Как защитить облако от вирусов

Как защититься от шифровальщиков за минуту

Как защититься от шифровальщиков за минуту

Добрый день уважаемые читатели и гости блога, как вы помните в мае 2017 года, началась масштабная волна заражения компьютеров с операционной системой Windows, новым вирусом шифровальщиком, по имени WannaCry, в результате чего он смог заразить и зашифровать данные, более чем на 500 000 компьютеров, вы только вдумайтесь в эту цифру. Самое страшное, что данная разновидность вирусов, практически не отлавливается современными антивирусными решениями, что делает его еще более угрожающим, ниже я вам расскажу метод, как обезопасить свои данные от его влияния и как защититься от шифровальщиков за минуту, думаю вам это будет интересно.

Вирус шифровальщик - это разновидность троянской программы, в задачи которой входит заражение рабочей станции пользователя, выявления на нем файлов необходимого формата (например, фото, аудиозаписи, видео файлы) их последующее шифрование со сменой типа файла, в результате чего пользователь их больше не сможет открыть, без специальной программы дешифратора. Выглядит это вот так.

Самыми распространенными форматами файлов после шифрования являются:

Опишу самый распространенный случай в котором задействован вирус шифратор. Представим себе обычного пользователя в любой абстрактной организации, в 90 процентах случаев у пользователя есть интернет за его рабочим местом, так как с помощью него он приносит прибыль компании, он совершает серфинг в интернет пространстве. Человек не робот и может отвлекаться от работы, просматривая интересные ему сайты, или сайты которые ему посоветовал его друг. В результате этой деятельности, он может заразить свой компьютер шифровальщиком файлов, сам того не подозревая и узнать об этом, тогда, когда уже будет поздно. вирус сделал свое дело.

Вирус в момент своей работы старается обработать все файлы, к которым у него есть доступ, тут и начинается, что важные документы в папке отдела, к которым у пользователя есть доступ, вдруг превращаются в цифровой мусор, локальные файлы и многое другое. Понятно, что должны быть резервные копии файловых шар, но как быть с локальными файлами, которые могут составлять всю работу человека, в результате компания теряет деньги, за простой работы, а системный администратор выходит из зоны комфорта и тратит свое время на расшифровку файлов.

То же самое может быть и у рядового человека, но последствия тут локальные и касаются лично его и его семьи, очень печально видеть случаи, когда вирус зашифровал все файлы, включая семейных архив фотографий и у людей не осталось резервной копии, ну не принято у обычных пользователей ее делать.

С облачными сервиса все не так просто, если вы все храните там и не используете толстого клиента у себя в операционной системе Windows, одно дело, там в 99% вам ничего не грозит, но вот если вы используете, например, "Яндекс диск" или "mail Облако" синхронизируя файлы со своего компьютера на него, то заразившись и получив, что все файлы зашифрованы, программа их отправит прямиком облако и вы так же все потеряете.

В итоге вы видите картинку на подобие этой, где вам сообщается, что все файлы зашифрованы и вам необходимо отправить деньги, сейчас это делается в биткоинах, чтобы не вычислить злоумышленников. После оплаты, вам якобы должны прислать, дешифратор и вы все восстановите.

Источники троянов шифровальщиков

Давайте попытаемся выделить основные источники проникновения шифратора к вам на компьютер.

1. Электронная почта > очень часто людям приходят непонятные или фейковые письма с ссылками или зараженными вложениями, кликнув по которым, жертва начинает устраивать себе бессонную ночь. Как защитить электронную почту я вам рассказывал, советую почитать.
2. Через программное обеспечение - вы скачали программу из неизвестного источника или поддельного сайта, в ней зашит вирус шифратор, и при установке ПО вы его себе заносите в операционную систему.
3. Через флешки - люди до сих пор очень часто ходят друг к другу и переносят через флешки кучу вирусов, советую вам почитать "Защита флешки от вирусов"
4. Через ip камеры и сетевые устройства имеющие доступ в интернет - очень часто из-за кривых настроек на роутере или ip камере подключенной в локальную сеть, хакеры заражают компьютеры в той же сети.

Как защитить от вируса шифровальщика ваш ПК

Защищает от шифровальщиков грамотное использование компьютера, а именно:

• Не открывайте не известную вам почту и не переходите по непонятным ссылкам, каким бы образом они к вам не попали, будь то почта или любой из мессенджеров
• Максимально быстро устанавливайте обновления операционной системы Windows или Linux, они выходят не так часто, примерно раз в месяц. Если говорить про Microsoft, то это второй вторник, каждого месяца, но в случае с шифровальщиками файлов, обновления могут быть и нештатные.
• Не подключайте к своему компьютеру неизвестные флешки, просите друзей скинуть лучше ссылку на облако.
• Убедитесь, что если вашему компьютеру не нужно быть доступным в локальной сети для других компьютеров, то выключите доступ на него.
• Ограничьте права доступа на файлы и папки
• Установка антивирусного решения
• Не устанавливайте непонятные программы, взломанные непонятно кем

С первыми тремя пунктами все понятно, а вот на оставшихся двух я остановлюсь подробнее.

Когда меня спрашивают как организовывается в windows защита от шифровальщиков, то первым делом я рекомендую людям отключить "службу доступа к файлам и принтерам сетей Microsoft", которая позволяет другим компьютерам получить доступ к ресурсам данного компьютера с помощью сетей Microsoft. Это так же актуально от любопытных системных администраторов, работающих у вашего провайдера.

Отключить данную службу и защититься от шифровальщиков в локальной или провайдерской сети, можно следующим образом. Нажимаем сочетание клавиш WIN+R и в открывшемся окне выполнить, вводим команду ncpa.cpl. Я это покажу на своем тестовом компьютере с операционной системой Windows 10 Creators Update.

Выбираем нужный сетевой интерфейс и кликаем по нему правой кнопкой мыши, из контекстного меню выбираем пункт "Свойства"

Находим пункт "Общий доступ к файлам и принтерам для сетей Microsoft" и снимаем с него галку, после чего сохраняем, все это поможет защитить компьютер от вируса шифровальщика в локальной сети, ваша рабочая станция просто не будет доступна.

Защита от вируса шифровальщика в windows может быть реализована вот таким интересным способом, я расскажу как я сделал для себя. И так основная проблема в борьбе с шифровальщиками, заключается в том, что антивирусы, просто не могут в режиме реального времени с ними бороться, ну не может он на сегодняшний момент защитить вас, поэтому будем хитрее. Если у вирус шифратора нет прав на запись, то он и не сможет ничего сделать с вашими данными. Приведу пример, у меня есть папка фотографии, она хранится локально на компьютере, плюс есть две резервные копии на разных жестких дисках. На своем локальном компьютере я сделал на нее права, только на чтение, для той учетной записи под которой сижу за компьютером. Если бы вирус попал, то прав у него просто не хватило бы, все как видите просто.

Как все это реализовать, чтобы защититься от шифровальщиков файлов и все уберечь, делаем следующее.

• Выбираем нужные вам папки. Старайтесь использовать именно папки, с ними проще назначать права. А в идеале создайте папку, под названием только для чтения, и уже в нее помещайте все нужные вам файлы и папки. Чем хорошо, назначив на верхней папке права, они автоматически будут применены и для других, находящихся в ней папок. Как только скопируете все нужные файлы и папки в нее, переходите к следующему пункту
• Щелкаем по папке правым кликом из из меню выбираем "Свойства"

• Переходим на вкладку "Безопасность" и нажимаем кнопку "Изменить"

• Пробуем удалить группы доступа, если получаете окно с предупреждением, что "Невозможно удалить группу, так как этот объект наследует разрешения от своего родителя", то закрываем его.

• Нажимаем кнопку "Дополнительно". В открывшемся пункте, нажмите "отключить наследования"

• В итоге в поле "Разрешения" все будут удалены.

• Сохраняем изменения. Обратите внимание, что теперь только владелец папки может изменять разрешения.

• Теперь на вкладке "Безопасность" нажмите "Изменить"

• Далее нажимаем "Добавить - Дополнительно"

• Нам необходимо добавить группу "Все", для этого нажмите "Поиск" и выберите нужную группу.

• Для защиты Windows от шифровальщика, у вас для группы "Все" должны быть выставлены права, как на картинке.

• Все теперь никакой вирус шифратор вам для ваших файлов в данной директории не грозит.

Я надеюсь, что Microsoft и другие антивирусные решения смогут улучшить свои продукты и защитят компьютеры от шифровальщиков, до их вредоносной работы, но пока этого не произошло, соблюдайте те правила, что я вам описал и делайте всегда резервные копии важных данных.

Вирусы-шифровальщики — наиболее быстрорастущая угроза кибербезопасности. Так ransomware-атаки характеризует в специальном докладе за 2016 год Минюст США. В статье расскажем, как построить систему безопасности и о чем говорить с сотрудниками, чтобы защитить корпоративные данные в cloud-сервисах от подобных атак.

Введение

Количество ransomware-атак растет с каждым месяцем в геометрической прогрессии. Если в 2011 году была зафиксирована одна модификация вируса в год, то в 2017-м каждый месяц появляются 10 новых модификаций, и такие вирусы, как WannaCry, который парализовал работу компьютеров в 150 странах, и Petya, будут только совершенствоваться и модифицироваться. Рост числа вирусов еще усугубляется тем, что развивается направление RaaS (Ransomware-as-a-Service), то есть софт для вируса становится доступным для самостоятельного приобретения. Стремительный рост разновидностей вируса-вымогателя делает его более изощренным и способным атаковать новые цели. Следующими на очереди атак после компьютера становятся облачные хранилища, поэтому бизнесу, даже самому малому, стоит позаботиться о защите своих данных уже сегодня.

С чего начинается безопасность

Построение системы IT-безопасности начинается с выбора софта. Малый и средний бизнес в России и ближнем зарубежье часто грешит нелицензионным ПО, но в определенный момент желание сэкономить на программном обеспечении может вылиться в немалые потери из-за внешних атак.

Опыт показывает, что крупные производители софта со своей стороны стараются отслеживать уязвимости в собственных продуктах и как можно быстрее латать дыры. К примеру, пользователь Microsoft в течение нескольких недель с момента обнаружения уязвимости получает необходимое обновление. Само собой, на пиратские сборки Windows, скачанные с торрент-трекеров, компания не поставляет обновления с исправленными уязвимостями, более того, зачастую такие сборки уже содержат в себе вредоносные элементы.

Еще стоит сказать об антивирусах. Для корпоративных сетей минимальная частота обновлений вирусной базы — один раз в сутки на каждом подключенном устройстве. При таком режиме обновлений реальную опасность составляют лишь атаки первой волны, а последующие вполне могут быть отражены защитным ПО.

Поможет автоматический, ежедневный версионный бэкап

Жертвами подобных зловредов могут стать не только крупные предприятия, но и совсем небольшие компании. Последние редко могут позволить себе отдельного специалиста по компьютерной безопасности. Чтобы защитить корпоративные данные, необходима целая серия действий, а единственный, кто отвечает за защиту сети, — администратор этой самой сети. У него может не хватить возможностей или ресурсов. В таких ситуациях оптимальный выход — использовать готовое решение, обратиться к компании, которая специализируется на безопасности данных в облачных сервисах. Примером такого сервиса является Spinbackup — сервис по защите SaaS-данных в облаке.

Рассмотрим, как это работает, на примере данных, хранящихся в Google-облаке.

1. Ransomware-вирусы могут зашифровать ваши документы через синхронизацию компьютера с облаком Google Диска.

Вирус-вымогатель шифрует все файлы на зараженном устройстве, требуя деньги за ключ дешифровки. Жертвой атаки может стать как обычный пользователь, так и целая корпорация, при этом вероятность возврата файлов даже после уплаты выкупа не гарантируется, да и оплата скорее становится стимулом для злоумышленников снова и снова совершать атаки. Подобных атак лучше избегать, чем решать уже возникшую проблему, однако выход есть всегда.

Ransomware-защита для G Suite — это первое автоматическое решение по защите G-Suite-данных. Решение определяет атаку, блокирует источник, идентифицирует наличие зашифрованных файлов в Google Диске сотрудника и автоматически восстанавливает из последнего успешного бэкапа копию данных. Это позволяет бизнесу работать без остановок, стрессов, автоматизирует работу G-Suite-администратора и экономит огромное количество времени по мануальному восстановлению. По сути такой Disaster Recovery Plan жизненно необходим бизнесам, работающим в облаке.

1. Сторонние приложения, подключенные к G-Suite-домену, могут служить уязвимостью и одновременно возможностью для хакеров.

Для увеличения продуктивности работы сотрудники нередко ставят дополнительные приложения. Такое приложение, подключенное к корпоративному Google-аккаунту, может потенциально означать дыру в безопасности для администратора. Отдельная проблема — ситуации, когда для доступа к корпоративным данным сотрудник использует несколько устройств, включая смартфон, планшет, личный лэптоп. Bring Your Own Device — подход, когда каждое из устройств может быть открытой дверью для вируса, в контексте ransomware-угроз особенно актуален.

Для этого осуществляется мониторинг сторонних приложений. Мы реализуем это через Spinbackup 3rd-party Apps Audit для G Suite. Анализируется потенциальный уровень угрозы приложений на корпоративные данные, который рассчитывается на основе ряда критериев. Один из критериев — уровень доступа, который получает приложение к данным сотрудника. Приложение, получая права редактирования и изменения данных, может нанести вред без ведома пользователя.

Также для контроля BYOD-устройств рекомендуется использовать MDM-системы, которые позволяют определять политики безопасности устройств и корпоративных данных на них. К примеру, можно запретить доступ к корпоративным данным с несанкционированно перепрошитых устройств, можно ограничивать возможность копирования определенных файлов внутри устройства. Часть функционала MDM есть в Google G Suite: например, администратор может настроить доступ к данным компании только с устройств, которые зашифрованы и имеют защиту PIN-кодом или паролем.

Как разговаривать о безопасности с сотрудниками

Вот примерное содержание письма, которое можно подогнать под особенности своей компании и отправить всем специалистам.

«Коллеги, в мире распространяется угроза вирусов-шифровальщиков: вредоносная программа попадает на компьютер через прикрепленные файлы в письмах или с зараженных флешек . Вирус шифрует любые файлы, которые могут представлять ценность. Расшифровать данные в лучшем случае дорого, в худшем — невозможно.

Важно! Чтобы не заразиться вирусом-вымогателем, не открывайте письма от неизвестных отправителей и, тем более, не запускайте вложенные файлы. Особенно опасны файлы, расширение которых вам незнакомо.

Подобные письма с советами можно составлять хоть каждую неделю, небольшими порциями повышая компьютерную грамотность коллег. В целом, это такая же часть профилактики, как и тестирование плана восстановления. Если подобные рассылки станут в компании традицией, думать об аварийном восстановлении систем придется гораздо реже.

Выводы

Чтобы обеспечить защиту на уровне технологий, необходимо:

• выбирать надежные облачные приложения для хранения данных;
• регулярно обновлять ПО и базы антивируса;
• разграничить уровни доступа для разных пользователей — в соответствии с политикой безопасности;
• мониторить доступ с BYOD-устройств;
• отслеживать сторонние приложения;
• организовать cloud-to-cloud backup в независимое облако;
• регулярно проверять целостность резервных копий.

Часть этих задач можно автоматизировать, что позволит экономить ресурсы. Для малого и среднего бизнеса, техническое обслуживание которого ложится на плечи одного-двух администраторов, такое решение можно считать оптимальным.

Что касается человеческого фактора, работа в этом направлении должна включать в себя, в первую очередь, обсуждение угроз с топ-менеджментом — с конкретными цифрами и решениями. Кроме того, обязательно нужно повышать компьютерную грамотность всего персонала компании — путем регулярных встреч, лекций или даже корпоративной рассылки. Чем больше сотрудники знают о безопасности — тем проще администратору поддерживать жизнеспособность системы, которую он с таким трудом выстраивает.

Всем привет, меня зовут Юрий Лазарев, я системный администратор Облака Mail.Ru. Недавно мы внедрили автоматическое антивирусное сканирование всех загружаемых в хранилище файлов. Теперь весь контент проверяется Антивирусом Касперского, чья продукция уже используется для защиты от вирусов в Почте Mail.Ru. Кроме того, были просканированы файлы, залитые в Облако с момента его запуска в прошлом году. Реализовать подобную проверку в условиях высоконагруженного сервиса, сохраняя при этом такую же высокую скорость работы, — достаточно сложная задача.

В качестве аналогии можно сравнить процесс строительства одноэтажного дома и небоскрёба. Одноэтажный дом может построить даже человек без глубоких знаний и большого опыта, и эта конструкция будет худо-бедно стоять и служить. С небоскребом все гораздо сложнее: конструкцию такого здания необходимо серьёзно просчитывать с точки зрения несущей способности грунта, ветровых нагрузок и множества других факторов. Так и антивирусная проверка в облачном сервисе организована совсем не так, как на домашних компьютерах или даже в корпоративных сетях.

Если вы хотите поподробнее узнать, что представляет собой архитектура Облака, то можно почитать предыдущую статью на Хабре. Это даст понимание того, как протекает процесс сохранения файла и его заливка в Облако. А здесь мы опишем, как нам удается проверять на вирусы петабайты данных в нашей высоконагруженной системе, не теряя при этом ни в качестве работы сервиса, ни в скорости загрузки и проверки файлов.

В Облаке существует дедупликация, то есть файл с конкретным содержимым присутствует лишь в одном экземпляре (на самом деле в двух, так как существует резервная копия). Если 200 человек зальют один и тот же файл, то в хранилище не будет находиться 200 одинаковых файлов. Просто всем этим пользователям будут раздаваться копии одного файла. Зачем? Во-первых, это позволяет нам эффективнее использовать место на дисках и, как следствие, предлагать пользователям больше бесплатного пространства для хранения информации. Кроме того, мы экономим мощности для проверки файлов. На данный момент дедупликация позволяет нам снизить нагрузку на хранилище примерно на 15%.

Проверка осуществляется несколько раз: как только файл попадает в Облако и позже, с помощью обновленных антивирусных баз. Ведь всегда есть вероятность, что файл заразился новым вирусом, который ещё не был известен антивирусу на момент загрузки. Так что проверки проводятся на постоянной основе. Если файл инфицирован, сервис не позволит ни произвести скачивание, ни создать на него ссылку.

Мы проверяем файлы на отдельных серверах, которые выделены исключительно под эту задачу. Кроме того, мы написали утилиту, которая позволяет проверять файлы, используя API Касперского. Дело в том, что нельзя просто так поставить коробочную версию антивируса на какой-нибудь сервер и сказать ему, чтобы он проверял все файлы. В этом случае можно будет вообще забыть о таком явлении, как высокая производительность. Антивирусный продукт не является инструментом, специально разработанным для использования в облачных системах, его необходимо интегрировать. И самим процессом антивирусной проверки в высоконагруженных системах необходимо жёстко управлять. Эту роль на себя взяла вышеупомянутая утилита. Она не только определяет последовательность проверки файлов, но и оптимизирует нагрузку. Если описать по-простому: не надо загружать весь файл из хранилища и передавать на проверку. Утилита берет начало файла, скачивает определенный кусочек из хранилища. Дальше Касперский анализирует тип этого файла. Как правило, нет смысла проверять все тело файла целиком. В зависимости от типа файла SDK антивируса определяет стратегию проверки. Дальше идёт запрос в нашу утилиту, мол, дай мне этот кусок, и нужная информация загружается из хранилища. В итоге, когда SDK решает, что файл проверен, тот получает отметку о самом факте проверки, указывается время её проведения и версия антивирусной базы. Таким образом, использование управляющей утилиты существенно сокращает время проверки, снижает нагрузку на сеть и на сами диски.

На данный момент у нас более 20000 дисков с файлами пользователей Облака. И проверка ведется постоянно. В хранилище попадают самые разные данные, включая огромные видеофайлы. Вытаскивать их из хранилища и перегонять по сети было бы крайне неоптимальной тратой ресурсов. Но, благодаря описанному выше механизму, нам удалось наладить антивирусную проверку силами нескольких десятков серверов. Сейчас в сутки проверяется около 8 млн файлов, порядка 50 терабайт. Это далеко не пиковая производительность системы, к тому же мы заложили возможности по дальнейшему масштабированию.

Итак, мы снижаем стоимость хранилища и нагрузку на неё за счёт использования дедупликации, а также существенно увеличиваем скорость антивирусной проверки с помощью управляющей утилиты. Но этого было бы недостаточно для быстрой обработки столь большого объёма данных. Поэтому мы применили ещё один инструмент — очередь проверки. Она представляет собой не просто список файлов, в который снизу добавляются данные, это отдельный сервис. Сама очередь находится на отдельном сервере и работает под управлением СУБД Tarantool. Это собственная разработка сотрудников Mail.Ru Group, и одной из её особенностей является очень высокая производительность. Именно это стало определяющим фактором при выборе СУБД, а вовсе не её происхождение. Прежде всего, в очередь попадают новые файлы, загружаемые в Облако. Их туда помещает сервис-загрузчик. А также в очередь добавляются файлы с самым большим временем, прошедшим с момента их последней проверки. У второго сервиса, пополняющего очередь проверки, есть ограничение на максимальное количество добавляемых старых файлов, чтобы он не замедлил процесс проверки новых. На каждом сервере одновременно работает несколько таких сервисов обработки. Сейчас мы пробуем распределять файлы разных типов и размеров по разным очередям, чтобы еще сократить время проверки для большинства загружаемых файлов.

В связи с тем, что автоматическая проверка была внедрена через некоторое время после запуска Облака Mail.Ru, накопилось порядка 14 петабайт данных, которые нужно было проверить. Причем, естественно, они лежали не на одной машине, а были раскиданы по нескольким дата-центрам. Ситуация осложнялась тем, что все эти серверы активные, а значит нельзя было нагружать их задачами по проверке файлов. Если сервер, на котором хранятся файлы, будет занят какими-то аналитическими задачами, которые нагружают аппаратные ресурсы хранилища, то потенциально скорость выполнения всех операций существенно уменьшается, в том числе, и передача файлов по сети. И в таком случае мы получили бы деградацию качества сервиса.

Проверять такой объем данных постепенно тоже было бы нецелесообразно, на это ушло бы слишком много времени. Поэтому решено было задействовать дополнительные ресурсы, чтобы провести проверку в кратчайшие сроки. Для этой цели был собран временный кластер из 60 серверов. Они и осуществили проверку всех ранее загруженных данных примерно за три недели.

Также мы посчитали, какие заблокированные вредоносные программы наиболее распространены:

Итак, благодаря комплексному применению управляющей утилиты, очереди проверки и СУБД Tarantool, нам удалось добиться высокой производительности антивирусной проверки, почти в реальном времени, задействовав сравнительно небольшие ресурсы.
Тенденция такова, что со временем все больше пользовательской информации будет храниться в облаках. Поэтому антивирусная проверка становится неотъемлемой частью не только устройств пользователей, но и онлайн-сервисов, где хранятся их данные.

Механизм проверки в нашем Облаке мы ещё будем существенно модернизировать. Например, планируется ввести удельный вес. Благодаря этому параметру чаще всего будут проверяться наиболее востребованные пользователями файлы. Файлы большого размера будут выделяться в отдельную очередь, поскольку их проверка занимает очень много ресурсов и времени. Организация подобных очередей для разных файлов – это интересная задача, о которой мы расскажем в одном из следующих постов.

Какие опасности могут подстерегать данные, в том числе, в облаке? — Во-первых, возможность их утраты. Во-вторых, возможность доступа к данным посторонних лиц, то есть потери конфиденциальности.

Разумное беспокойство по этим случаям должно присутствовать всегда, а при размещении компьютерной инфраструктуры в публичном облаке оно может усиливаться.

Все привыкли к тому, что цифровые данные легко скопировать. Однако для копирования чего бы то ни было нужен оригинал. Если оригинал утрачен, данные, содержавшиеся в нём, также будут потеряны.

Компьютерные данные можно потерять либо в результате удаления соответствующих файлов, либо в результате разрушения носителя, на котором находятся эти файлов.

Чтобы не потерять все накопленные данные, нужно регулярно создавать их резервные копии. При этом для сохранности резервных копий важно размещать их не на том же носителе, на котором находится оригинал, а на другом — физически (!) другом диске, на другом компьютере, в другой сети.

Сейчас для хранения данных используются носители самых разных типов. У них разный принцип хранения данных и разная надёжность хранения.

Дополнительно надёжность хранения можно повысить за счёт совместного использования нескольких носителей, объединённых в группу, например, в RAID-массив.

Но даже очень высокая надёжность хранения данных вовсе не отменяет необходимости их резервного копирования.

Собственно, задача сохранения конфиденциальности данных возникает не только в случае виртуального сервера, расположенного облаке, но и в привычном мире.

Компьютерные данные, к которым получил доступ посторонний человек невозможно вернуть назад — никогда не будет 100-процентной уверенности в том, что эти данные не были скопированы. Поэтому защита данных сводится в тому, чтобы исключить саму возможность любого неразрешённого доступа к ним.

Чужие данные можно получить двумя путями: в результате доступа к их носителю или через операционную систему, обрабатывающую эти данные. Особенности этих способов доступа и определяют методы защиты данных.

К счастью, цифровая природа компьютерных данных даёт такую возможность их защиты, как шифрование. — Если постороннее лицо получит доступ к носителю с зашифрованными данными или к файлу, хранящему зашифрованные данные, оно не сможет ими воспользоваться.

Далее мы рассмотрим меры в части системного администрирования по сохранению конфиденциальности компьютерных данных, размещённых в виртуальном облаке. При этом мы не будем касаться вопросов безопасности данных внутри приложений (программ), которые используют эти данные.

Теоретически, доступ к дискам виртуальных машин могут иметь работники ЦОДа и работники облачного провайдера.

Центр обработки данных обеспечивает оборудование облачного провайдера:

• стабильным и надёжным электропитанием;
• охлаждением чистым воздухом;
• охраной от посторонних лиц.

Несмотря на то, что работники ЦОДа имеют физический доступ к оборудованию облачного провайдера, опасаться того, что они смогут найти и скопировать определённый диск определённой виртуальной машины, не стоит. Для балансировки нагрузки и обеспечения отказоустойчивости виртуальные диски могут перемещаться по всему аппаратному дисковому пространству, которое в настоящее время может достигать многих сотен терабайтов или даже петабайтов.

Кроме того, работники ЦОДа, как правило, не имеют логического доступа в облако (по сети).

Более того, нередко системные администраторы облачного провайдера имеют доступ и в операционные системы виртуальных машин своих клиентов. Этот доступ упрощает управление облаком и виртуальными машинами в нём.

Можно ли обойтись без такого доступа? — Да, можно. Но с некоторыми уточнениями.

Для защиты данных на уровне операционной системы используются учётные записи, правами по которым можно управлять. В системе не должно быть посторонних учётных записей, а по имеющимся записям не должно быть лишних прав.

В принципе, после создания новой виртуальной машины можно изменить пароль её системного администратора и даже удалить или заблокировать соответствующую учётную запись. И после этого у облачных администраторов априори не будет доступа внутрь виртуальной машины.

Однако нужно осознавать, что все дальнейшие заботы об обеспечении работоспособности виртуальной машины лягут исключительно на системного администратора клиента.

Вопрос о возможности доступа облачных администраторов в операционную систему виртуальной машины должен обсуждаться и решаться спокойно и взвешенно.

Как уже было сказано, доступ к данным можно получить и без входа в операционную систему виртуальной машины. Для этого будет достаточным получить доступ к её дискам напрямую.

Единственный способ полностью исключить такую возможность — зашифровать диски. Препятствие возникнет только с одним из них — системным.

Проблема в том, что пароль для подключения зашифрованного системного диска нужно вводить до загрузки операционной системы, то есть до того, когда появляется возможность удалённого подключения к виртуальной машине.

Преодолеть это препятствие можно только с помощью удалённого доступа к консоли виртуальной машины, упрощённо говоря — к её экрану, на котором можно увидеть весь процесс загрузки операционной системы.

Большинство современных облачных провайдеров имеют средства для предоставления клиентам доступа к консолям их виртуальных машин.

Будем реалистами, в нашем мире исключить что-то на все 100% невозможно, но максимально сократить вероятность возникновения какого-то события и уменьшить размер его негативных последствий можно. Облако 1cloud даёт немало средств к тому.