Безопасность данных в облаке. Сравнительный обзор облачных хранилищ

Облака, облака — гигабайтные площадки!

Если вам надоело бегать между работой и домом с флешкой, носить постоянно ноутбук с нужными файлами, и вы хотите, чтобы ваши важные файлы были доступны вам или вашей команде на любом компьютере или мобильном устройстве, то вам на помощь могут прийти .

Облачное хранилище данных - модель онлайн-хранилища, в котором данные хранятся на многочисленных, распределённых в сети серверах, предоставляемых в пользование клиентам, в основном третьей стороной. В противовес модели хранения данных на собственных, выделенных серверах, приобретаемых или арендуемых специально для подобных целей, количество или какая-либо внутренняя структура серверов клиенту, в общем случае, не видна. Данные хранятся, а равно и обрабатываются, в так называемом облаке , которое представляет собой, с точки зрения клиента, один большой, виртуальный сервер. Облачные хранилища данных .

Предлагает вашему вниманию обзор 10+ бесплатных и платных сервисов облачных хранилищ данных.

Облачные хранилища данных :

1. Google Drive

Google Drive - облачное хранилище данных от Google, что говорит само за себя. Google Drive позволяет пользователям хранить свои данные на серверах в и делиться ими с другими пользователями в интернете. Облачное хранилище делит пространство между Google Drive, Gmail и Google Photo. В сервисе можно хранить не только документы, но и фотографии, музыку, видео и многие другие файлы – всего 30 типов. Всё очень удобно и привычно для пользователей Google-сервисов.

Тарифные планы Google Drive

Максимальный обьем файла 5 Тбайт.

Доступен в веб-браузерах, Windows, Mac OS, Android, iOS и др.

2. Microsoft OneDrive

OneDrive - переименованный в феврале 2014 Microsoft SkyDrive, базирующийся на облачной организации интернет-сервис хранения файлов с функциями файлообмена. К слову, SkyDrive создан в августе 2007 года компанией Microsoft. Сейчас OneDrive один из флагманов облачных хранилищ данных.

Преимущество сервиса OneDrive в том, что он сразу интегрирован с Office 365 , поэтому непосредственно из приложения можно создавать, редактировать, сохранять файлы Excel, OneNote, PowerPoint и Word в службе Windows Live OneDrive .

Сервис OneDrive позволяет хранить на данный момент бесплатно 5 Гбайт (хотя раньше предлагалось 15 Гбайт ) информации в упорядоченном с помощью стандартных папок виде. Для изображений предусмотрен предпросмотр в виде эскизов, а также возможность их просмотра в виде слайдов.

2017. Техносерв запустил сервис синхронизации файлов для бизнеса - ТехноДиск

Системный интегратор Техносерв представил корпоративный сервис облачного хранения и синхронизации файлов ТехноДиск . В отличии от аналогов (Dropbox, Google Drive, Яндекс Диск...) он (по словам разработчиков) обеспечивает повышенную безопасность данных благодаря простой интеграции с системами безопасности клиента. Среди других достоинств компания называет хранение данных на территории России, возможность использования частного облака и расширенное удаленное управление файлами. В ТехноДиске имеется встроенный антивирус. Пользователи могут синхронизировать файлы между ПК и мобильными устройствами на iOS и Android. Например, для компании с 2 тыс. пользователями и общим объемом дискового пространства в 100 тыс. ГБ цена составит около 500 руб. за пользователя в месяц.

2016. Mail.ru запустила облако для архивов

В наборе бизнес-приложений Mail.Ru для Бизнеса появился новый сервис - Облачное хранилище холодных данных. Он подойдет для хранения бекапов, логов, медиаконтента, научных и статистических данных, а также рабочих архивов вашей компании. От обычных облачных хранилищ это отличается тем, что стоит намного дешевле, но данные выдает только по запросу и не мгновенно, а через некоторое время после запроса. При этом, обеспечивается высокий уровень безопасности хранилища, и в отличии от западных альтернатив (Amazon Glacier или Google Nearline), всегда обеспечивается соответствие нормам законодательства (т.е. данные хранятся в российских дата-центрах). ***

2015. Google Compute Engine позволил клиентам использовать собственные ключи шифрования

2015. Microsoft и Google повысили безопасность своих онлайн офисов

Microsoft встроила в свой онлайн офис Office 365 систему управления мобильными устройствами (MDM), которая доступна бесплатно всем коммерческим подписчикам сервиса. Эта система позволяет контролировать данные (email, документы), которые находятся на девайсах сотрудников (iPhone, Android, Windows Phone), централизованно устанавливать права доступа, политики безопасности и удаленно стирать данные (например, если сотрудник уволился). В свою очередь, Google добавил множество настроек для управления правами доступа в облачное хранилище Google Drive for Work. Особенно порадует пользователей возможность расшаривать файлы для внешних контрагентов без необходимости просить этих контрагентов зарегистрировать Гугл-аккаунт. Вот видео: ***

2015. Box стал самым защищенным облачным хранилищем в мире

Облачные хранилища типа Box, Dropbox, Google Drive, OneDrive являются вполне безопасными для хранения бизнес-данных. Однако, в некоторых компаниях требования к безопасности - очень высоки. И их не устраивает, что хотя данные и шифруются при хранении и передаче, сервис-провайдер может получить к ним доступ, зная ключи шифрования. Для таких компаний Box ввел новую услугу Box EKM , которая позволяет самостоятельно создавать и хранить ключи шифрования. А чтобы это не сказалось отрицательно на удобстве сервиса (чтобы админу не пришлось устанавливать мастер ключей на каждом компьютере и смартфоне) - Box интегрировал свое хранилище с сервисом Amazon CloudHSM , который как раз предоставляет услугу облачного хранения ключей. Отметим, что каждый файл, загружаемый в Box, шифруется индивидуальным ключем шифрования. Кроме того, компания получает полный лог доступа к каждому файлу. ***

2013. Dropbox стал более подходящим для бизнеса

Вероятно, вы уже слышали термин "Dropbox для бизнеса "? Чаще всего этот термин применяется не в отношении популярного сервиса Dropbox, а для обозначения его многочисленных конкурентов, которые пытаются создать такой же сервис, только отвечающий корпоративным требованиям (в первую очередь, по безопасности). Но и сам Dropbox не хочет терять бизнес-рынок. У него есть редакция Dropbox for Teams , и ею уже пользуются около 2 млн компаний. Однако, в большинстве случаев, это либо малые бизнесы (где нет админа), либо компании, в которых есть админ, но его игнорируют. Потому, что до сих пор нормально контролировать то, что происходит в Dropbox for Teams ни один админ не мог. Новая версия сервиса практически устраняет эту проблему. ***

2011. DropBox запускает бизнес-версию чтобы конкурировать с Box.net

Популярнейший сервис для онлайн хранения и совместной работы с файлами DropBox наконец-то решил запустить версию для бизнеса - DropBox for Teams . Она отличается от обычной 2 вещами. Во-первых, в ней есть административная панель для управления пользователями и правами доступа. В админке также можно централизованно платить за сервис. Во-вторых, при расшаривании файлов для сотрудника внутри аккаунта DropBox for Teams, объем свободного места у него не уменьшается. (В обычной версии DropBox если, например, для вас расшарили файл 100 Мб, то у вас отнимается 100 Мб свободного места). Однако, DropBox хочет, чтобы при использовании бизнес-версии пользователи вообще не думали о свободном месте на диске. В DropBox for Teams - как минимум 1Тб свободного места. Это в 2 раза больше, чем в бизнес-версии главного конкурента - Box.net ***

2011. Trend Micro представила малому бизнесу решение для хранения, управления и доступа к данным в удаленном режиме

Корпорация Trend Micro, разработчик решений в области защиты интернет-контента, объявила о выпуске нового приложения Trend Micro SafeSync for Business. Это решение, в том числе и для малого бизнеса, обеспечивает безопасное хранение, управление и доступ к цифровым файлам в удаленном режиме, помогая повысить производительность и облегчая обмен данными между сотрудниками и клиентами. SafeSync for Business обеспечивает удобство доступа к данным и обмена ими, гарантируя их безопасность и актуальность; и возможность доступа к ним с различных компьютеров и мобильных устройств посредством инновационной технологии синхронизации. SafeSync также сохраняет в облачном хранилище дополнительную актуальную копию данных, доступ к которой можно получить с любого устройства, способного подключаться к глобальной сети. Это помогает защитить данные от потери в случае сбоя аппаратного обеспечения. SafeSync устраняет необходимость вручную перемещать файлы с одного ПК на другой, экономя время и снижая риск потери ценной информации.

2007. Box.net вышел на рынок корпоративных файлохранилищ

Box.net обратил внимание на корпоративных клиентов и выкатил новое предложение - Box Professional, которое идеально подойдет тем фирмам, где сотрудники берут часть работы на дом. В отличие от традиционных файловых хостингов, в Box Professional компания сможет использовать собственный логотип. И конечно же здесь не будет никакой рекламы. В Box.net упор делают также на безопасности и совместной работе. Пользователи могут объединяться в рабочие группы, которые трудятся над одним проектом. Есть возможность подписаться на получение уведомлений о том, что файл был изменен. Разработчиками также обещаны гибкие административные возможности по управлению пользователями и папками (с определением прав). Учитывая, что Box.net интегрирован с Zoho, данное предложение может заинтересовать многие небольшие фирмы за рубежом. Говорить о перспективах в России, думаю, пока рано. Не все отечественные компании готовы платить $200 в год за удобную удаленную работу своего персонала с файлами.

В какой-то момент мы столкнулись с необходимостью организовать шифрованное хранилище для удаленного размещения файлов. После недолгих поисков нашел легкое облачное решение, которое в итоге полностью устроило. Далее я вкратце опишу это решение и некоторые особенности работы с ним, возможно, кому-нибудь пригодится. На мой взгляд, вариант надежный и вместе с тем достаточно удобный.

Архитектура

За основу я решил взять систему облачного хранения данных . Которая была установлена в OS Debian Linux v7.1 и развернута в виде виртуальной машины под гипервизором Proxmox Virtual Environment v3.1.

Систему облачного хранения данных установил на зашифрованный диск ОС Linux, доступ к данным возможен только по протоколу HTTPS, для авторизации помимо стандартного пароля необходимо ввести также одноразовый пароль (OTP). Регулярно осуществляется резервное копирование. Предусмотрена возможность экстренного отключения и удаления всех данных ownCloud.

Гипервизор Proxmox Virtual Environment

Гипервизор Proxmox Virtual Environment представляет собой специализированный дистрибутив OS Debian Linux v7.1, удаленный доступ к системе возможен по протоколу SSH на стандартном порту TCP 22. Однако основным рабочим инструментом для управления виртуальными машинами является Web-интерфейс.

Раз в сутки происходит генерирование горячей копии (snapshot) виртуальной машины ownCloud с экспортом ее на серверы NFS, используя стандартные возможности Proxmox VE.

На скриншоте, виртуальная машина в Web-интерфейсе имеет идентификатор 100 (ownCloud). Доступ к ее консоли возможен через пункт контекстного меню «Console».

Например, вот так выглядит ввод пароля для шифрованного диска во время загрузки:

Облачное хранилище данных ownCloud

Про установку ownCloud на хабре есть достаточно хорошая статья от пользователя BlackIce13 http://habrahabr.ru/post/208566/ там уже перечислены основные возможности и некоторые плюсы этой платформы.

От себя могу лишь добавить, что, на мой взгляд, существует несколько более простой способ установки ownCloud для дистрибутива ОС Linux Debian и многих других, нежели предложенный автором статьи. Доступны готовые репозитории: http://software.opensuse.org/download/package?project=isv:ownCloud:community&package=owncloud
В этом случае все необходимые зависимости ставятся автоматически, а от вас будет лишь требоваться скорректировать настройки под свою специфику.

OwnCloud развернул на базе ОС Debian Linux v7.1 внутри виртуального контейнера. Удаленный доступ к хранилищу возможен по протоколу SSH на стандартном порту TCP 22.
Основная работа с ownCloud осуществляется через Web-интерфейс, возможно также подключение через протокол WebDAV и использование клиентов синхронизации (Sync).

Кстати, поскольку доступ к ownCloud осуществляется через HTTPS логи доступа и ошибок ведутся сервером Apache в файлах "/var/log/apache2/access.log" и "/var/log/apache2/error.log" соответственно. Также ownCloud имеет свой собственный лог "/var/www/owncloud/data/owncloud.log".

Одноразовые пароли OTP

Для усиления безопасности доступ к ownCloud через Web-интерфейс возможен с использованием двухфакторной авторизации: традиционный пароль и одноразовый пароль OTP. Функционал OTP реализуется с помощью внешнего дополнения One Time Password Backend . Встроенной поддержки OTP у ownCloud нет.

Настройка основных параметров OTP осуществляется в разделе «Admin» под административной учетной записью.

На скриншотах настройки двухфакторной авторизации и одноразовых паролей подобранные для обеспечения совместимости с аппаратными генераторами FEITIAN OTP c200.
Алгоритм: Time-based One Time Password (TOTP)
Количество цифр в пароле: 6
Время жизни пароля: 60 секунд

Чтобы двухфакторная авторизация вступила в действие необходимо назначить пользователю Token Seed. До этого момента он может заходить в ownCloud, используя только лишь обычный пароль. Что собственно необходимо сделать сразу после создания пользователя, перейти в раздел «Personal» и ввести Token Seed в одноименное поле.

Генерировать Token Seed, используя встроенные возможности модуля OTP ownCloud, не рекомендуется, поскольку в алгоритме его работы наблюдаются проблемы. Формат ввода: Base32 (%32) UPPERCASE. Конвертировать Token Seed в разные форматы можно с помощью утилиты www.darkfader.net/toolbox/convert

Конкретно для этого проекта использовался Token Seed вшитый в аппаратный Token FEITIAN OTP c200. В общем случае можно использовать любой генератор паролей, а затем приводить его к нужному формату, используя приведенный в тексте конвертер.

Примером такого приложения для ОС Android может служить Android Token: https://play.google.com/store/apps/details?id=uk.co.bitethebullet.android.token&hl=ru

Проинициализированный Token Seed выглядит следующим образом:

Для отключения OTP достаточно удалить Token Seed из настроек. Если это невозможно, например, по причине того, что генератор OTP утерян, поэтому доступа к личному кабинету пользователя нет, то отключение OTP возможно только путем прямой модификации данных в СУДБ MySQL. Для этого необходимо запустить из командной строки клиент MySQL:
# mysql -uowncloud –p
Enter password:

Затем выполнить запрос аналогичный следующему, изменив значение поля «user» на необходимое:
mysql> delete from owncloud.oc_user_otp where `user` = "test";

Из-за архитектурных ограничений OTP работает только при доступе к ownCloud через Web-интерфейс, но не через WebDAV. Данный недостаток компенсируется тем, что список IP-адресов, которые могут использовать WebDAV, строго ограничен. Отвечают за это директивы «Allow from» в файле настроек сервера Apache "/etc/apache2/conf.d/owncloud.conf". Обратите внимание, что директивы там указываются дважды.

IP-адреса перечисляются через пробел. Необходимо удостоверятся в том, что в списке обязательно присутствуют IP обратной петли 127.0.0.1, а также публичный IP сервера самого ownCloud. В противном случае в работе WebDAV возможны сбои. После изменения настроек Apache его необходимо перезапустить:
service apache2 restart

Защита от брутфорса

В свежих версиях ownCloud ведется лог неудачных попыток авторизации: "/var/log/owncloud/auth.log". Содержимое "/var/log/owncloud/auth.log" контролирует сервис Fail2ban. Если им в течение короткого времени фиксируется 5 или более неудачных попыток авторизации с одного IP-адреса, то он блокируется фильтром пакетов IPTables на 10 минут. Если после автоматической разблокировки, попытки продолжаются, то IP блокируется повторно навсегда. Следит за работой Fail2ban можно в логе "/var/log/fail2ban.log".

Список IP-адресов, которые не должны блокироваться ни при каких обстоятельствах задается параметром «ignoreip» в файле настроек "/etc/fail2ban/jail.conf". IP перечисляются через пробел.

После изменения настроек Fail2ban его необходимо перезапустить:
service fail2ban restart

В случае необходимости вручную разблокировать какой-либо IP, необходимо выполнить на сервере из CLI команду аналогичную следующей, скорректировав в ней адрес:
iptables -D fail2ban-Owncloud -s 187.22.109.14/32 -j DROP

P.S.
Live версию ownCloud можно посмотреть на официальном сайте

За последние несколько лет появилось столько сервисов для удаленного хранения и синхронизации пользовательских данных, что отказаться от их использования уже почти невозможно. Тем не менее многих останавливают вопросы конфиденциальности. В конце концов, загружая файлы в облако, мы передаем их на чужой компьютер, а значит, доступ к нашей информации может иметь еще кто-то, кроме нас.

С другой стороны, сложно отказаться от многочисленных удобств, которые нам дают сервисы для хранения данных: наличие резервной копии файлов, возможность получить доступ к своим документам с любого устройства из любой точки мира, удобная передача файлов другим людям. Можно найти несколько способов решения проблемы безопасности удаленного хранения файлов. О некоторых из них и пойдет речь в этом обзоре.

⇡ Cloudfogger — бесплатное шифрование для любого облака

Возможно, самый простой способ заботы о безопасности файлов, хранящихся в облаке, — шифровать их вручную. Для этого можно использовать защищенные паролем архивы или же одно из множества существующих приложений для шифрования. Но для тех, кто имеет дело с большим числом документов, в которые постоянно вносятся изменения, такие способы не очень хорошо подходят. Раз уж сервисы для удаленного хранения файлов избавляют нас от необходимости загружать на них файлы вручную, то и процесс шифрования стоит автоматизировать. Это можно реализовать при помощи специализированной программы Cloudfogger. Она работает с Windows, Mac, а также может быть установлена на устройства с Android и iOS.

Приложение шифрует данные с использованием 256-разрядного шифрования алгоритмом AES (Advanced Encryption Standard), перед тем как они загружаются в облако. Файлы попадают на серверы Dropbox и других облачных хранилищ исключительно в зашифрованном виде, поэтому доступ к ним можно получить только в том случае, если на устройстве, с которого вы хотите открыть файл, тоже установлен Cloudfogger.

Очень удобно, что шифрование не вызывает неудобств в работе: ключ для доступа к файлам вводится лишь один раз, при загрузке системы, после чего можно работать с ними в обычном режиме. Но если, к примеру, ноутбук будет украден, то при следующем запуске злоумышленник уже не сможет узнать содержание файлов в защищенных папках.

В начале работы с Cloudfogger нужно создать учетную запись (причем для большей безопасности можно отключить опцию восстановления пароля, но в этом случае забывать его категорически не рекомендуется). Затем приложение само попытается найти папки популярных облачных сервисов Dropbox, SkyDrive, Google Drive и прочих. Но даже если Cloudfogger не справился с этой задачей в автоматическом режиме, все равно можно вручную выбрать директории, содержимое которых требуется шифровать.

Кроме этого, есть возможность определить отдельные файлы из любых других папок. Сделать это проще всего при помощи контекстного меню «Проводника» — Cloudfogger добавляет в него свой список команд.

Также предусмотрена возможность исключать из шифрования отдельные директории и файлы из тех папок, которые защищены Cloudfogger. Такие данные будут загружаться на облачные сервисы в обычном режиме. Стоит иметь в виду, что после того как синхронизируемая папка будет защищена Cloudfogger, потребуется некоторое время на повторную загрузку данных из нее в облачное хранилище.

Еще одна функция Cloudfogger — обмен зашифрованными файлами с другими людьми. Если данные, содержащиеся в облачных хранилищах, будут защищены приложением, стандартные способы отправки ссылок на них другим людям не подойдут. Но вот если разрешить доступ к файлам в интерфейсе Cloudfogger, можно безопасно обмениваться ими с другими людьми. Файлы, зашифрованные Cloudfogger, можно передавать на флешке или отсылать по почте.

Технически доступ к файлам работает так: каждый файл Cloudfogger (.cfog) содержит уникальный ключ AES, который в зашифрованном виде хранится в самом файле. Такие 256-разрядные ключи защищены ключами RSA, которые уникальны для каждого пользователя. Расшифровка происходит только в том случае, если доступ к файлу пытается получить тот пользователь, чей ключ RSA соответствует прописанному в заголовке файла.cfog. Если таких пользователей несколько, данные об их ключах, соответственно, заносятся в заголовки файлов.

Еще одно специализированное решение для обеспечения безопасности файлов на «облачных» сервисах — Boxcryptor. Первоначально созданное как дополнение к Dropbox, сегодня это приложение поддерживает все популярные сервисы для удаленного хранения файлов. Правда, в бесплатной версии доступно шифрование данных, хранящихся лишь на одном сервисе, а также нельзя включить шифрование имен файлов.

Boxcryptor автоматически определяет наличие установленных клиентов популярных сервисов для хранения файлов в облаке (поддерживается даже «Яндекс.Диск»), создает виртуальный диск и добавляет в него соответствующие папки. В настройках можно управлять всеми подключенными папками: добавлять новые, на время отключать шифрование и так далее.

Сервис предлагает поддержку всех основных платформ, как настольных, так и мобильных. Есть даже расширение для Google Chrome. Для работы с Boxcryptor потребуется создание учетной записи — забывать свой пароль категорически не рекомендуется!

⇡ Tresorit — облачный сервис с повышенным вниманием к безопасности

Если из соображений безопасности вы еще не используете никаких сервисов для удаленного хранения файлов, стоит обратить внимание на молодой проект Tresorit, запущенный около полугода назад. Сервис создан как альтернатива стандартным решениям для хранения файлов в облаке и готов обеспечить гораздо более высокий уровень конфиденциальности файлов.

Tresorit обеспечивает шифрование файлов на стороне пользователя. Таким образом, все данные хранятся на серверах сервиса уже в зашифрованном виде. Для шифрования используется стойкий алгоритм AES-256. При создании учетной записи пользователя предупреждают о том, что в случае потери пароля получить доступ к данным на удаленном сервере будет невозможно. Никаких способов для восстановления пароля не предусмотрено, поскольку пароль не хранится нигде: ни в установленном приложении, ни на серверах сервиса. А для пользователей, потерявших пароль, разработчики Tresorit предлагают единственное решение — зарегистрироваться заново.

За повышенную безопасность придется заплатить отказом от некоторых привычных функций. Например, вы не сможете получить доступ к своим файлам с чужого компьютера — веб-интерфейса у Tresorit нет. Пока что разработчики даже не обещают такой возможности, объясняя это тем, что в JavaScript множество уязвимостей. Впрочем, с учетом возможности установки приложения Tresorit на мобильных устройствах, этот недостаток не кажется таким уж серьезным — в конце концов, если нет возможности всюду носить за собой ноутбук, то смартфон уж точно почти всегда при пользователе.

Для обмена файлами используются приглашения, рассылаемые по почте. Настраивая общий доступ, можно назначать людям разные роли: одни могут только просматривать файлы, другие — вносить в них изменения и добавлять в папки новые файлы, третьи — плюс к этому еще и приглашать новых пользователей.

⇡ MEGA — безопасные 50 Гбайт в облаке с синхронизацией

До недавнего времени новое детище Кима Доткома вряд ли могло рассматриваться как альтернатива привычным сервисам для удаленного хранения файлов. Дело в том, что единственным способом загрузки файлов в него было перетаскивание их в окно браузера. Соответственно, ни об автоматической загрузке, ни о синхронизации речи не было.

Но с выходом приложения для Android , а также бета-версии клиента для Windows у сервиса появились эти две важнейшие возможности.

О самом сервисе и о принципах безопасности, на основе которых он создан, мы уже подробно писали в материале «Mega-возвращение Кима Доткома: 50 Гбайт в облаке бесплатно» , поэтому остановимся лишь на основных моментах. Итак, MEGA был создан как ответ на закрытие Megaupload американскими властями. Серверы, на которых хранятся пользовательские данные, расположены в Новой Зеландии. Все файлы шифруются на стороне пользователя, то есть перед отправкой на сервис, благодаря чему получить доступ к ним без знания пароля невозможно. В отличие от Tresorit, MEGA работает в браузере и дает возможность пользователям просматривать списки файлов, удалять и перемещать их, но онлайн-просмотр недоступен, так как они зашифрованы. Для просмотра файл нужно предварительно скачать на диск. Для шифрования используется 2048-разрядный ключ RSA, а забытый пароль восстановить невозможно, поскольку он одновременно является и ключом шифрования.

Поначалу у пользователей не было даже возможности поменять пароль, введенный при регистрации, но теперь такая возможность появилась. Более того, если пользователь уже вошел в свою учетную запись MEGA в браузере, но не помнит текущий пароль, он может его сменить, введя новый и затем перейдя по подтверждающей ссылке в письме, которое отправляется на привязанный к аккаунту адрес электронной почты.

Клиент MEGASync дает возможность синхронизировать содержимое любых папок на диске с виртуальными папками, имеющимися в учетной записи Mega. Прямо при первоначальной настройке можно выбрать, какие папки куда нужно бекапить.

Позже в настройках приложения можно добавить дополнительные папки. Настройки клиента также дают возможность просматривать информацию о свободном месте (напомним, Mega предлагает целых 50 Гбайт бесплатно), ограничивать скорость загрузки, использовать прокси.

Клиент MEGA для Android позволяет не только скачивать файлы, хранящиеся на сервере, но и автоматически загружать на сервис все фотографии и видеофайлы, сделанные камерой устройства. Также в клиенте доступны все основные операции по работе с файлами: удаление, перемещение, создание ссылок на файлы для обмена с другими людьми, поиск.

⇡ Заключение

Наличие на компьютере файлов, о содержании которых не стоит знать никому постороннему, — это еще не повод отказываться от использования сервисов для удаленного хранения данных. Просто нужно позаботиться о конфиденциальности, установив ПО для обеспечения дополнительной защиты или же отдав предпочтение одному из сервисов с шифрованием на стороне пользователя. Наиболее привлекательным среди всех рассмотренных решений выглядит Mega. Сервис предлагает очень большой объем дискового пространства бесплатно, обеспечивает шифрование файлов до загрузки на сервер без использования дополнительных утилит, а также дает возможность просматривать список файлов и управлять ими в браузере и с мобильного устройства на Android.

480 auto

Какие опасности могут подстерегать данные, в том числе, в облаке? — Во-первых, возможность их утраты . Во-вторых, возможность доступа к данным посторонних лиц , то есть потери конфиденциальности.

Разумное беспокойство по этим случаям должно присутствовать всегда, а при размещении компьютерной инфраструктуры в публичном облаке оно может усиливаться.

Потеря данных

Все привыкли к тому, что цифровые данные легко скопировать. Однако для копирования чего бы то ни было нужен оригинал. Если оригинал утрачен, данные, содержавшиеся в нём, также будут потеряны.

Компьютерные данные можно потерять либо в результате удаления соответствующих файлов, либо в результате разрушения носителя, на котором находятся эти файлов.

Резервное копирование

Чтобы не потерять все накопленные данные, нужно регулярно создавать их . При этом для сохранности резервных копий важно размещать их не на том же носителе, на котором находится оригинал, а на другом — физически (!) другом диске, на другом компьютере, в другой сети.

Надёжные носители

Сейчас для хранения данных используются носители самых разных типов. У них разный принцип хранения данных и разная надёжность хранения.

Дополнительно надёжность хранения можно повысить за счёт совместного использования нескольких носителей, объединённых в группу, например, в .

Но даже очень высокая надёжность хранения данных вовсе не отменяет необходимости их резервного копирования.

Утрата конфиденциальности

Собственно, задача сохранения конфиденциальности данных возникает не только в случае , расположенного облаке, но и в привычном мире.

Компьютерные данные, к которым получил доступ посторонний человек невозможно вернуть назад — никогда не будет 100-процентной уверенности в том, что эти данные не были скопированы. Поэтому защита данных сводится в тому, чтобы исключить саму возможность любого неразрешённого доступа к ним.

Чужие данные можно получить двумя путями: в результате доступа к их носителю или через операционную систему, обрабатывающую эти данные. Особенности этих способов доступа и определяют методы защиты данных.

К счастью, цифровая природа компьютерных данных даёт такую возможность их защиты, как шифрование. — Если постороннее лицо получит доступ к носителю с зашифрованными данными или к файлу, хранящему зашифрованные данные, оно не сможет ими воспользоваться.

Далее мы рассмотрим меры в части системного администрирования по сохранению конфиденциальности компьютерных данных, размещённых в виртуальном облаке. При этом мы не будем касаться вопросов безопасности данных внутри приложений (программ), которые используют эти данные.

Физический доступ

Диски виртуальных машин — это файлы, расположенные в больших дисковых массивах, находящихся в центрах обработки данных (ЦОДах). Соответственно, «физический» доступ к дискам виртуальной машины сводится к доступу к этим файлам.

Теоретически, доступ к дискам виртуальных машин могут иметь работники ЦОДа и работники облачного провайдера.

Центр обработки данных

Центр обработки данных обеспечивает оборудование облачного провайдера:

• стабильным и надёжным электропитанием;
• охлаждением чистым воздухом;
• охраной от посторонних лиц.

Несмотря на то, что работники ЦОДа имеют физический доступ к оборудованию облачного провайдера, опасаться того, что они смогут найти и скопировать определённый диск определённой виртуальной машины, не стоит. Для балансировки нагрузки и обеспечения отказоустойчивости виртуальные диски могут перемещаться по всему аппаратному дисковому пространству, которое в настоящее время может достигать многих сотен терабайтов или даже петабайтов.

Кроме того, работники ЦОДа, как правило, не имеют логического доступа в облако (по сети).

Провайдер

Что касается работников облачного провайдера, они (по крайней мере, уполномоченные системные администраторы) всегда имеют доступ и к файлам с «аппаратной» конфигурацией виртуальных машин, и к файлам с их виртуальными дисками. Без таких возможностей они просто не смогут управлять облаком и обеспечивать предоставление услуг своим клиентам.

Более того, нередко системные администраторы облачного провайдера имеют доступ и в операционные системы виртуальных машин своих клиентов. Этот доступ упрощает управление облаком и виртуальными машинами в нём.

Можно ли обойтись без такого доступа? — Да, можно. Но с некоторыми уточнениями.

Операционная система

Для защиты данных на уровне операционной системы используются учётные записи, правами по которым можно управлять. В системе не должно быть посторонних учётных записей, а по имеющимся записям не должно быть лишних прав.

Однако для работы операционной системы на конкретном «железе» требуются драйверы. Для работы операционной системы на облачном «железе» тоже требуются драйверы, и их должен кто-то установить. То есть административного доступа в операционную системы виртуальной машины в ручном или автоматическом режиме всё-таки не избежать. Такой доступ может потребоваться и для сетевой настройки машины.

В принципе, после создания новой виртуальной машины можно изменить пароль её системного администратора и даже удалить или заблокировать соответствующую учётную запись. И после этого у облачных администраторов априори не будет доступа внутрь виртуальной машины.

Однако нужно осознавать, что все дальнейшие заботы об обеспечении работоспособности виртуальной машины лягут исключительно на системного администратора клиента.

Вопрос о возможности доступа облачных администраторов в операционную систему виртуальной машины должен обсуждаться и решаться спокойно и взвешенно.

Шифрование дисков

Как уже было сказано, доступ к данным можно получить и без входа в операционную систему виртуальной машины. Для этого будет достаточным получить доступ к её дискам напрямую.

Единственный способ полностью исключить такую возможность — зашифровать диски. Препятствие возникнет только с одним из них — системным.

Проблема в том, что пароль для подключения зашифрованного системного диска нужно вводить до загрузки операционной системы, то есть до того, когда появляется возможность удалённого подключения к виртуальной машине.

Преодолеть это препятствие можно только с помощью удалённого доступа к консоли виртуальной машины, упрощённо говоря — к её экрану, на котором можно увидеть весь процесс загрузки операционной системы.

Большинство современных облачных провайдеров имеют средства для предоставления клиентам доступа к консолям их виртуальных машин.

Заключение

Будем реалистами, в нашем мире исключить что-то на все 100% невозможно, но максимально сократить вероятность возникновения какого-то события и уменьшить размер его негативных последствий можно. Облако 1cloud даёт немало средств к тому.

P. S. Ещё немного о безопасности: