Экономический отказ в обслуживании (ESoS) облачных сервисов при помощи http и xml DDoS-атак.

Авторы статьи: VivinSandar, SudhirShenai
Автор перевода: Дядин И.П.
Ключевые слова: Безопасность облачного сервиса, DDoS атака, EDoS атака

Источник оригинальной статьи (англ.): Economic Denial of Sustainability (EDoS) in Cloud Services using HTTP and XML based DDoS Attacks // International Journal of Computer Applications [Электронный ресурс]. — Режим доступа: http://research.ijcaonline.org

Введение

Облачные вычисления представляют собой гетерогенную распределенную систему, у которой есть возможно масштабироваться и быть эластичной потребностям пользователя и при этом постоянно доступной. Облачные вычисления Облачная инфраструктура полностью виртуализирована, для того чтобы эффективно использовать аппаратные средства (серверные мощности), а также использует все возможные архитектуры [1]. Поскольку связующее программное обеспечение позволяет хранить данные на большом количестве серверов и все они могут быть разными по конфигурации и архитектуре, то проблемы безопасности в облаках становятся сложнее. Об этом можно прочитать в статьях [4–7]. Cloud Security Alliance (CSA) предоставил нам данные об областях в облачных вычислениях в которых требуется внимание к безопасности [9].

Облака подвержены широкому спектру атак, например wrapping attack, вредоносные инъекции в код, подмена метаданных [21], вредоносные инъекции в базы данных, межсайтовый скриптинг, DDoS-атаки и DNS атаки. Особенно облачные сервисы чувствительны к DDoS-атакам. Достаточно сложно отличить легитимный трафик от нежелательного. Определение и фильтрация атак это достаточно весомая задача в такой среде как облачные вычисления, где все виртуализировано. Нету ни одной технологии, которая полностью может отфильтровать DDoS-атаку. Статья [10] показывает детали недавних DDoS-атак в вебе. Ресурс BitBucket (сервис для хостинга исходного кода) работающий на облачном решение от компании Amazon, не работал более чем 19 часов вследствие DDoS-атак [11]. Большинство из уязвимостей которые возможны с традиционными распределенными окружениями присущи облачным решениям. То есть все уязвимости в облачных вычислениях не обязательно применимы только к облачным решениям. Как описано в статье [3], уязвимость присуща облачным вычислениям если:

Если она присуща или распространена в основе облачных вычислений;
Есть корневая причина в одном из стандартов NIST для облачных вычислений;
Если инновации в облачных вычислениях делают контроль над их безопасностью очень сложным или невозможным для внедрения;
Если распространена в предоставляемых облачными решениями передовых технологий.

Следующая глава описывает детали DDoS-атак на традиционные распределенные окружения так и на облачные сервисы. В конце статьи подчеркнуто как традиционная DDoS-атака трансформировалась в специфичные для облачных решений EDoS-атаки.

DDoS-атаки

Атаки на отказ в облуживание это возможность сделать компьютерные ресурсы (ширина полосы доступа в интернет, процессорное время и тд) недоступными для пользователей для которых они предназначены. Для перегрузки требуемой полосы пропускания сети и процессорного времени для обеспечения работы ресурса, атакующие все чаще используют большое количество компьютеров для распределенной атаки на отказ в обслуживание [2]. DDoS-атака в необлачных решениях не особо мешает предоставлению сервиса, но способствует к экономическим потерям. Когда как облачный сервис чрезвычайно масштабируем, сервис будет использовать больше ресурсов во время атаки для подтверждения соглашения о предоставлении услуг (англ. Service Level Agreement (SLA)), что приведёт к увеличению расходов пользователя облачного сервиса. Так традиционная DDoS-атака может трансформироваться в EDoS-атаку в облачных сервисах. EDoS-атака это новый вид атак в котом особой целью являются сервисы, которые использую облачные решения.

EDoS-атаки

Многие организации перевели свой онлайн-бизнес в облака, по следующим причинам. Им не нужно владеть и заниматься покупкой всей инфраструктуры для обеспечения работы сервиса. Стоимость обслуживания для них равна нулю. Облачные решения позволяют организациям уменьшить операционные затраты. Они только платят за использованные ресурсы [1]. Облачные сервисы предоставляются в виде сервиса с соглашением о предоставлении услуг. Оно задает уровень сервиса необходимый клиенту. Некоторые SLA ограничивают ресурсы возможные для использования пользователем. Некоторые SLA позволяют предоставлять бесконечное количество ресурсов потребителю для повышения качества сервиса. Облачные сервисы предоставляются как сервисы «плати за каждое использование». Поэтому использованные ресурсы и вычислительные мощности оплачиваются клиентом облачного сервиса. DDoS-атака нацелена на утилизацию ресурс облака при помощи отказа в сервисе легитимным пользователям. В отсутствии какого-либо должного механизма обнаружения DDoS-атаки, ресурсы тратятся на обслуживание DDoS-запросов.

Как было отмечено ранее, обнаружение нежелательного трафика от легитимного трафика очень сложно и так же нету ни одной технологии которая позволяет полностью отфильтровать DDoS-атаки. Поэтому DDoS-атаки исчерпывают ресурсы облачного провайдера услуг очень быстро. Для предоставления 100% доступности облачного сервиса сервиса, провайдер должен тратить все больше ресурсов на предотвращение атак на себя. При большой нагрузке для клиента будет предоставляться все больше и больше ресурсов, за которые ему потом придется заплатить. Таким образом DDoS-атака превращаеться в EDoS-атаку. Учитывая суть облачных вычислений и услуг которые они предоставляют, можно понять что EDoS-атаки более специализированы на облачных решениях чем на остальных.

Требования к безопасности и методы её улучшения

Мы должны знать какие требования к безопасности должны быть в облаках, согласно статье авторов DimitriosZassis, Lekkas, цели которые преследует безопасность в распределнных системах преимущественно такие:

Обеспечение доступности информации которая передается или принимает участие в элементах распределенной системы;
Поддержка интеграции элементов системы, например чтобы не было возможности уничтожить или модифицировать информацию при неавторизированном доступе, ошибке компонентов системы или других ошибок;
Обеспечение конфиденциальности и корректности операций;
Обеспечение контроля за доступом к услугам, получатель получит только ту услугу, на которую имеет право;
Авторизация соединяющихся между собой источников, и где необходимо, уверенность в безотказности источника данных и средств доставки;
Где бы это было необходимо, обеспечение межсетевого взаимодействия при помощи неоткрытых мировых систем;
Уверенность в конфиденциальности информации которая находится в системе;
Четкое разделение данных и процессов на уровне виртуальногооблака, обеспечивая нулевую утечки даннях между различными приложеними;
Поддержка того же уровня безопасности при внедрении или удалении ресурсов на физическом уровне.

Есть достаточно большое количество механизмов для предотвращения нарушений безопасности в облаке. Некоторые из способов это системы обнаружения вторжений, фильтрации пакетов, мониторинг виртуальных машин, маркировка пакетов и слежение за ними. Ниже представлены некоторые способы для уменьшения последствий от атак.

Распределенная облачная система обнаружения вторжений. Система отправляет полученные данные в систему исследования трафика которые затем присылают отчеты провайдеру облачного сервиса;
Фильтрация пакетов основанная на доверие. Работает в режиме анализа и в режиме защиты от атаки. Во время атаки анализ трафика прекращается и идет проверка пакетов на легитимность;
Защита против атак на отказ в обслуживании с VMM. Виртуальные машины работают в изолированной среде и когда замечена атака на них приложение перемещается в другую изолированную среду;
EDoS-щит двухшаговая техника против EDoS-атак в облачных вычислениях. Состоит из виртуального фаервола и облачного кластера верификации. Виртуальный фаервол работает как фильтр, который использует черный и белые листы для принятия решений, облачный кластер верификации использует тесты Тьюринга для проверки легитимности действий пользователя;
Защита облачных решений от HTTP-DoS и XML-DoS атак;
Механизм уменьшение атак по требованию. Атаки фильтруются до того как нежелательная нагрузка попадет в билинг, то есть клиент провайдеру нежелательную нагрузку не оплачивает.
Реализация проверки изменений в облачной инфраструктуре;
Реализация проверки авторизированных пользователей. Проверка соответствия прав пользователей и прав на предпринимаемые им действия;
Многослойная система безопасности. Поскольку инфраструктура разделена на хранилище данных и приложение, то проверки на безопасность ведутся как горизонтально так и вертикально (между элементами инфраструктуры);
Решение вопросов облачных вычислений [8].

Основной анализ и размышления

EDoS-атаки являются специфичными для облачных решений;
Множество технологий распространенных сегодня не полностью защищают облачные реения от EDoS-атак;
Механизм который отслеживает только атаки на конкретный сервер на который ведется атака уже не эффективен против DDoS-атак;
Механизмы защиты которые работают и принимают решения в реальном времени это эффективные решения для облачных систем;
Механизмы которые построены на на доверии (проверке тестами Тьюринга и тд) не являются хорошим выбором;
Облачные сервисы не стандартизированы до сих пор, поэтому производители используют проприетарные системы безопасности;
Облачные сервисы должны быть стандартизованы, чтобы принять решения и внедрить их во всех системах;
Облачные сервисы должны быть совместимы между разными провайдерами услуг;
Механизмы фокусирующиеся на идентичности пользователя это лучшее средство борьбы с EDoS-атаками;
Распределенный подход отслеживания трафика позволяет предотвратить атаку в самой сети, до выполнения приложений;
Нужны более интеллектуальные технологии мониторинга трафика.

Далее в статье рассматривается простой способ защиты от EDoS-атак и сценарии действий пользователя и атакующего на основе тестов Тьюринга. На рис.1 показана зависимость цены обслуживания ресурса который находится в облаке.

Рисунок 1 — Зависимость стоимости за один день обслуживания ресурса от количества атак.

Выводы

Облачные вычисления предлагают широкий спектр услуг. Существующий механизм безопасности не обеспечивает должного уровня защиты. Нужны новые подходы к безопасности, которые будет возможно масштабировать и использовать на распределенных системах. Возможны новые виды атак на облачные сервисы. Одним из таких видов атак является EDoS, который является новым видом DDoS-атак. На данный момент EDoS-атаки являются специфичными только для облачных сервисов. Предложены способы защиты от EDoS-атак. До сих пор требуется исследование по улучшению механизма защиты облаков от EDoS-атак.

Список литературы

[1] Xue Jing, Jens Nimis, Zhang Jian-jun,”A Brief Survey on the Security Model of Cloud Computing” 2010 Ninth International Symposium on Distributed Computing and Applications to Business, Engineering and Science.
[2] Denial-of-service attack ,Wikipedia, http://en.wikipedia.org/wiki/Denial-of-service_attack
[3] Bernd Grobauer, Tobias Walloschek, and ElmarStöcker “Understanding Cloud Computing Vulnerabilities” Cloud Computing, Copublished By The IEEE Computer And Reliability Societies
[4] KrešimirPopović, ŽeljkoHocenski “Cloud computing security issues and challenges”, MIPRO 2010, May 24-28, 2010, Opatija, Croatia
[5] Paul Wooley ,Tyco Electronics ,“Identifying Cloud Computing Security Risks”University of Oregon ,Applied Information Management Program, Feb 2011
[6] V VenkateswaraRao , G. Suresh Kumar, Azam Khan, S SanthiPriya,”Threats and Remedies in Cloud”Journal of Current Computer Science and Technology, Vol. 1 Issue 4[2011]101-106
[7] A Survey on Cloud Computing Security,Challenges and Threats”, Journal of Current Computer Science and Technology Vol. 1 Issue 4[2011]101-106
[8] DimitriosZissis , And DimitriosLekkas,”Addressing cloud computing security issues Future Generation Computer Systems”, Future Generation Computer Systems.
[9] Cloud Security Alliance,”Critical Areas of Focus in Cloud Computing” ,Prepared by the Cloud Security Alliance ,December 2009
[10] KetkiArora ,Krishan Kumar, And Monika Sachdeva ,” Impact analysis of DDOs Attack”, International Journal on Computer Science and Engineering (IJCSE)- Vol. 3 No. 2 Feb 2011
[11] Metz C “DDoS attack rains down on Amazon cloud”, The Register,Online Article, http://www.theregister.co.uk/2009/10/05/amazon_bitbucket_outage,
[12] IrfanGul, M. Hussain “Distributed Cloud Intrusion Detection Model” International Journal of Advanced Science and Technology Vol. 34, September, 2011
[13] Shantanu Pal, SunirmalKhatua, NabenduChaki, SugataSanyal ,”A New Trusted and Collaborative Agent Based Approach for Ensuring Cloud Security”, Annals of Faculty Engineering Hunedoara International Journal of Engineering; scheduled for publication in Vol. 10, Issue 1, February, 2012. ISSN: 1584-2665.
[14] Qi Chen, Wenmin Lin, Wanchun Dou , Shui Yu “CBF A Packet Filtering Method for DDoS Attack Defense in Cloud Environment”2011 Ninth IEEE International Conference on Dependable, Autonomic and Secure Computing.
[15] Siqin Zhao, Kang Chen, WeiminZheng ,“Defend Against Denial of Service Attack with VMM” , Eighth International Conference on Grid and Cooperative Computing
[16] Mohammed H. Sqalli Fahd Al-HaidariKhaledSalah,“EDoS-Shield - A Two-Steps Mitigation Technique against EDoS Attacks in Cloud Computing “,Fourth IEEE International Conference on Utility and Cloud Computing.
[17] Ashley Chonka,Yang Xiang n, Wanlei Zhou, AlessioBonti, “Cloud security defence to protect cloud computing against HTTP-DoS and XML-DoS attacks”, Journal of Network and Computer Applications 34 (2011) 1097–1107
[18] Soon HinKhor Akihiro Nakao, “sPow On-Demand Cloud-based eDDoS Mitigation Mechanism”Fifth Workshop on Hot Topics in System Dependability
[19] Mehmet Yildiz, JemalAbawajy, TuncayErcan and Andrew Bernoth,“A Layered Security Approach for Cloud Computing Infrastructure”, 10th International Symposium on Pervasive Systems, Algorithms, and Networks.
[20] Ricardo Neisse, DominikHolling, Alexander Pretschner,”Implementing Trust in Cloud Infrastructures”,2011 11th IEEE/ACM International Symposium on Cluster, Cloud and Grid Computing.
[21] Meiko Jensen, J¨orgSchwenk , Nils Gruschka, Luigi Lo Iacono ,”On Technical Security Issues in Cloud Computing”, IEEE International Conference on Cloud Computing.
[22] Nils Gruschka and Luigi Lo Iacono,”Vulnerable Cloud: SOAP Message Security Validation Revisited”, IEEE International Conference on Web Services