Контакты
Подписка
МЕНЮ
Контакты
Подписка

Средства безопасного доступа к корпоративным облачным приложениям

Средства безопасного доступа к корпоративным облачным приложениям

В рубрику "Облака" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Средства безопасного доступа к корпоративным облачным приложениям

Юрий
Акаткин
Директор ФГУП “КБПМ"
Валерий
Конявский
Научный руководитель ВНИИПВТИ, научный консультант ЗАО “ОКБ САПР", д.т.н.

Доверенная среда в облаке реализуется, например, так.

  1. Доверенная среда на компьютерах пользователей может создаваться применением СЗИ НСД "Аккорд", СОДС "МАРШ!" или доверенным микрокомпьютером.
  2. Защищенный доступ пользователей к ВМ можно обеспечить применением VPN в доверенной среде для Web-доступа или системой доверенной терминальной загрузки "Центр-Т", основанной на применении СКЗИ "ШИПКА".
  3. Контролируемый старт (доверенная загрузка) системы виртуализации обеспечивается для VM Ware системой "Аккорд-В.", для MS HyperV – системой "ГиперАккорд".
  4. Защита ВМ осуществляется СЗИ НСД "Аккорд-VE" из состава названных выше "Аккорд-В." или "ГиперАккорд".
  5. Защита планировщика облака еще находится в разработке.

Создать доверенную среду хотя и непросто, но можно. Но достаточно ли этого? Вся логика развития технической защиты информации говорит, что нет, недостаточно. Действительно, даже для отдельного компьютера почти никогда не достаточно только применить электронный замок (например, "Аккорд-АМДЗ"), необходимо еще создавать и поддерживать изолированность программной среды, то есть применять средства разграничения доступа (например, "Аккорд Win64"). Причем необходимо эти средства настраивать правильным образом – с учетом всех программных средств, применяемых в составе IT.

Все, кто профессионально занимается защитой, хорошо понимают, что при изменении состава программных средств изолированность среды нужно проверять, часто – перенастраивать. В облаке несколько сложнее. Мы, клиенты, никогда не узнаем, что инженер службы защиты информации что-то перестроил или что-то добавил в среду. А эти действия могут все изменить.

Облако можно считать защищенным, если как минимум:

  • обеспечена доверенная среда на компьютерах пользователей;
  • защищен доступ пользователей к ВМ (Web или терминальный);
  • обеспечен контролируемый старт серверов ЦОД и ВМ на серверах;
  • защищены ВМ;
  • обеспечена контролируемая миграция ВМ (то есть используется защищенный планировщик).

Эти меры являются необходимыми, но не достаточными, без них говорить о защищенности облачной инфраструктуры нельзя, но они могут сильно расширяться.

Более того, и действия клиента могут все изменить. И если специалисту по безопасности еще можно условно доверять, то в подготовке клиента уверенности у нас еще меньше.

Если действия клиента по настройке своего компьютера несут в себе потенциальную угрозу, которая становится вполне реальной с учетом того, что в облаке клиентов много, то вывод напрашивается сам собой – средства клиента должны быть ненастраиваемые.

Ненастраиваемый защищенный микрокомпьютер для безопасного доступа к защищенным облачным сервисам создан в группе российских компаний. Его рабочее название – МК-ТРАСТ (торговая марка разрабатывается).

МК-ТРАСТ – это компактный микрокомпьютер на базе 4-ядерного процессора Cortex-А9 с HDMI-выходом, выполненный в виде dongle mini PC, с проверенной защищенной ОС Android, специальной подсистемой управления доступом к памяти. Это позволяет использовать его практически с любым монитором или телевизором, а также с устройствами с DVI-разъемом при наличии переходника.

Основная задача МК-ТРАСТ – создание доверенной вычислительной среды. Для этого память устройства, в которой расположена ОС, находится в аппаратно защищенном режиме – Read Only (только для чтения), что исключает возможность несанкционированных модификаций критичного ПО.

Для доступа к ДБО достаточно подключить защищенный микрокомпьютер МК-ТРАСТ к телевизору или монитору и безопасное взаимодействие уже обеспечено.
Рабочее место клиента размещается в ЦОД, который отвечает всем требованиям по защите информации.
Доступ к АБС выполняется из одной достоверно известной точки – ЦОД – по защищенному каналу.
Технология доверенного сеанса связи гарантирует безопасность доступа из любой точки мира.
Данные обрабатываются в защищенной вычислительной среде, а хранятся на устройстве.
Уровень защищенности ЦОД позволяет предложить программу страхования от кибермошенничества.

Для того чтобы начать доверенный сеанс связи с защищенным сервисом, пользователю достаточно подключить МК-ТРАСТ к монитору или телевизору с HDMI/DVI-портом и включить устройство, тем самым создав доверенную среду. В этой среде стартует браузер и все сопутствующее ПО, необходимое для работы, устанавливается защищенное соединение с сервером (VPN-шлюзом) удаленной защищенной ИС. В рамках доверенного сеанса связи обеспечивается защищенный обмен информацией между сервисом и клиентом с соблюдением всех требований № 63-ФЗ "Об электронной подписи".

Во время доверенного сеанса связи с сервисом пользователю гарантированно недоступны другие информационные ресурсы, которые могут быть потенциально опасными.

Рассмотрим особенности доверенного сеанса связи в случае, если сервис – это ДБО.

Концепция применения технологии защищенного мобильного устройства доступа к ДБО базируется в первую очередь на том факте, что клиент банка не обязан и не может быть специалистом по ИБ. Зачастую они даже не имеют представления о том, как уязвимы их банковские счета. При этом банк, предоставляющий услуги ДБО, просто не может проследить за состоянием защиты клиентского рабочего места, однако в соответствии с законодательством обязан компенсировать потери клиента.

В нашем случае клиент банка получает ненастраиваемое устройство, которое обеспечивает загрузку неизменяемой проверенной ОС, устанавливает защищенное с использованием криптографических алгоритмов соединение с защищенным ЦОД, в котором установлено ПО (клиент ДБО) для доступа к АБС банка. Риски клиентов и банка сведены к минимуму.

ОКБ САПР, ЗАО
115114 Москва,
2-й Кожевнический пер., 8
Тел.: (499) 235-6265
Факс: (495) 234-0310
E-mail: okbsapr@okbsapr.ru
www.okbsapr.ru,
www.accord.ru,
www.shipka.ru,
www.proSecret.ru,
www.proTerminaly.ru,
www.accord-v.ru,
www.марш.рф

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2014
Посещений: 6698

Приобрести этот номер или подписаться
  Автор

Юрий Акаткин

Юрий Акаткин

директор ФГУП "КБПМ"

Всего статей:  6

  Автор

Валерий Конявский

Валерий Конявский

Директор ВНИИПВТИ, доктор технических наук

Всего статей:  16

В рубрику "Облака" | К списку рубрик  |  К списку авторов  |  К списку публикаций