Безопасность в публичном «облаке»

Категория: web
Дата публикации: 2022-03-06
[post-views id="30308"]

Обеспечение безопасности сетевых взаимодействий в публичном облаке осуществляется обычно через специальный «туннель» VPN. Он объединяет клиентов и серверы, предоставляет публичные облачные услуги. VPN-соединение дает безопасный доступ к веб-ресурсам, к которым имеют доступ все пользователи публичного облака. На практике это реализуется криптошифрованием, используется открытый и закрытый ключи на основе протокола  SSL (SecureSocketsLayer).

Туннели VPN

Основные реализации туннелей VPN:

  • соединения класса FrameRelay (AsynchronousTransferMode) между связываемыми пиринговыми точками сетевой инфраструктуры, с надежной изоляцией соединений с помощью виртуально встраиваемых каналов;
  • IP-туннелирование узлов сети, когда пакет зашифрованных данных «вкладывается» в конверт для передачи в IP-туннеле.

VPN-туннели создают для клиентов в форме локальной сети (LAN+SecurityGateway) или точки доступа с сетевым ПО шифрования и аутентификации. Через шлюз проходит весь интранет-трафик. VPN-адрес шлюза указывается в качестве адреса входного пакета в туннеле, а расшифрованный его адрес – как адрес хоста.

Подсистема безопасности виртуализации

Безопасность механизмов виртуализации – основа надежности виртуальных сред. Успешная атака на гипервизор дает возможность злоумышленнику скрытно копировать или блокировать информационные потоки (HDD, USB, PRN) даже в выключенном состоянии. Безопасность в подсистеме обеспечивается разграничением прав и приоритетами доступа к серверу виртуализации. Если злоумышленник получает доступ к администрированию системы, то он получит доступ к управлению всей инфраструктурой, всем трафиком и сможет создавать сети репликации.

При обработке в облаках есть особенности, в физической инфраструктуре отсутствующие, уязвимости используются для атак:

  • система управления инфраструктурой – сама объект, проникновение в которую даст доступ к гипервизорам, информации обрабатываемой гостевыми машинами;
  • защитные средства для физической инфраструктуры, не всегда учитывают требовательность гипервизора;
  • диск гостевой машины размещают обычно в устройстве сетевого хранения, которое физически защищаемо;
  • межсетевой экран не всегда контролирует трафик сервера виртуализации (взаимодействий гостевых машин по сети).

Каналы передач данных сервера виртуализации не защищены часто, хотя по ним передают фрагменты памяти «клиентов» (обычно с информацией служебного доступа).

 

Комментарии закрыты.

+

Авторизуйтесь

Это не займет больше 5 секунд
Я даю согласия на обработку своих персональных данных и получение информационных сообщений

Авторизуйтесь

Это не займет больше 5 секунд
go top НА ВЕРХ