НАДО ПОМНИТЬ, что широкие возможности и многочисленные удобства облачных сервисов могут привести бизнес к новым точкам уязвимости. И часто чем больше в облаках удобства, тем меньше безопасности, и наоборот

Эта структура стала децентрализованной, в значительной мере распределенной, то есть облачной или почти облачной. Ее пользователи уже не знают, какие именно технологии и сети доставляют их голос, видео и текстовые сообщения до адресата. Но у этой гибкости есть и оборотная сторона — информация, обращающаяся в таких коммуникационных облаках, представляет ценность как для добропорядочных пользователей, так и для злоумышленников, которые стремятся украсть эти ценные данные.

Постараемся разобраться, какие угрозы для компании исходят из коммуникационного облака и как от этих угроз можно защититься. Причем рассматривать будем в основном внутрикорпоративные или гибридные облака, хотя бы часть которых находится под контролем корпоративной ИТ-службы.

Мосты в облаках

Модель угроз для коммуникационного облака складывается в зависимости от того, для каких целей это облако используется. Например, если компания практикует ВКС в производственных совещаниях, то блокирование конференций может привести к сбоям обычных бизнес-процессов в компании и частичной потере контроля над деятельностью ее филиалов. Для защиты от таких угроз стоит дублировать каналы связи между элементами облака, благо технология это позволяет. К тому же вполне возможно, что перехват этих сеансов не представляет ценности для злоумышленников.

В то же время для компании, которая согласовывает через облако, например, ценную техническую документацию, важнее конфиденциальность, чем доступность. «В том, что уровень информационной безопасности облачных сервисов, предоставляющих инфраструктуру для ВКС, достаточен, пока еще есть определенные сомнения, — отметил Виталий Муштаев, технический директор Optima Integration, — и это одна из причин, почему крупный бизнес не доверяет облакам». Провайдеры, к чьим услугам приходится прибегать для построения гибридных облаков, не могут гарантировать, что информация не будет перехвачена посторонними, и заказчику остается лишь верить на слово поставщику коммуникационного сервиса.

Собственно, коммуникационное облако формируется из нескольких подсистем, они используют общий адрес пользователя, но каждая выполняет свой набор функций, а часто и работает на основе собственной платформы. В частности, в составе такого облака есть серверы IP-телефонии, которые занимаются маршрутизацией звонков, есть пограничные шлюзы, которые позволяют стыковать части облака между собой и одно облако с другим, есть серверы приложений, реализующие поддержку коммуникационных протоколов служб передачи мгновенных сообщений, видеоконференций, передачи файлов, электронной почты и др.

Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems, выделяет в составе коммуникационного облака следующие модули: управления соединениями, клиентские, голосового трафика, межофисного взаимодействия и приложений. «Для каждого модуля мы проанализировали специфические угрозы и реализовали набор защитных механизмов, — пояснил он. — Например, для модуля голосового трафика мы обеспечиваем целостность и конфиденциальность переговоров. А для модуля управления соединением реализуем взаимную аутентификацию участников коммуникаций. Для модуля приложений реализуется защита от вирусов и иных угроз с помощью специализированной версии ОС — специально настроенной и протестированной».

До недавнего времени приложения, входящие в состав коммуникационного облака, были отделены друг от друга и развивались независимо. В результате редко в какой компании все они построены на решениях одного производителя. Это приводит к тому, что в системе возникает несколько независимых друг от друга подсистем. Что, по мнению руководителя TrueConf Михаила Готальского, может обернуться проблемой сопряжения этих систем: «Не существует даже идеального представления о системе управления, которая позволила бы объединить доменную структуру Windows, LDAP-структуру Unix-домена, систему хранения данных пользователей на базе СУБД, разные веб- и почтовые ресурсы корпорации в Интернете плюс широкий список оборудования — от принтеров до маршрутизаторов и другого коммуникационного оборудования». Из-за подобного «разносола» в коммуникационном облаке могут возникнуть неуправляемые учетные записи, используемые злоумышленниками для проникновения в систему.

Если же компания не только использует собственные коммуникационные облака, но и подключается к сторонним сервисам, то в ее облаке появляются компоненты, управляемые в том числе и внешними специалистами, что может таить дополнительные опасности. «Надо помнить, что широкие возможности и многочисленные удобства облачных сервисов могут привести бизнес к новым точкам уязвимости, — предупредил Алексей Бессарабский, руководитель отдела маркетинга «Манго Телеком». — И часто чем больше в облаках удобства, тем меньше безопасности, и наоборот». По его словам эластичность и неограниченная масштабируемость облачных сервисов — это и неограниченные возможности для воровства трафика. А самостоятельное управление услугами может привести к неконтролируемому использованию телекоммуникационных ресурсов. Интеллектуальные сервисы распределения вызовов, переадресации звонков и сообщений, записи разговоров дают новые (по сравнению, например, со взломом SIP) возможности перехвата звонков, подслушивания, доступа к конфиденциальной информации.

Опасности коммуникаций

Для всех элементов коммуникационного облака актуальными остаются угрозы, присущие распределенным автоматизированным системам, которые мы уже обсуждали в статье «Опасны ли облака?» («Сети» № 7, 2010). Но для коммуникационных облаков некоторые угрозы особенно актуальны. Перечислим их.

  • Потеря контроля над ресурсами облака. Для коммуникационных облаков эта угроза наиболее актуальна, поскольку расходы на междугородную или международную связь являются лакомым куском для мошенников, которые стараются взломать корпоративные коммуникационные сервисы и продать их как собственную услугу на сторону. Пострадавшая компания иногда оплачивает эти услуги, даже не понимая, что помогает злоумышленникам.
  • Утечки ценной информации. Коммуникационные сервисы обычно содержат много ценной и даже секретной информации, ее утечка может повредить компании. Это могут быть банальные телефонные справочники с адресами и контактами потенциальных клиентов или же файлы документов, которыми обмениваются сотрудники. Контролировать утечки данных из облака, которое к тому же постоянно взаимодействует с внешними сервисами, значительно труднее, чем в корпоративной сети, обнесенной по периметру межсетевыми экранами.
  • Несанкционированный доступ. Коммуникационное облако, в отличие от облака вычислительного, не является монолитным и часто не имеет единой системы управления — для него важно решить задачу не только надежной аутентификации пользователей, но и оборудования, с которого пользователь получает доступ к ресурсам облака. С одной стороны, контроль доступа должен основываться на пользователях, а не на устройствах, но с другой — и устройства, используемые легальными пользователями, также должны проверяться на наличие в них вредоносных элементов. Поэтому стандартная задача аутентификации пользователей и устройств в коммуникационном облаке усложняется многократно. «Рапределенность облаков означает, в частности, и распределенность авторизационной информации, — поясняет Готальский. — В результате при обновлении информации в одной части облака, например запрете доступа, данные могут какое-то время не дойти до другой части, что создает брешь в системе безопасности».

Кроме этих общих облачных угроз, коммуникационные облака имеют и некоторые дополнительные проблемы.

  • Слежка за сотрудниками. Коммуникационные сервисы, как правило, имеют информацию о местоположении сотрудника или хотя бы о том устройстве, с помощью которого можно с ним связаться. Получив доступ к этой информации, злоумышленник способен проследить перемещения сотрудника и, зная эту информацию, нанести ему вред.
  • Внутреннее мошенничество и социальная инженерия. Поскольку облачный сервис является внутрикорпоративным, то несанкционированное его использование может привести к серьезным потерям. В частности, если постороннему удастся обмануть систему аутентификации и представиться сотрудником компании, то он с помощью методов социальной инженерии сможет выполнить действия якобы от имени легитимных пользователей. Впрочем, и сами сотрудники могут использовать сложную структуру облачного сервиса для воровства средств у собственной компании — это уже будет внутренним мошенничеством. От него тоже нужно уметь защищаться.
  • DDoS. Вообще-то облака призваны решить проблему надежности, автоматически перераспределяя ресурсы между сетевыми узлами в случае выхода из строя некоторых из них. Поэтому облако вывести из строя сложнее, чем отдельно стоящий сервер. Тем не менее коммуникационное облако, состоящее из нескольких разнородных подсистем, более подвержено этому типу атак — управление видеопотоками и телефонными звонками может затруднить управление системой и привести к образованию «бутылочных горлышек». Если же еще и внешние злоумышленники попытаются провести атаку, направленную на вывод сервисов из строя, то, вполне возможно, что они с этим справятся.

Таким образом, коммуникационные сервисы представляют больше возможностей для нападения, чем классические облака, а защита их является более сложной.

***

У нас в стране пока коммуникационные облака не очень распространены, поэтому российским компаниям только предстоит внедрять их для своих сотрудников. Желательно, чтобы в процессе разрвертывания таких сервисов были продуманы в том числе и требования по обеспечению безопасности коммуникационных облаков — они, как было рассказано выше, гораздо более жесткие, чем требования для обычных вычислительных распределенных систем. Внедрение эффективной информационной защиты непременно окупится и в этом случае.

На страже облаков

 

Естественно, что и методы защиты также можно разделить на два типа: общие для облаков и специфичные для коммуникационных сервисов. Про общие методы защиты мы уже писали на страницах «Сетей», а сейчас подробнее разберем защиту от специфических нападений.

  • Контроль мобильных устройств. Облачными сервисами наиболее удобно пользоваться с мобильных устройств, которые сейчас могут быть на связи постоянно. Подключив такое устройство к общей корпоративной сети предприятия, сотрудник может фактически все время выполнять свои служебные обязанности, даже не находясь на рабочем месте. Причем само устройство может быть использовано не только для определения местоположения сотрудника, но и для выбора метода связи с ним. Например, если устройство подсоединено по Wi-Fi к беспроводной сети предприятия, то и звонить сотруднику можно не на мобильный, а на корпоративный телефон — этот выбор может сделать сама система управления коммуникационным облаком. В частности, именно так можно настроить поведение системы Lync, разработанной Microsoft. Для обеспечения безопасности работы с мобильными устройствами лучше развернуть на предприятии систему Mobile device management (MDM), которая позволила бы централизованно контролировать атаки на мобильные устройства и нарушения корпоративной политики безопасности.
  • Контроль над расходами. Для предотвращения мошенничества с телекоммуникационной сетью в компании, скорее всего, придется развернуть систему борьбы с мошенничеством, которая позволяет анализировать направления телефонных звонков и передачу файлов вовне, осуществляя поиск в этих данных сведений о злоупотреблениях сотрудников и утечек важной информации. Такие системы защиты от мошенничества уже разработаны для операторов связи, но их можно использовать и для защиты от мошенничества в корпоративной сети. Впрочем, можно обойтись и более простыми средствами. Как говорит Лукацкий, уже «реализовано немало механизмов защиты от внутреннего мошенничества: аутентификация на клиентском устройстве; аутентификация администратора; привязка номера телефона не к используемому устройству, а к пользователю; план номеров, не позволяющий звонить сотруднику куда не положено, исходя из его роли, и некоторые другие».
  • Аутентификация и шифрование. Традиционно для защиты облачных сервисов от перехвата данных используются технологии шифрования. Облачные коммуникационные сервисы во многом основаны на SIP-протоколе. «Мы используем аккуратную схему авторизации запрос-ответ, которая исключает кражи паролей, — пояснил Бессарабский. — Однако легкая доступность каналов IP-коммуникаций дает возможность атак типа Man in the Middle, возможность прослушивания и перехвата сессий». Для защиты от последних типов атак используется шифрование с помощью стандартных протоколов TLS или S/MIME. А это требует использования PKI. Поэтому для коммуникационных сервисов, особенно таких как VoIP или ВКС, для шифрования, скорее всего, придется использовать высокопроизводительное сетевое оборудование. Сейчас появляются специализированные устройства, позволяющие объединить сегменты облаков предприятия в единое целое на достаточно большой скорости с помощью аппаратного шифрования. Например, такой продукт выпустила компания «С-Терра» на базе оборудования Cisco.
  • Управление идентификацией, или Identity and Access Management (IAM). Такая система нужна и для защиты обычных облаков, однако в многослойной структуре коммуникационного облака без нее вообще невозможно эффективно работать. По словам Бессарабского, «у типичного пользователя облачных сервисов отсутствует система управления учетными записями, а попытки провайдера внедрить определенные политики внутренней безопасности клиентами обычно игнорируются». Выход, по его мнению, в предоставлении облачных услуг IAM самим оператором внешнего облака. И потребность в таких услугах будет только возрастать, по мере того как компании будут интегрировать свои ИТ-системы со все большим количеством облачных сервисов. Для доступа к ним компании придется выработать единую политику управления учетными записями, правами и ролями пользователей.