Безопасность в публичном «облаке» VPN тунель как инструмент защиты

в Москве и области

в Москве и области

  • Главная » web » Безопасность в публичном «облаке»

    Безопасность в публичном «облаке»

    Обеспечение безопасности сетевых взаимодействий в публичном облаке осуществляется обычно через специальный «туннель» VPN. Он объединяет клиентов и серверы, предоставляет публичные облачные услуги. VPN-соединение дает безопасный доступ к веб-ресурсам, к которым имеют доступ все пользователи публичного облака. На практике это реализуется криптошифрованием, используется открытый и закрытый ключи на основе протокола  SSL (SecureSocketsLayer).

    Туннели VPN

    Основные реализации туннелей VPN:

    • соединения класса FrameRelay (AsynchronousTransferMode) между связываемыми пиринговыми точками сетевой инфраструктуры, с надежной изоляцией соединений с помощью виртуально встраиваемых каналов;
    • IP-туннелирование узлов сети, когда пакет зашифрованных данных «вкладывается» в конверт для передачи в IP-туннеле.

    VPN-туннели создают для клиентов в форме локальной сети (LAN+SecurityGateway) или точки доступа с сетевым ПО шифрования и аутентификации. Через шлюз проходит весь интранет-трафик. VPN-адрес шлюза указывается в качестве адреса входного пакета в туннеле, а расшифрованный его адрес – как адрес хоста.

    Подсистема безопасности виртуализации

    Безопасность механизмов виртуализации – основа надежности виртуальных сред. Успешная атака на гипервизор дает возможность злоумышленнику скрытно копировать или блокировать информационные потоки (HDD, USB, PRN) даже в выключенном состоянии. Безопасность в подсистеме обеспечивается разграничением прав и приоритетами доступа к серверу виртуализации. Если злоумышленник получает доступ к администрированию системы, то он получит доступ к управлению всей инфраструктурой, всем трафиком и сможет создавать сети репликации.

    При обработке в облаках есть особенности, в физической инфраструктуре отсутствующие, уязвимости используются для атак:

    • система управления инфраструктурой – сама объект, проникновение в которую даст доступ к гипервизорам, информации обрабатываемой гостевыми машинами;
    • защитные средства для физической инфраструктуры, не всегда учитывают требовательность гипервизора;
    • диск гостевой машины размещают обычно в устройстве сетевого хранения, которое физически защищаемо;
    • межсетевой экран не всегда контролирует трафик сервера виртуализации (взаимодействий гостевых машин по сети).

    Каналы передач данных сервера виртуализации не защищены часто, хотя по ним передают фрагменты памяти «клиентов» (обычно с информацией служебного доступа).

     

NAN
0,0 rating
+ 0
1