Безопасность облачных технологий: взгляд тестировщика

Безопасность облачных технологий: взгляд тестировщика

Анна Андреева, A1QA

На сегодняшний день использование облака для хранения информации становится все более популярным. Действительно, зачем морочиться с покупкой и настройкой сервера, обеспечением его физической и виртуальной устойчивости, если можно приобрести себе любое количество виртуальных машин и менять их количество в зависимости от наплыва посетителей на ресурс. Облачные провайдеры позволяют быстро получить все необходимое виртуальное оборудование для работы как небольшого, так и энтерпрайз приложения со сложной бизнес-логикой и многочисленными сервисами, а процесс разработки облачных веб-приложений практически не отличается от приложений, написанных на обычном компьютере. Определенно, это удобно. Особенно, если в короткие сроки необходимо запустить проект, а количество пользователей предугадать сложно. В таких случаях удобна облачная [инфраструктура как сервисk (IaaS), которую предлагают с десяток именитых провайдеров.
nОднако, насколько безопасно хранить свои данные в облаке? Ведь если сервер не стоит в соседней комнате, запертой на ключ, то к нему кто-то имеет доступ, как минимум сотрудники компании-провайдера.
nНасколько безопасна передача информации от клиента к облаку? А обратно? Вот что говорят о своей безопасности два наиболее популярных провайдера, предоставляющих облачную инфраструктуру.

Amazon AWS

 

12093-cloud-se_article Пожалуй, самый известный провайдер облачной инфраструктуры (Amazon EC2), который долгое время занимает ведущие позиции среди конкурентов. Что же получает заказчик, когда доверяет свой продукт компании Amazon?

Многоуровневая безопасность. Механизмы обеспечения безопасности внедряются сразу на нескольких уровнях: для операционных систем хоста, виртуальных инстансов и гостевых ОС, а также для файрволов и вызовов API.

Гипервизор. Amazon EC2 использует доработанную версию Xen гипервизора, который позволяет значительно повысить производительность виртуальных машин за счёт паравиртуализации. Причем доступ к ЦПУ реализован с разделенными привилегиями: ОС хоста имеет самый высокий уровень (0), гостевая ОС уровень 1, а приложения имеют наименьшие привилегии (уровень 3).

Изоляция инстансов. На одной физической машине может быть развернуто множество гостевых. И хотя инстансы не имеют прямого доступа к физическому диску, им выделяются виртуальные хранилища информации. Для того, чтобы данные из различных приложений не воздействовали друг на друга в случае освобождения дискового пространства, информация из каждого блока хранения автоматически стирается (точнее, значение устанавливается равным нулю). Память не возвращается в пул свободной памяти, пока процесс обнуления не завершен до конца.

Безопасность операционной системы хоста. Для административного доступа к управлению хостами, предусмотрена мультифакторная система аутентификации. В случае, если сотрудник больше не нуждается в такого рода доступе, его учетная запись аннулируется.

Безопасность гостевой операционной системы. Поддержка безопасности здесь лежит полностью на команде разработки, так как провайдер не имеет доступ как к самим инстансам, так и гостевым операционным системам, которые на них установлены. Это является как сильной стороной в контексте безопасности приложения (провайдер не может получить данные клиента), так и потенциально уязвимым местом для атак: ошибки в конфигурации могут дать злоумышленнику возможность получить доступ к приложению, данным, и даже виртуальной машине целиком.

Файрвол. По умолчанию все порты встроенного файрвола закрыты. Это значит, что заказчик сам должен явно открыть порты, необходимые для входящего трафика. Amazon предоставляет возможность разделения уровней доступа по группам (Security Groups).

Доступ к API. Вызовы API для запуска и приостанвки инстансов, изменения настроек файрвола и других функций подписаны секретным ключом (Amazon Secret Access Key), без которого неаозможно обращаться к API. В дополнение, вызовы API шифруются с помощью криптогафического протокола SSL.

Продолжение следует…

Alt text

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.

a1qa

Все о тестировании и качестве ПО