Chmura obliczeniowa? To czyjś komputer – cz. 1

Przenosząc operacje przetwarzania i magazynowania danych do chmury obliczeniowej przedsiębiorstwo może obniżyć koszty nawet o 20%. Redukcja ta wynika nie tylko z cedowania zadań obsługi bieżącej i utrzymania systemów, ale również ze zmniejszenia poziomu ryzyka związanego z zapewnianiem dostępności i ciągłości działania środowisk. Duża część odpowiedzialności jest przeniesiona na właściciela chmury, jednak z punktu widzenia informatyki śledczej pojawia się tu kosztowne ryzyko trudności z pozyskaniem danych do analizy, a także ryzyko braku kontroli nad poziomem ochrony informacji poufnych.

Chmura obliczeniowa lub przetwarzanie chmurowe (ang. cloud computing, skr. cloud) to nazwa modelu przetwarzania danych, w którym usługodawca dostarcza pewnego zestawu usług realizowanych w odniesieniu do danych wprowadzanych przez klienta. Istotna różnica w stosunku do modelu polegającego na dostarczaniu sprzętu i oprogramowania polega tu na uproszczeniu (z punktu widzenia klienta) zarządzania infrastrukturą przez wykształcenie warstwy abstrakcji: zamiast bezpośredniego dostępu do systemu operacyjnego, pamięci operacyjnej czy zasobów sprzętowych, możemy użytkować konkretne usługi przetwarzania danych, a w niektórych przypadkach uruchamiać własne aplikacje w wirtualnych środowiskach. Usługobiorca ma też często możliwość elastycznego doboru zasobów, które zostaną przydzielone jego chmurze. Jeżeli zauważy, że potrzebna jest większa moc obliczeniowa, może za odpowiednią opłatą aktywować dodatkowe rdzenie procesorowe, a gdy zabraknie miejsca na dane, jest w stanie bez przerw w działaniu rozszerzyć wielkość dostępnej przestrzeni dyskowej.

Pod maską

Z technicznego punktu widzenia „chmura” jest przede wszystkim terminem sprzedażowym, który oznacza specyficzny rodzaj środowiska operacyjnego o dostępie ograniczonym charakterystycznym interfejsem. Dla inżynierów nowych technologii jest to w uproszczeniu cudzy komputer, którego zasoby są wykorzystywane przez aplikację lub wirtualny system operacyjny, który dzierżawimy, aby zarządzać naszymi danymi. Możemy użyć tej perspektywy, aby spojrzeć na kwestie związane z cloud computingiem w rzetelny i precyzyjny sposób, mając na uwadze zdolność do zarządzania bezpieczeństwem informacji.

Duże chmury obliczeniowe składają się z wielu fizycznych jednostek sprzętowych, między którymi współdzielone są dane. Komputery i urządzenia pamięci masowej zlokalizowane mogą być w różnych lokalizacjach, czasem nawet na różnych kontynentach!

Rysunek modelu chmury obliczeniowej
Rys. 1. Uproszczony model warstw abstrakcji chmury obrazujący wirtualizację zasobów (dysków i procesorów)

Pierwszą konsekwencją braku zdolności do niskopoziomowego zarządzania środowiskiem będzie dla klienta konieczność polegania na zaufaniu do właściciela chmury w kwestiach związanych z ochroną danych. Już Bonaparte powiedział, że handel istnieje dzięki zaufaniu, jednak zaufanie może kosztować więcej, niż oszczędność na obsłudze procesów IT, jeżeli wiąże się z ryzykiem utraty czy wycieku ważnych danych. Oczywiście cena, jaką przyjdzie zapłacić za ten brak jurysdykcji w obszarze zarządzania bezpieczeństwem zależy od konkretnej domeny strategicznej. Inny wpływ na funkcjonowanie przedsiębiorstwa będzie miał wyciek danych z serwisu zawierającego cytaty znanych osobistości, a zupełnie inną wagę udostępnienie szerokiej publiczności informacji uwierzytelniających czy danych pacjentów kliniki.

