Системы авторизации облачных вычислений

На сегодняшний день многие компании переводят вычислительные ресурсы в виртуальную инфраструктуру, в том числе и ведущие университеты, используя для этого как открытые системы (Eucalyptus, OpenNebula), так и коммерческие решения (VmWare, Citrix, IBM). В связи с этим, остро встает проблема обеспечения информационной безопасности в виртуальных вычислительных системах такого рода. Такая виртуальная среда обладает определенными специфическими особенностями, хотя многие ее характеристики аналогичны тем, которые встречаются в сетях распределенных вычислительных ресурсов и ГРИД приложениях [19]. Среди важных отличий можно выделить следующие:

• Обработка информации происходит в виртуальных машинах, которые находятся под полным контролем гипервизора, способного контролировать все данные, обрабатываемые виртуальными вычислительными ресурсами;

• Средства управления виртуальной инфраструктурой (например, Eucalyptus) осуществляют распределение нагрузки между гипервизорами и являются новой сущностью в информационной среде, требующей защиты;

• Традиционные средства защиты информации, такие как программно-аппаратные межсетевые экраны не могут контролировать трафик внутри узла виртуализации, таким образом, сетевое взаимодействие между виртуальными машинами в рамках одного гипервизора оказывается вне контроля;

• В виртуальной среде в качестве устройств хранения данных выступают файлы, которые размещаются в сетевых хранилищах, а не аппаратные жесткие диски;

• При миграции виртуальных машин между гипервизорами возникает передача фрагментов оперативной памяти, которая может содержать конфиденциальную информацию.

Таким образом, благодаря вышеперечисленным особенностям, возникают новые угрозы информационной безопасности, среди которых:

• Атака на средства управления виртуальными машинами, контроллеры вычислительной среды (контроллер облака), кластера и на хранилище данных, на котором располагаются виртуальные образы машин и пользовательские данные;

• Неавторизованный доступ к узлу виртуализации;

• Использование виртуальной сети для передачи данных, не предусмотренных политикой информационной безопасности.

Важной особенностью виртуальной инфраструктуры является то, что атака или неавторизованный доступ могут быть произведены из виртуальной сети, где отсутствуют такие устройства как коммутаторы, аппаратные межсетевые экраны и физические линии связи, что существенно затрудняет применение существующих методов и средств защиты информации в компьютерных сетях и ГРИД системах.

Распределенные и виртуальные вычислительные среды в настоящее время не имеют эффективных средств защиты информации. Одна из проблем заключается в отсутствии межсетевых экранов, способных функционировать в среде виртуальных машин так же эффективно, как существующие на рынке программно-аппаратные средства защиты информационных ресурсов и отражения компьютерных атак. Для ряда решений, например, свободно распространяемой и открытой облачной среды Eucalyptus, построенной на гипервизорах XEN или KVM, отсутствуют эффективные решения по защите виртуальных машин, несмотря на быстро растущую популярность данной среды, которая обеспечивается благодаря совместимости с интерфейсами продуктов от компании Amazon (Amazon EC2, Amazon S3) [90],[93].