Центр обработки данных (ЦОД) представляет собой совокупность серверов, размещенных на одной площадке с целью повышения эффективности и защищенности. Защита центров обработки данных представляет собой сетевую и физическую защиту, а также отказоустойчивость и надежное электропитание. В настоящее время на рынке представлен широкий спектр решений для защиты серверов и ЦОД от различных угроз. Их объединяет ориентированность на узкий спектр решаемых задач . Однако спектр этих задач подвергся некоторому расширению вследствии постепенного вытеснения классических аппаратных систем виртуальными платформами. К известным типам угроз (сетевые атаки, уязвимости в приложениях операционных систем, вредоносное программное обеспечение) добавились сложности, связанные с контролем среды (гипервизора), трафика между гостевыми машинами и разграничением прав доступа. Расширились внутренние вопросы и политики защиты ЦОД, требования внешних регуляторов. Работа современных ЦОД в ряде отраслей требует закрытия технических вопросов, а также вопросов связанных с их безопасностью. Финансовые институты (банки, процессинговые центры) подчинены ряду стандартов, выполнение которых заложено на уровне технических решений. Проникновение платформ виртуализации достигло того уровня, когда практически все компании, использующие эти системы, весьма серьезно занялись вопросами усиления безопасности в них. Отметим, что буквально год назад интерес был скорее теоретический .
В современных условиях становится все сложнее обеспечить защиту критически важных для бизнеса систем и приложений.
Появление виртуализации стало актуальной причиной масштабной миграции большинства систем на ВМ, однако решение задач обеспечения безопасности, связанных с эксплуатацией приложений в новой среде, требует особого подхода. Многие типы угроз достаточно изучены и для них разработаны средства защиты, однако их еще нужно адаптировать для использования в облаке.
Cуществующие угрозы облачных вычислений
Контроль и управление облаками - является проблемой безопасности. Гарантий, что все ресурсы облака посчитаны и в нем нет неконтролируемых виртуальных машин, не запущено лишних процессов и не нарушена взаимная конфигурация элементов облака нет. Это высокоуровневый тип угроз, т.к. он связан с управляемостью облаком, как единой информационной системой и для него общую защиту нужно строить индивидуально. Для этого необходимо использовать модель управления рисками для облачных инфраструктур.В основе обеспечения физической безопасности лежит строгий контроль физического доступа к серверам и сетевой инфраструктуре. В отличии от физической безопасности, сетевая безопасность в первую очередь представляет собой построение надежной модели угроз, включающей в себя защиту от вторжений и межсетевой экран. Использование межсетевого экрана подразумевает работу фильтра, с целью разграничить внутренние сети ЦОД на подсети с разным уровнем доверия. Это могут быть отдельно серверы, доступные из Интернета или серверы из внутренних сетей.
В облачных вычислениях важнейшую роль платформы выполняет технология виртуализации. Для сохранения целостности данных и обеспечения защиты рассмотрим основные известные угрозы для облачных вычислений.
1. Трудности при перемещении обычных серверов в вычислительное облако
Требования к безопасности облачных вычислений не отличаются от требований безопасности к центрам обработки данных. Однако, виртуализация ЦОД и переход к облачным средам приводят к появлению новых угроз.Доступ через Интернет к управлению вычислительной мощностью один из ключевых характеристик облачных вычислений. В большинстве традиционных ЦОД доступ инженеров к серверам контролируется на физическом уровне, в облачных средах они работают через Интернет. Разграничение контроля доступа и обеспечение прозрачности изменений на системном уровне является одним из главных критериев защиты.
2. Динамичность виртуальных машин
Виртуальные машины динамичны. Создать новую машину, остановить ее работу, запустить заново можно сделать за короткое время. Они клонируются и могут быть перемещены между физическими серверами. Данная изменчивость трудно влияет на разработку целостности системы безопасности. Однако, уязвимости операционой системы или приложений в виртуальной среде распространяются бесконтрольно и часто проявляются после произвольного промежутка времени (например, при восстановлении из резервной копии). В средах облачных вычислениях важно надежно зафиксировать состояние защиты системы, при этом это не должно зависить от ее состояния и местоположения.3. Уязвимости внутри виртуальной среды
Серверы облачных вычислений и локальные серверы используют одни и те же операционные системы и приложения. Для облачных систем угроза удаленного взлома или заражения вредоносным ПО высока. Риск для виртуальных систем также высок. Параллельные виртуальные машины увеличивает «атакуемую поверхность». Система обнаружения и предотвращения вторжений должна быть способна обнаруживать вредоносную активность на уровне виртуальных машин, вне зависимости от их расположения в облачной среде.4. Защита бездействующих виртуальных машин
Когда виртуальная машина выключена, она подвергается опасности заражения. Доступа к хранилищу образов виртуальных машин через сеть достаточно. На выключенной виртуальной машине абсолютно невозможно запустить защитное программное обеспечение. В данном случаи дожна быть реализована защита не только внутри каждой виртуальной машины, но и на уровне гипервизора.5. Защита периметра и разграничение сети
При использовании облачных вычислений периметр сети размывается или исчезает. Это приводит к тому, что защита менее защищенной части сети определяет общий уровень защищенности. Для разграничения сегментов с разными уровнями доверия в облаке виртуальные машины должны сами обеспечивать себя защитой, перемещая сетевой периметр к самой виртуальной машине (Рис 1.). Корпоративный firewall - основной компонент для внедрения политики IT безопасности и разграничения сегментов сети, не в состоянии повлиять на серверы, размещенные в облачных средах.Атаки на облака и решения по их устранению
