Безопасность на уровне облаков

Термин “облачный хостинг” перестал быть модной маркетинговой приманкой. Постепенно стало понятно, что имеется в виду: динамически выделяемые ресурсы, доступность в любой точке за счет CDN, защита от DDoS… В общем, идеальное решение, например, для крупного новостного портала.

Осенью 2012 года сразу несколько американских банков стали жертвами организованных иранскими хакерами DDoS-атак. Переговоры с облачными компаниями, которые провели банкиры, не увенчались успехом: для оказания облачного сервиса требовалось отдать хостеру свои секретные ключи. Для банков это неприемлемо.

Чем же плох облачный хостинг в плане безопасности? Да тем же, чем и хорош: раздаваемый контент находится на серверах по всему миру, и это равномерно распределяет нагрузку на сервера, но при этом вероятность того, что где-нибудь может случиться утечка информации, повышается прямо пропорционально количеству задействованных серверов. Причем речь идет об утечке не просто информации, а непосредственно секретного ключа. Монетизация же секретного ключа банка — дело довольно несложной техники. Репутации банка при этом тоже может быть нанесен ущерб, который потом будет очень трудно компенсировать. Еще одна угроза секретным ключам — это уязвимость Heartbleed, позволяющая получить доступ к ключам без всякого злоумышленника-инсайдера. Желание заполучить выгодных клиентов, видимо, сильнее всего оказалось у компании CLoudFlare. 18 сентября после полугода закрытого бета-тестирования они анонсировали новую концепцию безопасного хостинга — Keyless SSL. На следующий день последовало и техническое описание решения.

Разработчики из CloudFlare отказались от традиционной схемы, требовавшей хранения секретных ключей в облаке. Вносить изменения в сам протокол TLS, с помощью которого защищаются данные, не потребовалось. Поскольку секретный ключ в процессе установления соединения требуется только один раз, то в этот момент можно обратиться к банковскому серверу, полностью подконтрольному заказчику услуги. Запрос пробрасывается на сервер банка по отдельно защищенному наиболее технологически совершенными средствами каналу. Таким образом, DDoS-ы отсеиваются облачным провайдером, а секретная информация по-прежнему не покидает пределы банковских серверов в незащищенном виде. Решение вызвало воодушевление как у криптографов (например, создателей PGP Циммермана и Калласа), так и у банкиров. Предложенная схема подвергалась аудиту компаниями iSEC Partners and Matasano Security, и они не нашли уязвимостей.

Список ПО, подвергнутого изменениям, заслуживает особого внимания. Неполный перечень включает, разумеется, OpenSSL (кстати, патчи к нему широкой публике не представлены), веб-сервер Nginx и большое количество собственных разработок CloudFlare. Представлена широкой публике и реализация ПО сервера, на котором ключи хранятся в полной безопасности.

Помимо управления ключами в Cloudflare сделали еще одно усовершенствование. Если браузер повторно обращается к одному и тому же ресурсу, то соединение можно устанавливать быстрее, если прислать идентификатор предыдущего соединения. При облачном ресурсе, однако, возникает проблема: никто не обещал, что следующее соединение будет с тем же сервером, что и предыдущее. Разработчики обеспечили обмен идентификаторами сессий между своими серверами, и теперь повторное соединение устанавливается гораздо оперативнее.

Надо сказать, что крупные банки, например Goldman Sachs, с радостью ухватились за предлагаемую новинку. Помимо прочего, это позволит им сэкономить на оборудовании и связности, которую раньше приходилось наращивать и тратить дополнительные средства на борьбу с теми же DDoS-атаками. Мелкие конторы, по словам представителей CloudFlare, замечают, что своим специалистам по безопасности они доверяют меньше, чем работникам CloudFlare. Компания-разработчик не только обеспечила себе новый сегмент на рынке, но и может позволить себе снизить требования к защите датацентров: самые ценные клиентские данные теперь в большей безопасности.

Другие разработчики ПО указывают, что сама по себе эта идея и способ ее воплощения — не новость. В тематических рассылках тоже указывают на Keyless SSL как на удачный маркетинговый ход. Скорее всего, со временем все крупные облачные провайдеры начнут предлагать этот сервис. Но пока CloudFlare успела выстрелить первой, доведя привлекательную идею до коммерческого воплощения.


Автор:  Дмитрий Белявский (ТЦИ)

Возврат к списку