Protecția datelor în cloud: de unde să începem. Locația este, de asemenea, un aspect important. Atacuri asupra sistemelor de control

În acest sens, am decis să apelăm la experți în domeniul securității informațiilor și tehnologii cloud pentru a înțelege dacă stocarea în cloud poate deveni un înlocuitor pentru mediul fizic, cât de sigure sunt astfel de servicii și cum își pot proteja utilizatorii informațiile stocate în cloud.

„Este stocarea în cloud viitorul?” Stocarea în cloud va înlocui complet mediile de stocare fizice?

Alexei Fedorov, Director al Sistemului de Recomandare Servicii Cloud Startpack :
„În sarcinile aplicate, cum ar fi lucrul cu documente, stocarea în cloud va înlocui cu adevărat mediile fizice. Acest model este folosit de Google și Microsoft în servicii Google Driveși, respectiv, OneDrive. Nor Stocare Dropbox, Yandex Disk, Mail.Ru Cloud nu aveau inițial capacitatea de a lucra cu documente, dar au introdus o astfel de posibilitate. Combinația dintre lucrul cu documente și stocarea acestora este atât de naturală încât în ​​2005, stocarea Box s-a poziționat „ca SharePoint, doar mai bine”. Șase ani de existență a Chromebookului – un laptop cu nimic altceva decât un browser – arată, de asemenea, că modelul are dreptul de a exista. În același timp, există sarcini aplicate pentru care stocarea fișierelor în cloud este nepractică: procesare video, lucru cu sunet, proiectare inginerească. Majoritatea jocurilor necesită utilizatorului să aibă un computer cu un mare hard disk. Chiar și pentru a lansa un desktop la distanță, client slab trebuie să aibă unele funcții de bază„la fața locului”.

Alexey Shipov, șeful dezvoltării platformei cloud ICL Cloud la ICL Services

Alexei Shipov, Șef al dezvoltării platformei cloud ICL Cloud in companie Servicii ICL :
„Asistăm acum la o explozie în utilizarea stocării în cloud pentru datele generate în în rețelele sociale. La urma urmei, multe fotografii și videoclipuri realizate pe un smartphone ajung automat în „nor”. Utilizarea cloud-ului pentru datele de afaceri crește la o rată puțin mai lentă, dar constantă, de 30-50% în fiecare an. Vedeți cum se construiește Microsoft Windows Server capacitatea de a transfera rapid date în cloud-ul public Azure. Aceleași tendințe sunt vizibile printre alți furnizori. Probabil, în 5-10 ani mai mult de jumătate din date vor fi stocate în cloud. Cu toate acestea, pentru informații deosebit de valoroase și importante, stocarea locală folosește cel mai mult mijloace moderne securitate, cum ar fi criptarea cuantică”.

Denis Polyansky, șeful departamentului de protecție a virtualizării și platformelor cloud la Code Security

Denis Polyansky, Șef Serviciu Protecție Virtualizare și Platforme Cloud la companie "Cod de securitate" :
„Stocarea în cloud are multe avantaje: Valabilitate ridicată, scalabilitate și așa mai departe. Și vor continua să câștige popularitate în viitorul apropiat. Dar există o serie de aspecte care fac modelul cloud dificil de aplicat în unele cazuri. De exemplu, incapacitatea de a obține consimțământul subiecților de a transfera date cu caracter personal către furnizor sau reticența clientului de a transfera anumit tip date în lateral ( baze de clienți, sisteme financiare). Dificultăți pot apărea și dacă există probleme cu conexiunea la rețea din partea clientului, dar trebuie să continuați să lucrați (local). Prin urmare, în viitorul apropiat, serviciile cloud nu vor înlocui complet procesarea locală a datelor. Cel mai popular și model promițător astăzi – așa-numiții „nori hibridi”, care combină avantajele serviciilor cloud și stocarea și procesarea locală a datelor. „Norii” s-au dovedit bine pentru stocare de rezervă informații în cazul unor probleme în infrastructura locală.”

Rustem Khairetdinov „Ucigașul Atak”

Rustem Khairetdinov, CEO companiilor "Ucigașul Atak" :

„Desigur, nu va exista o înlocuire completă, cel puțin nu în viitorul apropiat. De o sută de ani, omenirea nu a învățat să ofere oamenilor electricitate cu o garanție de 100% întreruperile și întreruperile de curent apar din când în când din cauza fenomenelor naturale și a dezastrelor provocate de om, așa că ce putem spune despre serviciile cloud. Există informații pe care astăzi este mai convenabil să le stocați în „nori” - acestea sunt „grele”, nu sunt adesea necesare și, în același timp, rar schimbă fișierele, de exemplu, filme, muzică, fotografii. Dar ar fi bine ca ei să aibă deocamdată o copie fizică de rezervă, mai ales dacă astfel de informații au fost făcute de tine și există într-o singură copie. Pentru date care sunt necesare în mod constant și, în același timp, se schimbă constant, deocamdată este mai bine să folosiți un site online sau cel puțin arhitectura hibrida– stocați datele atât în ​​cloud, cât și acasă.”

Cât de sigure sunt serviciile cloud?

Alexei Fedorov:
„Pericolele utilizării stocării în cloud pot fi împărțite în două tipuri: pierderea de informații și scurgerea de informații. Pierderea de informații este acum imposibilă în aproape orice stocare în cloud, deoarece informațiile sunt copiate și stocate în mod repetat servere diferiteși în diferite centre de date. De exemplu, pentru ca Google să piardă fișierele utilizator, două continente trebuie să dispară peste noapte. Cu toate acestea, în zorii apariției lor, stocarea în cloud a avut precedente cu pierderea datelor utilizatorilor. Unele facilități de stocare, conform condițiilor contractului de utilizare, șterg datele dacă utilizatorul nu le-a folosit de câteva luni. De obicei, pentru a vă conecta la spațiul de stocare în cloud aveți nevoie de un utilizator și o parolă, dacă un atacator află aceste date, el poate obține acces la fișierele stocate; Acesta este modul în care fotografiile personale ale celebrităților au fost scurse de pe iCloud.”

Andrey Rybin, șef de sector securitatea informatiei Departament tehnologia Informatiei(DIT) al orașului Moscova

Andrei Rybin, Șef Sector Securitate Informațională Departamentul de Tehnologii Informaționale (DIT) orase Moscova:

„Folosirea serviciilor cloud nu este sigură. Principalele amenințări la adresa securității informațiilor la utilizarea tehnologiilor cloud sunt: ​​furtul și pierderea de date, piratarea contului, vulnerabilități în interfețe și API-uri, atacuri DDoS, acțiuni din interior, posibilitatea infiltrării hackerilor, precum și simpla neglijență a furnizorului. În plus, există amenințări suplimentare asociate cu utilizarea infrastructura virtuală- dinamismul mașinilor virtuale, atacurile la hypervisor, ambele elementul cheie sisteme de virtualizare, atacuri asupra sistemelor de control.”

Csaba Krasnai, evanghelist IT la Balabit

Csaba Krasnai, evanghelist IT al companiei Balabit :

„Pentru multe companii, în principal din sectorul IMM-urilor, cloud-ul este mai sigur decât propria infrastructură. Furnizorii de cloud au expertiza și forța de muncă necesare pentru a asigura securitatea. În companiile mari, depinde de informațiile care trebuie gestionate. Organizațiile se îndreaptă către cloud-uri hibride, unele procese de afaceri utilizând cloud-uri publice, iar altele rămânând în infrastructura internă. Pentru a determina nivelul de securitate al serviciilor cloud, este necesară o evaluare a riscurilor. Multe soluții ajută la protejarea infrastructurii hibride, cum ar fi instrumentele PAM care monitorizează și monitorizează activitatea administratorului în mediul de rețea.”

Vladimir Fomenko, șeful companiei de găzduire King Servers

Vladimir Fomenko, șeful companiei de hosting King Servers :

„Serviciile cloud sunt în mod clar mai bine protejate de defecțiuni tehnice din cauza mai multor factori:

• Pentru depozitare se folosește hardware specializat, a cărui probabilitate de defecțiune este mult mai mică decât cea a aparatelor electrocasnice convenționale.
• Echipamentele unor astfel de servicii se află în centre de date specializate, unde sunt protejate de supratensiuni și supraîncălzire.
• Desigur, tehnologiile de backup sunt folosite pentru stocarea datelor, care vor salva datele în cazul defecțiunii echipamentului.

Din punct de vedere al securității informațiilor, astfel de servicii sunt suficient de fiabile încât doar proprietarul autorizat al contului să poată accesa datele.

Singurul punct vulnerabil va fi îngrijirea de securitate insuficientă din partea utilizatorului însuși, cum ar fi setarea unei parole simple sau conectarea la stocare de pe dispozitive care nu sunt de încredere. Din punctul de vedere al fiabilității serviciilor în sine, dacă utilizatorul este interesat de siguranța datelor, atunci recomand cu căldură să folosești servicii mari și să nu te bazezi pe startup-uri care oferă mai mult spațiu de stocare. conturi gratuite. Destul de posibil, că pentru companiile mici furnizarea unor astfel de servicii va fi neprofitabilă, iar acestea se vor închide după un timp, așa cum a fost cazul serviciilor vSeife și Copy. Într-un astfel de caz, este posibil să nu aveți timp să vă descărcați datele înapoi și acestea vor fi pierdute.”

Artem Marusov, expert la Centrul de Securitate Informațională de la Jet Infosystems

Artem Marusov, expert la Centrul de Securitate Informațională al companiei „Jet Infosystems”:

„Cât de sigure sunt serviciile cloud? Din păcate, nu există un răspuns clar la această întrebare. Și nici măcar comunitatea profesională nu poate ajunge la un consens în această chestiune. Este suficient să te uiți prin site-uri și forumuri specializate pentru a înțelege că multe opinii ambivalente au fost deja exprimate (și continuă să fie exprimate) pe această temă și destul de bine argumentate. Susținătorii serviciilor cloud consideră că, întrucât astfel de servicii sunt furnizate, de regulă, de mari corporații cu competențe serioase de IT și securitate a informațiilor, securitatea este asigurată de acestea, dacă nu la cel mai înalt nivel, atunci la un nivel destul de adecvat. Oponenții „norilor” nu încetează să enumere faptele privind scurgerile mari de date din serviciile cloud, amintind că, folosindu-le, noi, de fapt, dăm datele noastre unui fel de „cutie neagră”, ale cărei aspecte de implementare sunt necunoscut pentru noi și, în consecință, nu poate fi stabilit un preț adecvat. Personal, cred că este necesar să acceptăm faptul că nimeni nu poate oferi o garanție 100% a securității împotriva scurgerilor. În acest sens, trebuie doar să o luați ca o regulă:

1) Nu încărcați niciodată în serviciile cloud în formă deschisă informații a căror scurgere este nedorită pentru dvs. (documente de lucru și financiare, dosare personale).

2) Dacă o astfel de nevoie nu poate fi evitată, atunci este imperativ să criptați fișierele înainte de a le trimite în cloud. Pentru a face acest lucru, puteți utiliza instrumente atât simple (de exemplu, crearea de arhive protejate cu parolă), cât și mai avansate (software pentru crearea de partiții criptate).”

Cum pot utilizatorii să asigure securitatea informațiilor lor în cloud?

Ashot Oganesyan, Director tehnicși fondatorul DeviceLock

Ashot Oganesyan, CTO și fondator DeviceLock :

„În primul rând, trebuie să utilizați autentificarea cu doi factori (2FA) pentru a accesa serviciile cloud. Este recomandat să stocați fișierele pe astfel de servicii în containere securizate (cel puțin în arhive protejate cu parolă). Organizațiile care folosesc în mod activ stocarea în cloud pentru stocarea și schimbul de informații trebuie să își scaneze în mod regulat datele stocate în cloud folosind produse de clasă Data Discovery pentru a identifica datele care au ajuns în stocarea în cloud din întâmplare sau cu încălcarea politicilor companiei.”

Alexei Fedorov:

„Dacă datele sunt extrem de valoroase, este mai bine să nu vă bazați pe un singur depozit și să le trimiteți la un alt depozit. Vă rugăm să rețineți că dacă dispozitivul dvs. are aplicație client stocare în cloud, dacă fișierele de pe disc sunt deteriorate de un virus, fișierele deteriorate vor fi încărcate în stocare, înlocuindu-le pe cele necorupte. Și chiar dacă depozitul vă permite să reveniți la Versiuni anterioare, corectarea daunelor va fi destul de problematică: va trebui să restaurați fiecare fișier separat, profunzimea versiunilor stocate poate să nu fie suficientă. Prin urmare, este mai bine să încărcați fișiere în cel puțin o locație de stocare printr-un browser fără a instala o aplicație client. Desigur, merită să veniți pentru contul dvs parolă complexă: 10 și mai multe personaje, litere cu majuscule diferite, cifre și caractere speciale. Păstrați parola în containerul de parole sau amintiți-o."

Denis Sukhovey, șeful departamentului de dezvoltare tehnologică la Aladdin R.D.

Denis Sukhovey, șeful departamentului de dezvoltare tehnologică al companiei „Aladdin R.D.” :

„Astăzi, utilizatorii au posibilitatea de a folosi un arsenal impresionant de organizare și masuri tehnice pentru a asigura securitatea informațiilor în cloud. Cu toate acestea, această abordare anulează toate avantajele „norului” în sine, deoarece crește costul total de utilizare a serviciului. În această lumină protecţie criptografică informațiile confidențiale din „nor” sunt singura opțiune. Criptarea datelor rezolvă imediat o mulțime de probleme de securitate „în nor”, ​​inclusiv contracararea scurgerilor de informații importante și critice pentru afaceri, diferențierea drepturilor de acces, conformitatea cu un întreg set de cerințe ale organizațiilor de reglementare și, desigur, rentabilitatea și simplitatea. a soluției.”

Maxim Zakharenko, CEO al companiei Oblakoteka

Maxim Zakharenko, CEO al companiei "Oblakoteka" :
„Este posibil să se asigure confidențialitate aproape absolută dacă datele sunt transferate în cloud și stocate acolo sub formă criptată, iar decriptarea are loc numai pe propriul hardware. Un alt lucru este că acest lucru este foarte incomod și, de fapt, acest lucru este rar practicat, mai ales dacă este vorba de utilizatori privați. De îndată ce datele decriptate sunt plasate în „nor”, ​​desigur, securitatea este redusă semnificativ, dar întrebarea este cât de relevantă este această securitate, de exemplu, pentru fotografiile din vacanță sau pentru un mic antreprenor individual care nu are nimic de „ascuns”. „chiar de la fisc”.

Astfel, pe fundalul rolului în creștere al serviciilor cloud, utilizatorii trebuie să adopte o abordare mai responsabilă pentru a-și plasa informațiile în cloud. Bineînțeles, nu se poate exclude să întâmpinați neglijență a furnizorului, dar nu trebuie să uităm că utilizatorul însuși trebuie să își protejeze datele. Prin urmare, ne alăturăm cuvintelor experților și recomandăm cu tărie folosirea mecanismului autentificare cu doi factori, setați parole puternice și diferențiați stocarea informațiilor (utilizați mai multe facilități de stocare diferite și acordați atenție norilor hibride).

La un moment dat, ne-am confruntat cu nevoia de a organiza stocarea criptată pentru plasarea fișierelor de la distanță. Dupa cateva cautari am gasit unul usor soluție cloud, care până la urmă a fost complet satisfăcător. În continuare, voi descrie pe scurt această soluție și câteva caracteristici ale lucrului cu ea, poate că va fi utilă cuiva. În opinia mea, opțiunea este fiabilă și în același timp destul de convenabilă.

Arhitectură

Am decis să iau sistemul ca bază Stocare in cloud date Care a fost instalat în OS Debian Linux v7.1 și implementat ca mașină virtuală sub hypervisorul Proxmox Virtual Environment v3.1.

Sistemul de stocare a datelor în cloud a fost instalat pe un disc Linux criptat. Accesul la date este posibil numai prin; Protocolul HTTPS, pentru autorizare pe lângă parola standard De asemenea, trebuie să introduceți o parolă unică (OTP). Realizat cu regularitate backup. Este posibil să dezactivați și să ștergeți rapid toate datele ownCloud.

Hypervisor Proxmox Virtual Environment

Hypervisorul Proxmox Virtual Environment este distributie specializata OS Debian Linux v7.1, accesul de la distanță la sistem este posibil prin protocolul SSH pe un standard Port TCP 22. Cu toate acestea, principalul instrument de lucru pentru management mașini virtuale este o interfață Web.

Generarea are loc o dată pe zi copie fierbinte(instantaneu) al mașinii virtuale ownCloud și exportându-l pe servere NFS folosind specificații standard Proxmox VE.

În captură de ecran, mașina virtuală din interfața Web are un ID de 100 (ownCloud). Accesul la consola sa este posibil prin intermediul articolului meniul contextual"Consolă".

De exemplu, așa arată introducerea unei parole pentru un disc criptat în timpul pornirii:

Stocare în cloud ownCloud

Există un articol destul de bun despre instalarea ownCloud pe Habré de la utilizatorul BlackIce13 http://habrahabr.ru/post/208566/ care listează deja principalele caracteristici și câteva avantaje ale acestei platforme.

În numele meu, pot doar să adaug că, în opinia mea, există o modalitate puțin mai simplă de a instala ownCloud pentru distribuția de sisteme de operare Linux Debian și multe altele decât cea propusă de autorul articolului. Arhivele gata făcute sunt disponibile: http://software.opensuse.org/download/package?project=isv:ownCloud:community&package=owncloud
În acest caz, toate dependențele necesare sunt instalate automat și vi se va cere doar să ajustați setările pentru a se potrivi nevoilor dumneavoastră specifice.

OwnCloud implementat pe sistemul de operare Debian Linux v7.1 într-un container virtual. Accesul de la distanță la stocare este posibil prin protocolul SSH activat port standard TCP 22.
Lucrarea principală cu ownCloud se realizează prin interfața Web, de asemenea, se poate conecta protocol WebDAVși utilizarea clienților de sincronizare (Sync).

Apropo, deoarece accesul la ownCloud se realizează prin HTTPS, jurnalele de acces și erori sunt păstrate de serverul Apache în fișierele „/var/log/apache2/access.log” și „/var/log/apache2/error. jurnal”, respectiv. OwnCloud are și propriul său jurnal „/var/www/owncloud/data/owncloud.log”.

Parole unice OTP

Pentru a spori securitatea, accesul la ownCloud prin interfața Web este posibil folosind autentificarea cu doi factori: o parolă tradițională și o parolă OTP unică. Funcționalitatea OTP este implementată utilizând suplimentul extern One Time Password Backend. ownCloud nu are suport OTP încorporat.

Configurarea parametrilor de bază OTP se realizează în secțiunea „Admin” din contul administrativ.

Capturile de ecran arată setări de autentificare cu doi factori și parole unice selectate pentru a asigura compatibilitatea cu generatoarele hardware FEITIAN OTP c200.
Algoritm: Parolă unică bazată pe timp (TOTP)
Numărul de cifre din parolă: 6
Durata de viață a parolei: 60 de secunde

Pentru ca autentificarea cu doi factori să aibă efect, trebuie să atribuiți utilizatorului un Token Seed. Până în acest moment, el se poate conecta la ownCloud folosind doar o parolă obișnuită. Ceea ce trebuie de fapt să faceți imediat după crearea unui utilizator este să mergeți la secțiunea „Personal” și să introduceți Token Seed în câmpul cu același nume.

Nu este recomandat să generați Token Seed folosind capacitățile încorporate ale modulului ownCloud OTP, deoarece există probleme în algoritmul său de funcționare. Format de intrare: Base32 (%32) MAJUSCULĂ. Convertiți Token Seed în diferite formate puteți folosi utilitarul www.darkfader.net/toolbox/convert

În mod specific pentru acest proiect, a fost folosit Token Seed, încorporat în hardware-ul Token FEITIAN OTP c200. În general, puteți utiliza orice generator de parole și apoi îl puteți converti în formatul necesar folosind convertorul dat în text.

Un exemplu de astfel de aplicație pentru sistemul de operare Android este Android Token: https://play.google.com/store/apps/details?id=uk.co.bitethebullet.android.token&hl=ru

Token Seed inițializat arată astfel:

Pentru a dezactiva OTP, pur și simplu eliminați Token Seed din setări. Dacă acest lucru nu este posibil, de exemplu, deoarece generatorul OTP este pierdut, deci acces la cont personal nu există utilizator, atunci dezactivarea OTP este posibilă doar prin modificarea directă a datelor din SUDB-ul MySQL. Pentru a face acest lucru, trebuie să fugi de la Linie de comanda Client MySQL:
# mysql -uowncloud –p
Introdu parola:

Apoi rulați o interogare similară cu următoarea, schimbând valoarea câmpului „utilizator” în cea necesară:
mysql> șterge din owncloud.oc_user_otp unde `user` = "test";

Din cauza limitărilor arhitecturale, OTP funcționează numai atunci când accesați ownCloud prin interfața Web și nu prin WebDAV. Acest dezavantaj este compensată de faptul că lista adreselor IP care pot folosi WebDAV este strict limitată. Directivele „Permite de la” din fișierul de setări sunt responsabile pentru acest lucru server Apache„/etc/apache2/conf.d/owncloud.conf”. Vă rugăm să rețineți că directivele sunt enumerate de două ori acolo.

Adresele IP sunt enumerate separate prin spații. Trebuie să vă asigurați că lista conține IP-ul de loopback 127.0.0.1, precum și IP-ul public al serverului ownCloud însuși. Altfel in Lucru WebDAV eșecurile sunt posibile. După modificarea setărilor Apache, trebuie să-l reporniți:
reporniți serviciul apache2

Protecție cu forța brută

ÎN ultimele versiuni ownCloud păstrează un jurnal al încercărilor de autorizare nereușite: „/var/log/owncloud/auth.log”. Conținutul „/var/log/owncloud/auth.log” este controlat de serviciul Fail2ban. Dacă detectează 5 sau mai multe încercări de autorizare nereușite de la aceeași adresă IP într-un timp scurt, este blocat de filtrul de pachete IPTables timp de 10 minute. Dacă după deblocarea automată, încercările continuă, atunci IP-ul este blocat din nou pentru totdeauna. Puteți monitoriza funcționarea lui Fail2ban în jurnalul „/var/log/fail2ban.log”.

Lista adreselor IP care nu ar trebui blocate sub nicio formă este specificată de parametrul „ignoreip” din fișierul de setări „/etc/fail2ban/jail.conf”. IP-urile sunt listate separate prin spații.

După modificarea setărilor Fail2ban, trebuie să-l reporniți:
repornirea serviciului fail2ban

Dacă trebuie să deblocați manual un IP, trebuie să rulați o comandă similară cu următoarea pe server din CLI, ajustând adresa din acesta:
iptables -D fail2ban-Owncloud -s 187.22.109.14/32 -j DROP

P.S.
Versiunea live a ownCloud poate fi vizualizată pe site-ul oficial

Bună ziua, dragi cititori! Din titlul acestui articol, înțelegeți că vom vorbi astăzi despre un subiect de actualitate - securitatea internetului. În legătură cu unele evenimente (mai multe despre ele mai jos), este foarte important să avem o idee cu ce avem de-a face. În special, acest lucru se aplică stocării în cloud (sau „norilor”), dintre care acum a proliferat o mare varietate.

Cum a început totul?

Am devenit interesat de stocarea în cloud acum câțiva ani. În căutarea mea calea usoara transferând fișiere de pe un laptop pe o tabletă fără a conecta un dispozitiv la altul, am ajuns la concluzia că „norul” este ceea ce am nevoie. Alegerea mea a căzut inițial pe Yandex.Disk. De ce?

1. În primul rând, nu trebuie să descărcați niciun program pe laptop (accesul este oferit prin contul Yandex).
2. În al doilea rând, până la 10 GB sunt furnizați gratuit (acest lucru este suficient pentru mine).
3. În al treilea rând, pentru o tabletă există o foarte aplicație convenabilă(ceea ce facilitează lucrul cu cloud-ul).

Aș putea folosi alte servicii, cum ar fi Dropbox sau Google Drive, dar Yandex.Disk îmi era bine cunoscut și, prin urmare, practic nu aveam nicio îndoială cu privire la alegerea mea. Mai târziu, am început să folosesc și „Mail.Ru Cloud”, deoarece oferă 100 GB absolut gratuit.

Ce știi despre securitatea în cloud?

Deci, atunci când aleg unul sau altul serviciu cloud, mulți oameni acordă atenție doar cantității de memorie care este oferită gratuit. Dar ar trebui să ne uităm la altceva...

De exemplu, Dropbox, care este unul dintre cele mai populare servicii de stocare și ale cărui servicii sunt folosite de câteva sute de milioane de oameni, nu criptează fișierele dvs. atunci când le încărcați în cloud. Dacă doriți, trebuie să criptați singur informațiile folosind programe de la terți. Spre deosebire de Dropbox, aș dori să menționez serviciul SpiderOak, care nu este foarte popular, dar folosește propriul sistem criptarea informațiilor.

Yandex.Disk menționat mai sus nu are, de asemenea, o grijă deosebită pentru datele utilizatorului - nu există nicio criptare acolo. Prin urmare, atunci când alegeți cu ce stocare cloud să lucrați, aflați în primul rând dacă acest serviciu criptează sau nu datele.

Ar trebui să aveți încredere în serviciile cloud?

Să răspundem la întrebarea: merită să ne bazăm 100% pe securitatea unui anumit serviciu cloud? Sau există încă un risc mic de scurgere de informații?

În urmă cu ceva timp, în comunitatea mondială a izbucnit un scandal major când fostul angajat al Agenției Naționale de Securitate a SUA, Edward Snowden, a declarat că serviciile de informații americane au acces la serverele tuturor companiilor importante (inclusiv Google, Apple, Facebook și Microsoft). Și astfel au obținut acces la datele personale ale aproape fiecărui locuitor al planetei.

La urma urmei, cu toții folosim smartphone-uri Android (Android este un copil al Google), computere cu Windows instalat ( produs Microsoft), prin Gmail etc. Potrivit lui Snowden, orice mijloc comunicare informaţională este o gaură prin care datele noastre personale se scurg către serviciile de informații.

Din moment ce guvernul SUA nu a negat oficial această informație, iar Snowden însuși a fost declarat aproape inamicul nr. 1, ar trebui să presupunem că tot ceea ce a spus este adevărat. Și acesta este un motiv de gândire...

Nu trebuie să credeți că NSA și CIA din SUA vă urmăresc acum îndeaproape în timp ce navigați pe internet, citiți acest articol și, în același timp, desfășurați corespondență VKontakte cu dvs. cel mai bun prieten. Dacă nu ești o persoană semnificativă pentru ei, nu le pasă de tine.

Același lucru este valabil și pentru serviciile interne de informații. Atâta timp cât nu reprezinți o amenințare pentru securitatea națională a țării (sper că nu se ajunge la asta), nimănui nu-i pasă de tine. Dar dacă presupunem că, pur teoretic, există acces la informațiile personale ale fiecăruia dintre noi, atunci, pur teoretic, aceste informații s-ar putea scurge în domeniul public. Și, din nou, pur teoretic, informațiile personale pot ajunge în mâini greșite.

Despre ce vorbesc? Deși există chiar și cea mai mică posibilitate ca informațiile dvs. personale să apară în domeniul public pe Internet, nu ar trebui să vă bazați 100% pe protecția informațiilor dvs. în servicii poștale(Mail, Gmail, Yandex), rețelele sociale (Facebook, Odnoklassniki, VKontakte) și stocarea datelor în cloud (chiar și cele care folosesc criptare).

Să vedem ce au de spus experții de la companiile de securitate a informațiilor despre asta.

• Andrey Komarov, Director al Departamentului de Proiecte Internaționale, Audit și Consultanță Compania Grup-IB, a declarat că este de dorit să se minimizeze utilizarea stocării în cloud pentru stocarea informațiilor importante.
• Serghei Komarov, șeful departamentului de dezvoltare antivirus de la Doctor Web, a avertizat că utilizarea stocării în cloud se bazează pe încrederea în altă parte. Tot ce poate face utilizatorul este să citească acord de licențiereși aveți încredere că compania se va conforma cu aceasta. Dar dacă sunteți îngrijorat de confidențialitatea datelor dvs., atunci singura cale asigura protectie – depoziteaza-le acolo unde nimeni nu va avea acces la ele.
• Denis Bezkorovayny, consultant tehnic al companiei Trend Microîn Rusia și CSI, sugerează că protejarea datelor utilizatorilor în stocarea în cloud este responsabilitatea utilizatorilor înșiși.
• Sergey Lozhkin, expert la Kaspersky Lab, recomandă criptarea datelor înainte de a le încărca în stocarea în cloud.

Ce rezultă din toate cele de mai sus?

• Nu stocați niciodată informații importante în cloud (de exemplu, parole de acces portofele electroniceși poștă). Cel mai bun loc pentru a vă stoca datele - acesta este un blocnotes scris de mână sau o unitate flash USB, la care nimeni nu are acces.
• Dacă tot trebuie să încărcați un fișier important într-un serviciu cloud, înainte de a face acest lucru, criptați-l folosind un program.
• Cel mai cea mai bună opțiune utilizarea „norilor” - magazin de filme, muzică sau cărți electronice, care sunt deja în domeniul public. În acest sens, serviciile cloud sunt foarte utile pentru că fiecare computer are ani lungi se acumulează multă muzică, filme și alt conținut, ceea ce este păcat de șters. Încărcați-le în cloud și eliberați spațiu pe computer! Și dacă 10 GB pe Yandex.Disk nu sunt suficiente pentru dvs., atunci nimeni nu vă împiedică să vă înregistrați în mai multe servicii simultan și să le folosiți la maximum capacitățile.

Unii utilizatori nu se gândesc la securitatea stocării în cloud, încărcând documente importante, parole și Fotografii personale. Desigur, este puțin probabil ca datele tale să se scurgă către criminali, dar este mai bine să fii în siguranță. CA NU REGRETI TARZIU...

Stochezi informații personale în nori???

Salutări, Serghei Chesnokov

În iulie 2018, milioane de documente confidențiale ale utilizatorului documente Google a ajuns în acces deschis. Au putut fi găsite în rezultatele cautarii Yandex și dacă aveți puțină experiență - citiți sau copiați.

De exemplu, a devenit public Informații închise Tinkoff Bank, Leroy Merlin și administrația din Ekaterinburg.

După acest incident, mulți antreprenori au început să caute un alt instrument pentru colaborare peste documente: la fel de convenabil, dar mai fiabil decât Google Docs, cu o bună protecție a datelor private.

Citiți cu atenție acordul de utilizare

Documentele Google sunt stocate în Google Drive - aceasta este sistem cloud cu propriile tale reguli partajareași lucrul la documente.

Alte sisteme de stocare în cloud sunt structurate într-un mod similar: Dropbox, iCloud, Yandex.Disk, Mail.Ru Cloud, OneDrive de la Microsoft. Companiile care furnizează servicii de stocare a datelor în cloud sunt numite furnizori de cloud.

Principiul de funcționare a stocării în cloud este același, dar nivelul de protecție a datelor în acestea este diferit. În cele mai multe cazuri, informațiile din cloud sunt mai bine protejate decât pe computerul personal, dar este util să comparați diferiți nori între ei și să vă dați seama a cui armură este mai puternică.

Când alegeți cloud-ul în care veți stoca documentele, citiți acordul de licență și termenii și condițiile. Le veți găsi pe site-urile oficiale ale furnizorilor. Acordați atenție nivelului de protecție a datelor atunci când transferați în și dinspre cloud, protecția informațiilor confidențiale și cantitatea de stocare.

Protecția datelor în timpul transmiterii. Transmiteți informații prin Internet - în acest moment atacatorii pot intercepta parole, date personale ale angajaților, documente și altele fișiere importante. Asigurați-vă că informațiile sunt criptate nu numai în stocarea în sine, ci și atunci când sunt transferate de la client în cloud și înapoi.

Protecția confidențialității informațiilor. ÎN Acordul Utilizatorului se precizează cui și în ce condiții furnizorul permite accesul la datele dumneavoastră. Unele servicii de stocare în cloud vă pot transfera informațiile către terți.

Citiți toate clauzele acordului și nuanțele utilizării informațiilor, asigurați-vă că vi se potrivesc și că datele sunt protejate împotriva căderii în mâini greșite. Cel mai opțiune de încredere- restricție de acces, atunci când acordați personal permisiunea de a face ceva cu fișierele dvs.

De exemplu, în servicii cloud Microsoft chiar și inginerii companiei atunci când decid probleme tehnice trebuie mai întâi să vă ceară drepturi de acces.

Volumul de stocare. Volumul de stocare determină cât de multă informație va încadra în el. De exemplu, în mod gratuit versiuni Google Drive poate stoca doar 15 GB de date - este suficient pentru o persoană. La achiziționarea unui abonament la Microsoft Office 365 ai acces la 1 TB de spațiu în interior Stocare OneDrive- acest volum este suficient pentru a stoca fișierele tuturor angajaților.

Utilizați parole puternice și autentificare cu doi factori

Stocarea în cloud este închisă persoanelor din afară. Puteți intra în el numai după identificare - confirmarea că aveți dreptul de acces la informații. Pentru a face acest lucru, ei folosesc parole și uneori și coduri trimise la telefon sau e-mail. Cu cât identificarea este mai complexă, cu atât fișierele dvs. sunt mai sigure.

Configurarea parolelor. Când vă conectați la cloud, vi se va oferi o singură parolă - administrator. Oricine se conectează cu această parolă are drepturi extinse. De exemplu, un administrator poate deschide și închide accesul la informații, poate șterge și adăuga noi participanți.

Parola de administrator trebuie schimbată imediat, astfel încât numai dvs. să o știți. Apoi administratorul dă parole altor angajați - fiecare cu propriile sale.

ÎN parola sigura 8-16 caractere, sunt majuscule și literă mică, caractere speciale, de exemplu, #, * și altele. Parolele nu sunt stocate în domeniul public, astfel încât să nu cadă în mâinile atacatorilor și să nu poată fura datele.

Identificare cu doi factori. Cloud-ul corporativ are acces la cantitate mare oameni, informațiile confidențiale sunt stocate acolo. O singură parolă poate să nu fie suficientă pentru protecție.

Este mai bine să configurați identificarea cu doi factori. Aceasta înseamnă că pentru a vă conecta în sistem trebuie să introduceți mai întâi o parolă, apoi codul care va fi trimis pe telefon. O schemă similară este folosită pentru a accesa bănci mobile: Mai întâi introduceți parola, apoi primiți un cod generat de sistem prin SMS.

Această protecție va ajuta la prevenirea furtului de date, chiar dacă cineva vă introduce parola.

Utilizați controlul de la distanță asupra gadgeturilor angajaților

Când angajații se conectează în cloud printr-o aplicație mobilă de pe un telefon sau tabletă, parolele și copiile fișierelor din stocare pot rămâne în memoria dispozitivului. Dacă gadgetul cade în mâinile atacatorilor, aceștia se pot conecta în sistem folosind o parolă salvată sau pot citi documente secrete. Există două moduri de a rezolva această problemă.

Telecomandă. Asigurați-vă că cloud-ul dvs. de companie are această caracteristică telecomandă. Aceasta înseamnă că, dacă este necesar, administratorul cloud poate șterge de la distanță informații confidențiale din memoria telefonului dispărut. Microsoft Office 365 are această caracteristică.

Setări acces mobil. Conectarea la aplicația mobilă cloud ar trebui să fie restricționată. Activați introducerea obligatorie a parolei în setări sau îmbunătățiți protecția cu o identificare cu doi factori, ca atunci când vă conectați de pe un computer.

În mobil aplicații Microsoft Office are capacitatea de a personaliza accesul. De exemplu, o poți face astfel încât să poți intra în aplicație numai după ce ai introdus codul PIN al dispozitivului, parola cloud și codul trimis pe telefon. Apoi, indiferent cine îți află parola și încearcă să deschidă aplicația pe dispozitivul tău, el nu va putea face acest lucru.

Instalați o protecție fiabilă împotriva virusului

De asemenea, puteți pierde date importante ale companiei ca urmare a atacurilor externe: viruși sau hacking de sistem. De exemplu, dacă angajații au plasat un fișier infectat în depozit.

Cibersecurity Ventures a prezis că până în 2021 criminalitatea cibernetică va costa lumea 6 trilioane de dolari pe an. Cele mai mari pagube provin din ea companii mari, dar mic și afaceri mijlocii sunt de asemenea sub amenințare.

Protecție antivirus. Pentru a preveni atacurile cibernetice, asigurați-vă că furnizorul dvs. de cloud blochează programele malware și are un antivirus încorporat. Astfel, Microsoft Office 365 are soluții care protejează împotriva malwareși spam.

Instalați pe dispozitivele angajaților antivirus modern. Este mai bine să folosiți programe de afaceri - sunt potrivite pentru a lucra cu acestea un numar mare calculatoare. U Kaspersky Security Există două versiuni: pentru companii mici și infrastructuri IT complexe.

Actualizare de software. Actualizați regulat software companii, inclusiv calculatoare personale angajati. Dezvoltatorii îmbunătățesc noile versiuni și sunt mai capabili să reziste noilor viruși și amenințări.

Când lucrați cu un furnizor de cloud pe bază de abonament, unde plătiți lunar pentru acces, nu este nevoie să actualizați software-ul cloud. Se actualizează automat.

Și dacă ați cumpărat un program pentru utilizare permanentă, atunci cu timpul protecția va deveni depășită și va trebui să achiziționați în mod regulat versiuni noi ale produsului.

Configurați o protecție sigură

Cele mai multe scurgeri de informații apar nu din cauza virușilor, ci din vina angajaților companiei. Puteți pierde date dacă un angajat greșește și transferă din greșeală informații persoanei greșite, acordă acces cuiva în mod imprudent sau distruge fișiere din răzbunare.

480 auto

Ce pericole pot sta în așteptare pentru date, inclusiv în cloud? - În primul rând, posibilitatea lor pierderi. În al doilea rând, oportunitatea accesul la datele terților, adică pierderea confidențialității.

În aceste cazuri ar trebui să existe întotdeauna preocupări rezonabile și pot fi amplificate atunci când infrastructura de calcul este găzduită în cloud public.

Pierdere de date

Toată lumea este obișnuită cu faptul că datele digitale sunt ușor de copiat. Cu toate acestea, pentru a copia orice aveți nevoie de un original. Dacă originalul este pierdut, datele conținute în acesta se vor pierde și ele.

Datele computerului pot fi pierdute fie ca urmare a ștergerii fișierelor corespunzătoare, fie ca urmare a distrugerii suportului pe care se află fișierele.

Backup

Pentru a nu pierde toate datele acumulate, trebuie să le creați în mod regulat. În același timp, pentru siguranță copii de rezervă Este important să le plasați nu pe același suport pe care se află originalul, ci pe altul - fizic (!) Un alt disc, pe alt computer, pe altă rețea.

Media de încredere

În zilele noastre, pentru stocarea datelor sunt folosite diferite tipuri de suporturi. Au principii diferite de stocare a datelor și o fiabilitate diferită a stocării.

În plus, fiabilitatea stocării poate fi crescută cu partajarea mai multe medii combinate într-un grup, de exemplu, în .

Dar chiar și fiabilitatea foarte mare a stocării datelor nu elimină nevoia de backup.

Pierderea intimității

De fapt, sarcina de a menține confidențialitatea datelor apare nu numai în cazul unui mediu bazat pe cloud, ci și în lumea obișnuită.

Date de calculator accesate străin este imposibil să-l returnați înapoi - nu va exista niciodată o certitudine de 100% că aceste date nu au fost copiate. Prin urmare, protecția datelor se rezumă la eliminarea însăși posibilitatea oricărui acces neautorizat la acestea.

Datele altor persoane pot fi obținute în două moduri: ca urmare a accesării mediilor lor de stocare sau prin sistemul de operare care prelucrează aceste date. Caracteristicile acestor metode de acces determină metodele de protecție a datelor.

Din fericire, natura digitală a datelor computerizate face posibilă protejarea lor prin criptare. - Dacă străin va avea acces la un mediu cu date criptate sau un fișier care stochează date criptate, nu îl va putea folosi.

În continuare vom lua în considerare măsurile parțial administrarea sistemului pentru a menține confidențialitatea datelor informatice aflate în cloud virtual. Cu toate acestea, nu vom aborda problemele de securitate a datelor în cadrul aplicațiilor (programelor) care utilizează aceste date.

Acces fizic

Discurile mașinii virtuale sunt fișiere situate în dimensiuni mari matrice de discuri situate în centre de procesare a datelor (DPC-uri). În consecință, accesul „fizic” la discurile mașinilor virtuale se reduce la accesul la aceste fișiere.

Teoretic, angajații centrelor de date și angajații furnizorilor de cloud pot avea acces la discurile mașinilor virtuale.

Centru de prelucrare a datelor

Centrul de date oferă echipamentele furnizorului de cloud:

• sursă de alimentare stabilă și fiabilă;
• răcire cu aer curat;
• protecție împotriva persoanelor neautorizate.

În ciuda faptului că lucrătorii din centrele de date au acces fizic la echipamentele furnizorului de cloud, nu trebuie să vă temeți că vor putea găsi și copia un anumit disc al unei anumite mașini virtuale. Pentru echilibrarea sarcinii și toleranța la erori, discurile virtuale pot fi mutate pe hardware spatiu pe disc, care în prezent poate atinge multe sute de terabytes sau chiar petabytes.

În plus, lucrătorii centrelor de date, de regulă, nu au acces logic către cloud (prin rețea).

Furnizor

În ceea ce privește angajații furnizorului de cloud, aceștia (prin macar, administratori de sistem autorizați) au întotdeauna acces la ambele fișiere cu configurația „hardware” a mașinilor virtuale și la fișierele din discuri virtuale. Fără astfel de capabilități, pur și simplu nu vor putea gestiona cloud-ul și să ofere servicii clienților lor.

În plus, administratorii de sistem ai unui furnizor de cloud au adesea acces la sistemele de operare ale mașinilor virtuale ale clienților lor. Acest acces simplifică gestionarea cloud-ului și a mașinilor virtuale din acesta.

Este posibil să faci fără un astfel de acces? - Da, poti. Dar cu câteva precizări.

sistem de operare

Pentru a proteja datele la nivel sistem de operare sunt utilizate conturi ale căror drepturi pot fi gestionate. Nu ar trebui să existe conturi străine în sistem, iar înregistrările existente nu ar trebui să aibă drepturi inutile.

Cu toate acestea, driverele sunt necesare pentru ca sistemul de operare să ruleze pe un anumit hardware. Pentru a rula un sistem de operare pe hardware cloud, sunt necesare și drivere și cineva trebuie să le instaleze. Adică acces administrativ la sistemul de operare al unei mașini virtuale manual sau mod automat tot nu poate fi evitat. Un astfel de acces poate fi necesar și pentru setari de retea mașini.

În principiu, după crearea unei noi mașini virtuale, îi puteți schimba parola administrator de sistemși chiar ștergeți sau blocați cele corespunzătoare cont. Și după aceea, administratorii cloud a priori nu vor avea acces în interiorul mașinii virtuale.

Cu toate acestea, trebuie să realizați că toate preocupările ulterioare privind asigurarea funcționalității mașinii virtuale vor cădea exclusiv în sarcina administratorului de sistem al clientului.

Problema ca administratorii cloud să poată accesa sistemul de operare al unei mașini virtuale ar trebui discutată și rezolvată cu calm și atenție.

Criptarea discului

După cum sa menționat deja, datele pot fi accesate fără a vă conecta la sistemul de operare al mașinii virtuale. Pentru a face acest lucru, va fi suficient să accesați direct discurile sale.

Singura modalitate de a elimina complet această posibilitate este criptarea unităților. Un obstacol va apărea doar cu unul dintre ele - cel sistemic.

Problema este că parola pentru conectare este criptată disc de sistem trebuie introdus înainte de pornirea sistemului de operare, adică înainte de a apărea oportunitatea conexiune la distanță la mașina virtuală.

Acest obstacol poate fi depășit doar cu ajutorul acces de la distanță la consola mașinii virtuale, în termeni simpli - la ecranul acesteia, pe care puteți vedea întregul proces de încărcare a sistemului de operare.

Majoritatea furnizorilor moderni de cloud au mijloacele de a oferi clienților acces la consolele mașinilor lor virtuale.

Concluzie

Să fim realiști, în lumea noastră este imposibil să excludem ceva 100%, dar este posibil să minimizăm probabilitatea ca un eveniment să apară și să reducem dimensiunea consecințelor sale negative. Norul 1cloud oferă o mulțime de mijloace pentru aceasta.

P.S. Mai multe despre securitate: