Пока сторонники и противники облачной инфраструктуры ведут свои споры, конструктивно мыслящие люди работают над тем, чтобы сделать продукт еще более привлекательным и защищенным. Вопрос защищенности не теряет своей актуальности десятилетиями и вряд ли потеряет ее в обозримом будущем. Тому подтверждением служат до полумиллиона ежедневно выявляемых вредоносных программ.

Очередным прекрасным решением для сопровождения облака в складывающейся ситуации является Deep Packet Inspection (DPI) – технология глубокого исследования пакетов. Почему он? Поясним, что основные риски при использовании облака связаны с тем, что всеми рабочими ресурсами начинает распоряжаться хостинг-провайдер. Отсюда идет попадание в зависимость от канала связи, точнее, от его пропускной способности. А применение разнообразных методов шифрования, тем более при использовании веб-доступа для удаленного подключения с высокой долей вероятности может повлечь за собой путаницу в классификации сетевого трафика, что в свою очередь повышает уязвимость системы. Data.

Выполняя функции фильтра трафика, DPI способен проводить мониторинг пакетов в потоке, анализируя и порты, и протоколы, и заголовки. Распределяя трафик, DPI основывается на результатах своего анализа по выявлению принадлежности пакетов, тем самым помогая избежать беспорядочности и отследить непроверенные данные.

Еще одна прерогатива DPI в эксплуатировании каналов – это возможность в соответствии с учтенными нуждами распределять канал между запущенными приложениями, в том числе с позиций времени и интенсивности нагрузки.

Трудно переоценить потенциал DPI при угрозе DDoS-атак, особенно на фоне кратного увеличения их количества за последние годы. Разрушительная способность подобных атак с вероятностью до 50% может на неопределенное время вывести из строя любой облачный сервис, до минимума сократив рабочий трафик в канале. Разумеется, такая статистика никуда не годится.

К двум широко распространенным вариантам DDoS-атак причисляют TCP Syn Flood и UDP Flood, к счастью, обоим из которых готова противостоять DPI.

Принцип первой атаки состоит в отправке на облачный сервер пакетов SYN, на которые сервер отвечает пакетами SYNACK. Так как закрытие соединения требует обязательного обратного подтверждения, SYNACK такого подтверждения не получают, засоряя канал вплоть до его перегрузки и невозможности отвечать на запросы.

Storage servers in data room Domestic RoomDPI, изучая и консолидируя критерии, составляет условный список адресов, с которых отправляются рабочие запросы. В случае обнаружения резкого роста активности, DPI проводит мгновенный анализ, выделяет подозрительный трафик и превентивно блокирует пакеты, которыми оперирует SYNFlood.

При осуществлении атаки UDP Flood, в прицеле маячат порты узла, размещенного на облаке. Методика стара, но эффективна: на узел направляются бесчисленные массивы данных, подвергая его критической нагрузке. Масла в огонь подливает понятная реакция сервера, начинающего предпринимать попытки продиагностировать принимающий порт. На этом этапе отказывает самая стойкая техника.

DPI решает проблему путем определения рабочих протоколов, которыми обеспечиваются полезные процессы. Очертив их круг, DPI начинает отвергать все, что не укладывается в этот порядок, тем самым оберегая защищенный порт от лишних наборов протоколов и допуская к обработке только актуальные данные.

Специфика облачного размещения, подразумевающая необходимость доступа к серверам извне и в удаленном формате, безусловно, является манящим фактором для разного рода злоумышленников, и в условиях недобросовестной конкуренции может стать действенным рычагом для подрыва экономической, производительной, финансовой, материальной и прочих ключевых составляющих бизнеса.

При создании и отстраивании новой инфраструктуры, необходимо параллельно иметь детальный план по поддержанию ее безопасности, который, как минимум, должен включать в себя регулярное и своевременное:

  • тестирование системы;
  • исправление и доработку программного обеспечения;
  • обновление базисного софта;
  • проверку готовности механизмов защиты.

А для более основательного и упорядоченного подхода в организации облачной безопасности существуют рекомендации по изначальному определению и классификации уровней окружения, требующих защиты.

Помимо рассмотренной и выгодно применимой для частных случаев DPI, конечно же, существует еще множество технологий и методик, взятие на вооружение которых предусмотрительно позволит сэкономить ресурсы, время и нервы, ведь прогресс обусловлен неустанным развитием практик противостояния нарастающим цифровым рискам и угрозам.