Керування піковими навантаженнями

4.2 Керування піковими навантаженнями

Програма HP Web Qo додає до основної функціональності VirtualVault досить важливу функцію керування піковими навантаженнями. Ця функція, що безпосередньо впливає на якість послуг, запобігає перевантаженню сервера, мінімізуючи вплив несподіваних сплесків числа запитів і максимізуючи обсяг завершених транзакцій. Керування піковими навантаженнями гарантує, що кожний клієнт, що перебуває в системі, буде обслужений. Нові користувачі не одержують доступу до web-сайту, якщо вони не зможуть завершити свої транзакції відповідним чином. Маючи у своєму розпорядженні інструмент керування піковими навантаженнями, можливо настроїти систему на роботу в одному з наступних режимів:перенаправлення нових запитів в іншу систему, що має необхідні резерви продуктивності; затримка виконання нових завдань на деякий проміжок часу, поки не будуть завершені поточні сеанси; відхилення нових запитів в умовах екстремального навантаження.Результатом такого керування є загальне поліпшення функціонування сайту й одержання конкурентних переваг за рахунок забезпечення більше високої якості послуг. Захищена віртуальна Java-машина За допомогою захищеної віртуальної Java-машини (JVM), що працює у ВНУТРІШНІЙ області виконання додатків, VirtualVault може захистити Java сервер, а також CGI Java-додатка.VirtualVault переносить крос-платформене середовище виконання Java, що є галузевим стандартом, на безпечну платформу виконання додатків. У випадку традиційного web-сервера JVM була б розміщена в тій же області виконання, що й сам web-сервер, тобто в області досяжної із зовнішньої мережі, що піддавало б JVM і Java додатка тієї ж небезпеки, який піддається web-сервер.

Навпроти, надійна web-серверна платформа VirtualVault поміщає JVM і Java відгороджена захищеним шлюзом і недоступна ззовні. Тим самим досягається гарантія того, що прямий доступ до JVM і сервлетам Java у принципі виключений, і ці програми надійно захищені від зовнішніх атак і яких-небудь змін. VirtualVault підтримує JDK CI.17.01 і JSDK 2.0.

4.2.1 Адміністрування системи безпеки

VirtualVault використає інтерфейс популярного web-браузера Netscape Navigator для рішення завдань адміністрування, допускаючи вилучений доступ з Інтранет. Адміністративні завдання можуть вирішуватися після короткого навчання, а онлайнова довідка й гіпертекстова (HTML) документація завжди є під рукою. Більшу допомогу адміністраторам роблять передбачені в системі сеанси аудита з аварійною сигналізацією, під час яких проводяться перевірки всіх ключових елементів, пов'язаних з безпекою системи. Програми, що не мають відповідних повноважень, не можуть одержати доступ до аудиторських звітів. Крім того, всі параметри аудиторських сеансів і аварійної сигналізації VirtualVault можуть бути сконфигурированы для роботи із продуктом OpenView.

Безпека забезпечується завдяки контролю доступу до web-об'єктів, можливості завдання різних рівнів доступу для різних web-об'єктів (наприклад: web-сторінки, ASP, Java-додатка, CGI-сценариии й т.д.). У системі DomainGuard виробляється реплікація даних про політиків по декількох web-серверах для підтримки балансування навантаження й подолання збоїв і одноразова реєстрація користувачів в web-середовищі. Завдяки цій можливості користувачі можуть переходити від одного додатка до іншому, не вводячи щораз пароль, а зареєструвавшись у системі тільки один раз.

4.2.2 Захищеність WEB-серверу Apache

На сьогодні важливим напрямком підвищення ефективності функціонування багатьох як вітчизняних, так і закордонних автоматизованих інформаційних систем (АІС) є інтеграція з глобальною мережею Інтернету. В багатьох випадках завдяки цієї інтеграції вирішуються дві основні задачі. По-перше, об’єднуються територіально розподілені підсистеми АІС. По-друге, користувачам Інтернету забезпечується доступ до відкритої інформації АІС. Досить часто при вирішенні обох задач використовується WEB-сайт, який, крім того, відіграє представницьку роль АІС в мережі Інтернету. Практичний досвід вказує, що робота Web-сайту значною мірою впливає на ефективність функціонування всієї АІС. Основою WEB-сайту є WEB-сервер, що забезпечує доступ клієнтів із мережі Інтернету до WEB-сторінок сайту.

Останнім часом зафіксовані непоодинокі випадки масованих атак порушників на АІС зі сторони Інтернету, причому досить часто об’єктом атак був WEB–сервер. Наприклад, за даними Міністерства Оборони США, у 2002 році було зафіксовано 200 атак, мета яких - отримання контролю над військовими серверами [1]. Як правило, наслідками більшості успішних атак на WEB-сервер ставало унеможливлення санкціонованого доступу, порушення цілісності або створення неконтрольованого поширення інформації АІС. Таким чином у багатьох випадках успішна атака на WEB–сервер може призвести не тільки до загрози функціонування WEB–сайту, але й до значного зменшення ефективності функціонування всієї АІС. Цим визначається актуальність загальної проблеми даної статті - дослідження захищеності WEB- серверу, а також її зв'язок з глобальною науково-практичною задачею забезпечення інформаційної безпеки АІС.

Для формалізації задачі оцінювання ефективності системи захисту інформаційної системи в [2] сформований наступний методичний підхід. Пропонується розглядати систему захисту у вигляді багаторівневої ієрархії І_р, де р – кількість рівнів ієрархії. Для інформаційних підсистем на кожному р-му рівні ієрархії вибирається множина об’єктів захисту М_кр, де к - номер об’єкта на р-му рівні ієрархії. За допомогою експертного оцінювання для кожного М_кр об’єкта формується вектор загроз V_skp, де s – номер загрози для к-го об’єкта на р-му рівні ієрархії.

Зниження ефективності функціонування ІС на кожному р-му рівні DE_p визначається складним впливом реально діючих загроз на об’єкти р-го рівня:

DE_p(t)=F{M_kp,V_skp,t}, (1)

де F{*} – функціонал, що описує вплив реально діючих загроз V_skp на множину об’єктів M_kp в підсистемі р-го рівня; t – часова характеристика.

При цьому вважається, що відновлення ефективності підсистеми р-го рівня можливо лише завдяки проведенню адекватного рівню інтегральної загрози комплексу заходів безпеки Z_jkp, де j – номер заходу безпеки Z стосовно к-го об’єкта підсистеми р-го рівня. Пропонується поставити в залежність кількісну оцінку рівня інтегральної загрози ІС (U) від зниження ефективності АІС (DE) в цих умовах. Таким чином, враховуючи (1), у формалізованому виді рівень інтегральної загрози АІС на момент t можна оцінити функціоналом (2) з урахуванням обмежень (3):

U(t)= F{M_kp,V_skp,t}; (2)

0£U(t)£1, (3)

де U(t)=0 – означає повну відсутність загрози для АІС, а U(t)=1 –вивід з ладу АІС (ефективність АІС дорівнює 0).

Оцінку рівня загрози деякому к-му об’єкту АІС рекомендується здійснювати по сукупності окремих показників U_kn для відповідного об’єкта. Кожний n-й показник відображає події, пов’язані із зростанням загрози функціонування підсистеми АІС р-го рівня, яка розглядається. Розрахунок (2) рекомендується проводити шляхом часткових розрахунків U(t) у фіксовані моменти часу t на основі використання методу аналізу ієрархій, а потім по окремих точках встановити функціональну залежність, яку можна використовувати у подальшому для прогнозування зміни рівня інтегральної загрози з плином часу. Також у [2] відзначено, що розв’язання задач керування безпекою інформаційної системи на сьогодні формалізоване недостатньо та досить часто базується на методах експертного оцінювання, проб та помилок, що вносить в розрахунки елементи суб’єктивізму і супроводжується досить великими похибками. Запропонований методичний підхід оцінки ефективності захисту АІС є досить досконалим та універсальним, але потребує уточнення та деталізації, як це відзначається і його авторами при оцінці ефективності захисту конкретної АІС, а в нашому випадку WEB-серверу. Також відомі нормативні вимоги до системи захисту WEB-серверів від несанкціонованого доступу (НСД) [3]. Це дозволяє з урахуванням нормативних вимог на базі методики (1-3) провести оцінку ефективності захисту найбільш розповсюджених WEB-серверів від НСД. Зазначимо, що методики визначення такої оцінки в доступній нам літературі не знайдено.

Крім того, для деталізації ефективності захисту WEB-серверу можливо використати результати [4] в якій проведено дослідження захисту WEB-сайтів корпоративних інформаційних систем від атак на відмову. Між іншим, в цій статті відзначено, що однією з найбільш небезпечних є атака на відмову WEB–сайту з санкціонованим використанням HTML–файлів та серверних сценаріїв PHP. Очікуваним результатом такої атаки є блокування доступу до сторінок сайту в наслідок вичерпання обчислювальних ресурсів сервера сайту. В даному випадку під поняттям обчислювальних ресурсів сервера розуміються ресурси WEB–сервера, операційної системи комп’ютерної мережі, комп’ютера та каналів зв’язку, що обслуговують сайт. Також в [4] показано, що типова атака на відмову корпоративного WEB–сайту проводиться зловмисником в умовах обмеження обчислювальних потужностей та тривалості. Крім цього очікувані умови атаки слід обмежити кваліфікованим адмініструванням сайту та відсутністю помилок в його програмному та апаратному забезпеченні. Зроблено припущення, що пропускна спроможність каналу зв’язку сайту набагато вища, ніж у зловмисника. При виконанні вказаних обмежень основною причиною блокування ресурсів сайту при атаці на відмову може стати тільки вичерпання потужності центрального процесора комп’ютера, що обслуговує сайт. При цьому обчислювальних потужностей комп’ютера зловмисника призводить до втрати потужностей комп’ютером, що обслуговує функціонування сайту. За цієї причини пропонується технічну ефективність атаки на відмову поставити у відповідність з кореляцією між цими потужностями. Витрату обчислювальних потужностей пропонується визначати:

для зловмисника за допомогою показників навантаженням центрального процесора при реалізації атаки та тривалості виконання атаки для зловмисника;

для комп’ютера, що обслуговує сайт, за допомогою тривалості роботи з 100% навантаженням центрального процесора. При цьому доступ до сторінок сайту гарантовано блокується.

Це дозволило визначити два показники технічної ефективності атаки на відмову з використанням сценаріїв: ефективну потужність атаки та ефективність блокування. Під потужністю атаки () пропонується розуміти відношення навантаження центрального процесора атакованого комп’ютера - сервера (K) до навантаження центрального процесора зловмисника при реалізації атаки:

. (4)

Під ефективністю блокування розуміємо відношення тривалості 100% навантаження процесора комп’ютера, що обслуговує функціонування сайту, до тривалості виконання атаки:

. (5)

Технічну ефективність захисту доцільно поставити в противагу технічній ефективності атаки. Внаслідок цього можливо визначити два показники технічної ефективності захисту: ефективну потужність захисту (W) та ефективність захисту від блокування (), які можна представити у вигляді відношень

Важливим результатом наведеної роботи є кількісні та якісні показники ефективності захисту WEB-серверу Apa-che від атак на відмову. Але для повноти результатів необхідно провести порівняння аналогічних показників ефективності захисту для різних типів WEB-серверів, наприклад для Apache та IIS.

Крім того, проведений аналіз виявив деяку аморфність термінів, що використовуються в науковій літературі, присвяченій захисту інформації в мережі Інтернету. Надалі будемо використовувати терміни, визначені в відповідній вітчизняній нормативній документації [3,5,6].

Виділення невирішених раніше частин загальної проблеми, котрим присвячується означена стаття.

Визначення інтегральної оцінки ефективності захисту від НСД найбільш розповсюджених WEB-серверів відсутнє.

Порівняння захищеності WEB-серверів Apache та IIS від атак на відмову із санкціонованим використанням

HTML–файлів та серверних сценаріїв PHP проведено не в повному обсязі.