В облаках и под замком: как обезопасить хранимую в облачных сервисах информацию?

Безопасность
Шифрование данных в облакеЯ уже неоднократно говорил о сложности ситуации с бизнесом и облачными технологиями (да по сути и не только с бизнесом, а любым клиентом, который хранит сколько-нибудь конфиденциальную информацию). С одной стороны — удобство и экономия, дающие преимущество над конкурентами. С другой — “сырость” алгоритмов и механизмов защиты информации, которая материализовавшись даже одной утечкой данных за несколько лет, может вылиться в такие убытки, как в материальном смысле так и для репутации, что вся экономия пойдет прахом.

Впрочем, если подойти к вопросу всесторонне, то вероятность реализации наихудшего варианта можно значительно снизить. В конце концов, спасение утопающих — дело рук самих утопающих. Одно только шифрование файлов с клиентской стороны добавляет дополнительный важный барьер защиты — ведь на сервере хранения они не расшифровываются. Другим вариантом может быть использование более защищенных сервисов.

Шифрование более надежный метод, но накладывает определенные ограничения на работу с файлами. В частности зашифрованные файлы нельзя просматривать онлайн, их сложнее передавать другим пользователям — для того чтобы просмотреть содержание зашифрованного файла понадобится как минимум пароль, а в некоторых случаях еще и программа для расшифровки.

Перед тем как углубиться в детали, рекомендую проконсультироваться с опубликованной ранее статьей (Продолжаем про пароли), посвященной информационной безопасности и облачным технологиям, оттуда вы в частности узнаете, почему так опасно применять дважды один и тот же пароль и как настроить двухэтапную аутентификацию в Dropbox (что значительно снизит шансы взлома вашей учетной записи практически без каких-либо усилий с вашей стороны). А теперь — поподробнее о сегодняшней теме.

TrueCrypt

Создать контейнер в TrueCrypt


TrueCrypt – это open-source криптографическое ПО, которое создает на жестком диске криптографический контейнер, в который вы помещаете файлы, или папки с файлами. Контейнер отображается как папка или отдельный подраздел на жестком диске и “снаружи” виден как большой массив бинарных данных, к которым без программы и знания кодовой фразы получить доступ невозможно. При помощи программы TrueCrypt вы можете работать с данными внутри зашифрованного архива так, как будто это обычная папка. Операции шифрования/дешифрования выполняются “на лету”. В таком архиве вы можете спокойно работать не опасаясь что к важным данным получит доступ кто-то посторонний, а для большей сохранности (в конце концов, потеря информации из-за технического сбоя — также распространенное явление) такой архив есть смысл хранить в вашей папке Dropbox.

Почему именно Dropbox? Причин несколько. Во-первых у Dropbox нет ограничения на размер хранимого фала, что позволяет делать криптоконтейнер сколь угодно большим. Во-вторых, Dropbox умеет обнаруживать изменения в структуре синхронизируемых файлов и копировать только их. На практике это означает, что при внесении изменений в огромный архив, Dropbox будет синхронизировать только небольшую часть данных, которая была модифицирована, а не весь файл, как делает большинство других сервисов.

BoxCryptor

Создать архив в облаке с помощью BoxCryptor


Если уж все равно использовать в качестве хранилища облачный сервис, то почему бы не создать криптоархив сразу там? Видимо так рассуждали создатели популярного приложения BoxCryptor, которое вопреки тому, что можно подумать исходя из названия, работает с любым облачным сервисом. BoxCryptor создает в папке выбранного сервиса криптоархив, где хранятся все файлы, которые вы можете туда добавлять и изменять через создаваемый программой виртуальный диск. Также имеются приложения для мобильных платформ, что позволит вам получить доступ к криптоархиву со своего планшета/телефона. Существуют приложения для Android (работает с криптоархивами, хранящимися в Dropbox/Google Drive, поддержка Skydrive обещана в ближайшем будущем) и iOS (работает только с архивам, хранящимися в Dropbox, поддержка Google Drive и Skydrive обещана в ближайшем будущем). Бесплатная версия BoxCryptor может работать только с одним архивом и не шифрует имена файлов, в остальном ограничений нет. Аналогичные услуги предоставляют конкурирующие сервисы CloudFogger и SecretSync.

SpiderOak & Wuala

Использовать облачный сервис c поддержкой шифрования на стороне клиента


До сих пор речь шла только об действиях по защите информации со стороны клиента, которые вам необходимо предпринимать самостоятельно. Однако есть и облачные сервисы, где этот процесс автоматизирован. Это в частности, SpiderOak и Wuala. Принцип работы их клиентов таков, что перед пересылкой информации на сервер она шифруется клиентом локально, как результат – что хранится на их серверах не знают даже сами хозяева сервиса, так как ключ хранится в клиентском ПО. Процесс установки и настройки клиента SpiderOak слегка сложнее чем Dropbox, зато присутствуют уникальные возможности, например защита паролем расшариваемых файлов и т.д.

7zip

Шифровать отдельные файлы


Если у вас не так много файлов или вам нужно только переслать файлы в зашифрованном виде, то есть смысл просто запаковать необходимые файлы в шифрованный архив. Для таких задач отлично подходит популярный архиватор 7zip — просто выберите при создании архива опцию “шифрование” и укажите пароль.

Полнодисковое шифрование


Рассмотрим обратную ситуацию – вы постоянно работаете с конфиденциальной информацией значительного объема. В этом случае есть смысл использовать решения для полнодискового шифрования наподобие FileVault для OS X, BitLocker для Windows или EncFS для Linux. Такие решения могут применяться как для создания отдельного шифрованного раздела на жестком диске так и для шифрования всего диска целиком. В последнем случае незашифрованным остается только небольшой раздел, который содержит загрузочные файлы системы, а в качестве методов авторизации могут применяться как пароли, так и более сложные методы аутентификации и авторизации, например USB-брелок, на котором записан ключ. Такие методы защиты замедляют работу системы и делают восстановление файлов весьма проблематичным в случае сбоя, но обеспечивают наибольшую безопасность данных. Разумеется, все данные, хранимые в облачных сервисах также будут зашифрованы, так как они будут загружаться в облако уже шифрованными, правда получить к ним доступ через веб-клиент будет невозможно.

Комментарии (2)

  • Shiva
  • 05 июля 2013, 13:45
  • #
  • 0
Что касается вопроса шифрования на облачных хранилищах, то это мера нужная и, я даже сказал бы, вынужденная. Большинство сервисов самостоятельно шифруют документы пользователей, но согласно нашему законодательству, по требованию органов могут выдать всю информацию с потрохами.
Я именно поэтому использую программу, которая поддерживает шифрование на облаке на стороне клиента. Программа называется CyberSafe, встроенное в нее облачное хранилище — это Amazon S3. Вместимость 5 гб, что с ушами хватает на все документы. Шифрует криптостойким алгоритмом, а это то, что нам нужно.
Комментарий был удален...

Добавление комментариев доступно только зарегистрированным пользователям. Используйте свою существующую учетную запись для авторизации. Если у Вас еще нет учетной записи на сайте ее можно создать пройдя несложную процедуру регистрации. Кстати, для входа на сайт, наравне с учетной записью на cloudzone.ru, можно использовать аккаунт из следующих популярных сервисов: Яндекс, Facebook, Google и LinkedIn