Компании и организации спешат сегодня заполучить преимущества, которые сулят бизнесу социальные сети и различные коллегиально используемые веб-приложения. Однако при этом часто игнорируется необходимость применения эффективных методов обеспечения информационной безопасности по причине незнания слабых сторон и особенностей работы в облаках с их распределенной средой, ориентированной на обработку различных данных, в том числе и конфиденциальных.

Многие облачные приложения не рассчитаны на поддержку строгих мер информационной безопасности, необходимых в государственном и частном секторе, поэтому при оценке соответствия облачных приложений нормативным требованиям нередко выясняется, что они были спроектированы в расчете на использование в едином домене безопасности, заведомо обеспечивающем надежность. Вместе с тем если проектировщики изначально не предусматривают соответствия своих разработок требованиям надежных междоменных взаимодействий, то оказывается, что имеющиеся меры безопасности не подходят для сред с множеством классификаций объектов. Однако возможными рисками безопасности руководство зачастую пренебрегает на фоне перспектив повышения результативности, которые сулит применение облаков.

Выполнение требований

Задача специалистов по безопасности — обеспечить конфиденциальность, целостность и доступность ценных для организации информационных активов и в то же время наладить в динамичной среде коллективной работы надежный обмен конфиденциальными данными, связанными с интеллектуальной собственностью, разведывательными сведениями или финансовой информацией. Для этого необходимо взять на вооружение атомарную или объектную парадигму разграничения доступа, которые предоставляют сильные средства контроля, позволяющие принимать решения на уровне отдельных элементов информации. Не следует полагаться на традиционную парадигму, ориентированную на сеть, которая дает пользователям широкие привилегии доступа с использованием сетевых сервисов безопасности для информации вообще, а не ее конкретных, действительно конфиденциальных кусков.

  Строгий контроль доступа особенно важен для правительственных структур, которые, в отличие от коммерческих компаний, не могут купить страховку от ущерба или провести ребрендинг после крупного инцидента с информационной безопасностью. Переход на парадигму атомарного разграничения, реализующую адекватный контроль доступа для облачных сред, требует целостного подхода к обеспечению безопасности.

Среда взаимодействия в реальном времени

Предлагаемый авторами исследовательский проект представляет собой комплексную широкомасштабную инициативу по разработке защищенной облачной среды, поддерживающей корпоративные веб-приложения для коллективной работы. Данная среда, рассчитанная на взаимодействие в режиме реального времени, обеспечивает безопасность более полно, чем позволяет уровень ячейки баз данных. Она абстрагирует конечные точки от сетевой инфраструктуры в целях снижения рисков для конфиденциальности и целостности данных, а также  меняет существующие парадигмы управления информацией и ее использования. Тем самым такая среда предоставляет сквозное решение, устраняющее фундаментальные помехи защищенному обмену данными.

Цель проекта — снизить барьер доступа к инструментам для разработчиков, ускорить и удешевить создание защищенных приложений. Для этого предлагается платформа категории Open Source, реализующая среду, которая предоставляет полный набор необходимых мер безопасности. Эта платформа позволит разработчикам вводить SaaS-приложения в централизованно управляемую среду, отвечающую высоким стандартам мер безопасности, принимаемых в условиях постоянно растущих киберугроз. Центральный элемент предлагаемого подхода — модель контроля доступа, обеспечивающая безопасность атомарного уровня (atomic-level security, ALS).

Суть проблемы

Приложения с шифрованием

В ряде случаев требования к безопасности приложений можно выполнить с помощью стандартных технологий защиты, и, как правило, разработчикам советуют использовать именно их, однако иногда нельзя применять стандартные средства.

Стефен Фаррелл

Исторически контроль доступа на уровне малых элементов данных применялся лишь для отдельных приложений, служащих для защиты критически важной информации, но современная ситуация с киберугрозами требует более развитых средств контроля доступа к информации, используемой в приложениях. Кроме того, ввиду бюджетных ограничений для всех стадий жизненного цикла разработки систем требуются экономически эффективные распределенные масштабируемые решения. Ограниченность бюджетов вызывает инициативы по снижению расходов на инфраструктуру и поддержку, ориентированные прежде всего на виртуализацию центров обработки данных и настольных ПК. Однако для виртуализированных приложений при этом по-прежнему используются средства контроля доступа, рассчитанные на работу в едином домене безопасности. Ясно, что такие инициативы могут принести экономию, но они не решают проблем, возникающих при наличии нескольких доменов безопасности и создающих помехи взаимодействию в корпоративной среде в режиме реального времени.

Различающиеся политики безопасности

ИТ-инфраструктура предприятия нередко делится на сети, управляемые разными политиками безопасности, и в этом случае большую часть задач защиты обмена информацией выполняют механизмы междоменного доступа (cross-domain access) и междоменного переноса (cross-domain transfer). Средства междоменного доступа обеспечивают возможность одновременного защищенного доступа к компьютерам, находящимся в разных сетевых доменах безопасности, а средства переноса позволяют надежно перемещать файлы между сетевыми доменами безопасности. Однако все эти механизмы навязывают парадигму контейнерного разграничения доступа, согласно которой информация в сетях, приложениях и файлах управляется как единое целое, а не на уровне ее элементов. В результате появляются узкие места и задержки выполнения транзакций, а при использовании механизмов междоменного переноса — многочисленные несинхронизированные копии файлов в разных сетевых доменах безопасности.

Еще один вид междоменного механизма — многоуровневая безопасность (multi-level security, MLS) — основан на применении контроля доступа на уровне мелких элементов информации. Согласно определению Комитета по государственным системам безопасности США, MLS — это «принцип обработки данных различной классификации и разных категорий, позволяющий одновременно предоставлять доступ пользователям с разными уровнями допуска и запрещать его пользователям, не имеющим необходимых полномочий». Нередко здесь не обращают внимания на ключевую фразу «обработка данных различной классификации», вследствие чего MLS путают с множественными уровнями безопасности (multiple security levels, MSL). MSL, по определению, это «способность доверенной информационной системы создавать и сохранять границы между ресурсами (особенно хранимыми данными) разных доменов безопасности».

С течением времени модель MLS начали воспринимать как сложную и негибкую, а ее цели оказались недостижимыми и затратными. Это привело к переходу на парадигму безопасности, ориентированную на сеть или контейнерное разграничение. Пример — организация множественных уровней безопасности с помощью нескольких сетей и решений для контроля доступа. Однако реализации таких парадигм требуют существенных расходов на инфраструктуру, лицензирование и сопровождение, они недостаточно масштабируются, чтобы обеспечивать необходимую прозрачность данных.

Идея физического разделения сетей разных доменов безопасности («воздушного просвета») с точки зрения возможности междоменного взаимодействия небезупречна.

Поиск решений

Поставщики ИТ-сервисов внедряют виртуализацию и другие облачные технологии в ответ на растущие потребности организаций в недорогих средах взаимодействия. Но переход в облако не всегда может решить проблемы, возникающие из-за того, что информацией управляют как единым целым, а не на уровне малых элементов. Кроме того, парадигмы ориентации на сеть и контейнерное разграничение слишком затрудняют поддержку интерактивного взаимодействия, так как возлагают процессы аттестации, антивирусного сканирования и удаления вирусов на посредника, который должен формировать блоки информации (например, большие сводки смешанного содержания) со скоростью работы сети.

В отличие от упомянутых, парадигма атомарного разграничения решает эти задачи распределенно — ближе к источникам информации, за счет чего процесс ускоряется. Реализации парадигмы атомарного разграничения выполняются согласно модели сквозного управления доступом, работающей на уровне индивидуальных элементов информации.

 

Архитектура модели безопасности атомарного уровня включает в себя пункты принятия политических решений. Решения могут приниматься в различное время на протяжении сеанса и в разных точках распределенной архитектуры
Архитектура модели безопасности атомарного уровня включает в себя пункты принятия политических решений. Решения могут приниматься в различное время на протяжении сеанса и в разных точках распределенной архитектуры

 

Безопасность атомарного уровня

Модель контроля доступа ALS базируется на парадигме атомарного разграничения, согласно которой информация всегда управляется на уровне отдельных своих элементов: в клиенте, приложении, базе данных и киберэкосистеме. Для сравнения, парадигма контейнерного разграничения подразумевает сбор информации и управление ею в сетях, приложениях и файлах.При таком способе управления метаданные описывают контейнер, а не индивидуальные элементы информации, содержащейся в нем. При этом труднее распознавать и подтверждать классификацию данных перед передачей их содержания.

Различия между ALS и MLS

 

Анализ защищенности веб-приложений

Наиболее простым способом компрометации конфиденциальной корпоративной информации сегодня является использование уязвимостей веб-приложений. Как снизить риски системы информационной безопасности?

Дмитрий Евтеев

Фундаментальное отличие модели ALS от MLS в том, что первая рассчитана на то, чтобы обеспечить динамизм и гибкость, необходимые для масштабирования в пределах n меток, а вторая — в пределах m сетей, причем n >> m. Таким образом, модель контроля доступа ALS обеспечивает возможность взаимодействия на атомарном уровне в динамичных группах. При этом сразу все пользователи и устройства могут находиться в единой сетевой инфраструктуре.

Архитектура ALS должна быть динамичной, гибкой и гранулярной при централизованном создании меток субъекта для сеанса, но при использовании на уровне клиентских конечных точек гибкость и гранулярность уменьшаются. ALS призвана обеспечивать динамичный, распределенный мелкодисперсный контроль доступа к корпоративным веб-приложениям, основанным на базах данных. В особенности речь идет о случаях, когда база данных является частью механизмов контроля доступа, обеспечивающих защиту приложений, а также доверенным источником постоянной информации.

ALS характеризуется как атомарная модель — определяющим в решении о предоставлении доступа является сам минимальный элемент информации, подлежащий классификации (например, абзац текста или изображение), а не принцип контроля доступа к нему (роль или политика). Данная модель использует логику и атрибуты, характерные для контроля доступа на основе ролей, атрибутов и политик, чтобы принимать промежуточные решения, которые, в свою очередь, служат основанием для решений о принудительном контроле доступа (mandatory access control, MAC).

ALS также предусматривает стратегию локализации утечек, элементами которой являются группа взаимодействия CG (collaboration group), ее менеджер CGM, приложение, проект, а также метки субъекта и объекта, состоящие из нескольких тегов. Запросы на доступ всегда сопровождаются контекстом, указывающим, что запрос исходит от конкретного субъекта, представляющего участника CG в назначенной роли, которого соответствующий CGM ассоциирует с конкретным проектом.

Согласно модели контроля доступа ALS, система аутентифицирует и пользователя, и клиентскую систему, создавая для них единую метку субъекта на основании уровня допуска каждого из этих элементов. Благодаря этому, пользователь может иметь более одного аккаунта, каждому из которых соответствует свой сертификат. При этом распространение сведений ограничивается соответствующими группами взаимодействия по принципу служебной необходимости в доступе к информации (need-to-know).

Процесс принятия решений на основе политик состоит из трех стадий:

  • составление метки субъекта на основании атрибутов;
  • предварительное решение о доступе на основе роли;
  • окончательное решение о доступе на основе метки.

Как показано на рисунке, в различных пунктах распределенной архитектуры на базе политик, атрибутов, ролей и меток принимаются промежуточные решения, служащие основанием для принудительного контроля доступа. Традиционное принятие решений на основе атрибутов требует хранения пользовательской информации во многих приложениях и серверах авторизации, что ведет к проблемам безопасности, связанным с сопровождением данных, доверенными источниками и сведениями, устанавливающими личность. В отличие от традиционной, модель ALS ограничивает постоянное хранение атрибутов пользователей и устройств одним авторитетным источником.

Участие в группах взаимодействия контролируется политиками, заданными заранее и применяемыми в ходе создания метки субъекта перед каждым сеансом. Каждый тег в метке субъекта создается путем подачи атрибутов пользователя и устройства, полученных от авторитетного источника, а также набора правил на вход механизма политик. Политики устанавливают или подтверждают текущий статус участия субъекта в CG (явного или косвенного) перед тем, как включить тег этой CG в состав метки субъекта.

Каждый тег в метке служит маркером, представляющим собой результат решения, принятого на уровне пространства приложений, с использованием атрибутов участия пользователя и клиентской системы. Однако, в отличие от решения о доступе, каждое решение об участии в CG служит лишь основанием для включения в метку субъекта сеанса. Благодаря этому, можно создавать динамические метки субъектов, автоматически обновляемые при смене атрибутов пользователя или клиентской системы. Эти атрибуты постоянно хранятся в соответствующем авторитетном источнике.

***

С применением комплексного подхода, ориентированного на масштаб облачной среды веб-приложений, разработаны новые парадигмы пользовательского интерфейса, управления информацией и контроля доступа. Вместе они создают базу для среды корпоративных веб-приложений, защищенной на атомарном уровне. Фундаментальный элемент такой среды — модель контроля доступа ALS, обеспечивающая защиту информации более глубокую, чем позволяет уровень ячейки баз данных. ALS применяет сильные меры контроля доступа уровня ядра ко всей структуре такой среды и служащей ее опорой киберэкосистеме. Реализуя управление информацией и контроль доступа на атомарном уровне, сквозное ALS-решение устраняет основные помехи обеспечению безопасности в динамичной среде взаимодействия, происходящего в режиме реального времени.

Арнольд Браун (karma.als.project@gmail.com), Майкл Шуманн (maschuma@nps.edu) — офицеры ВМС США, Бенджамин Эпл (bengapple@gmail.com) — специалист по компьютерной безопасности военно-морского министерства США, Джеймс Брет Майкл (bmichael@nps.edu) — преподаватель школы повышения квалификации офицерских кадров ВМС США.

Arnold Brown, Benjamin Apple, James Bret Michael, Michael Schumann, Atomic-Level Security for Web Applications in a Cloud Environment. IEEE Computer, December 2012, IEEE Computer Society. All rights reserved. Reprinted with permission.