W przestrzeni Computer Forensics nie ma miejsca na wiarę w dobre chęci, nawet wtedy, gdy są one gwarantowane restrykcyjnymi zapisami umów o poziomie świadczenia usług (ang. service-level agreements, skr. SLAs). Gdy dojdzie do naruszenia bezpieczeństwa danych znajdujących się w chmurze, czy po prostu pojawi się konieczność ich zabezpieczenia w celu badania nadużyć, stosowanie konwencjonalnych metod informatyki śledczej może być bardzo utrudnione. Po pierwsze usługobiorca (dzierżawca konkretnej instancji chmury) nie ma kontroli nad poziomem bezpieczeństwa systemów operacyjnych dostawcy i bezpośredniego dostępu do nośników, na których przechowywane są dane. Po drugie nawet operator chmury, mimo intencji współpracy, może mieć problem ze sprawnym dostarczeniem materiału dowodowego.

Przypomnijmy, że pełen proces śledczy w domenie computer forensics składa się z kilku etapów postępowania z danymi:

  • identyfikacji (ang. identification),
  • zabezpieczania (ang. preservation),
  • gromadzenia (ang. collection),
  • badania (ang. examination),
  • analizy (ang. analysis),
  • raportowania (ang. presentation).

Jeżeli samodzielnie nie zajmujemy się zabezpieczaniem danych do analizy, lecz występujemy o wydanie potrzebnych informacji do operatora, możemy mieć do czynienia z uproszczonym schematem, w którym najpierw dochodzi do pozyskiwania (ang.acquisition) materiałów, a następnie identyfikacji, po której rozpoczyna się proces badawczy i analityczny.

Efektem badania jest dostarczanie odpowiedzi na następujące kwestie: co (jaki zasób) było celem ataku lub innego naruszenia? w jaki sposób doszło do incydentu? gdzie znajdują się uczestniczące w incydencie komponenty? Dzięki temu możemy oszacować wartość strat, znaleźć wykorzystane podatności na zagrożenia i próbować ustalić sprawców.

Właściwy trop

W kolejnej części tej krótkiej rozprawy spróbujemy poruszyć problem poszukiwania śladów naruszeń, żeby następnie znaleźć rozwiązania i obejścia problemów, z jakimi mamy do czynienia podczas prowadzenia czynności computer forensics i cyber forensics w odniesieniu do systemów i usług działających w modelach chmurowych. Zastanowimy się nad możliwymi scenariuszami działań, które można podjąć już teraz, a także nad długofalowymi zmianami architektonicznymi oraz polegającymi na standaryzacji, które mogliby wprowadzać operatorzy chmur, aby ułatwiać pozyskiwanie cyfrowych materiałów dowodowych zarówno dzierżawcom, jak i uprawnionym organom ścigania.

Literatura przedmiotu

• W. E. May, „NIST Cloud Computing Forensic Science Challenge” [online], NIST, Gaithesburg, aktualizacja 23.06.2014 [dostęp 05.06.2016], http://csrc.nist.gov/publications/drafts/nistir-8006/draft_nistir_8006.pdf
• Z. Hassan, R. Ismail, Y. Yusoff, „Comon Phases of Computer Forensics Investigation Models” [online], Universiti Tenaga National, Selangor, aktualizacja 14.06.2011 [dostęp 04.06.2016], http://airccse.org/journal/jcsit/0611csit02.pdf
• G. Meyer, A. Stander, „Cloud Computing: The digital forensics challenge” [online] [na:] konferencja inSITE 2015, University of South Florida, Tampa, aktualizacja 09.06.2015 [dostęp 04.06.2016], http://proceedings.informingscience.org/InSITE2015/InSITE15p285-299Meyer1562.pdf

Podobne wpisy

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *