IaaS-провайдер и проблемы безопасности
IT-компании всего мира ежедневно сталкиваются с рисками в области безопасности, и то, какую инфраструктуру они используют, не имеет здесь никакого значения: будь то традиционное окружение или облачные технологии. Согласно статистике, ежедневно фиксируется около 400 тысяч вредоносных объектов, проблема приобретает глобальные масштабы: страдают как небольшие, так и крупные компании, а вектор атак зачастую направлен на публичные облака и инфраструктуру SaaS- и IaaS-провайдеров.
Как облачному провайдеру защитить себя и своих клиентов от всевозможных видов угроз в условиях растущих требований к производительности и масштабируемости? Поставщики должны помнить, что они являются потенциальной мишенью, потому должны внимательно относится к сетевому трафику, а также следить за активностью приложений на всех уровнях облачной инфраструктуры.
Первым шагом для реализации облачной безопасности является идентификация уровней окружения, нуждающихся в защите. Приведенная ниже схема иллюстрирует обобщенные уровни облачного окружения.
После того как определены границы безопасности, стоит обратить внимание на методы, направленные на выполнение мониторинга, анализ подозрительной активности и защиту от вредоносных программ. В этом помогают различные инструменты или конфигурационные опции.
Использование виртуальных IP-адресов позволяет разделять сети на внутренние и внешние, а межсетевые экраны, балансировщики нагрузки и прокси определяют границы зон безопасности и дают возможность управлять трафиком. Имеет смысл использовать SSL для шифрования HTTP-трафика и мониторить сетевую активность, чтобы своевременно обнаруживать вторжения. Также стоит организовать защиту от вредоносных программ на уровне гипервизора, когда специализированное ПО обнаруживает и нейтрализует вредоносные программы и приложения.
Стоит отметить, что одним из важнейших аспектов работы любой среды, не только облачной, является развитый план по поддержанию безопасности инфраструктуры. Очень часто его частью является регулярное обновление программного обеспечения и внесение исправлений, мониторинг компонентов безопасности, а также проведение тестов на определение уязвимостей. Эти нехитрые процедуры могут предотвратить многие проблемы.
Не стоит забывать и о том, что при переходе в облако клиент передает свои ресурсы на сторону хостинг-провайдера, тем самым попадая в зависимость от производительности и пропускной способности каналов связи. В идеале взаимодействие с облаком должно быть эффективным, а время отклика — минимальным. Применение различных механизмов шифрования и использование веб-интерфейса для доступа к приложениям порождают сложность классификации сетевого трафика.
В подобных случаях лучше всего использовать технологию глубокого исследования пакетов DPI (Deep Packet Inspection), способную не только фильтровать трафик стандартными способами, но проводить поведенческий анализ проходящих пакетов. Этот метод имеет несложную логику, в основе которой лежит анализ протоколов, портов, сигнатур и так далее. На основании полученных результатов определяется принадлежность пакета к одному из определенных типов трафика, и принимаются соответствующие меры.
Еще одна задача, которую решает DPI, связана с разделением канала между различными приложениями (QOS) — это дает облачным поставщикам возможность распределять канал в соответствии с заданными условиями и критериями, например, разрешать какому-либо приложению захватывать больше полосы в определенный момент времени.
Сегодня облачные сервисы все чаще становятся мишенью различных атак, включая DDoS. Согласно полученным отчетам, масштаб крупнейших DDoS-атак за последнее десятилетие увеличился примерно в 50 раз. «Сегодня организации страдают от широкого и масштабного спектра угроз, что, безусловно, является поводом для беспокойства. Успешно реализованные атаки имеют непосредственное влияние на бизнес клиентов и носят деструктивные последствия», — комментирует Даррен Ансти (Darren Anstee), представитель компании Arbor Networks.
Облачные провайдеры все чаще сталкиваются с проблемой DDoS-атак. Компания Arbor Networks в одном из своих исследований, в котором приняло участие порядка 130 специалистов, показала, что 76% опрошенных столкнулись с DDoS-атаками, целью которых били клиенты, а 43% опрошенных зафиксировали частичную или полную потерю работоспособности облачных сервисов.
Атаки зачастую направлены на ограничение пропускной способности, чтобы сделать передачу «полезного» трафика максимально ограниченной либо вовсе невозможной. Рассмотрим несколько вариантов проводимых атак и выясним, что им может противопоставить DPI.
Первый тип атаки называется TCP Syn Flood, особенность которой заключается в нарушении «трехразового рукопожатия». Узлу в облаке отсылается SYN-пакет, на который тот отвечает пакетом SYN-ACK, но не получает обязательного обратного подтверждения, необходимого для установки сессии. В результате происходит открытие огромного количества соединений, которые закрываются по истечении определенного времени. В случае превышения количества запросов/ответов, машина в облаке перестает принимать пакеты любого другого типа и становится недоступной.
DPI перехватывает SYN-запросы, направленные к защищаемым ресурсам в облаке. В нормальном режиме работы устройства формируется белый список адресов, с которых поступают легитимные запросы. Если наблюдается всплеск активности, превышающий норму, то DPI перехватывает и блокирует такой трафик.
Второй тип атаки — UDP Flood: здесь атакуются порты удаленного узла в облаке, путем отправки огромного количества пакетов данных. Машина начинает проверять, используется ли порт, на который пришла посылка, но не справляется с задачей и перестает отвечать на запросы. В этом случае DPI решает проблему путем отбрасывания неактуального для защищаемого источника набора протоколов. Например, для сайтов рабочими протоколами считаются HTTP и HTTPS — DPI обработает только их, но отбросит остальные.
Бесспорно, облачные технологии полезны, но реальность такова, что облачные сервисы должны быть доступны для клиентов извне, а это всегда было и будет связано с определенными рисками. Очевидно, что к облачным сервисам обращаются как легитимные и доброжелательные пользователи, так и злоумышленники, преследующие собственные цели: вывести организацию из равновесия, нарушить привычную функциональность, нанести материальный ущерб.
Однако, чем сильнее становятся атаки, тем прогрессивнее становятся способы защиты от них: многие компании, в том числе и российские, стараются использовать все необходимые технологии и передовые практики, чтобы снизить риски безопасности и пресечь попытки злоумышленников помешать нормальному функционированию сервисов.
P.S. Другие интересные материалы по теме из нашего блога на Хабре: