Bezpečnost v oblacích: díl 3. – DoS útoky a chybně implementovaná API

David Janoušek , 23. září 2014 08:30 0 komentářů
Bezpečnost v oblacích: díl 3. – DoS útoky a chybně implementovaná API

Cloud computing není jen o tom, že k síťovým aplikacím přistupujeme pomocí webového rozhraní. V řadě případů je třeba poskytnout uživateli větší komfort práce pomocí specializované klientské aplikace, která je navržena např. mobilní telefon nebo tablet a je dostupná pro různé operační systémy. V některých případech je to dokonce nezbytné, např. při automatizovaném sběru dat. Právě zde leží ale zároveň velké bezpečnostní riziko, co s tím?

Nezabezpečené, nebo chybně implementované API

S postupným rozšiřováním internetu věcí (Internet of Thinks) bude tento způsob komunikace i nadále nabývat na významu. Pomocí API pak definujeme, jak se budou aplikace třetích stran připojovat ke cloudové službě a jak se budou vůči ní autorizovat a autentizovat. Řada cloudových služeb tento problém řešila a někteří doposud řeší prostým vyžádáním jména a hesla od jejich uživatele a jeho následným zadání do klientské aplikace. Přitom je zcela zřejmé, že i v případě toho nejdůvěryhodnějšího poskytovatele služby může tento způsob představovat velké bezpečnostní riziko.

Jak se bránit?

Tento problém si uvědomují všichni velcí poskytovatelé cloudových služeb a proto se společně podílejí na specifikaci a implementaci oAuth, což je otevřená služba pro bezpečnou API autentizaci pro webové a desktopové aplikace. Tato služba řídí přístup třetích stran a nevyžaduje přímé zadávání uživatelských jmen hesel do klientské aplikace. Místo toho je uživatel po kliknutí na příslušné tlačítko přesměrován na stránky cloudové služby, kde se přihlásí svým jménem a heslem, případně prokáže svou identitu dalším autentizačním prvkem. Následně pak ve webovém formuláři potvrdí, k jakým datům smí klientská aplikace přistupovat a jak dlouho. Po té je opět přesměrován do klientské aplikace. Současně je předán klíč, prostřednictvím kterého se klient připojí na API cloudové služby. Klíč je vystaven pro konkrétní službu a dobu, čímž je minimalizováno riziko zneužití. Zároveň je tímto způsobem zajištěno, že se otevřené přístupové údaje do klientské aplikace vůbec nedostanou.

Kromě bezpečné autorizace a autentizace OAuth však nijak nedefinuje vlastní komunikaci s cloudovou aplikací a není vázán na konkrétní typ API. Z tohoto důvodu je šifrování komunikace a monitoring aktivit na těchto rozhraních nutným opatřením pro zajištění ochrany jak proti neúmyslným, tak i záměrným pokusům o narušení bezpečnosti. Od roku 2010 se postupně nasazuje velkými poskytovateli cloudových služeb.

Cloud vs In-House

Problém bezpečnosti API se v žádném případě neomezuje pouze na cloudové služby. Otázka bezpečného napojení více aplikací je vždy spojena s vhodným návrhem rozhraní, použitým autentizačním a autorizačním mechanismem a způsobem šifrování přenášených dat.

DoS útoky na cloudovou infrastrukturu

DoS útoky jsou evergreenem internetové bezpečnosti. Ačkoliv je tento útok znám řadu let, skutečnost, že je stále efektivní ukazuje, jak slabě jsou některé (nejen) cloudové služby zabezpečeny. Pro základní kategorizaci lze tyto útoky rozdělit na DoS (Denial of Service) a DDoS (Distributed Denial of Service). Rozdíl je v tom, že při DoS je zapojen pouze jeden stroj/útočník, přičemž při DDoS to mohou být jednotky až statisíce počítačů. Principem DoS útoku je znepřístupnění služeb jakýmkoliv způsobem. Možností je celá řada. Od malé chyby v aplikaci, která má za následek zamrznutí systému po té, co útočník zašle určitou sekvenci znaků, až po zahlcení požadavků na komunikaci se serverem, kdy dojde k překročení limitu systému, síťové karty, aplikace nebo systémových prostředku (CPU, paměť, IO operace apod).

Jak se bránit:

Z podstaty útoku, který využívá základních vlastností TCP komunikace bohužel nevyplývá jednoznačný způsob obrany. Obecně lze však potřebné kroky rozdělit na tři části: prevence před útokem, detekce útoku a reakce na něj. Poskytovatelé cloudových řešení rozhodně neberou záležitost DoS útoků na lehkou váhu. Vlastní ochrana začíná již okamžiku návrhu celého řešení přes zpracování velmi podrobného krizového plánu. Dále pak zahrnuje zavedení anti-spoof prvidel, omezení ICMP a SYN provozu, aplikaci bezpečnostních záplat operačního systému, skenování a detekci, analýzu logů a nasazení systémů pro detekci průniku tzv. IDS (Intrusion Detection System).

Cloud vs In-House

Obětí DoS útoku se může stát virtuální server v cloudu stejně jako fyzický, lokálně spravovaný server umístěný v sídle firmy. Pokud neumíme, nebo nechceme aplikovat vysoce sofistikovaná opatření, z hlediska schopnosti čelit podobným útokům jsou šance cloudového řešení podstatně vyšší.

David Janoušek

Autor článku dlouhodobě pracoval ve významných amerických IT společnostech zaměřených na vývoj aplikačních řešení pro velké firmy a státní správu. V současné době působí jako nezávislý IT konzultant a specializuje se na problematiku implementace cloudových řešení a jejich bezpečnost. Zabývá se rovněž vývojem webových aplikací na platformě Salesforce.com a Force.com.


Komentáře

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






Kalendář

20. 03.

24. 03.
CeBIT 2017
21. 03.

24. 03.
Amper
23. 03. Cloud computing v praxi
RSS 

Zprávičky

Prodej mobilů v ČR loni klesl o pět procent

ČTK , 22. březen 2017 16:14

Prodej mobilních telefonů v Česku loni klesl o pět procent, uvedla analytická firma GfK. Podle infor...

Více 0 komentářů

Nařízení EU usnadní uplatnění práva být zapomenut, ale s omezením

ČTK , 22. březen 2017 15:01

Nárok na vymazání osobních údajů, který od konce května příštího roku přinesou nová pravidla EU pro ...

Více 0 komentářů

Na trh přicházejí GFI OneConnect a OneGuard

Pavel Houser , 22. březen 2017 09:30

Nová řešení ochrany firemních sítí a e-mailové infrastruktury . ...

Více 0 komentářů

Starší zprávičky

Kritická chyba v přepínačích Cisco

Pavel Houser , 22. březen 2017 09:00

Více než 300 typů přepínačů Cisco včetně 264 přepínačů Catalyst obsahují kritickou zranitelnost....

Více 0 komentářů

USA a Británie zakázaly pasažérům některých aerolinek elektroniku

ČTK , 22. březen 2017 08:45

Americké úřady zakázaly pasažérům devíti leteckých společností převážně z muslimských zemí brát do l...

Více 1 komentářů

České Radiokomunikace pokrývají svou sítí IoT další města

Pavel Houser , 22. březen 2017 08:30

CRA hledají partnery pro poskytování IoT služeb. Do rozvoje této oblasti plánují v průběhu roku inve...

Více 0 komentářů

Epidemie negativity: Češi jsou druhým nejvíce kverulantským národem

ITBiz.cz , 22. březen 2017 08:00

České podniky jsou v sevření epidemie negativity. Průzkum společnosti Sharp odhalil, že přes dvě tře...

Více 0 komentářů