Гипервизор Proxmox Virtual Environment

Гипервизор Proxmox Virtual Environment представляет собой специализированный дистрибутив OS Debian Linux v7.1, удаленный доступ к системе возможен по протоколу SSH на стандартном порту TCP 22. Однако основным рабочим инструментом для управления виртуальными машинами является Web-интерфейс.

Раз в сутки происходит генерирование горячей копии (snapshot) виртуальной машины ownCloud с экспортом ее на серверы NFS, используя стандартные возможности Proxmox VE.

На скриншоте, виртуальная машина в Web-интерфейсе имеет идентификатор 100 (ownCloud). Доступ к ее консоли возможен через пункт контекстного меню «Console».

Например, вот так выглядит ввод пароля для шифрованного диска во время загрузки:

Облачное хранилище данных ownCloud

Про установку ownCloud на хабре есть достаточно хорошая статья от пользователя BlackIce13 http://habrahabr.ru/post/208566/ там уже перечислены основные возможности и некоторые плюсы этой платформы.

От себя могу лишь добавить, что, на мой взгляд, существует несколько более простой способ установки ownCloud для дистрибутива ОС Linux Debian и многих других, нежели предложенный автором статьи. Доступны готовые репозитории: http://software.opensuse.org/download/package?project=isv:ownCloud:community&package=owncloud
В этом случае все необходимые зависимости ставятся автоматически, а от вас будет лишь требоваться скорректировать настройки под свою специфику.

OwnCloud развернул на базе ОС Debian Linux v7.1 внутри виртуального контейнера. Удаленный доступ к хранилищу возможен по протоколу SSH на стандартном порту TCP 22.
Основная работа с ownCloud осуществляется через Web-интерфейс, возможно также подключение через протокол WebDAV и использование клиентов синхронизации (Sync).

Кстати, поскольку доступ к ownCloud осуществляется через HTTPS логи доступа и ошибок ведутся сервером Apache в файлах "/var/log/apache2/access.log" и "/var/log/apache2/error.log" соответственно. Также ownCloud имеет свой собственный лог "/var/www/owncloud/data/owncloud.log".

Одноразовые пароли OTP

Для усиления безопасности доступ к ownCloud через Web-интерфейс возможен с использованием двухфакторной авторизации: традиционный пароль и одноразовый пароль OTP. Функционал OTP реализуется с помощью внешнего дополнения One Time Password Backend . Встроенной поддержки OTP у ownCloud нет.

Настройка основных параметров OTP осуществляется в разделе «Admin» под административной учетной записью.

На скриншотах настройки двухфакторной авторизации и одноразовых паролей подобранные для обеспечения совместимости с аппаратными генераторами FEITIAN OTP c200.
Алгоритм: Time-based One Time Password (TOTP)
Количество цифр в пароле: 6
Время жизни пароля: 60 секунд

Чтобы двухфакторная авторизация вступила в действие необходимо назначить пользователю Token Seed. До этого момента он может заходить в ownCloud, используя только лишь обычный пароль. Что собственно необходимо сделать сразу после создания пользователя, перейти в раздел «Personal» и ввести Token Seed в одноименное поле.

Генерировать Token Seed, используя встроенные возможности модуля OTP ownCloud, не рекомендуется, поскольку в алгоритме его работы наблюдаются проблемы. Формат ввода: Base32 (%32) UPPERCASE. Конвертировать Token Seed в разные форматы можно с помощью утилиты www.darkfader.net/toolbox/convert

Конкретно для этого проекта использовался Token Seed вшитый в аппаратный Token FEITIAN OTP c200. В общем случае можно использовать любой генератор паролей, а затем приводить его к нужному формату, используя приведенный в тексте конвертер.

Примером такого приложения для ОС Android может служить Android Token: https://play.google.com/store/apps/details?id=uk.co.bitethebullet.android.token&hl=ru

Проинициализированный Token Seed выглядит следующим образом:

Для отключения OTP достаточно удалить Token Seed из настроек. Если это невозможно, например, по причине того, что генератор OTP утерян, поэтому доступа к личному кабинету пользователя нет, то отключение OTP возможно только путем прямой модификации данных в СУДБ MySQL. Для этого необходимо запустить из командной строки клиент MySQL:
# mysql -uowncloud –p
Enter password:

Затем выполнить запрос аналогичный следующему, изменив значение поля «user» на необходимое:
mysql> delete from owncloud.oc_user_otp where `user` = "test";

Из-за архитектурных ограничений OTP работает только при доступе к ownCloud через Web-интерфейс, но не через WebDAV. Данный недостаток компенсируется тем, что список IP-адресов, которые могут использовать WebDAV, строго ограничен. Отвечают за это директивы «Allow from» в файле настроек сервера Apache "/etc/apache2/conf.d/owncloud.conf". Обратите внимание, что директивы там указываются дважды.

IP-адреса перечисляются через пробел. Необходимо удостоверятся в том, что в списке обязательно присутствуют IP обратной петли 127.0.0.1, а также публичный IP сервера самого ownCloud. В противном случае в работе WebDAV возможны сбои. После изменения настроек Apache его необходимо перезапустить:
service apache2 restart

Защита от брутфорса

В свежих версиях ownCloud ведется лог неудачных попыток авторизации: "/var/log/owncloud/auth.log". Содержимое "/var/log/owncloud/auth.log" контролирует сервис Fail2ban. Если им в течение короткого времени фиксируется 5 или более неудачных попыток авторизации с одного IP-адреса, то он блокируется фильтром пакетов IPTables на 10 минут. Если после автоматической разблокировки, попытки продолжаются, то IP блокируется повторно навсегда. Следит за работой Fail2ban можно в логе "/var/log/fail2ban.log".

Список IP-адресов, которые не должны блокироваться ни при каких обстоятельствах задается параметром «ignoreip» в файле настроек "/etc/fail2ban/jail.conf". IP перечисляются через пробел.

После изменения настроек Fail2ban его необходимо перезапустить:
service fail2ban restart

В случае необходимости вручную разблокировать какой-либо IP, необходимо выполнить на сервере из CLI команду аналогичную следующей, скорректировав в ней адрес:
iptables -D fail2ban-Owncloud -s 187.22.109.14/32 -j DROP

P.S.
Live версию ownCloud можно посмотреть на официальном сайте

Здравствуйте, уважаемые читатели! Из заголовка этой статьи вы поняли, что речь пойдёт об актуальной нынче теме — безопасности в Интернете. В связи с некоторыми событиями (о них чуть ниже) очень важно иметь представление о том, с чем мы имеем дело. В частности, это касается облачных хранилищ (или «облаков»), которых сейчас расплодилось большое множество.

С чего всё началось?

Я заинтересовался облачными хранилищами данных пару лет назад. В поисках самого простого способа переносить файлы с ноутбука на планшет, обходясь без подключения одного устройства к другому, я пришёл к выводу, что «облака» — это то, что мне нужно. Мой выбор изначально пал на Яндекс.Диск. Почему?

1. Во-первых, не нужно скачивать никакой программы на ноутбук (доступ осуществляется через аккаунт Яндекса).
2. Во-вторых, предоставляется бесплатно до 10 Гб (мне этого вполне достаточно).
3. В-третьих, для планшета существует очень удобное приложение (которое упрощает работу с «облаком»).

Я мог пользоваться иными сервисами, например, Dropbox или Google Drive, но Яндекс.Диск был у меня на слуху, и поэтому я практически не сомневался в выборе. В дальнейшем я также стал использовать «Облако Mail.Ru», так как на нём абсолютно бесплатно дают 100 Гб.

Что вам известно о безопасности облачных сервисов?

Итак, выбирая тот или иной сервис «облаков», многие обращают внимание лишь на объём памяти, который предоставляется бесплатно. Но смотреть следовало бы на другое…

Например, Dropbox, который относится к самым популярным хранилищам и услугами которого пользуются несколько сотен миллионов человек, не зашифровывает ваши файлы, когда вы закачиваете их в «облако». Шифровать информацию вы, если хотите, должны сами с использованием сторонних программ. В противовес Dropbox упомяну сервис SpiderOak, не слишком популярный, но использующий собственную систему шифрования информации.

Упомянутый выше Яндекс.Диск тоже не отличается особой заботой к данным пользователей — никакого шифрования там нет. Поэтому, выбирая, с каким облачным хранилищем работать, первым делом узнайте, шифрует этот сервис данные или нет.

Стоит ли доверять облачным сервисам?

Давайте ответим на вопрос, стоит ли 100% полагаться на безопасность того или иного облачного сервиса? Или небольшой риск утечки информации всё-таки существует?

Некоторое время назад в мировом сообществе разразился крупный скандал, связанный с тем, что бывший сотрудник Агентства национальной безопасности США Эдвард Сноуден рассказал о том, что спецслужбы США имели доступ к серверам всех крупных компаний (включая Google, Apple, Facebook и Microsoft). И таким образом получали доступ к личным данным практически любого жителя планеты.

Ведь все мы пользуемся Android-смартфонами (Android — дитя Google), компьютерами с установленной Windows (продукт Microsoft), почтой Gmail и т.д. По заявлениям Сноудена, любое средство информационной связи является дырой, через которую наши личные данные утекают к спецслужбам.

Поскольку правительство США официально не опровергло эту информацию, а сам Сноуден объявлен чуть ли не врагом №1, стоит полагать, что всё, рассказанное им, является правдой. А это повод задуматься…

Не нужно думать, что АНБ и ЦРУ США сейчас пристально наблюдают за вами, пока вы занимаетесь веб-сёрфингом, читаете эту статью и параллельно ведёте переписку ВКонтакте со своим лучшим другом. Если вы не значимое для них лицо — им нет до вас дела.

То же самое касается и отечественных спецслужб. Пока вы не представляете угрозы национальной безопасности страны (надеюсь, до этого не дойдёт), никому до вас дела нет. Но если предположить, что чисто теоретически имеется доступ к личным сведениям каждого из нас, то чисто теоретически может произойти утечка этих сведений в открытый доступ. И, опять же, чисто теоретически личные сведения могут оказаться не в тех руках.

К чему это я? Пока есть хоть малейшая возможность того, что ваша личная информация может появиться в свободном доступе в сети Интернет, не стоит 100% полагаться на защиту своих сведений в почтовых службах (Mail, Gmail, Yandex), социальных сетях (Facebook, Одноклассники, ВКонтакте) и облачных хранилищах данных (даже включая те, которые используют шифрование).

Посмотрим, что говорят по этому поводу эксперты компаний, занимающихся информационной безопасностью.

• Андрей Комаров, директор департамента международных проектов, аудита и консалтинга компании Group-IB, заявлял, что желательно свести к минимуму использование облачных хранилищ для хранения важной информации.
• Сергей Комаров, руководитель отдела антивирусных разработок компании «Доктор Веб», предупреждал о том, что пользование облачными хранилищами основано на доверии к некоей второй стороне. Всё, что может сделать пользователь — это прочитать лицензионное соглашение и уповать на то, что компания будет его соблюдать. Но если вы обеспокоены конфиденциальностью ваших данных, то единственный способ обеспечить защиту — хранить их там, где ни у кого не будет к ним доступа.
• Денис Безкоровайный, технический консультант компании Trend Micro в России и СНГ, говорит о том, что защита данных пользователей в облачных хранилищах — это обязанность самих пользователей.
• Сергей Ложкин, эксперт «Лаборатории Касперского», советует шифровать данные перед загрузкой их в облачное хранилище.

Что следует из всего вышесказанного?

• Никогда не храните в «облаках» важную информацию (например, пароли для доступа к электронным кошелькам и почте). Лучшее место для хранения ваших данных — это рукописный блокнот либо USB-флешка, к которой ни у кого нет доступа.
• Если всё-таки возникла необходимость загрузить в облачный сервис важный файл, то прежде, чем сделать это, зашифруйте его с помощью какой либо программы.
• Самый лучший вариант использования «облаков» — хранить там фильмы, музыку или электронные книги, которые и так есть в общем доступе. В этом отношении облачные сервисы очень полезны, поскольку на каждом компьютере за долгие годы накапливается масса музыки, фильмов и прочего контента, который «жалко» удалять. Загрузите их в «облако» и освободите место на своём компьютере! А если вам не хватит 10 Гб на Яндекс.Диске, то никто не мешает вам зарегистрироваться сразу в нескольких сервисах и использовать их возможности по максимуму.

Некоторые пользователи не задумываются о безопасности облачных хранилищ, загружая туда важные документы, пароли и личные фотографии. Конечно, маловероятно, что именно ваши данные утекут к злоумышленникам, но лучше перестраховаться. ЧТОБЫ ПОТОМ НЕ СОЖАЛЕТЬ…

А вы храните личную информацию в облаках???

С уважением, Сергей Чесноков

В июле 2018 года миллионы конфиденциальных документов пользователей Google Docs оказались в открытом доступе. Их можно было найти в поисковой выдаче Яндекса и при наличии небольшого опыта - прочитать или скопировать.

Публичной стала, например, закрытая информация Тинькофф Банка, Леруа Мерлен и администрации Екатеринбурга.

После этого случая многие предприниматели стали искать другой инструмент для совместной работы над документами: такой же удобный, но более надежный, чем Google Docs, с хорошей защитой приватных данных.

Внимательно читайте пользовательское соглашение

Google Docs хранятся в Google Drive - это облачная система со своими правилами совместного доступа и работы над документами.

Похожим образом устроены и другие облачные хранилища: Dropbox, iCloud, Яндекс.Диск, Облако Mail.Ru, OneDrive от Microsoft. Компании, которые предоставляют услуги хранения данных в облаке, называют облачными провайдерами.

Принцип действия облачных хранилищ одинаков, но уровень защиты данных в них отличается. В большинстве случаев информация в облаке защищена лучше, чем на вашем персональном компьютере, но полезно сравнить разные облака между собой и разобраться, чья броня крепче.

На этапе выбора облака, в котором вы будете хранить документы, читайте лицензионное соглашение и правила предоставления услуг. Их вы найдете на официальных сайтах провайдеров. Обратите внимание на уровень защиты данных при передаче в облако и обратно, защиту конфиденциальной информации и объем хранилища.

Защита данных при передаче. Вы передаете информацию через интернет - в этот момент злоумышленники могут перехватить пароли, персональные данные сотрудников, документы и другие важные файлы. Убедитесь, что информация шифруется не только в самом хранилище, но и при передаче от клиента в облако и обратно.

Защита конфиденциальности информации. В пользовательском соглашении прописано, кому и на каких условиях провайдер разрешает доступ к вашим данным. В некоторых облачных хранилищах вашу информацию могут передавать третьим лицам.

Прочитайте все пункты соглашения и нюансы использования информации, убедитесь, что они вас устраивают и данные защищены от попадания в чужие руки. Самый надежный вариант - ограничение доступа, когда вы лично даете разрешение делать что-либо с вашими файлами.

Например, в облачных сервисах Microsoft даже инженеры компании при решении технических проблем должны сначала запросить у вас право доступа.

Объем хранилища. От объема хранилища зависит, сколько информации в нем поместится. Например, в бесплатной версии Google Drive можно хранить всего 15 Гб данных - этого хватит на одного человека. При покупке подписки на Microsoft Office 365 вы получаете доступ к 1 Тб места в хранилище OneDrive - такого объема достаточно, чтобы хранить файлы всех сотрудников.

Используйте надежные пароли и двухфакторную идентификацию

Облачное хранилище закрыто для посторонних. Попасть в него можно только после идентификации - подтверждения того, что у вас есть право доступа к информации. Для этого используют пароли, а иногда - еще и коды, приходящие на телефон или почту. Чем сложнее идентификация, тем надежнее защищены ваши файлы.

Настройка паролей. При подключении к облаку вам выдадут всего один пароль - администратора. Тот, кто входит под этим паролем, обладает расширенными правами. Например, администратор может открывать и закрывать доступ к информации, удалять и добавлять новых участников.

Пароль администратора нужно сразу поменять, чтобы его знали только вы. Затем администратор выдает пароли другим сотрудникам - каждому свой.

В надежном пароле 8-16 символов, есть заглавные и строчные буквы, спецсимволы, например, #, * и другие. Пароли не хранятся в открытом доступе, чтобы они не попали к злоумышленникам, и те не смогли похитить данные.

Двухфакторная идентификация. К корпоративному облаку есть доступ у большого количества людей, там хранится конфиденциальная информация. Одного пароля для защиты может быть недостаточно.

Лучше настроить двухфакторную идентификацию. Это значит, что для входа в систему нужно сначала ввести пароль, а потом код, который придет на телефон. Подобную схему используют для доступа в мобильные банки: сначала вы вводите свой пароль, а потом получаете сгенерированный системой код в SMS.

Такая защита поможет избежать кражи данных, даже если кто-то введет ваш пароль.

Используйте удаленный контроль за гаджетами сотрудников

Когда сотрудники заходят в облако через мобильное приложение на телефоне или планшете, их пароли и копии файлов из хранилища могут оставаться в памяти устройства. Если гаджет попадает в руки злоумышленников, они могут зайти в систему по сохраненному паролю или прочитать секретные документы. Есть два способа решить эту проблему.

Удаленный контроль. Убедитесь, что в вашем корпоративном облаке есть функция удаленного контроля. Это значит, что в случае необходимости администратор облака может удаленно стереть конфиденциальную информацию из памяти пропавшего телефона. В Microsoft Office 365 такая функция есть.

Настройки мобильного доступа. Вход в мобильное приложение облака должен быть ограничен. Включите в настройках обязательный ввод пароля или усильте защиту двухфакторной идентификацией, как при входе с компьютера.

В мобильных приложениях Microsoft Office есть возможность настроить доступ. Например, можно сделать так, что войти в приложение получится только после ввода ПИН-кода устройства, пароля к облаку и кода, пришедшего на телефон. Тогда, кто бы ни узнал ваш пароль и ни пробовал открыть приложение на вашем устройстве, сделать ему это не удастся.

Установите надежную защиту от вирусов

Потерять важные корпоративные данные можно и в результате внешних атак: вирусов или взлома системы. Например, если сотрудники разместили в хранилище зараженный файл.

Cybersecurity Ventures предсказала , что к 2021 году киберпреступность будет стоить миру 6 триллионов долларов в год. Самый большой урон от нее несут крупные компании, но малый и средний бизнесы тоже оказываются под угрозой.

Антивирусная защита. Для предупреждения кибератак убедитесь, что облачный провайдер блокирует вредоносные программы, в нем есть встроенный антивирус. Так, в Microsoft Office 365 есть решения, защищающие от вредоносных программ и спама.

Установите на устройства сотрудников современный антивирус. Лучше использовать программы для бизнеса - они подходят для работы с большим числом компьютеров. У Kaspersky Security есть две версии: для небольших компаний и сложных IT-инфраструктур.

Обновление программного обеспечения. Регулярно обновляйте программное обеспечение компании, в том числе на персональных компьютерах сотрудников. Разработчики совершенствуют новые версии, и они лучше сопротивляются новым вирусам и угрозам.

При работе с облачным провайдером по подписке, когда вы оплачиваете доступ ежемесячно, программное обеспечение облака обновлять не нужно. Оно обновляется автоматически.

А если вы купили программу для постоянного пользования, то со временем защита устаревает, придется регулярно приобретать новые версии продукта.

Настройте «защиту от дурака»

Большая часть утечек информации происходит не из-за вирусов, а по вине сотрудников компании. Потерять данные можно, если работник ошибся и случайно передал информацию не тому человеку, опрометчиво открыл кому-то доступ, уничтожил файлы из мести.

480 auto

Какие опасности могут подстерегать данные, в том числе, в облаке? — Во-первых, возможность их утраты . Во-вторых, возможность доступа к данным посторонних лиц , то есть потери конфиденциальности.

Разумное беспокойство по этим случаям должно присутствовать всегда, а при размещении компьютерной инфраструктуры в публичном облаке оно может усиливаться.

Потеря данных

Все привыкли к тому, что цифровые данные легко скопировать. Однако для копирования чего бы то ни было нужен оригинал. Если оригинал утрачен, данные, содержавшиеся в нём, также будут потеряны.

Компьютерные данные можно потерять либо в результате удаления соответствующих файлов, либо в результате разрушения носителя, на котором находятся эти файлов.

Резервное копирование

Чтобы не потерять все накопленные данные, нужно регулярно создавать их . При этом для сохранности резервных копий важно размещать их не на том же носителе, на котором находится оригинал, а на другом — физически (!) другом диске, на другом компьютере, в другой сети.

Надёжные носители

Сейчас для хранения данных используются носители самых разных типов. У них разный принцип хранения данных и разная надёжность хранения.

Дополнительно надёжность хранения можно повысить за счёт совместного использования нескольких носителей, объединённых в группу, например, в .

Но даже очень высокая надёжность хранения данных вовсе не отменяет необходимости их резервного копирования.

Утрата конфиденциальности

Собственно, задача сохранения конфиденциальности данных возникает не только в случае , расположенного облаке, но и в привычном мире.

Компьютерные данные, к которым получил доступ посторонний человек невозможно вернуть назад — никогда не будет 100-процентной уверенности в том, что эти данные не были скопированы. Поэтому защита данных сводится в тому, чтобы исключить саму возможность любого неразрешённого доступа к ним.

Чужие данные можно получить двумя путями: в результате доступа к их носителю или через операционную систему, обрабатывающую эти данные. Особенности этих способов доступа и определяют методы защиты данных.

К счастью, цифровая природа компьютерных данных даёт такую возможность их защиты, как шифрование. — Если постороннее лицо получит доступ к носителю с зашифрованными данными или к файлу, хранящему зашифрованные данные, оно не сможет ими воспользоваться.

Далее мы рассмотрим меры в части системного администрирования по сохранению конфиденциальности компьютерных данных, размещённых в виртуальном облаке. При этом мы не будем касаться вопросов безопасности данных внутри приложений (программ), которые используют эти данные.

Физический доступ

Диски виртуальных машин — это файлы, расположенные в больших дисковых массивах, находящихся в центрах обработки данных (ЦОДах). Соответственно, «физический» доступ к дискам виртуальной машины сводится к доступу к этим файлам.

Теоретически, доступ к дискам виртуальных машин могут иметь работники ЦОДа и работники облачного провайдера.

Центр обработки данных

Центр обработки данных обеспечивает оборудование облачного провайдера:

• стабильным и надёжным электропитанием;
• охлаждением чистым воздухом;
• охраной от посторонних лиц.

Несмотря на то, что работники ЦОДа имеют физический доступ к оборудованию облачного провайдера, опасаться того, что они смогут найти и скопировать определённый диск определённой виртуальной машины, не стоит. Для балансировки нагрузки и обеспечения отказоустойчивости виртуальные диски могут перемещаться по всему аппаратному дисковому пространству, которое в настоящее время может достигать многих сотен терабайтов или даже петабайтов.

Кроме того, работники ЦОДа, как правило, не имеют логического доступа в облако (по сети).

Провайдер

Что касается работников облачного провайдера, они (по крайней мере, уполномоченные системные администраторы) всегда имеют доступ и к файлам с «аппаратной» конфигурацией виртуальных машин, и к файлам с их виртуальными дисками. Без таких возможностей они просто не смогут управлять облаком и обеспечивать предоставление услуг своим клиентам.

Более того, нередко системные администраторы облачного провайдера имеют доступ и в операционные системы виртуальных машин своих клиентов. Этот доступ упрощает управление облаком и виртуальными машинами в нём.

Можно ли обойтись без такого доступа? — Да, можно. Но с некоторыми уточнениями.

Операционная система

Для защиты данных на уровне операционной системы используются учётные записи, правами по которым можно управлять. В системе не должно быть посторонних учётных записей, а по имеющимся записям не должно быть лишних прав.

Однако для работы операционной системы на конкретном «железе» требуются драйверы. Для работы операционной системы на облачном «железе» тоже требуются драйверы, и их должен кто-то установить. То есть административного доступа в операционную системы виртуальной машины в ручном или автоматическом режиме всё-таки не избежать. Такой доступ может потребоваться и для сетевой настройки машины.

В принципе, после создания новой виртуальной машины можно изменить пароль её системного администратора и даже удалить или заблокировать соответствующую учётную запись. И после этого у облачных администраторов априори не будет доступа внутрь виртуальной машины.

Однако нужно осознавать, что все дальнейшие заботы об обеспечении работоспособности виртуальной машины лягут исключительно на системного администратора клиента.

Вопрос о возможности доступа облачных администраторов в операционную систему виртуальной машины должен обсуждаться и решаться спокойно и взвешенно.

Шифрование дисков

Как уже было сказано, доступ к данным можно получить и без входа в операционную систему виртуальной машины. Для этого будет достаточным получить доступ к её дискам напрямую.

Единственный способ полностью исключить такую возможность — зашифровать диски. Препятствие возникнет только с одним из них — системным.

Проблема в том, что пароль для подключения зашифрованного системного диска нужно вводить до загрузки операционной системы, то есть до того, когда появляется возможность удалённого подключения к виртуальной машине.

Преодолеть это препятствие можно только с помощью удалённого доступа к консоли виртуальной машины, упрощённо говоря — к её экрану, на котором можно увидеть весь процесс загрузки операционной системы.

Большинство современных облачных провайдеров имеют средства для предоставления клиентам доступа к консолям их виртуальных машин.

Заключение

Будем реалистами, в нашем мире исключить что-то на все 100% невозможно, но максимально сократить вероятность возникновения какого-то события и уменьшить размер его негативных последствий можно. Облако 1cloud даёт немало средств к тому.

P. S. Ещё немного о безопасности: