Новости Информационной

Вид материала

Бюллетень

Содержание Шифрование в облаках Правовые вопросы иб

Подобный материал:

• Новости Информационной, 955.99kb.
• Новости Информационной, 1386.56kb.
• Новости Информационной, 1315.55kb.
• Новости Информационной, 1195.66kb.
• Новости Информационной, 1268.45kb.
• Новости Информационной, 1016.22kb.
• Новости Информационной, 1001.26kb.
• Новости Информационной, 1203.15kb.
• Новости Информационной, 1112.81kb.
• Новости Информационной, 1251.07kb.

Шифрование в облаках

Облачные технологии становятся всё более популярными, однако пока популярность их ограничена недоверием пользователей. В основном пользователи не могут понять, как в облаках решать проблемы защиты собственных данных. Причём проблема кроется уже в самом принципе "облачности": пользователь не знает, где обрабатываются его данные. Если не знает, то и контролировать не может.

Это приводит к тому, что пользователям приходится верить в доброе имя хостинг-провайдера, который, впрочем, не представляет никакой гарантии защиты данных клиентов.

Собственно, единственной гарантией контроля над данными является шифрование. Если пользователь зашифровал собственные данные и передаёт в систему ключ дешифрования, то у него есть хоть какая-то уверенность, что посторонние пользователи того же хостера не смогут добраться до его данных. Правда, сам процесс передачи ключа шифрования и взаимной аутентификации пользователя и серверов облака также должен быть построен на основе криптографии с открытым ключом.

Таким образом, именно шифрование может выступать действительной гарантией контроля за данными и вычислениями.Однако пока законченных решений, которые гарантировали криптографическую защиту данных при обработке их в облаке нет ни в одном предложении.

Что же мешает распространению услуг шифрования данных в облачных приложениях? В первую очередь нагрузка – шифрование, встроенное в облачную инфраструктуру, будет сильно тормозить работу облачных приложений. Дешифрование виртуальной машины перед ее запуском может сильно замедлить как запуск приложения, так и его работу. Для перенесения виртуальной среды с одного узла кластера на другой также требуется выполнить цикл шифрования-дешифрования. Задержки, возникающие при этом, могут существенно замедлить работу облачного приложения, вплоть до разрушения работы системы. Впрочем, для защиты данных совсем не обязательно шифровать виртуальную среду целиком – достаточно зашифровать собственно сами данные, объём которых значительно меньше. Это скажется на работе системы хранения, но тем не менее обеспечит защиту данных.

Процедура взаимной аутентификации пользователя и облака также имеет определённые проблемы, как по скорости (асимметричная криптография достаточно ресурсоёмка), так и по логике (какой именно сервер аутентифицировать если их может быть несколько и они передают данные с одного узла на другой).В принципе, указанные проблемы аутентификации вполне можно решить с помощью уже известной PKI-инфраструктуры, протокола SSL и сертификатов. В то же время, подобную инфраструктуру нужно адаптировать к условиям облака и реализовать соответствующие механизмы.

Для российских операторов облачных сервисов есть дополнительная проблема, связанная с законодательными проблемами. Дело в том, что практически все облачные приложения базируются на иностранных платформах виртуализации. Они не имеют возможности встраивать в платформу виртуализации российские алгоритмы шифрования, что затрудняет реализацию криптографической защиты. Хотя есть несколько стандартов, которые специфицируют использование российской криптографии, однако заставить иностранных производителей реализовать их будет непросто.

В то же время международные стандарты у нас использовать не принято, поэтому у российских операторов, которые попытаются их использовать, могут возникнуть юридические проблемы.

Наиболее серьёзные проблемы возникнут у пользователей, если они попытаются перенести в облако персональные данные своих клиентов, обратившись, например, за арендой CRM-системы или сервера офисной телефонии Lync. Подобная система обработки персональных данных тянет на распределённую, что по регламентирующим документам требует использования криптографии, сертифицированной в системе ФСБ.

Облачных приложений, которые прошли бы подобную процедуру, пока нет, и вряд ли в ближайшее время появится. В то же время с точки зрения закона "О персональных данных" вообще не понятно кто является владельцем системы, если хотя бы часть её находится в облаке.

Таким образом, можно сделать вывод, что вряд ли кому-нибудь в ближайшее время удастся привести облачную инфраструктуру в соответствие с требованиями закона №152-ФЗ.

www.anti-malware.ru

ПРАВОВЫЕ ВОПРОСЫ ИБ

23.12.10 00:00

Формат OpenDocument принят в качестве государственного стандарта России

21 декабря Федеральным агентством по техническому регулированию и метрологии России открытый формат для офисных документов OpenDocument (ODF) был зарегистрирован в качестве государственного стандарта. Формат зарегистрирован как ГОСТ Р ИСО/МЭК 26300-2010.

OpenDocument был принят техническим комитетом РФ и озаглавлен так: "Информационная технология. Формат Open Document для офисных приложений (OpenDocument) v1.0". Российский ГОСТ соответствует международному стандарту ISO/IEC 26300:2006, принятому еще в конце 2006 г.

Официально OpenDocument "вступает в силу" в качестве ГОСТа через полгода – 1 июня 2011 г.

Формат OpenDocument используется как основной в популярнейшем свободном офисном пакете OpenOffice.org и его форке, создаваемом Open Source-компаниями совместно с сообществом LibreOffice.

www.securitylab.ru


29.12.10 00:00