Microsoft Live Mesh: каковы последствия для безопасности?

Опубликовано: 9 Апреля, 2023

Microsoft недавно выпустила технический предварительный просмотр своего нового сервиса Live Mesh. Это услуга «облачных вычислений», которую мы ждали с тех пор, как Рэй Оззи намекнул на нее в программной речи на конференции Microsoft Mix в марте прошлого года. Он обеспечивает синхронизацию файлов и устройств через Интернет между всеми вашими ПК (и, в конечном итоге, между вашими компьютерами Mac и устройствами Windows Mobile). Но со всем этим обменом, как насчет безопасности? В этой статье рассматриваются последствия для безопасности облачных вычислений в целом и Live Mesh в частности, а также механизмы, созданные Microsoft для защиты ваших «сетевых» устройств и данных.


Насколько безопасно Облако?


Прежде чем мы сосредоточимся на Live Mesh в частности, уместно задать несколько вопросов о безопасности облачных вычислений в целом. Ранее этим летом Gartner выпустила отчет, в котором подчеркивается тот факт, что, хотя риски можно уменьшить, выбрав правильного поставщика облачных услуг и приняв меры по устранению угроз, облачные вычисления действительно вызывают серьезные проблемы с безопасностью.


Те самые характеристики, которые делают облачные вычисления такой удобной альтернативой, могут также сделать их рискованными. Облачные вычисления делают ваши данные, а во многих случаях и ваши приложения, доступными из любой точки мира, но это также означает, что, если не будут приняты строгие меры для их защиты, к ним может получить доступ кто угодно в мире, а не только тобой. На самом деле, как указывает документ Gartner, вы можете даже не знать, где в мире хранятся ваши данные. Для большинства помешанных на контроле экспертов по безопасности это очень пугающая мысль.


С другой стороны, облачные вычисления также могут дать некоторые преимущества в плане безопасности. Поскольку ваши данные не «живут» на вашем локальном компьютере, они не так уязвимы для LLS (синдрома потерянного ноутбука) — хотя, конечно, вы должны знать о кэшах данных, которые находятся локально. Конечно, эти ноутбуки должны использовать шифрование файлов, полное шифрование диска, быть оснащены программным обеспечением для «домашнего телефона» или программным обеспечением для удаленной очистки — но сколько корпоративных сотрудников носят с собой портативные компьютеры, которые не защищены должным образом? Хранение ваших данных на сервере где-то в облаке может помешать вору получить к ним доступ.


С другой стороны, это централизованное хранилище несет в себе собственный риск. Если хакер получит доступ к вашим данным на сервере облачного поставщика, он получит все это. Но при правильном развертывании облачное хранилище упрощает защиту данных, находящихся в одном месте, вместо того, чтобы пытаться защитить файлы, хранящиеся на множестве разных компьютеров. И стоимость безопасности может быть снижена, поскольку поставщик облачных услуг распределяет стоимость своих механизмов безопасности между несколькими клиентами.


Итог: когда дело доходит до безопасности, облако имеет как преимущества, так и недостатки. Многое зависит от того, как это реализовано, и это возвращает нас к отдельному поставщику облачных услуг и его приложениям.


Как работает живая сетка?


Прежде чем мы слишком углубимся в технические аспекты, важно отметить, что в своем нынешнем воплощении Microsoft продвигает Live Mesh как потребительскую услугу, а не как услугу, специально предназначенную для бизнеса. Тем не менее, компания представила многие из своих продуктов и услуг в первую очередь потребителям, и многие отраслевые эксперты считают, что она может и будет распространена на бизнес-среду, если она завоюет популярность. Для получения дополнительной информации об этом обсуждении см. статью Мэри Джо Фоули в журнале Redmond под названием Есть ли у Live Mesh будущее для бизнеса?


Итак, каковы практические различия между облаком и сеткой? Самая большая концептуальная разница, вероятно, заключается в том, что сетка — это ваша персонализированная сетка (в отличие от туманного облака, которое вы делите с бог знает кем еще). Ваша сетка включает в себя различные устройства, с которых вы хотите получить доступ к своим данным и программам: например, ваш домашний рабочий стол, рабочий стол в офисе, ноутбук и мобильное устройство (доступная в настоящее время техническая предварительная версия Live Mesh поддерживает только ПК с Windows, но Microsoft планирует, что в в будущем он также будет поддерживать устройства Windows Mobile и компьютеры Mac OS X).


Ваша информация автоматически синхронизируется на устройствах, которые вы присоединяете к своей сетке, путем установки программного обеспечения Mesh Operating Environment (MOE). Вы также можете использовать функцию удаленного рабочего стола Live Mesh для доступа к рабочему столу ваших ПК, включая компьютеры XP Home и Vista Home edition, которые иначе не поддерживают входящие подключения к удаленному рабочему столу. Кроме того, сетка также содержит «облачный» элемент, веб-интерфейс Live Desktop, с помощью которого вы можете хранить файлы (до 5 ГБ) на серверах Microsoft. Чтобы узнать больше о том, как работает сетка, см. этот пост в блоге.


Что Microsoft делает для обеспечения безопасности в ячеистой сети?


Теперь возникает большой вопрос: как насчет безопасности? Аутентификация Live Mesh основана на идентификаторе Windows Live ID (ранее Microsoft Passport). Паспорт был задуман как служба единого входа для электронной коммерции. В 2007 году в Live ID была обнаружена уязвимость, которая позволяла пользователям регистрировать в сервисе ложный или несуществующий адрес электронной почты, но она была исправлена вскоре после того, как была обнаружена.


Учетные записи Live ID можно аутентифицировать различными способами, в том числе:



  • Имена пользователей и пароли

  • Комбинации пароля/пин-кода

  • Смарт-карты

  • Информационные карты Windows Cardspace

  • RADIUS (для аутентификации с мобильных телефонов и Xbox)

  • Федеративные центры идентификации (WS-Trust)

Поскольку большинство пользователей Live ID полагаются на первый (и наименее безопасный) метод, безопасность учетной записи зависит от выбора надежного пароля. Live ID поддерживает длинные пароли (до 16 символов), включающие как символы, так и буквенно-цифровые символы. Когда вы создаете свои учетные данные, интерфейс Live ID оценивает и сообщает о надежности вашего пароля.


Live ID периодически проверяется независимыми аудиторами. Ким Кэмерон, один из первых критиков Passport, присоединился к Microsoft в качестве архитектора удостоверений и доступа и внес большой вклад в разработку Live ID.


После аутентификации пользователя или устройства для доступа к ресурсам в сетке используются билеты на языке разметки подтверждения безопасности (SAML). SAML — это стандарт, основанный на XML, созданный Техническим комитетом службы безопасности Организации по развитию стандартов структурированной информации (OASIS). Дополнительные сведения о SAML см. в разделе Язык разметки утверждений безопасности (SAML).


Билеты подписываются закрытым ключом, и их срок действия истекает через указанное время. Служба Live Mesh проверяет билеты и, если представлены правильные билеты, разрешает доступ. Как правило, доступ предоставляется между двумя устройствами, если в билете указано, что оба устройства принадлежат одному и тому же пользователю, или, в случае общих папок, если в билете указано, что на обоих устройствах сопоставлена одна и та же папка Live Mesh.


Трафик между клиентом и сервером шифруется с помощью HTTPS. Это предотвращает повторные атаки. Каждое устройство, которое вы присоединяете к своей сетке, имеет свой собственный закрытый ключ. Только клиент знает свой закрытый ключ, поэтому трафик не может быть перехвачен и прочитан в «облаке». Когда вы подключаете одно устройство к другому через сеть, для обмена ключами используется асимметричное шифрование, а данные и файлы передаются с использованием 128-битного AES. Целостность данных проверяется с помощью кода аутентификации хеш-сообщений (HMAC), в котором используется хеш-функция с секретным ключом. Дополнительные сведения о HMAC см. в документе RFC 2104.


Файлы, хранящиеся на серверах Microsoft «в облаке» (5 ГБ хранилища Live Desktop, которое получает каждый пользователь), защищены средствами контроля доступа, но не зашифрованы.


Еще одна область, вызывающая беспокойство у некоторых, — это функция удаленного рабочего стола. Служба, которая включает удаленный рабочий стол, wlcrasvc.exe, настроена на автоматический запуск. Если вы закончите процесс, начнется другой. Если вы хотите отключить службу для большей безопасности, откройте командную строку с правами администратора и введите net stop wlcrasvc. Вы также можете отключить службу в столбце «Тип запуска» в консоли «Службы».


Итог: для той цели, для которой он в настоящее время продается — позволяя потребителям более легко интегрировать свои многочисленные устройства и обеспечивать легкий доступ, безопасность, вероятно, достаточно хороша. Чтобы стать жизнеспособным вариантом для делового мира, где последствия компрометации данных могут иметь серьезные финансовые, юридические и карьерные последствия, мы хотели бы видеть вариант «высокой безопасности». Microsoft может посмотреть, как это делает Groove, разбивая и шифруя данные на локальных жестких дисках, чтобы файл, который вы добавляете в рабочую область, не имел соответствующего файла на локальном диске.


Ресурсы:



  • Блог об облачной безопасности

  • Технологические отчеты: язык разметки утверждений безопасности (SAML)

  • За Live Mesh: авторизация и шифрование Николай Смолянский
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023