Обзор литературы и существующих решений
Когда речь идет о конфиденциальности данных, хранящихся в облаке, существуют две потенциальные проблемы. Первой проблемой, выделяемой авторами книги, является контроль доступа к данным, который состоит из аутентификации и авторизации. Как правило, поставщики «облачных» услуг обычно используют слабые механизмы аутентификации пользователей (напр. логин и пароль) и контроль авторизации, который… Читать ещё >
Обзор литературы и существующих решений (реферат, курсовая, диплом, контрольная)
Данная глава содержит обзор литературы на предмет уязвимости традиционных облачных хранилищ и рассматривает существующие решения децентрализованных систем хранения на базе блокчейна. Целью данной главы является выявление недостатков традиционных облачных хранилищ с точки зрения безопасности данных и обзор реальных проектов децентрализованного хранения.
Уязвимость современных облачных хранилищ данных
За последние годы облачные сервисы стали широко распространены благодаря гибкости и доступности вычислительных ресурсов с наименьшими затратами. Облачное хранилище данных представляет собой модель онлайн хранилища, в котором данные хранятся на удаленных серверах, доступ к которым осуществляется через Интернет. Модель централизованного облачного хранилища данных включает три сущности: пользователя облака, который имеет большое количество файлов, хранимых на облаке; сервер облака, который находится под управлением поставщика сервиса для предоставления услуг хранения и имеет значительное пространство для хранения и вычислительные ресурсы. Данные на серверах поддерживаются, обрабатываются и управляются третьей стороной, т. е. провайдером облачного хранилища, который в свою очередь взымает месячную плату за пользование сервисом. Облачные технологии обладают рядом преимуществ, представляя собой самообслуживание по требованию (self-service on demand), формирование месячной оплаты в зависимости от количества предоставленных мест хранения, повсеместный доступ к сети, доступность данных независимо от локации и т. д. Тем не менее основополагающим аспектом данной технологии является централизованность передачи и хранения файлов в «облаке» [7]. В то время как вышеперечисленные преимущества делают облачное хранение довольно привлекательной технологией, она приносит и новые сложные угрозы безопасности аутсорсинга данных пользователей. В связи с тем, что поставщиком облачной услуги является третья доверенная сторона, в результате аутсорсинга данных пользователь отказывается от полного контроля над собственными данными. Несмотря на то, что инфраструктура «облака» является намного более мощной и надежной персональных вычислительных устройств, она по-прежнему сталкивается широким кругом внутренних и внешних угроз для целостности данных. Ответственность за безопасность могла бы быть возложена на пользователя облачного хранилища, если бы он управлял облаком, но так как в случае публичного централизованного облака такую ответственность за сохранность данных несет провайдер сервиса, пользователю остается только попытаться оценить сможет ли выбранный провайдер обеспечить требуемый уровень защиты.
Проблема информационной безопасности касательно облачного хранения данных рассмотрена в книге «Cloud Computing and Privacy» Tim Mather. В данной книге описаны (Tim Mather, Subra Kumaraswamy, Shahed Latif) три главные проблемы, касающиеся информационной безопасности данных, независимо от места хранения: конфиденциальность, целостность и доступность.
Когда речь идет о конфиденциальности данных, хранящихся в облаке, существуют две потенциальные проблемы. Первой проблемой, выделяемой авторами книги, является контроль доступа к данным, который состоит из аутентификации и авторизации [8]. Как правило, поставщики «облачных» услуг обычно используют слабые механизмы аутентификации пользователей (напр. логин и пароль) и контроль авторизации, который является недостаточно безопасным. Вторая проблема, которая часто волнует пользователей «облачных» услуг, поднимает вопрос о том, как данные, хранимые в облаке фактически защищены, зашифрованы ли они и, если да, какой криптографический алгоритм и до какой степени он является надежным. В книге приводится пример двух системы AWS S3 (Amazon Web Services) и EMC’s MozyEnterprise, сравнивая их по критерию шифрования данных. AWS не использует алгоритмы шифрования, в то время как EMC хранит данные исключительно в зашифрованном виде. Если провайдер облака шифрует данные, далее вопрос состоит в степени надежности используемого алгоритма. Не все алгоритмы шифрования создаются одинаково, и далеко не все обеспечивают достаточную информационную безопасность. Для облачного хранения данных используется симметричное шифрование, которое использует один ключ для шифрования и дешифрования (Рисунок 1.) Данный вид шифрования обладает наибольшей скоростью шифрования больших объемов данных. При симметричном шифровании данных на уровень защищенности также влияют длина ключа и управление ключами. Чем больше ключ, тем выше уровень защищенности, но в то же время с увеличением длины ключа, увеличивается и интенсивность вычислений, которое может вызвать перенапряжение возможностей компьютерных процессоров. Что касается управления ключами, авторы книги не рекомендуют пользователям доверять ключи поставщику, который также и обрабатывает их данные, так как бывают случаи, когда провайдер облачной услуги использует один ключ шифрования для всех его пользователей.
По словам авторов книги «Cloud computing and Privacy» в дополнение к конфиденциальности, второй проблемой касательно информационной безопасности облачного хранилища является целостность данных. Конфиденциальность не подразумевает целостность; данные могут быть зашифрованы в целях обеспечения конфиденциальности, и тем не менее облачная инфраструктура может не поддерживать методы проверки целостности этих данных. Шифрование является достаточно надежным для обеспечения конфиденциальности, но целостность также требует и использование имитовставки. Имитовставка, другими словами код аутентичности сообщения, является средством обеспечения целостности сообщения в виде специального набора символов, добавляемого к сообщению. По мнению автора, пользователю при выборе облачного хранилища необходимо удостовериться, что данный провайдер использует вышеперечисленный метод защиты от фальсификации передаваемой информации. Автор книги утверждает, что далеко не все поставщики облачных услуг шифруют данные пользователей, особенно в сервисах Paas и Saas (Platform as a Service; Software as a Service). Также немало важным аспектом является проверка уже загруженных данных в облако на предмет целостности. По словам автора книги для того, чтобы проверить данные, провайдеру нужно скачать данными из облака, проверить и затем, заново загрузить в облако. Данный процесс сопровождается определёнными расходами (Например, Amazon S3 взимает 0,100 $ за гигабайт скачиваемые данные, и 0,170 $ в месяц за гигабайт для повторной их загрузки в облако.) и, следовательно, пользователи заинтересованы в облачном хранилище, в котором в целостности данных можно убедиться «прямо из облака», не скачивая и не загружая данные снова и снова.
Проблема становится еще более сложной в связи с тем, что проверка должна проводится в облаке и без явного знания всего набора данных. Пользователи, как правило не знают, на каких физических носителях находятся их данные, и где эти носители расположены. Кроме того, этот набор данных, как правило, является динамичным и часто меняется. Следовательно, вышеперечисленные трудности полностью устраняют эффективность использования традиционных методов обеспечения целостности данных. Вместо этого для качественной проверки целостности данных требуется доказательство восстановимости данных (proof — of — retrievability) — математический способ проверки полноты данных прямо из облака [9]. Данный инструмент широко используется в большинстве моделей децентрализованных хранилищ данных.
Третьей проблемой облачной информационной безопасности по мнению авторов является доступность данных. Существуют три главных угроз в плане доступности данных. Первой являются угрозы на уровне сети (network-based attacks). Примерами сетевых атак являются атаки типа «отказ в обслуживании» (DoS) и атаки с распределенным отказом в обслуживании (DDoS). При DDoS атаке несколько устройств отправляют большое количество запросов серверу, тем самым сильно его нагружают и блокируют действительных законных пользователей.
Второй угрозой доступности данных является доступность самого провайдера облачной услуги. Ни один поставщик облачного хранилища не гарантирует востребованные пять «девяток» времени безотказной работы (99,999%). По данным книги «Cloud computing and Privacy» пользователь чаще всего может получить лишь три «девятки». Как видно из Таблицы.1, существует значительная разница между пятью и тремя «девятками».
Таблица 1 Процент безотказной работы провайдера облачной услуги.
Общее время простоя (ЧЧ:ММ:СС). | ||||
Доступность. | В день. | В месяц. | В год. | |
99,999%. | 00:00:00,4. | 00:00:26. | 00:05:15. | |
99,99%. | 00:00:08. | 00:04:22. | 00:52:35. | |
99,9%. | 00:01:26. | 00:43:49. | 08:45:56. | |
99%. | 00:14:23. | 07:18:17. | 87:39:29. | |
За все время существования облачных сервисов произошло несколько больших сбоев в работе, которые оказались серьезной угрозой для пользовательских данных. В книге приводится пример двух длительных сбоев в работе облачного провайдера Amazon S3 в 2008 году, первый длительностью 2,5 часа в Феврале, и второй — 8 часов в Июле того же года. Даже несмотря на то, что AWS (Amazon Web Services) является наиболее зрелым облачным провайдером, такие длительные сбои возможны и в таких случаях безопасность и сохранность данных пользователей стоит под вопросом.
На международной конференции по информационной безопасности (RSA conference) в Марте 2016 года организация Cloud Security Alliance (CSA) выделила 12 самых серьезных угроз облачной безопасности [10] :
- 1. Утечка данных
- 2. Взлом учетных записей и обход аутентификации
- 3. Кража учетных записей
- 4. Уязвимость используемых систем
- 5. Кража учетных записей
- 6. Инсайдеры-злоумышленники
- 7. Целевые кибератаки
- 8. Перманентная потеря данных
- 9. Недостаточная осведомленность
- 10. Злоупотребление облачными сервисами
- 11. DDoS-атаки
- 12. Совместные технологии, общие риски
Вышеперечисленные угрозы информационной безопасности имеют отношение к обычным пользователям облачных сервисов, так и к организациям.
CSA объясняет привлекательность облачных услуг для злоумышленников тем, что сегодня все больше данных переносится в облако. По мнению экспертов организации информационной безопасности CSA утечка данных и другие угрозы происходят по причине слабой аутентификации, слабых паролей или плохого управления ключами и сертификатами. Решением проблемы безопасной аутентификации могут быть одноразовые пароли такие, как проверка подлинности с помощью телефона или смарт-карты (токена). В связи с незаменимостью пользовательского интерфейса в облачной инфраструктуре, безопасность и доступность облачной системы напрямую зависит от степени проработанности контроля доступа и шифрования в API. По мнению CSA в случае взаимодействия с третьей стороной, которая использует собственные интерфейсы API, значительно возрастают риски, так как требуется передача пользовательской информации, в частности логина и пароля. CSA подчеркивает важность использования механизмов шифрования в системах хранения данных. CSA на конференции также поднимает проблему перманентной потери данных, которая становится все более острой из-за непостоянной возможности резервного копирования (например. из-за неполного времени безотказной работы) Действующая модель облачных систем хранения данных, которая осуществляется через централизованные институты, является небезопасной с точки зрения проблем конфиденциальности, целостности и доступности данных. Облачные хранилища сталкиваются со все большим числом уязвимостей, которые могут быть решены с помощью технологии блокчейн. Данная работа рассматривает возможное решение этих проблем путем исследования и разработки модели децентрализованного облачного хранилища на основе технологии Блокчейн.