1. Традиционные атаки на ПО
Уязвимости операционных систем, модульных компонентов, сетевых протоколов и др - традиционные угрозы, для защиты от которых достаточно установить межстевой экран, firewall, антивирус, IPS и другие компоненты, решающие данную проблему. При этом важно, чтобы данные средства защиты эффективно работали в условиях виртуализации.2. Функциональные атаки на элементы облака
Этот тип атак связан с многослойностью облака, общим принципом безопасности. В статье об опасности облаков было предложено следующее решение : Для защиты от функциональных атак для каждой части облака необходимо использовать следующие средства защиты: для прокси – эффективную защиту от DoS-атак, для веб-сервера - контроль целостности страниц, для сервера приложений - экран уровня приложений, для СУБД - защиту от SQL-инъекций, для системы хранения данных – правильные бэкапы (резервное копирование), разграничение доступа. В отдельности каждые из этих защитных механизмов уже созданы, но они не собраны вместе для комплексной защиты облака, поэтому задачу по интеграции их в единую систему нужно решать во время создания облака.3. Атаки на клиента
Большинство пользователей подключаются к облаку, используя браузер. Здесь рассматриваются такие атаки, как Cross Site Scripting, «угон» паролей, перехваты веб-сессий, «человек посредине» и многие другие. Единственная защита от данного вида атак является правильная аутентификация и использование шифрованного соединения (SSL) с взаимной аутентификацией . Однако, данные средства защиты не очень удобны и очень расточительны для создателей облаков. В этой отрасли информационной безопасности есть еще множество нерешенных задач.4. Атаки на гипервизор
Гипервизор является одним из ключевых элементов виртуальной системы. Основной его функцией является разделение ресурсов между виртуальными машинами. Атака на гипервизор может привести к тому, что одна виртуальная машина сможет получить доступ к памяти и ресурсам другой. Также она сможет перехватывать сетевой трафик, отбирать физические ресурсы и даже вытеснить виртуальную машину с сервера. В качестве стандартных методов защиты рекомендуется применять специализированные продукты для виртуальных сред, интеграцию хост-серверов со службой каталога Active Directory, использование политик сложности и устаревания паролей, а также стандартизацию процедур доступа к управляющим средствам хост-сервера, применять встроенный брандмауэр хоста виртуализации. Также возможно отключение таких часто неиспользуемых служб как, например, веб-доступ к серверу виртуализации.5. Атаки на системы управления
Большое количество виртуальных машин, используемых в облаках требует наличие систем управления, способных надежно контролировать создание, перенос и утилизацию виртуальных машин. Вмешательство в систему управления может привести к появлению виртуальных машин - невидимок, способных блокировать одни виртуальные машины и подставлять другие.Решения по защите от угроз безопасности от компании Cloud Security Alliance (CSA)
Наиболее эффективные способы защиты в области безопасности облаков опубликовала организация Cloud Security Alliance (CSA) . Проанализировав опубликованную компанией информацию, были предложены следующие решения .1. Сохранность данных. Шифрование
Шифрование – один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным должен шифровать информацию клиента, хранящуюся в ЦОД, а также в случаи отсутствия необходимости, безвозвратно удалять.2. Защита данных при передаче
Зашифрованные данные при передаче должны быть доступны только после аутентификации. Данные не получится прочитать или сделать изменения, даже в случаи доступа через ненадежные узлы. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно используются провайдерами.3. Аутентификация
Аутентификации - защита паролем. Для обеспечения более высокой надежности, часто прибегают к таким средствам, как токены и сертификаты. Для прозрачного взаимодействия провайдера с системой индетификациии при авторизации, также рекомендуется использовать LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language).4. Изоляция пользователей
Использование индивидуальной виртуальной машины и виртуальную сеть. Виртуальные сети должны быть развернуты с применением таких технологий, как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service). Часто провайдеры изолируют данные пользователей друг от друга за счет изменения данных кода в единой программной среде. Данный подход имеет риски, связанные с опасностью найти дыру в нестандартном коде, позволяющему получить доступ к данным. В случаи возможной ошибки в коде пользователь может получить данные другого. В последнее время такие инциденты часто имели место.Заключение
Описанные решения по защите от угроз безопасности облачных вычислений неоднократно были применены системными интеграторами в проектах построения частных облаков. После применения данных решений количество случившихся инцидентов существенно снизилось. Но многие проблемы, связанные с защитой виртуализации до сих требуют тщательного анализа и проработанного решения. Более детально рассмотрим их в следующей статье.“Мне кажется, что чем больше данных мы отдаем в сеть, в облака, тем меньше мы на самом деле их контролируем”.
Можно ли доверять облачным хранилищам?
Думаю, большинство ответит отрицательно на первый вопрос, но при этом положительно на второй.
В настоящее время облачные сервисы стали настолько распространены и тесно интегрированы с оборудованием ведущих производителей компьютеров и различных гаджетов, что многие даже не задумываются о том, где именно хранятся их данные и что с ними может произойти.
Так ли страшны облака, и так ли безопасны наши домашние компьютеры?
Давайте посмотрим на аргументы Стива.
Аргумент первый — «в облаках тебе ничего не принадлежит». Информация, созданная вами, тем более, информация о вас самих (персональные данные), всегда принадлежит вам, независимо от того, где она расположена. Передав ее на хранение в облачный сервис, вы не передаете его владельцу никаких прав на информацию. Она была и остается вашей.
Аргумент второй — «чем больше данных мы отдаем в сеть, в облака, тем меньше мы на самом деле их контролируем». Вы не сталкивались с такой ситуацией: пытаетесь загрузить компьютер, он не грузится, а на экране высвечивается предложение заплатить денег за разблокировку, или обращаетесь к файлу, а он зашифрован, и за расшифровку опять-таки требуют определенную сумму? Миллионы компьютеров в мире заражены и являются частью бот-сетей. Возможно, и ваш компьютер находится уже не под вашим контролем, а соответственно, и все данные, которые на нем находятся.
Есть ли у нас основания не доверять облачным сервисам?
Теория учит, что для защиты информации необходимо обеспечить ее конфиденциальность, целостность и доступность. Посмотрим, обеспечиваются ли эти свойства при использовании облаков.
Правовые аспекты
В пользовательских соглашениях облачных сервисов практически никогда не содержатся обязательства по сохранению конфиденциальности и целостности ваших данных. Организациям следует помнить, что как операторам ПДн им необходимо обеспечивать весь комплекс требований по обработке и , что не всегда реализуемо в облаке.
Помимо этого в ближайшее время должен вступить в силу запрет на хранение ПДн в базах данных, размещенных не на территории России (данное положение должно вступить в силу с 01.09.2016 г., хотя в настоящее время активно лоббируется перенос этого срока на 01.09.2015 г.).
В части доступности облачного сервиса на первый взгляд все хорошо. Большинство поставщиков облачных услуг гарантируют высокую доступность сервиса. Но давайте прикинем, где кончается зона ответственности поставщика облачных услуг и где находитесь вы со своими устройствами доступа в Интернет.
Существуют десятки причин, по которым вам могут быть недоступны ваши данные, хранящиеся в облаке, при том что сам по себе облачный сервис будет полностью работоспособным. Поэтому реальная доступность облачного сервиса значительно ниже заявленных в пользовательском соглашении цифр.
К этому еще следует добавить риски, связанные с западными санкциями в отношении России. Большинство, я думаю, слышали об указе президента США о дополнительных санкциях в отношении Крыма, последствиями которого может стать блокировка на полуострове сервисов, типа Gmail, Skype или iCIoud. В условиях сложившейся сложной политической обстановки нельзя быть уверенным, что в один прекрасный момент вас просто не отключат от облачного сервиса, особенно если этот сервис предоставляется американской компанией.
Попробуем оценить, каково же реальное положение с обеспечением целостности и конфиденциальности информации в облаке.
Несмотря на то, что формальных обязательств по обеспечению данных свойств информации у провайдера нет, все известные мировые IT-компании при организации облачных сервисов обеспечивают достаточно высокий уровень как от несанкционированного доступа к ним, так и от уничтожения по каким-то техническим причинам. Т.е. прямой атакой на ресурсы провайдера облачных услуг злоумышленники вряд ли смогут достигнуть цели. Хотя, как говорится, и на старуху бывает проруха, о чем свидетельствуют периодически появляющиеся в СМИ громкие заявления об утечке пользовательских данных у крупных IT-компаний и интернет-сервисов.
Основная уязвимость интернет-сервисов заключается в использовании практически исключительно парольной аутентификации и применении не вполне надежных способов восстановления забытых аутентификационных данных — логинов и паролей (прежде всего — через электронную почту). Правда, в последнее время в части восстановления аутентификационных данных есть явная тенденция к их усложнению.
Организациям при подключении облачных сервисов стоит сразу озаботиться реализацией какого-либо механизма двухфакторной аутентификации. Зрелость облачных сервисов в части обеспечения информационной безопасности на данный момент оставляет желать лучшего. Вы вряд ли найдете в них большой спектр способов аутентификации, очень гибкую систему разграничения доступа, развитый аудит событий с поддержкой SIEM-систем, встроенные средства работы с криптографией и т.д.
Если вы не доверяете поставщику облачного сервиса или хотите обеспечить дополнительную защиту информации в облаке, то следует применять . Такой способ защиты возможен, если вы не планируете обрабатывать информацию в облаке (например, редактировать фото или текст), а только хранить и передавать данные в исходном виде.
При этом надо учесть сложности с распределением и управлением криптографическими ключами (особенно для больших организаций) и потери в мобильности (для доступа к данным у вас на устройстве должен быть актуальный криптографический ключ, хранящийся безопасным способом, а с этим могут возникнуть технические или технологические проблемы).
Да, у нас есть основания не доверять облачным сервисам. Да, крупные организации, которые вкладывают серьезные средства в обеспечение безопасности данных, могут обеспечить более высокий уровень их защиты при размещении информации в своем ЦОД, чем в облаке.
Но в то же время очевидно, что использование облачных сервисов будет только расширяться. Удобно, когда тебе не надо задумываться о создании того или иного IT-сервиса и поддержании его в работоспособном состоянии, а можно использовать облака практически мгновенно.
Проводя аналогию, большинство предпочитают покупать торт, а не печь его сами. Причем облачный сервис, как правило, позволяет оперативно изменять параметры сервиса, что не просто удобно, а для большинства организаций необходимо при существенно возросших темпах изменений в требованиях бизнеса. Нельзя не отметить и значительно большую приспособленность облачных сервисов для мобильных пользователей, а бизнес и мы сами с каждым годом становимся все более мобильными.
Поэтому независимо от того, доверяете вы облакам или нет, они уже вошли или скоро войдут в вашу жизнь. И стоит уже сейчас стоит задуматься о том, какую информацию вы готовы доверить облакам и как можно минимизировать те риски, которые мы обсудили в данной статье.
Анатолий Скородумов
2017. Техносерв запустил сервис синхронизации файлов для бизнеса - ТехноДиск
Системный интегратор Техносерв представил корпоративный сервис облачного хранения и синхронизации файлов ТехноДиск . В отличии от аналогов (Dropbox, Google Drive, Яндекс Диск...) он (по словам разработчиков) обеспечивает повышенную безопасность данных благодаря простой интеграции с системами безопасности клиента. Среди других достоинств компания называет хранение данных на территории России, возможность использования частного облака и расширенное удаленное управление файлами. В ТехноДиске имеется встроенный антивирус. Пользователи могут синхронизировать файлы между ПК и мобильными устройствами на iOS и Android. Например, для компании с 2 тыс. пользователями и общим объемом дискового пространства в 100 тыс. ГБ цена составит около 500 руб. за пользователя в месяц.
2016. Mail.ru запустила облако для архивов
В наборе бизнес-приложений Mail.Ru для Бизнеса появился новый сервис - Облачное хранилище холодных данных. Он подойдет для хранения бекапов, логов, медиаконтента, научных и статистических данных, а также рабочих архивов вашей компании. От обычных облачных хранилищ это отличается тем, что стоит намного дешевле, но данные выдает только по запросу и не мгновенно, а через некоторое время после запроса. При этом, обеспечивается высокий уровень безопасности хранилища, и в отличии от западных альтернатив (Amazon Glacier или Google Nearline), всегда обеспечивается соответствие нормам законодательства (т.е. данные хранятся в российских дата-центрах). ***
2015. Google Compute Engine позволил клиентам использовать собственные ключи шифрования
2015. Microsoft и Google повысили безопасность своих онлайн офисов
Microsoft встроила в свой онлайн офис Office 365 систему управления мобильными устройствами (MDM), которая доступна бесплатно всем коммерческим подписчикам сервиса. Эта система позволяет контролировать данные (email, документы), которые находятся на девайсах сотрудников (iPhone, Android, Windows Phone), централизованно устанавливать права доступа, политики безопасности и удаленно стирать данные (например, если сотрудник уволился). В свою очередь, Google добавил множество настроек для управления правами доступа в облачное хранилище Google Drive for Work. Особенно порадует пользователей возможность расшаривать файлы для внешних контрагентов без необходимости просить этих контрагентов зарегистрировать Гугл-аккаунт. Вот видео: ***
2015. Box стал самым защищенным облачным хранилищем в мире
Облачные хранилища типа Box, Dropbox, Google Drive, OneDrive являются вполне безопасными для хранения бизнес-данных. Однако, в некоторых компаниях требования к безопасности - очень высоки. И их не устраивает, что хотя данные и шифруются при хранении и передаче, сервис-провайдер может получить к ним доступ, зная ключи шифрования. Для таких компаний Box ввел новую услугу Box EKM , которая позволяет самостоятельно создавать и хранить ключи шифрования. А чтобы это не сказалось отрицательно на удобстве сервиса (чтобы админу не пришлось устанавливать мастер ключей на каждом компьютере и смартфоне) - Box интегрировал свое хранилище с сервисом Amazon CloudHSM , который как раз предоставляет услугу облачного хранения ключей. Отметим, что каждый файл, загружаемый в Box, шифруется индивидуальным ключем шифрования. Кроме того, компания получает полный лог доступа к каждому файлу. ***
2013. Dropbox стал более подходящим для бизнеса
Вероятно, вы уже слышали термин "Dropbox для бизнеса "? Чаще всего этот термин применяется не в отношении популярного сервиса Dropbox, а для обозначения его многочисленных конкурентов, которые пытаются создать такой же сервис, только отвечающий корпоративным требованиям (в первую очередь, по безопасности). Но и сам Dropbox не хочет терять бизнес-рынок. У него есть редакция Dropbox for Teams , и ею уже пользуются около 2 млн компаний. Однако, в большинстве случаев, это либо малые бизнесы (где нет админа), либо компании, в которых есть админ, но его игнорируют. Потому, что до сих пор нормально контролировать то, что происходит в Dropbox for Teams ни один админ не мог. Новая версия сервиса практически устраняет эту проблему. ***
2011. DropBox запускает бизнес-версию чтобы конкурировать с Box.net
Популярнейший сервис для онлайн хранения и совместной работы с файлами DropBox наконец-то решил запустить версию для бизнеса - DropBox for Teams . Она отличается от обычной 2 вещами. Во-первых, в ней есть административная панель для управления пользователями и правами доступа. В админке также можно централизованно платить за сервис. Во-вторых, при расшаривании файлов для сотрудника внутри аккаунта DropBox for Teams, объем свободного места у него не уменьшается. (В обычной версии DropBox если, например, для вас расшарили файл 100 Мб, то у вас отнимается 100 Мб свободного места). Однако, DropBox хочет, чтобы при использовании бизнес-версии пользователи вообще не думали о свободном месте на диске. В DropBox for Teams - как минимум 1Тб свободного места. Это в 2 раза больше, чем в бизнес-версии главного конкурента - Box.net ***
2011. Trend Micro представила малому бизнесу решение для хранения, управления и доступа к данным в удаленном режиме
Корпорация Trend Micro, разработчик решений в области защиты интернет-контента, объявила о выпуске нового приложения Trend Micro SafeSync for Business. Это решение, в том числе и для малого бизнеса, обеспечивает безопасное хранение, управление и доступ к цифровым файлам в удаленном режиме, помогая повысить производительность и облегчая обмен данными между сотрудниками и клиентами. SafeSync for Business обеспечивает удобство доступа к данным и обмена ими, гарантируя их безопасность и актуальность; и возможность доступа к ним с различных компьютеров и мобильных устройств посредством инновационной технологии синхронизации. SafeSync также сохраняет в облачном хранилище дополнительную актуальную копию данных, доступ к которой можно получить с любого устройства, способного подключаться к глобальной сети. Это помогает защитить данные от потери в случае сбоя аппаратного обеспечения. SafeSync устраняет необходимость вручную перемещать файлы с одного ПК на другой, экономя время и снижая риск потери ценной информации.
2007. Box.net вышел на рынок корпоративных файлохранилищ
Box.net обратил внимание на корпоративных клиентов и выкатил новое предложение - Box Professional, которое идеально подойдет тем фирмам, где сотрудники берут часть работы на дом. В отличие от традиционных файловых хостингов, в Box Professional компания сможет использовать собственный логотип. И конечно же здесь не будет никакой рекламы. В Box.net упор делают также на безопасности и совместной работе. Пользователи могут объединяться в рабочие группы, которые трудятся над одним проектом. Есть возможность подписаться на получение уведомлений о том, что файл был изменен. Разработчиками также обещаны гибкие административные возможности по управлению пользователями и папками (с определением прав). Учитывая, что Box.net интегрирован с Zoho, данное предложение может заинтересовать многие небольшие фирмы за рубежом. Говорить о перспективах в России, думаю, пока рано. Не все отечественные компании готовы платить $200 в год за удобную удаленную работу своего персонала с файлами.
В какой-то момент мы столкнулись с необходимостью организовать шифрованное хранилище для удаленного размещения файлов. После недолгих поисков нашел легкое облачное решение, которое в итоге полностью устроило. Далее я вкратце опишу это решение и некоторые особенности работы с ним, возможно, кому-нибудь пригодится. На мой взгляд, вариант надежный и вместе с тем достаточно удобный.
Архитектура
За основу я решил взять систему облачного хранения данных . Которая была установлена в OS Debian Linux v7.1 и развернута в виде виртуальной машины под гипервизором Proxmox Virtual Environment v3.1.Систему облачного хранения данных установил на зашифрованный диск ОС Linux, доступ к данным возможен только по протоколу HTTPS, для авторизации помимо стандартного пароля необходимо ввести также одноразовый пароль (OTP). Регулярно осуществляется резервное копирование. Предусмотрена возможность экстренного отключения и удаления всех данных ownCloud.
Гипервизор Proxmox Virtual Environment
Гипервизор Proxmox Virtual Environment представляет собой специализированный дистрибутив OS Debian Linux v7.1, удаленный доступ к системе возможен по протоколу SSH на стандартном порту TCP 22. Однако основным рабочим инструментом для управления виртуальными машинами является Web-интерфейс.Раз в сутки происходит генерирование горячей копии (snapshot) виртуальной машины ownCloud с экспортом ее на серверы NFS, используя стандартные возможности Proxmox VE.
На скриншоте, виртуальная машина в Web-интерфейсе имеет идентификатор 100 (ownCloud). Доступ к ее консоли возможен через пункт контекстного меню «Console».
Например, вот так выглядит ввод пароля для шифрованного диска во время загрузки:
Облачное хранилище данных ownCloud
Про установку ownCloud на хабре есть достаточно хорошая статья от пользователя BlackIce13 http://habrahabr.ru/post/208566/ там уже перечислены основные возможности и некоторые плюсы этой платформы.От себя могу лишь добавить, что, на мой взгляд, существует несколько более простой способ установки ownCloud для дистрибутива ОС Linux Debian и многих других, нежели предложенный автором статьи. Доступны готовые репозитории: http://software.opensuse.org/download/package?project=isv:ownCloud:community&package=owncloud
В этом случае все необходимые зависимости ставятся автоматически, а от вас будет лишь требоваться скорректировать настройки под свою специфику.
OwnCloud развернул на базе ОС Debian Linux v7.1 внутри виртуального контейнера. Удаленный доступ к хранилищу возможен по протоколу SSH на стандартном порту TCP 22.
Основная работа с ownCloud осуществляется через Web-интерфейс, возможно также подключение через протокол WebDAV и использование клиентов синхронизации (Sync).
Кстати, поскольку доступ к ownCloud осуществляется через HTTPS логи доступа и ошибок ведутся сервером Apache в файлах "/var/log/apache2/access.log" и "/var/log/apache2/error.log" соответственно. Также ownCloud имеет свой собственный лог "/var/www/owncloud/data/owncloud.log".
Одноразовые пароли OTP
Для усиления безопасности доступ к ownCloud через Web-интерфейс возможен с использованием двухфакторной авторизации: традиционный пароль и одноразовый пароль OTP. Функционал OTP реализуется с помощью внешнего дополнения One Time Password Backend . Встроенной поддержки OTP у ownCloud нет.Настройка основных параметров OTP осуществляется в разделе «Admin» под административной учетной записью.
На скриншотах настройки двухфакторной авторизации и одноразовых паролей подобранные для обеспечения совместимости с аппаратными генераторами FEITIAN OTP c200.
Алгоритм: Time-based One Time Password (TOTP)
Количество цифр в пароле: 6
Время жизни пароля: 60 секунд
Чтобы двухфакторная авторизация вступила в действие необходимо назначить пользователю Token Seed. До этого момента он может заходить в ownCloud, используя только лишь обычный пароль. Что собственно необходимо сделать сразу после создания пользователя, перейти в раздел «Personal» и ввести Token Seed в одноименное поле.
Генерировать Token Seed, используя встроенные возможности модуля OTP ownCloud, не рекомендуется, поскольку в алгоритме его работы наблюдаются проблемы. Формат ввода: Base32 (%32) UPPERCASE. Конвертировать Token Seed в разные форматы можно с помощью утилиты www.darkfader.net/toolbox/convert
Конкретно для этого проекта использовался Token Seed вшитый в аппаратный Token FEITIAN OTP c200. В общем случае можно использовать любой генератор паролей, а затем приводить его к нужному формату, используя приведенный в тексте конвертер.
Примером такого приложения для ОС Android может служить Android Token: https://play.google.com/store/apps/details?id=uk.co.bitethebullet.android.token&hl=ru
Проинициализированный Token Seed выглядит следующим образом:
Для отключения OTP достаточно удалить Token Seed из настроек.
Если это невозможно, например, по причине того, что генератор OTP утерян, поэтому доступа к личному кабинету пользователя нет, то отключение OTP возможно только путем прямой модификации данных в СУДБ MySQL. Для этого необходимо запустить из командной строки клиент MySQL:
# mysql -uowncloud –p
Enter password:
Затем выполнить запрос аналогичный следующему, изменив значение поля «user» на необходимое:
mysql> delete from owncloud.oc_user_otp where `user` = "test";
Из-за архитектурных ограничений OTP работает только при доступе к ownCloud через Web-интерфейс, но не через WebDAV. Данный недостаток компенсируется тем, что список IP-адресов, которые могут использовать WebDAV, строго ограничен. Отвечают за это директивы «Allow from» в файле настроек сервера Apache "/etc/apache2/conf.d/owncloud.conf". Обратите внимание, что директивы там указываются дважды.
IP-адреса перечисляются через пробел. Необходимо удостоверятся в том, что в списке обязательно присутствуют IP обратной петли 127.0.0.1, а также публичный IP сервера самого ownCloud. В противном случае в работе WebDAV возможны сбои. После изменения настроек Apache его необходимо перезапустить:
service apache2 restart
Защита от брутфорса
В свежих версиях ownCloud ведется лог неудачных попыток авторизации: "/var/log/owncloud/auth.log". Содержимое "/var/log/owncloud/auth.log" контролирует сервис Fail2ban. Если им в течение короткого времени фиксируется 5 или более неудачных попыток авторизации с одного IP-адреса, то он блокируется фильтром пакетов IPTables на 10 минут. Если после автоматической разблокировки, попытки продолжаются, то IP блокируется повторно навсегда. Следит за работой Fail2ban можно в логе "/var/log/fail2ban.log".Список IP-адресов, которые не должны блокироваться ни при каких обстоятельствах задается параметром «ignoreip» в файле настроек "/etc/fail2ban/jail.conf". IP перечисляются через пробел.
После изменения настроек Fail2ban его необходимо перезапустить:
service fail2ban restart
В случае необходимости вручную разблокировать какой-либо IP, необходимо выполнить на сервере из CLI команду аналогичную следующей, скорректировав в ней адрес:
iptables -D fail2ban-Owncloud -s 187.22.109.14/32 -j DROP
P.S.
Live версию ownCloud можно посмотреть на официальном сайте
Веб-гигант Google предоставляет множество прекрасных функций в своем облачном хранилище. Google говорит, что хранить данные у них безопасно. Даже если ваш компьютер, планшет или телефон выходят из строя, данные на Google Drive находятся в безопасности. Компания также утверждает, что файлы, хранящиеся у них в дата-центре, не могут исчезнуть.
Чтобы использовать Drive, вам необходима учетная запись Google. Создать учетную запись в Google проще простого. Google предложит вам придумать надежный пароль. Пароль должен содержать как минимум 8 символов. Тем не менее, требования к чувствительным к регистру или разнообразным буквам и числам при регистрации в Google отсутствуют. Хотя это могло бы улучшить безопасность.
Защита учетной записи в Google - это основной шаг по обеспечению безопасности в хранилище Drive. Google предлагает двухшаговую верификацию(двухфакторную аутентификацию) для того, чтобы увеличить надежность учетной записи. Как только вы активируете эту функцию, при каждом входе в какой-либо из сервисов Google вам нужно будет вводить дополнительный код. После ввода правильного имени пользователя и пароля на странице учетной записи в Google вы получите СМС с кодом верификации на свой мобильный телефон. Вы сможете войти в Google только после ввода этого кода. Таким образом, двухшаговая аутентификация может сделать Google Drive более защищенным от хакеров. Вы также можете получать такие коды с помощью приложений для смартфона.
В учетной записи Google есть секретный вопрос и возможность ввода электронного адреса или номера телефона для восстановления учетной записи, а также это позволить возобновить контроль над учетной записью в случае взлома. Вы также контролируете приложения, в которые вы входите с помощью своей учетной записи. Также доступны журнал посещений, IP-адрес и данные об устройстве, чтобы вы могли отслеживать активность по своей учетной записи Googlе.
Шифрование просто жизненно необходимо для любого облачного сервиса. Несмотря на то, что Google Drive в работе использует HTTPS, он не предоставляет собственную услугу по шифрованию файлов. Так что если вы хотите зашифровать файлы, сделайте это до отправки их на Google Drive. Вы можете бесплатно воспользоваться программой Boxcryptor, чтобы обезопасить свои облачные файлы.
Google Drive предлагает целый ряд индивидуальных опций для обмена. Используя эти настройки, вы можете определить, кто может иметь доступ к файлам, кто может их загружать, редактировать и т. д. Вы можете просматривать версии файловна Google Drive. Так что если вам необходима предыдущая версия, вы можете ее получить, нажав на правую кнопку мыши на необходимом файле и выбрав опцию ‘Управление версиями’.
Можно отметить, что безопасность сервиса онлайн-хранения данных от Google зависит от безопасности учетной записи Google. Если можно защищать свои учетные записи Gmail ID, тогда смело можно рассчитывать на надежную защиту файлов на Google Drive.
Microsoft OneDrive
Облачное хранилище OneDriveот мощнейшего разработчика софта Microsoft. Для того чтобы использовать OneDrive, необходимо обзавестись учетной записью Microsoft. ПосетитеOutlook.com, чтобы открыть новую учетную запись Microsoft. Во время подписки Microsoft принимает ряд надежных мер безопасности, чтобы защитить потребителя от действий хакеров. Microsoft предлагает и требует ввода сложного пароля, состоящего минимум из 8 символов с регистрочувствительными буквами. Все это делается ради безопасности.
Безопасность OneDrive зависит от безопасности учетной записи Microsoft. Поэтому, если учетная запись Microsoft защищена, это также поддерживает безопасность пространства на OneDrive.
Microsoft подходит очень серьезно к вопросам безопасности учетных записей на Outlook.com. Для создания учетной записи нужно зайти в опцию «Настройки учетной записи», там подтвердить свою личность, используя двухшаговую аутентификацию. Для настроек учетной записи эта функция включена по умолчанию.
Двухшаговая верификация Microsoft обладает большим функционалом, чем аналогичная функция от Google. Тем не менее, можно спокойно доверять обоим сервисам.
В своей работе OneDrive использует соединение HTTPS. ‘Недавняя активность’. Оттуда также можно управлять приложениями, использование которых разрешили вместе с Outlook.com.
OneDrive предлагает функцию бесплатного просмотра истории файловдля офисных документов. ‘Предыдущие версии’ других форматов файлов доступны для пользователей бизнес-уровня. Поэтому, если вносить изменения в документы Office, в OneDrive можно бесплатно просмотреть их предыдущую версию. Файлы OneDrive недоступны без вашего на то разрешения. Несмотря на это, OneDriveне шифруетзагружаемые на его сервер файлы. Таким образом, можно обеспечить более высокий уровень безопасности для своих данных, можно воспользоваться сторонними сервисами для шифрования, например,Boxcryptor.
Dropbox - это один из самых популярных провайдеров онлайн-хранения данных. Его используют как в личных, так и в коммерческих целях. Dropbox- это исключительно облачное хранилище. Так что все их силы сконцентрированы на облаке..
Dropbox говорит, что безопасность данных - это их первоочередный приоритет. При подписке на Dropbox можно заметить, что этот процесс довольно простой и быстрый. Потребуется ввести имя, адрес электронной почты и пароль. Страница создания учетной записи предложит использовать надежный пароль. Тем не менее, обязательства относительно поддержания определенного уровня безопасности отсутствуют.
Подписка на Dropbox может не потребовать немедленной верификации электронного адреса, но для того, чтобы беспрепятственно обмениваться файлами, необходимо подтвердить свою электронную почту. Все эти опции будут доступны по мере использования сервиса.
Dropbox предлагает функцию версии файлов для того, чтобы можно было вернуться к старой версии необходимых файлов. Если файл был отредактирован, а позже понадобилось получить его предыдущий вариант, просто нажать на правую кнопку мыши на новой версии файла, и выберите опцию «Предыдущие версии» в контекстном меню.
Учетная запись Dropbox предоставляется с целым рядом дополнительных систем безопасности. Также можно использовать двухшаговую верификацию, при которой необходим ввод уникального кода при каждом входе в Dropbox. Этот код можно получить на мобильный телефон. Также можете получить код через приложение для смартфонов. В любом случае, двухфакторная аутентификация может существенно увеличить уровень безопасности вашей учетной записи.
На странице настроек безопасности Dropbox также можно мониторить и управлять подсоединенными устройствами, журналом посещений, привязанными приложениями и т. д., с целью предотвращения несанкционированного доступа.
Dropbox использует соединение HTTPS на своем сайте и во время передачи данных между вами и облачным хранилищем. Можно контролировать доступ к файлам с помощью опций обмена данными.
