OwnCloud to jedno z popularniejszych rozwiązań do budowania chmury prywatnej. Oferuje użytkownikom wygodne współdzielenie plików przy użyciu różnych urządzeń oraz z dowolnego miejsca, w którym uzyskają dostęp do internetu. Niewątpliwe zalety widoczne z perspektywy użytkowników oznaczają dla administratorów istotne wyzwania z zakresu bezpieczeństwa.

W  drożenie mechanizmów zabezpieczających chmurę prywatną jest zadaniem dość złożonym, dotyczącym kilku różnych obszarów. Bezpieczeństwo systemów operacyjnych na serwerach z chmurą, strefa zdemilitaryzowana i konfiguracja firewalli, oprogramowanie antywirusowe na stacjach roboczych, zabezpieczenie służbowych smartfonów i tabletów, idea BYOD – to najważniejsze z nich. Do tej listy należy dodać bezpieczeństwo plików znajdujących się na kontach użytkowników korzystających z ownClouda (ochrona antywirusowa, ochrona przed włamaniami na konta oraz przed atakami typu ransomware/brute force, kontrola dostępu do zasobów udostępnianych). Nowych obszarów do zabezpieczenia jest coraz więcej.

Jedną z zalet komercyjnej edycji chmury ownCloud jest dostęp do marketu z aplikacjami rozszerzającymi możliwości standardowej instalacji. Są tu głównie aplikacje udostępniające użytkownikom nowe elementy interfejsu chmury, ale część z nich służy do zabezpieczenia środowiska. W artykule przyjrzymy się kilku aplikacjom, które mają istotny wpływ na bezpieczeństwo ownClouda.

> Ochrona antywirusowa

Istotnym aspektem związanym z zapewnieniem bezpieczeństwa own­Clouda jest ochrona przez wirusami. W większości przypadków zagrożenie nie będzie jednak dotyczyć samych serwerów utrzymujących prywatną chmurę. Jeśli na serwerach ownClouda zainstalowany jest system operacyjny Linux, to ryzyko zainfekowania systemu stanowi ułamek ryzyka, na jakie narażony jest system Windows. Program antywirusowy ma w takiej sytuacji znaczenie przede wszystkim w zakresie inspekcji danych i plików użytkowników. Wirusy mogą przedostać się z urządzenia klienckiego do repozytorium own­Clouda podczas rutynowego wgrywania plików. Następnie nieświadomy zagrożenia pracownik udostępni część swoich zasobów współpracownikom, a oni zostaną narażeni na infekcję niebezpiecznym kodem podczas próby otworzenia współdzielonych dokumentów.

Oficjalnie ownCloud wspiera obecnie tylko jeden system antywirusowy – Clam­AV. Oba produkty integrują się ze sobą w taki sposób, że ClamAV sprawdza każdy plik umieszczany w chmurze. Plik przechodzi skan antywirusowy, zanim zostanie finalnie dodany do zasobów użytkownika.

ClamAV to program antywirusowy rozpowszechniany na licencji GPL. Dostępne są wersje instalacyjne na systemy operacyjne z rodziny Windows, Linux (Debian, Red Hat/CentOS, Fedora, Mandriva, gentoo, openSUSE, Slack­ware), Unix (Solaris, systemy BSD), a nawet MacOS i OpenVMS. ClamAV został stworzony z myślą o usługach w systemie Linux. Jego główne zastosowanie to skanowanie poczty elektronicznej na serwerach pocztowych, ochrona plików na serwerach WWW oraz danych znajdujących się na maszynach proxy i udziałach sieciowych udostępnianych za pomocą Samby. Potrafi skanować e-maile, pliki wykonywalne, pliki arkuszy kalkulacyjnych, PDF, RTF, archiwa, HTML, flash oraz wiele innych, rzadziej spotykanych.

Architektura ClamAV opiera się na trzech filarach: usłudze w systemie operacyjnym, mechanizmie do automatycznej aktualizacji bazy sygnatur oraz skanerze uruchamianym z linii komend.

Usługa działa na podstawie konfiguracji zapisanej w pliku scan.conf. W systemie CentOS znajduje się on w lokalizacji /etc/clamav/. Wsród wielu ustawień, które można modyfikować, wykorzystując ten plik, są m.in. ustawienia pliku logów skanowania, lokalizacja i parametry bazy wirusów, metody wykrywania zagrożeń, typy plików oraz limity dotyczące zachowania antywirusa przy skanowaniu.
Istnieją trzy tryby integracji ClamAV z ownCloudem:

• demon – założeniem tego trybu jest podłączenie chmury do programu antywirusowego ClamAV, który ulokowano na zewnętrznym, dedykowanym serwerze. Taki serwer zajmuje się tylko skanowaniem plików, ale nie utrzymuje żadnych komponentów ownClouda. Podłączenie chmury polega na podaniu adresu IP oraz portu serwera antywirusowego. To rozwiązanie dedykowane jest dla środowisk produkcyjnych, gdzie użytkownicy intensywnie zapisują nowe pliki. Przeznaczenie osobnego serwera na system antywirusowy ma zapewnić skalowalność środowiska oraz istotnie wpływa na wydajność chmury;
• plik wykonywalny – w tym trybie chmura wykorzystuje program clamscan do sprawdzenia każdego wgrywanego do niej pliku. W czasie, gdy użytkownicy nie są zalogowani do chmury, ochrona antywirusowa nie jest aktywna. Ten tryb posiada jeden zasadniczy minus, którym jest wydajność. W trakcie skanowania da się zauważyć wysokie użycie procesora, a sam proces przenoszenia pliku do chmury wydłuża się o kilka sekund. Twórcy ownClouda odradzają stosowanie tego trybu w środowiskach produkcyjnych;
• demon (socket) – ownCloud korzysta z lokalnie zainstalowanej usługi clamd.

Tryb demon jest najbardziej racjonalnym rozwiązaniem. Podczas skanowania plików można zaobserwować duże, skokowe obciążenie procesora. To z kolei wpływa na wydajność ownClouda i będzie odczuwalne nie tylko przez osoby zapisujące pliki do chmury, ale również przez tych, którzy w danym momencie wykonują sam odczyt. Przeniesienie systemu antywirusowego na osobny serwer spowoduje, że obciążenie będzie generowane poza serwerami ownClouda.

Uruchomienie ochrony antywirusowej zasobów chmury ownCloud zainstalowanej w systemie CentOS 7 składa się z dwóch etapów: instalacja ClamAV w systemie operacyjnym oraz zintegrowanie go z chmurą.

[...]
 

Autor pracuje jako specjalista ds. infrastruktury IT w firmie z branży ubezpieczeniowej. Zajmuje się m.in. wdrażaniem i utrzymywaniem rozwiązań opartych na systemach Windows Server, Linux Red Hat/CentOS oraz platformach wirtualizacyjnych firmy VMware.