ДОСЛІДЖЕННЯ ТА АНАЛІЗ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ХМАРНИХ СЕРЕДОВИЩ НА ПРИКЛАДІ AWS
29.09.2021 22:21
[1. Information systems and technologies]
Author: Кулик Ю.А., студент, кафедра захисту інформації, Національний університет «Львівська політехніка», м. Львів;
Скоринович Б.В., студент, кафедра захисту інформації, Національний університет «Львівська політехніка», м. Львів;
Гавриляк В.Р., студент, кафедра захисту інформації, Національний університет «Львівська політехніка», м. Львів;
Сучасні підходи до ведення бізнесу в IT сфері радикально відрізняються від тих, які активно використовувалися буквально десятиліття назад. Одним із чинників, які сприяли цьому, було і залишається активне впровадження хмарних технологій у цю сферу бізнесу. Призначення таких технологій найстисліше можна описати як: “віддалене обчислення”. Інакше кажучи, компанії на даний момент замість підтримки локальної інфраструктури все частіше і частіше обирають “хмару”, яка являє собою віддалену інфраструктуру, підтримкою якої займається інша компанія, яка надає дану послугу.
Ця технологія має ряд переваг та деякі недоліки, які можуть бути несуттєвими для деяких компаній або мати вирішальний вплив для таких структур як державні. Серед переваг можна визначити відсутність потреби у підтриманні інфраструктури (це питання вирішується постачальником даної послуги), можливість розгорнути віддалені ресурси у різних регіонах світу, що у випадку із веб-сайтом дозволить зменшити затримки під час доступу до нього та ціна утримання віддалених ресурсів менша у короткостроковій перспективі, що є великим плюсом для малого бізнесу. Серед мінусів можу зазначити відсутність контролю над віддаленим апаратним забезпеченням та питаннями безпеки.
Саме питанням безпеки у такого відомого хмарного провайдера як AWS присвячена тема даної роботи, так як бізнес надає свою конфіденційну інформацію на обробку даним платформам, яка при неналежному використанні може бути викраденою або пошкодженою зловмисниками.
Перед тим, як перейти безпосередньо до оцінювання безпеки AWS, важливо наголосити на такому понятті, як “розподілена система відповідальності”. Суть цього поняття полягає в тому, що безпека у “хмарі” визначається 2 сторонами медалі: безпека хмари (security ‘of’ the cloud) та безпека в хмарі (security ‘in’ the cloud). Хмарний провайдер відповідає за безпеку хмари та забезпечує захист комунікацій, обчислювальних ресурсів та сховищ даних. З іншого боку клієнт відповідає за безпеку в хмарі, що включає в себе керування доступами, збереженням даних, конфігурацією віртуальної мережі. Прикладом помилки у забезпеченні безпеки в хмарі буде ненавмисне надання інженером публічного доступу до конфіденційної інформації компанії. Хмарний провайдер надає певні інструменти, які допомагають клієнтам у вирішенні даних питань конфігурації.
AWS - це платформа хмарних обчислень, яка є лідером у цьому сегменті ринку та надає своїм клієнтам у користування більше ніж 200 сервісів, більшість з яких мають вбудовані функції захисту, які підключаються за замовчуванням або на вимогу користувача.
Прикладом такого сервісу із широким спектром можливостей захисту є EC2 (віддалена віртуальна машина, також відома під назвою інстанс), що є основним та найдорожчим сервісом, який надає дана платформа. Для ізоляції ресурсів AWS використовує спеціальну версію Xen гіпервізора, який контролює процес розподілу ресурсів та у разі видалення клієнтом віртуальної машини переводить всі біти даних сховища та оперативної пам’яті в послідовність нулів. За замовчуванням фаєрвол налаштований на блокування всіх вхідних з’єднань та під час створення інстансу автоматично генерується пара публічний-приватний ключ для доступу до нього, що нівелює можливість брутфорсу паролю (методом “грубої сили”). Із додаткових налаштувань сховище даних може бути зашифроване за допомогою ключа, який зберігається у іншому сервісі під назвою KMS.
Цікавим також є питання безпеки мережі. В цьому плані AWS впровадив велику кількість заходів, які забезпечують цілісність, доступність та конфіденційність даних, що передаються нею. Для прикладу, наявний комплексний захист від DDoS атак, сканування портів автоматично виявляється та блокується, весь мережевий трафік шифрується та багато чого іншого.
І декілька слів про безпеку в хмарі. Для допомоги в її забезпеченні AWS надає клієнтам близько 20 окремих сервісів, кожен з яких відповідає за певний аспект захисту і виконує окрему роль у забезпеченні безпеки хмари. Концептуально їх можна поділити на 5 окремих категорій: розмежування доступу, забезпечення безпеки аплікацій, аналіз захищеності хмарної інфраструктури, шифрування даних та проходження сертифікацій.
Для прикладу, категорія розмежування доступу включає в себе 2 сервіси: IAM (Identity and Access Management) та RAM (Resource Access Manager). За допомогою першого сервісу можна створювати користувачів, користувацькі групи, які дозволяють надавати однакові права великій кількості користувачів всього у декілька кліків, ролі та політики, що в сукупності дозволяє дуже гранулярно налаштувати доступ користувачів аккаунту до потрібних їм ресурсів. Призначення другого сервісу - налаштування доступу до ресурсів одного аккаунту іншому аккаунту. Цей сервіс дозволяє запобігти дублюванню ресурсів на різних аккаунтах та покращує керованість віддаленим середовищем.
Отож, до безпеки хмарного середовища AWS ставиться дуже відповідально та надає всі можливі заходи та засоби для її забезпечення, що у свою чергу завоювало довіру мільйонів користувачів та тисяч компаній, які під час вибору “хмари” для розгортання своєї інфраструктури впевнено обирають дану платформу.
Література:
1. Офіційна документація платформи AWS [Електронний ресурс] - Режим доступу до ресурсу: https://docs.aws.amazon.com