Microsoft Live Mesh: Последствия для безопасности

Published on Февраль 5, 2009 by   ·   Комментариев нет

Недавно в Microsoft проанонсировали свой новый сервис — Live Mesh. Этот сервис, работающий по технологии ’cloud computing’, мы ждали с момента упоминания о нем Рэя Оззи в его речи о политике Microsoft на конференции в марте. Сервис позволяет синхронизировать файлы и устройства через Интернет между вашими компьютерами (со временем даже устройства Windows Mobile и Mac). Но что при всем этом происходит с безопасностью? В данной статье речь пойдет о том, что связано с безопасностью при работе с технологией cloud computing в общем и сервисом Live Mesh в частности, а также о том, какие механизмы созданы Microsoft для защиты ваших устройств и данных, работающих с Mesh.

Насколько безопасна технология Cloud?

Перед тем, как сфокусироваться на Live Mesh, вполне оправдано задать несколько вопросов о безопасности технологии cloud computing в общем. Гартнер этим летом выпустил отчет, в котором подчеркивается тот факт, что, хотя риски можно и уменьшить выбором правильного провайдера и принятием адекватных мер, технология cloud computing не слишком безопасна в использовании.

Те характеристики, которые делают cloud computing удобной альтернативой, также делают ее достаточно рискованной. Эта технология делает ваши данные и, во многих случаях, приложения доступными отовсюду, что означает, несмотря на все предосторожности, что возможность доступа к ним (данным и приложениям) имеет любой человек, а не только вы. На самом деле, как указывает Гартнер, вы можете даже не знать, где в мире хранятся ваши данные. Для многих экспертов по безопасности, помешанных на контроле, такая ситуация выглядит пугающей.

С другой стороны, технология cloud computing может также принести некоторые преимущества для безопасности. Поскольку ваши данные не «живут» на вашей локальной машине, они не подвержены LLS (lost laptop syndrome – синдром потерянного портативного компьютера), «хотя, конечно, необходима осторожность при обращении с локальными кэшами данных. Конечно, такие портативные компьютеры должны использовать шифрование файлов, шифрование всего диска, быть оснащенными программным обеспечением «phone home» или удаленным программным обеспечением», но сколько корпоративных работников носят с собой портативные компьютеры, не защищенные должным образом? Хранение ваших данных где-то «в облаках» (cloud) может предотвратить доступ к ним похитителя.

С «другой» другой стороны такое централизованное хранение содержит в себе много опасностей. Если хакер получает доступ к вашим данным на сервере провайдера cloud computing, он получает их все. Но при правильном развертывании удаленное хранение облегчает защиту данных, храня их всех в одном месте, вместо того, чтобы защищать каждую отдельную машину. Также сокращается стоимость безопасности, поскольку все расходы на защиту делятся между всеми пользователями.

В итоге: при обсуждении вопросов безопасности, cloud-технология имеет как преимущества, так и недостатки. Многое зависит от конкретной реализации, что возвращает нас к обсуждению конкретных поставщиков и их приложений.

Как работает Live Mesh?

Перед тем, как окунуться в технические аспекты, важно заметить, что на сегодняшний момент Live Mesh позиционируется Microsoft как служба для потребителей, а не только для нужд бизнеса. Однако эта компания начинала выпускать много своих продуктов, ориентируясь сперва на обычных потребителей, считая, что потом их можно распространить и на бизнес в случае необходимости. За более подробной информацией обращайтесь к статье Мэри Джо Фоли под названием Does Live Mesh Have a Business Future?

Так каковы же практические различия между cloud и mesh? Самая большая концептуальная разница состоит, вероятно, в том, что mesh — это ваша персональная ячейка (mesh – англ. ячейка) (как противопоставление облакам (cloud – англ. облако), которые вы можете делить неизвестно с кем). Ваш mesh включает различные устройства, с помощью которых вы хотите получить доступ к данным и программам: к примеру, ваш домашний ПК, рабочий ПК, портативный компьютер и мобильное устройство (в настоящий момент поддерживаются только Windows PC, но Microsoft предполагает, что в будущем появится также поддержка устройств Windows Mobile и компьютеров Mac OS X).

Ваша информация автоматически синхронизируется на устройствах, объединенных в ваш mesh с помощью установки ПО Mesh Operating Environment (MOE). Вы также можете использовать функцию Live Mesh Remote Desktop для доступа к вашему ПК, включая компьютеры с XP Home и Vista, которые в других случаях не поддерживают подключения к удаленному рабочему столу. Кроме того, mesh также содержит элемент «cloud» — основанный на Web онлайновый рабочий стол Live Desktop, с помощью которого вы можете сохранять файлы (до 5ГБ) на серверах Microsoft. За более подробной информацией о работе mesh смотрите this blog post.

Что делает Microsoft в целях безопасности при работе с mesh?

Теперь встает большой вопрос: что же с безопасностью? Аутентификация Live Mesh основана на Windows Live ID (бывший Microsoft Passport). Такой Паспорт считался единой службой предъявления пароля для электронной коммерции. В 2007 была обнаружена уязвимость в Live ID, позволявшая пользователям регистрировать фальшивые или несуществующие электронные адреса, но вскоре после обнаружения эта уязвимость была исправлена.

Аккаунты Live ID можно аутентифицировать различными способами, например:

  • Имя пользователя и пароль
  • Комбинации Пароль/PIN
  • Смарт-карты
  • Информационные карты Windows Cardspace
  • RADIUS (для аутентификации с мобильных телефонов и XBox’ов)
  • Federated Identity Authorities (WS-Trust)

Поскольку большинство пользователей Live ID пользуются первым (и наименее надежным) способом, безопасность аккаунта зависит от выбора сложного пароля. Live ID поддерживает длинные пароли (до 16 символов), включая буквенно-цифровые символы. Когда вы регистрируете свои данные, интерфейс Live ID оценивает и оповещает вас о сложности вашего пароля.

Live ID также время от времени подвергается проверкам безопасности независимыми контролерами. Ким Камерон, ранний критик Паспорта, присоединился к Microsoft в качестве специалиста по архитектуре идентичности и доступа и внес большой вклад в развитие Live ID.

После аутентификации пользовательского устройства используются тикеты Security Assertion Markup Language (SAML) для доступа к ресурсам в mesh. SAML – это стандарт, основанный на XML, созданный техническим комитетом служб безопасности организации Organization for the Advancement of Structured Information Standards (OASIS). Для получение более подробной информацией о SAML смотрите Security Assertion Markup Language (SAML).

Тикеты подписываются приватным ключом и через некоторое установленное время срок их действия истекает. Сервис Live Mesh проверяет тикеты и, в случае предъявления верного тикета, выдает доступ. В общем, доступ между двумя устройствами выдается в том случае, если в тикете указано, что оба устройства принадлежат одному пользователю или, в случае с разделяемыми папками, если тикет указывает, что оба устройства имеют одинаковые разделяемые папки Live Mesh.

Трафик между клиентом и сервером зашифровывается с помощью HTTPS. Это предотвращает атаки воспроизведения. Устройствами, которые вы присоединяете к вашему mesh, имеют собственные приватные ключи. Только сам клиент знает свой приватный ключ, таким образом, трафик не может быть перехвачен и прочитан в «cloud». Когда вы подсоединяете одно устройство к другому через mesh, применяется ассиметричное шифрование для обмена ключами, и данные и файлы передаются, используя 128-битное шифрование AES. Целостность данных проверяется через Hash Message Authentication Code (HMAC), использующий хэш-функцию с секретным ключом. Более подробную информацию о HMAC можно найти тут: RFC 2104.

Файлы, хранящиеся на сервере Microsoft в «cloud»(5 ГБ на хранение, которые выдаются каждому пользователю) защищены контролем доступа, но не зашифрованы.

У некоторых также вызывает беспокойство функция удаленного рабочего стола. Сервис, подключающий удаленный рабочий стол, wlcrasvc.exe, настроен на автоматическое включение. Если вы завершите процесс, запустится другой. Если вы хотите отключить эту службу для большей безопасности, откройте командную строку с правами администратора и введите net stop wlcrasvc. Вы также можете отключить эту службу в списке Startup Type в консоли служб.

Итог: для тех целей, для которых сейчас этот продукт и рекламируется – позволить пользователям проще интегрировать их устройства и обеспечить удобный доступ – его надежность достаточно хороша. Но для того, чтобы стать жизнеспособным для мира бизнеса, где последствия неаккуратного обращения с данными велики в финансовой сфере, в сфере закона и карьеры, хотелось бы увидеть возможность «высокой надежности». Microsoft может взять пример с Groove, разделяя и шифруя данные на локальных жестких дисках так, что файл, добавляемый к рабочему пространству, не имеет соответствующего файла на локальном диске.

Источник www.windowsecurity.com


Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]