В «облака» издалека::БИТ 07.2013
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
октябрь    2020
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

21.10.2020

Консультации, обучение и онлайн-сервисы: самые востребованные за 9 месяцев 2020 года меры поддержки малого бизнеса от MBM.MOS

Читать далее 

19.10.2020

Ускоренное внедрение цифровых технологий в деятельность предприятий АПК как приоритет в цифровой повестке регионов

Читать далее 

15.10.2020

Цифровизация в ритейле: тренды, вызовы и новые решения

Читать далее 

15.10.2020

7-й Бизнес-форум 1С:ERP

Читать далее 

показать все 

Статьи

11.10.2020

Soft skills или hard skills?

Читать далее 

10.09.2020

Как и чему учить будущих звезд ИТ?

Читать далее 

12.08.2020

Господдержка ИТ-отрасли

Читать далее 

11.08.2020

Интернет-маркетинг: второе дыхание

Читать далее 

15.05.2020

Жить под водой, мечтая о солнце

Читать далее 

13.02.2020

Чат-бот CallShark не требует зарплаты, а работает круглосуточно

Читать далее 

24.12.2019

До встречи в «Пьяном Сомелье»!

Читать далее 

21.12.2019

Искусство как награда Как изготавливали статуэтки для премии IT Stars им. Георгия Генса в сфере инноваций

Читать далее 

04.12.2019

ЛАНИТ учредил премию IT Stars памяти основателя компании Георгия Генса

Читать далее 

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

показать все 

В «облака» издалека

Главная / Архив номеров / 2013 / Выпуск №7 (30) / В «облака» издалека

Рубрика: Тема номера /  Аутсорсинг и безопасность


Константин Закатовспециалист отдела специальных проектов и технической защиты информации Центра Разработок производственной компании «Аквариус»

В «облака» издалека

Перечень основных вопросов, которые необходимо решить при размещении информации в облаках, хорошо иллюстрируется на примере рассмотрения процедуры формирования депозита в банке

Если обобщить некоторые материальные ценности, которые можно внести в депозитарную ячейку банка, в чем-то похожие на информацию ограниченного доступа, назвав их общим словом «объект», то эти вопросы можно сформировать следующим образом:

  • Как будет обеспечена безопасность объекта, физически расположенного стационарно, его доступность и целостность?
  • Как будет организован безопасный и персонализированный доступ к объекту лицом, имеющим на это право?

Первый вопрос финансово-кредитными учреждениями, а в нашем случае центрами обработки данных, решается самостоятельно на основании своих возможностей, с которыми они знакомят клиента при оформлении взаимоотношений.

Второй же вопрос зачастую пользователь должен решать самостоятельно, разбивая его на множество более мелких:

  • как добраться до банка, имея при себе ценности;
  • как в любой момент времени убедиться, что с хранимым все в порядке;
  • как своевременно получить необходимую информацию, расположенную в хранилище, и т.д.

Организация защищенного доступа к облачным хранилищам по многим параметрам более трудоемка и требует комплексного подхода.

Данные в облаке располагаются, как правило, с условием обеспечения их непрерывной доступности для большого числа пользователей одновременно, однако в то же время доступ к ним осуществляется через открытые каналы связи, и с учетом особенностей прохождения электрических сигналов от ЦОДа к пользователю эти данные могут быть перехвачены или скомпрометированы.

Для установления защищенного соединения между клиентом и сервером применяются технологии, основанные на шифровании трафика различными способами – начиная от транспортных механизмов SSL и TLS и заканчивая полноценными, часто аппаратными VPN.

Именно полная совместимость с аппаратной платформой и отсутствие ошибок позволяют добиться максимального баланса между эффективностью работы и безопасностью доступа, приводя к обеспечению максимального уровня защиты и достижению практически полной прозрачности работы пользователя с облачным хранилищем.

Производственная компания «Аквариус», основываясь на собственном богатом опыте внедрения комплексных решений по защите облачной инфраструктуры, предлагает три варианта организации клиентских мест для удаленного доступа к данным в облаке.

Ключевые особенности решений:

  • Возможность функционирования рабочих станций в системе электронного документооборота с применением средств электронной подписи.
  • Использование в качестве идентификаторов USB-токенов и смарт-карт различных производителей;

Функционально законченное решение, отвечающее всем требованиям регуляторов по информационной безопасности.

Более подробно описания решений приведены ниже.

Рисунок 1. Тонкий клиент Aquarius CMP TCC U30 S20
Рисунок 1. Тонкий клиент Aquarius CMP TCC U30 S20

Вариант 1 (архитектура x86)

Аппаратная платформа тонкого клиента Aquarius CMP TCC U30 S20 (архитектура x86) предполагает два варианта исполнения:

  • Win-ТК, обеспечивает базовый уровень защиты посредством шифрования только HTTP-трафика;
  • Lin-ТК, обеспечивает расширенный уровень защиты с шифрованием всего трафика, курсирующего между клиентом и сервером.

Состав и различие исполнений указано в таблице 1.

Таблица 1. Состав и различие исполнений тонких клиентов Aquarius CMP TCC U30 S20

  Win-TK Lin-TK
Операционная система ОС Microsoft Windows Embedded Альтлинукс СПТ 6.0 32-bit
Специальное ПО Крипто ПРО 3.6 R2 ViPNet Client 3.2
Антивирус Dr.Web Desktop Security Suite

Особенности Win-ТК:

  • Шифруется только трафик, передаваемый по протоколу HTTP.
  • Интерфейс операционной системы практически идентичен привычным интерфейсам операционных систем Windows XP и Windows 7 (в зависимости от версии), что обеспечивает удобство работы пользователей.
  • Возможность использования функций электронной подписи (при условии поддержки данной функции прикладным программным обеспечением).

В данном варианте защищенное HTTPS-соединение между тонким клиентом и веб-сервером организуется c использованием протокола TLS 1.0 на продуктах компании «Крипто Про». При этом возможны два варианта аутентификации – аутентификация по сертификатам только на стороне сервера и обоюдная аутентификация при доступе к веб-серверу.

Во всех вариантах передаваемый по протоколу HTTP трафик шифруется с использованием российского криптографического алгоритма ГОСТ 28147-89.

Для разграничения доступа c тонких клиентов к ресурсам внешней сети в учреждении в качестве шлюза должен использоваться сертифицированный МСЭ, например, ПАК aQuaUserGate или ПАК aQuaInspector.

Рисунок 2. Схема функционирования Win-TK

Рисунок 2. Схема функционирования Win-TK

Особенности Lin-ТК:

  • Шифруется весь трафик, передаваемый от тонкого клиента до сервера вне зависимости от клиентского программного обеспечения.
  • Возможность использования для защиты соединения по протоколам ICA, RDP и другим протоколам клиент-серверных приложений.
  • Возможность использования функций электронной подписи (при условии поддержки данной функции прикладным прог-раммным обеспечением).
  • Отсутствие необходимости применять сертифицированные МСЭ экраны на границе ЛВС (сертифицированный МСЭ реализован в специальном программном обеспечении).

В данном варианте c клиентского рабочего места до границы ЛВС ЦОД организуется защищенный VPN-туннель, при этом весь передаваемый трафик шифруется с использованием российского криптографического алгоритма ГОСТ 28147-89.

Функционирование защищенного тонкого клиента осуществляется в составе развернутой защищенной сети ViPNet:

  • на границах ЦОД установлены криптомаршрутизаторы, например, ПАК ViPNet Coordinator HW‑1000 или HW-2000 (в зависимости от требуемой производительности шифрования трафика);
  • в ЦОД расположен АРМ Администратора сети ViPNet Custom (Удостоверяющий ключевой центр и Центр управления сетью), с помощью которого осуществляется конфигурирование защищаемой сети ViPNet и определяются связи между клиентами защищаемой сети.

Соединение между тонким клиентом и ЦОД позволяет организовать защищенную передачу данных для любых приложений вне зависимости от используемого протокола (шифрование трафика происходит на сетевом уровне).

Помимо организации защищенного канала, ViPNet Client также имеет в своем составе сертифицированный ФСТЭК межсетевой экран по классу 4 (МСЭ).

Рисунок 3. Схема функционирования Lin-TK

Рисунок 3. Схема функционирования Lin-TK

Вариант 2 (архитектура ARM)

Тонкий клиент Aquarius CMP M10 S12 на платформе ARM v5, функционирующий под управлением операционной системы AquaNixStd и со встроенным VPN-клиентом ViPNet Client (сертификат ФСБ и ФСТЭК).

Рисунок 4. Тонкий клиент Aquarius CMP M10 S12

Рисунок 4. Тонкий клиент Aquarius CMP M10 S12

В состав решения входят:

  • ОС AquaNixStd;
  • ViPNet Client 3.2.

Преимущества:

  • Шифруется весь трафик, передаваемый от тонкого клиента до сервера вне зависимости от клиентского ПО.
  • Возможность использования для защиты соединения по протоколам ICA, RDP и другим протоколам клиент-серверных приложений.
  • Отсутствие необходимости применять сертифицированные МСЭ экраны на границе ЛВС (сертифицированный МСЭ реализован в специальном программном обеспечении).
  • Схема функционирования приведена на рис. 5 и функционально идентична схеме, предложенной для Lin-TK.

Рисунок 5. Схема функционирования ARM-TK

Рисунок 5. Схема функционирования ARM-TK

Технические особенности работы информационной системы в терминальном режиме, который является единственно возможным в случае использования облачных технологий, диктуют требования к защите не столько автоматизированных рабочих мест пользователей, сколько к каналам связи, по которым пользователю из ЦОД передается вся необходимая информация. Основные информационные процессы инициируются по команде пользователя не локально, а удаленно, поэтому именно задача по созданию надежного, отказоустойчивого и защищенного по требованиям безопасности канала связи решается в первую очередь при проектировании системы защиты информации для облачного сервиса.

Комплексный подход к обеспечению информационной безопасности данных, хранящихся в облачной инфраструктуре, должен включать в себя не только технические решения, полный обзор которых не поместится в рамки данной статьи. Не менее важным является грамотная организация процесса работы с информационными ресурсами в целях снижения издержек при проектировании системы защиты информации, а также непосредственно в процессе работы с информацией ограниченного доступа.

Ключ к созданию максимально сбалансированной информационной системы, в которой подсистема защиты информации не оказывает влияния на скорость передачи данных между элементами, лежит в плоскости распределения функций, выполняемых разными средствами, исключении их дублирования и полноценной отладке аппаратной и программной частей будущего решения.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №08 (101) 2020г.
Выпуск №08 (101) 2020г. Выпуск №07 (100) 2020г. Выпуск №06 (99) 2020г. Выпуск №05 (98) 2020г. Выпуск №04 (97) 2020г. Выпуск №03 (96) 2020г. Выпуск №02 (95) 2020г. Выпуск №01 (94) 2020г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика