апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

12.04.2024

На RIGF 2024 обсудили ключевые вопросы цифрового развития России

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2013 / Выпуск №7 (30) / В «облака» издалека

Рубрика: Тема номера /  Аутсорсинг и безопасность

Константин Закатов, специалист отдела специальных проектов и технической защиты информации Центра Разработок производственной компании «Аквариус»

В «облака» издалека

Перечень основных вопросов, которые необходимо решить при размещении информации в облаках, хорошо иллюстрируется на примере рассмотрения процедуры формирования депозита в банке

Если обобщить некоторые материальные ценности, которые можно внести в депозитарную ячейку банка, в чем-то похожие на информацию ограниченного доступа, назвав их общим словом «объект», то эти вопросы можно сформировать следующим образом:

• Как будет обеспечена безопасность объекта, физически расположенного стационарно, его доступность и целостность?
• Как будет организован безопасный и персонализированный доступ к объекту лицом, имеющим на это право?

Первый вопрос финансово-кредитными учреждениями, а в нашем случае центрами обработки данных, решается самостоятельно на основании своих возможностей, с которыми они знакомят клиента при оформлении взаимоотношений.

Второй же вопрос зачастую пользователь должен решать самостоятельно, разбивая его на множество более мелких:

• как добраться до банка, имея при себе ценности;
• как в любой момент времени убедиться, что с хранимым все в порядке;
• как своевременно получить необходимую информацию, расположенную в хранилище, и т.д.

Организация защищенного доступа к облачным хранилищам по многим параметрам более трудоемка и требует комплексного подхода.

Данные в облаке располагаются, как правило, с условием обеспечения их непрерывной доступности для большого числа пользователей одновременно, однако в то же время доступ к ним осуществляется через открытые каналы связи, и с учетом особенностей прохождения электрических сигналов от ЦОДа к пользователю эти данные могут быть перехвачены или скомпрометированы.

Для установления защищенного соединения между клиентом и сервером применяются технологии, основанные на шифровании трафика различными способами – начиная от транспортных механизмов SSL и TLS и заканчивая полноценными, часто аппаратными VPN.

Именно полная совместимость с аппаратной платформой и отсутствие ошибок позволяют добиться максимального баланса между эффективностью работы и безопасностью доступа, приводя к обеспечению максимального уровня защиты и достижению практически полной прозрачности работы пользователя с облачным хранилищем.

Производственная компания «Аквариус», основываясь на собственном богатом опыте внедрения комплексных решений по защите облачной инфраструктуры, предлагает три варианта организации клиентских мест для удаленного доступа к данным в облаке.

Ключевые особенности решений:

• Возможность функционирования рабочих станций в системе электронного документооборота с применением средств электронной подписи.
• Использование в качестве идентификаторов USB-токенов и смарт-карт различных производителей;

Функционально законченное решение, отвечающее всем требованиям регуляторов по информационной безопасности.

Более подробно описания решений приведены ниже.

Рисунок 1. Тонкий клиент Aquarius CMP TCC U30 S20

Вариант 1 (архитектура x86)

Аппаратная платформа тонкого клиента Aquarius CMP TCC U30 S20 (архитектура x86) предполагает два варианта исполнения:

• Win-ТК, обеспечивает базовый уровень защиты посредством шифрования только HTTP-трафика;
• Lin-ТК, обеспечивает расширенный уровень защиты с шифрованием всего трафика, курсирующего между клиентом и сервером.

Состав и различие исполнений указано в таблице 1.

Таблица 1. Состав и различие исполнений тонких клиентов Aquarius CMP TCC U30 S20

Особенности Win-ТК:

• Шифруется только трафик, передаваемый по протоколу HTTP.
• Интерфейс операционной системы практически идентичен привычным интерфейсам операционных систем Windows XP и Windows 7 (в зависимости от версии), что обеспечивает удобство работы пользователей.
• Возможность использования функций электронной подписи (при условии поддержки данной функции прикладным программным обеспечением).

В данном варианте защищенное HTTPS-соединение между тонким клиентом и веб-сервером организуется c использованием протокола TLS 1.0 на продуктах компании «Крипто Про». При этом возможны два варианта аутентификации – аутентификация по сертификатам только на стороне сервера и обоюдная аутентификация при доступе к веб-серверу.

Во всех вариантах передаваемый по протоколу HTTP трафик шифруется с использованием российского криптографического алгоритма ГОСТ 28147-89.

Для разграничения доступа c тонких клиентов к ресурсам внешней сети в учреждении в качестве шлюза должен использоваться сертифицированный МСЭ, например, ПАК aQuaUserGate или ПАК aQuaInspector.

Рисунок 2. Схема функционирования Win-TK

Особенности Lin-ТК:

• Шифруется весь трафик, передаваемый от тонкого клиента до сервера вне зависимости от клиентского программного обеспечения.
• Возможность использования для защиты соединения по протоколам ICA, RDP и другим протоколам клиент-серверных приложений.
• Возможность использования функций электронной подписи (при условии поддержки данной функции прикладным прог-раммным обеспечением).
• Отсутствие необходимости применять сертифицированные МСЭ экраны на границе ЛВС (сертифицированный МСЭ реализован в специальном программном обеспечении).

В данном варианте c клиентского рабочего места до границы ЛВС ЦОД организуется защищенный VPN-туннель, при этом весь передаваемый трафик шифруется с использованием российского криптографического алгоритма ГОСТ 28147-89.

Функционирование защищенного тонкого клиента осуществляется в составе развернутой защищенной сети ViPNet:

• на границах ЦОД установлены криптомаршрутизаторы, например, ПАК ViPNet Coordinator HW‑1000 или HW-2000 (в зависимости от требуемой производительности шифрования трафика);
• в ЦОД расположен АРМ Администратора сети ViPNet Custom (Удостоверяющий ключевой центр и Центр управления сетью), с помощью которого осуществляется конфигурирование защищаемой сети ViPNet и определяются связи между клиентами защищаемой сети.

Соединение между тонким клиентом и ЦОД позволяет организовать защищенную передачу данных для любых приложений вне зависимости от используемого протокола (шифрование трафика происходит на сетевом уровне).

Помимо организации защищенного канала, ViPNet Client также имеет в своем составе сертифицированный ФСТЭК межсетевой экран по классу 4 (МСЭ).

Рисунок 3. Схема функционирования Lin-TK

Вариант 2 (архитектура ARM)

Тонкий клиент Aquarius CMP M10 S12 на платформе ARM v5, функционирующий под управлением операционной системы AquaNixStd и со встроенным VPN-клиентом ViPNet Client (сертификат ФСБ и ФСТЭК).

Рисунок 4. Тонкий клиент Aquarius CMP M10 S12

В состав решения входят:

• ОС AquaNixStd;
• ViPNet Client 3.2.

Преимущества:

• Шифруется весь трафик, передаваемый от тонкого клиента до сервера вне зависимости от клиентского ПО.
• Возможность использования для защиты соединения по протоколам ICA, RDP и другим протоколам клиент-серверных приложений.
• Отсутствие необходимости применять сертифицированные МСЭ экраны на границе ЛВС (сертифицированный МСЭ реализован в специальном программном обеспечении).
• Схема функционирования приведена на рис. 5 и функционально идентична схеме, предложенной для Lin-TK.

Рисунок 5. Схема функционирования ARM-TK

Технические особенности работы информационной системы в терминальном режиме, который является единственно возможным в случае использования облачных технологий, диктуют требования к защите не столько автоматизированных рабочих мест пользователей, сколько к каналам связи, по которым пользователю из ЦОД передается вся необходимая информация. Основные информационные процессы инициируются по команде пользователя не локально, а удаленно, поэтому именно задача по созданию надежного, отказоустойчивого и защищенного по требованиям безопасности канала связи решается в первую очередь при проектировании системы защиты информации для облачного сервиса.

Комплексный подход к обеспечению информационной безопасности данных, хранящихся в облачной инфраструктуре, должен включать в себя не только технические решения, полный обзор которых не поместится в рамки данной статьи. Не менее важным является грамотная организация процесса работы с информационными ресурсами в целях снижения издержек при проектировании системы защиты информации, а также непосредственно в процессе работы с информацией ограниченного доступа.

Ключ к созданию максимально сбалансированной информационной системы, в которой подсистема защиты информации не оказывает влияния на скорость передачи данных между элементами, лежит в плоскости распределения функций, выполняемых разными средствами, исключении их дублирования и полноценной отладке аппаратной и программной частей будущего решения.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи