Тест облачных хранилищ: где хранить данные безопасней
Облачные хранилища данных — это недорого, удобно и прежде всего безопасно. По крайней мере, так следует из описания сервисов на их сайтах. Насколько же безопасно хранить данные в дата-центрах поставщиков услуг? Проверяем восемь сервисов.
Идея облачных хранилищ гениальна. Вместо того чтобы хранить данные локально на используемых устройствах, внешних дисках и домашних сетевых хранилищах и возиться с доступом, синхронизацией и резервными копиями, пользователи по Интернету переносят файлы и папки в дата-центры служб и не знают забот. Доступ обеспечивается из приложения или программы-клиента, где бы пользователь ни находился — нужно только ввести пароль. Проблем с местом для хранения нет: сервисы предлагают до 30 Тбайт, причем за начальный период пользования плата не взимается.
И все же есть в бочке меда ложка дегтя, из-за которой забывается вся прелесть использования облаков. Пользователи передают в чужие руки свои данные: фото из последнего отпуска на море, или видео со свадьбы, или личную переписку. Поэтому в этом сравнении мы сосредоточились на безопасности десяти сервисов облачного хранения данных: IT-гигантов — Apple, Google, Microsoft, Amazon, двух хостингов — Box и Dropbox, — специализирующихся на облачном хранении, а также двух поставщиков услуг из России — «Яндекс» и Mail.ru.
Плюс миллиард пользователей за пять лет
Еще в 2015 году количество пользователей облачных хранилищ составляло около 1,3 млрд. К 2020-му их станет на 1 млрд больше.
Трафик данных — в три раза больше
В 2015 году пользователи облачных хранилищ передавали в среднем всего 513 Мбайт данных в месяц. К 2020-му объем увеличится втрое.
Функциональные возможности: можно ли верить рекламе
Поставщики, разумеется, знают, что пользователи придают безопасности особое значение, и должны идти навстречу их требованиям. Если бегло просмотреть все предложения, складывается впечатление, что облачные сервисы используют высочайшие стандарты безопасности и поставщики прикладывают все усилия, чтобы защитить данные своих клиентов.
Впрочем, при более внимательном прочтении становится ясно, что это не совсем соответствует действительности и стандарты не всегда новые. Поставщики услуг исчерпывают возможности безопасного хранения данных далеко не полностью, а «высокий уровень безопасности», «SSL-защита» или «безопасное шифрование» — не более чем слоганы, позволяющие воспользоваться тем, что у большинства клиентов нет специальных знаний в вопросах безопасности.
Объем памяти в Сети
Сервисы облачного хранения данных завлекают клиентов бесплатными предложениями. За некоторую плату объем можно увеличить.
TLS — далеко не все
«SSL» и «HTTPS» — популярные и всем известные аббревиатуры из области безопасности. Но бдительность терять не следует. Этот вид шифрования — необходимость, но не гарантия исключительной безопасности данных. Криптографический протокол TLS (Transport Layer Security — «протокол защиты транспортного уровня»), в 1999 году официально заменивший SSL 3.0 (Secure Sockets Layer — «уровень защищенных cокетов»), обеспечивает защищенный обмен данными между веб-сайтом облачного хранилища и программой-клиентом на вашем компьютере или приложением на вашем смартфоне.
Шифрование во время передачи данных важно в первую очередь для защиты поступающих метаданных. Без TLS любой злоумышленник может перехватить передачу и изменить данные или украсть пароль.
Мы проверили облачные хранилища с помощью комплексного инструмента для тестирований Qualys (sslabs.com/ssltest). Все поставщики используют актуальную версию стандарта TLS 1.2. Шесть из них предпочитают 128-битное шифрование AES, четыре — более мощное AES 256. И то, и другое нареканий не вызывает. Все сервисы активируют дополнительную защиту Perfect Forward Secrecy (PFS — «совершенная прямая секретность») для того, чтобы переданные зашифрованные данные даже впоследствии нельзя было расшифровать.
HSTS же (HTTP Strict Transport Security — «строгая транспортная безопасность HTTP») — еще один механизм безопасности, который защищает от операций типа downgrade attacks, — большинство поставщиков не использует. Весь список, то есть TLS 1.2 с AES 256, PFS и HSTS, есть только у Dropbox.
Двойная защита доступа
Доступ к личным данным должен быть защищен двухэтапной верификацией. Amazon помимо пароля запрашивает PIN-код , который генерируется приложением.
Шифрование на сервере — вопрос доверия
Еще одна стандартная функция, кроме безопасной передачи, — это шифрование данных на сервере поставщика. Amazon и Microsoft, увы, составляют исключение из правил, не шифруя данные. Apple использует AES 128, остальные — более свежий AES 256.
Шифрование в дата-центрах — не диковинка: если злоумышленникам, несмотря на все меры безопасности, все-таки удастся украсть данные пользователя, им еще понадобится ключ — если только они не прибегнут к вымогательству. И часто именно тут возникает проблема: этот вид шифрования — весьма сомнительный выход, если поставщики хранят ключи к вашим данным.
То есть какой-нибудь администратор облачного сервиса легко может в любой момент просмотреть все ваши фотографии. Если верится с трудом, может, вариант доступа следственных органов к данным будет более убедительным. Конечно, поставщики всячески демонстрируют серьезное отношение к делу, но клиентам приходится пересиливать себя и проявить доверие, поскольку таким образом их данные защищены не полностью.
Без шифрования end-to-end
Итак, большинство сервисов обеспечивает безопасность данных пользователей путем защиты передачи и шифрования на сервере, причем все участники нашего сравнения, которые шифруют данные пользователей, имеют ключи. Ни один из сервисов не использует шифрование end-to-end. Его принципиальное отличие от шифрования во время передачи и на сервере — шифрование с самого начала.
End-to-end подразумевает шифрование локально на устройствах пользователя и передачу уже в этом виде в дата-центры. При обращении к данным они возвращаются обратно к пользователю в том же зашифрованном виде и расшифровываются на его устройствах. Смысл в том, что пользователь, во-первых, отправляет данные исключительно в зашифрованном виде, а во-вторых, не выдает поставщику никаких ключей.
То есть даже если админ сгорает от любопытства, злоумышленник похищает данные или следственным органам нужно их раскрыть, ничего у них не получится.
С постоянным шифрованием тесно связана реализация так называемого «принципа нулевого разглашения» (Zero knowledge).
В переводе на простой язык суть его в следующем: никто, кроме вас, не знает, как расшифровать ваши данные. Ни один поставщик услуг облачного хранения данных не получает информацию, которую можно использовать для расшифровки зашифрованных данных, — вы ему ничего не сообщали, у него «ноль знаний». Осуществить это на практике затруднительно и довольно неудобно, и участники нашего сравнения по этому критерию ничего представить нам не могут.
Без двухфакторной аутентификации
Очевидно, что поставщики занимаются вопросами безопасности данных своих клиентов, но почему-то не до конца продумывают план действий. Доступ к данным, хранящимся в облаке, эффективно защищает двухфакторная аутентификация. Суть его заключается в следующем.
Для успешного завершения процесса входа недостаточно только имени пользователя и пароля — нужен еще PIN-код, причем не постоянный, как, например, для банковской карточки, а генерируемый приложением на смартфоне или отправляемый по SMS на телефон. Обычно такие коды действительны в течение 30 секунд.
Пользователю нужно держать под рукой смартфон, привязанный к учетной записи, и во время выполнения входа после пароля ввести полученный код. Отечественные поставщики этот простой и эффективный метод защиты не предлагают, в отличие от интернет-гигантов, а также «узкопрофильных» Box и Dropbox.
Фактическая скорость облачных хранилищ
Мы измерили скорость облачных хранилищ по кабелю (до 212 Мбит/с), DSL (18 Мбит/с) и LTE (40 Мбит/с). На диаграмме представлена средняя скорость по всем способам соединения.
Местонахождение — тоже важный аспект
Несмотря на все старания, в домашних условиях невозможно достигнуть того уровня безопасности, который предлагает сервис облачного хранения данных в дата-центре, и это мощный аргумент в пользу облачного хранилища. В этом можно убедиться, взглянув на их оборудование. Все поставщики, кроме Dropbox, даже для бесплатных предложений сертифицированы по международному стандарту ISO 27001.
Немаловажную роль играет также местонахождение дата-центров. Серверы Amazon, Google и других компаний находятся в США и подпадают под действие американских законов. На серверы, которые находятся только в России, например, «Яндекс» и Mail.ru, соответственно, распространяются российские законы.
Вывод: есть куда расти
Сервисы облачного хранения данных, которые мы рассмотрели, по безопасности предлагают только стандартный набор. Искать шифрование End-to-end или Zero knowledge не имеет смысла. Защиту передачи данных обеспечивают все сервисы, однако шифрованием на серверах Amazon и Microsoft не занимаются.
Зато дата-центры отвечают высоким требованиям информационной безопасности. Вместе с тем, облачного хранилища с идеальной защитой сравнение не выявило.
Преимущества поставщиков России — в местонахождении, однако самые простые методы защиты, например двухфакторную аутентификацию, они игнорируют. Вы должны сами позаботиться о постоянной защите данных, даже если это означает большие расходы и сложное управление.
Фото: компании-производители, nicotombo/Fotolia.com