Сам Dropbox не предоставляет опцию шифрования файлов до загрузки на их сервер. В Dropbox уверяют, что они шифруют файлы во время передачи и в течение всего остального времени. Тем не менее, можно зашифровать файлы до отправки на Dropbox. Для этого существует целое множество инструментов.Boxcryptor- один из них. Он использует стандартную технологию шифрования «AES-256 bit», чтобы еще больше увеличить уровень безопасности ваших файлов.
Copy - один из самых популярных сервисов облачного хранения данных, конкурирующий с Dropbox, Google Drive, OneDrive и т. д. Сервис также предлагает бонус за привлечение новых клиентов, с помощью которого существующие пользователи могут увеличить свое бесплатное пространство. Процесс регистрации на Copy занимает всего несколько секунд. Вас попросят указать имя, адрес электронной почты и пароль. В процессе регистрации на Copy. Все что было указано касательно пароля - он должен состоять как минимум из 6 символов.
Copy.comиспользует безопасное HTTPS соединение во время передачи данных между пользователем и своим сервером. Компания такжеутверждает, что они хранят данные в зашифрованном формате. Но несмотря на это, нельзя самостоятельно шифровать данные на Copy.com. Но никто не отменял сторонние сервисы по шифрованию данных перед их отправкой на Copy. Так что спокойно можно вначале зашифровать файлы, а потом отправить их на хранение в Copy.
Copy.com не предлагает двухшаговой верификации, которая играет очень большую роль в поддержании безопасности учетной записи. Надеюсь, что вскоре они начнут предлагать эту ценную опцию.
В Copy есть функция проверки истории файлов, с помощью которой можно получить предыдущие версии своих файлов. К сожалению, в Copy.com нету опции просмотра истории посещений учетной записи.
Несмотря на прекрасный пользовательский интерфейс и функциональность, Copy все еще не хватает некоторых необходимых функций.
Сервис Mega, который известен своей конфиденциальностью. Mega был основанKim Dotcom. Сервис предоставляет каждому новому пользователю 50 Гб бесплатного пространства. Для регистрации в Mega необходимо предоставить такую основную информацию, как имя, адрес электронной почты, пароль и т. п. Mega требует использовать надежный пароль. Если пароль недостаточно сложный, вы получите следующее сообщение: ‘ваш пароль недостаточно надежен чтобы продолжить’.
Mega использует HTTPS соединение и технологию шифрования клиентской части. Это значит, что локально зашифрованная информация будет отправлена на Mega. При загрузке информации с сервиса, она расшифровывается. Как утверждается на странице помощи по вопросам безопасностиMega, ваши файлы невозможно читать на сервере. Компания настоятельно рекомендует не терять пароль. Пароль к Mega это не только пароль, а код, который открывает основной ключ дешифровки. Mega утверждает, что пароль на сервисе восстановить невозможно. Если нет резервной копии основного ключа дешифровки то, тогда потеряется и все данные, хранящиеся на сервере сервиса.
Тем не менее, существуют сообщенияо том, что в системе шифрования Mega на базе браузера есть определенные слабости.
Mega предлагает прекрасные средства безопасности, но, к сожалению, истории версий файлов у сервиса нет. Можно восстановить удаленные файлы с помощью приложения ‘SyncDebris’ от Sync Client, или из папки ‘Rubbish Bin’ на Mega. Для мониторинга активности Mega предоставляет опцию журнала посещений и опцию управления приложениями.
Интересно то, что у Mega нет опции двухшаговой верификации, которая могла бы намного улучшить усилия сервиса, касающиеся конфиденциальности и безопасности.
В данном разделе были подробно рассмотрены доступные средства безопасности популярных провайдеров облачного хранения данных, таких как Google Drive, Dropbox, Copy и Mega. Что касается безопасности, у всех у них есть собственные и особые предложения. Теперь посмотрим какие же основные средства безопасности предлагают эти сервисы. Ниже представлен удобный для ознакомления контрольный список.
Требование к надежности пароля: Google, Microsoft и Mega требуют использовать надежный пароль. Dropbox и Copy более гибкие в этом плане.
Требование верификации адреса электронной почты: Все сервисы рано или поздно требуют верифицировать свой электронный адрес.
Двухшаговая верификация: Google Drive, OneDrive и Dropbox предоставляют двухшаговую верификацию. Copy и Mega на данный момент не предоставляют такой опции.
Шифрование клиентской части: Только Megaпредлагает шифрования клиентской части. Это осуществляется с устройства, с которого загружаются файлы.
Шифрование серверной части: Dropbox, Mega и Copy хранят файлы на серверах в зашифрованном виде. Где можно использовать локальное шифрование, чтобы избежать рисков.
Использование безопасного соединения (HTTPS): Все эти провайдеры используют безопасное соединение HTTPS. Тем не менее, Mega дает пользователям выбор его отключить (по выбору).
Использование секретных вопросов для верификации пользователей: У Google Drive эта опция доступна. OneDrive, Dropbox, Copy и Mega на данный момент не используют секретный вопрос.
Из вышеуказанного становится ясно, что Google Drive предоставляет почти все средства безопасности, кроме шифрования. Microsoft OneDrive и Dropbox идут следом за ним. Mega предоставляет такое сложное средство безопасности, как шифрование, но на сервисе отсутствует двухшаговая верификация. Copy необходимо поработать над тем, чтобы превратить прекрасное облачное хранилище в более безопасную среду с помощью двухшаговой верификации, требования к надежности пароля и других инновационных систем безопасности.
