Меню
ГлавнаяБезопасность

Безопасное хранение данных: как найти баланс между безопасностью и удобством. Двойная защита доступа. Фактическая скорость облачных хранилищ

Облачные хранилища остаются прижившимся в нашей жизни типом сервисов. Они пережили бурный рост, пережили перенасыщение рынка, когда новые «облака» открывались чуть ли не каждую неделю, пережили спад, когда эти же «облака» начали закрываться один за одним. И теперь перед нами просто тип сервиса, который устоялся и стал уже обыденностью, прошел испытание временем, учитывая особенности и скорости современной индустрии.

Облачных хранилищ существуют достаточно много. Каждые имеют свою особенностью и свою аудиторию. Кто-то выбирает только одно «облако», кто-то пользуется сразу несколькими. Мы же выбрали десятку, наиболее интересных из них. Одним из критериев данного топа является бесплатный тариф с бесплатным пространством в облаке, чтобы каждый пользователь смог сам опробовать его. Никакого триала, просто бесплатный тариф с бесплатным пространством.

10. pCloud

Достаточно интересное и быстро развивающееся облако. Блог облака обновляется чуть ли не каждую неделю, и видно, что разработчики активно трудятся над ним. Бесплатно дают 10 Гб, но выполнив несколько простых действий. Можно получить еще несколько Гб. Есть реферальная система, которая также позволит увеличить бесплатное место. Интересно также то, что pCloud, помимо ежемесячной и ежегодной абонентской платы за расширенные возможности, имеет также и тариф с разовым приобретением, вы просто платите определенную сумму и увеличиваете объем своего облака, навсегда, трудно припомнить какое облако еще так поступает.

9. MEGA

Шифрованное хранилище от Кима Доткома. Ходили слухи о том, что облако отобрали у него, о других неприятных перипетиях в управлении MEGA, но это не мешает облачному хранилищу развиваться и существовать дальше. Облако построено на достаточно высоком уровне шифрования, для более комфортной работы с веб-версией, лучше установить специальное расширение для браузера, чтобы процесс декодирования шел намного быстрее. Есть приложения для всех популярных операционных систем. Главное же, что привлекает многих, MEGA дает 50 Гб на бесплатном тарифе. Этот объем был на старте, он остается таким и по сей день.

8. MediaFire

Один из старейших сервисов в данном топе, работает хорошо, но развивается достаточно медленно. Нет версии для компьютеров, так что приходится пользоваться веб-версией, но с мобильными приложениями полный порядок.

Начинал MediaFire как файлообменник, но вовремя понял закат подобных сервисов и перепрофилировался в облачное хранилище. Старые пользователи и те, кто успел попасть под акцию, имеют 50 Гб бесплатного пространства, остальным же дают 10 Гб, но иногда появляется возможность бесплатно увеличить объем доступного места.

7. Box

Еще одно облачное хранилище, проверенное временем. Box изначально был ориентирован на бизнес и это позволило ему дожить до наших дней и иметь преданную базу пользователей. Бесплатно дают 10 Гб, а иногда проходят акции по получению 50 Гб бесплатного пространства. Вот только бесплатный тариф имеет множество ограничений. Все эти ограничения уберутся, если вы перейдете на подписку.

6. Облако Mail.Ru

Запустилось Облако Mail.Ru с 100 Гб бесплатного пространства, потом была акция, по которой можно было получить бесплатно 1 Тб, затем объем значительно снизили, а на новых аккаунтах дают мизерное количества места. Облако получило встроенных аудиоплеер, интеграцию с Office Online и продолжает получать новые возможности и поддержку новых форматов, но нестабильность с бесплатным объемом не дает поднять его выше в рейтинге.

5. Яндекс.Диск

Удивительно стабильное, в плане объема, облачное хранилище от Яндекса. На запуске давали 10 Гб бесплатного объема. Прошло несколько лет, а 10 Гб так и осталось, зато есть постоянные акции, когда можно или временно получить бесплатный объем, или увеличить облако на постоянной основе. Добавим сюда поддержку большого числа форматов, интеграцию с Office Online и постоянное развитие приложений.

В конце 2017 года Диск также выделился и . Все что вы загрузите в Яндекс.Диск с телефона — не будет учитываться при подсчете общего объема. По всей видимости это не акция, поскольку никаких сроков не называется. Ограничений по размеру также никаких нет, что делает данную возможность даже лучше, чем есть в Google Photos.

4. iCloud

Если вы любите технику от Apple, то обязательно сталкивались с данным облачным хранилищем. Через него работают многие приложения, происходит бэкап и синхронизация. Можно iCloud использовать и как привычное нам облачное хранилище. Добавим сюда прикрученный офисный пакет от Apple, приложение для Windows и получим неплохое облачное хранилище с преданной фанатской базой.

Вот только если вы не пользуетесь продукцией Apple, для вас более лучшим вариантом станет любое другое облачное хранилище в данном топе, поскольку оно даст вам больше возможностей.

3. Dropbox

Именно Dropbox считают сервисом, из-за которого и начался «взрывной» рост облачных хранилищ. Dropbox один из первых популяризовал данный тип сервисов, и хоть сейчас у него не лучшие времена, сервис продолжает развиваться и получать новые возможности. Бесплатно Dropbox дает всего 2 Гб. Увеличивающих бесплатный объем акций уже давно не проводили, а ограничения бесплатного тарифа не дают пользоваться облаком в полной мере. К сожалению, до идеального облачного хранилища Dropbox уже не дотягивает.

2. OneDrive

Облачное хранилище от Microsoft. Имеется плотная интеграция с офисным пакетом Office Online, который также интегрируют и в другие облачные хранилища, с согласия Microsoft. По умолчанию интегрирован в Windows 8.1 и Windows 10. Поддержка форматов тоже достаточно обширная. Работая в данном облаке, многие пользователи могут спокойно отказаться от полноценного пакета Microsoft Office или Microsoft Office 365, которые дают лишь расширенные возможности для более профессиональных задач.

Покупая подписку на Microsoft Office 365, вам также бонусом дают 1 Тб пространства в OneDrive. Так что многие просто не расширяют объем облака на платной основе, а просто приобретают подписку на Office, а заодно и облачное пространство увеличивают.

1. Google Диск

Облачное хранилище от Google имеет самое больше количество поддерживаемых форматов файлов, которое можно расширить при помощи дополнительных расширений для облака. Офисные документы небольшого объема, а также фотографии и видео с небольшим расширением – не учитываются при подсчете доступного места в облаке. А места этого 15 Гб.

Облако интегрировано с облачным офисным пакетом Google Docs, который имеет простой и удобный интерфейс за что предпочитаем многими для использования в качестве основного офисного пакета. Относительно недавно приложения Google Диска и Google Фото были объединены в одно приложение, получившее название «Google Автозагрузка и синхронизация». Были слухи про приложение для Linux, но пока многие продолжают пользоваться неофициальными клиентами и это чуть ли не единственный серьезный недостаток лидера нынешнего топа.

Ни одно цифровое устройство: компьютер, ноутбук, планшет, смартфон, не обеспечивают абсолютной надежностью. Природа сбойных ситуаций разная: физическая поломка, программный сбой, действия вируса-блокировщика. Результат один - потеря данных пользователя. Как защитить ценные фотографии, документы и обеспечить их безопасное хранение - в этой статье.

Как делать и где хранить резервные копии

Резервное копирование позволяет снизить вероятность потери данных пользователя. Современные операционные системы предлагают развитые штатные утилиты для снятия снимка с важных системных и пользовательских файлов.

Для начала разберемся, какие данные нужно копировать в копию. Пользователям не рекомендуется архивировать:

  • Файлы с размером более 100 Мб : фильмы и видеоролики, дистрибутивы игр и программ. Все это при необходимости можно скачать снова.
  • Музыку , за исключением редких записей, составляющих алмазные коллекцию настоящих меломанов. Медиатека большинства пользователей включает композиции, скачать которые снова не представляется проблемой.
  • Файлы игр и программ , установленных на компьютере, и их дистрибутивы. После полного сброса системы вы скачайте установочный файл приложения и выполните установку снова. По мнению опытных системных администраторов, для ряда программ установка “в чистую” даже полезна.
  • Важные документы. В принципе, пользователю сложно провести грань между ценными и бесполезными текстовыми файлами и презентациями, хранящимися на его диске. По этой причине легче организовать полное резервное копирование папки Документы.
  • Личные фотографии. Фотки хранят на внешних дисководах, оптических дисках, вытеснивших фамильные бумажные фотоальбомы. С развитием сетевых технологий пользователи все чаще доверяют облачным хранилищам. Они надежны, не требуют затрат на содержание и доступны с любого устройства, подключенного к интернету.
  • Рабочие файлы иных форматов. Специалисты в определенных областях: художники, музыканты, дизайнеры и строители, должны организовать резервное копирование своих рабочих файлов, если работают с ними на домашнем компьютере.

Для создания резервной копии используются:

  • Физическое копирование документа или фотографии в облако или на внешний носитель. Действие выполняется вручную самим пользователем или доверяется планировщик задач Windows для автоматического запуска по расписанию.
  • Штатная программа операционной системы компьютера. В Windows 7, 8, 10 утилита резервного копирования объединена с механизмом контроля версий файлов, что удобно.
  • Сторонняя программа . Разработчики стараются сделать интерфейс, позволяющий быстро освоить все возможности и сделать бэкап максимально быстро.

Для хранения резервной копии используются:

  • Внешние дисководы с разъемом USB. Это наиболее доступный способ хранения с низкой ценой за мегабайт информации. Если файлов немного, достаточно флешки на 32 Гб. Для больших объемов предназначены внешние HDD.
  • Оптические диски CD или DVD . Для снижения стоимости хранения пользователи используют перезаписываемые носители. Преимущество такого способа - определенная надежность и возможность компактно хранить копии в сейфе или пожаробезопасном шкафу.
  • Облачные хранилища. Удобны, если компьютер или ноутбук подключен к широкополосному интернету. Об обеспечении безопасности при таком способе будет рассказано ниже.

Складывать копии на том же дисководе, где хранятся сами файлы, не рекомендуется. При выходе накопителя из строя вы потеряете все.

Как правильно организовать хранение файлов

Не храните данные на системном диске

Самая частая ошибка пользователей - создание папки Документы прямо на системном диске. Такой способ хранения данных влечет две проблемы:

  • При полном восстановлении системы личные данные пользователя с высокой вероятностью не сохранятся.
  • При сбое системного раздела задеваются и пользовательские данные.

Переместите документы в другой раздел. Для этого нажмите правую клавишу мыши на папке и выберите Свойства. Переключитесь в раздел Расположение и укажите не системный раздел дисковода для хранения файлов.

После нажатия кнопки Переместить система скопирует все ваши данные в новый раздел.

На большинстве персональных компьютеров и ноутбуков системный раздел обозначается литерой C:.

Не выкладывайте файлы на рабочий стол

Получив новый файл по интернету или с помощью флешки, пользователи перекладывают его на рабочий стол системы. Это затрудняет организацию резервного копирования и уменьшает доступное место на системном диске.

Скопируйте файл в папку Документы, а на рабочем столе создайте ярлык. Для этого нажмите правую клавишу мыши. Выберите Отправить, Рабочий стол (создать ярлык).

Существующие файлы (не ярлыки) на Рабочем столе распределите по папкам документы, изображения и так далее.

Разделите папками временные и важные файлы

Еще одной популярной ошибкой считается складывание документы и фотографии в одну папку. Под действительно важные файлы стоит создать отдельную папку. Это уменьшит размер резервной копии и ускорит ее создание.

Большинство утилит для резервного копирования позволяют тонко настраивать обрабатываемые элементы и выборочно восстанавливать их при необходимости. Кроме того, выделение отдельной папки позволит назначить уровень доступа к ней, что важно на общедоступном компьютере.

Не храните фильмы после просмотра

Большие файлы занимают место на диске и затрудняют создание резервных копий. Примите за правило копировать их на внешние носители или облачные хранилища с последующим удалением с локальных накопителей.

Настройка резервного копирования в Windows 7, 8, 10

Системные файлы архивирует сама операционная система. Полный бэкап займет много места и имеет минимальный шанс на восстановление работоспособности компьютера. В критичных ситуациях легче выполнить полный сброс системы с сохранением пользовательских данных. В Windows 10 образ восстановления хранится в независимом разделе на накопителе персонального компьютера или ноутбука.

Оговоримся, что в данной статье мы рассматриваем потребности обычных пользователей. Системные администраторы считают бэкап файлов системы обязательным. Это позволяет вернуть к жизни сервер за считанные часы, без долгой переустановки программного обеспечения.

В Настройках найдите Обновление и безопасность и нажмите пункт Служба архивации. Перейдите в Архивация и восстановление Windows 7.

Выберите настройку резервного копирования по приведенному рисунку.

Укажите дисковод и раздел на нем, который будет использоваться для хранения резервных копий.

Как видно из рисунка, система автоматически определяет только не системные тома для записи бэкапов. Можно указать внешний дисковод, другой раздел основного HDD или устройство записи оптических дисков.

В следующем диалоговом окне возьмите управление файлами для резервной копии на себя.

И отключите резервное копирование фильмов, музыки и других неважных данных. Для примера оставлены только Документы.

В следующем окне настраивается расписание для создания бэкапов и запускается сама процедура.

Этот вариант настойки работает, начиная с версии 7 и позволяет указать сетевое хранилище для хранения копий. В Windows 10 реализован и другой способ. При использовании новых средств архивирования Windows 10 сделайте следующие действия.

Выберите внешний дисковод с достаточным количеством свободного места.

Нажмите пункт Другие параметры и настройте график создания бэкапов.

Дополнительно настраивается время хранения бэкапов от 1 месяца до 2-х лет. По умолчанию старые копии не удаляются автоматически.

Чтобы настроить папки, подлежащие резервному копированию, добавьте их кнопкой Добавить папку в списке “Выполнить резервное копирование…”. Чтобы исключить - в списке “Исключить…”.

Внимание! При настройке резервного копирования исключайте папки, создаваемые клиентами облачных хранилищ. Они и так синхронизируются с сетевым диском, дополнительная архивация не требуется.

При подключении внешнего дисковода используйте быстрые порты USB 3.0 синего цвета. Это ускорит процесс создания бэкапов.

Как восстановить файл из резервной копии

Преимущество настройки резервного копирования средствами Windows 10 - возможность восстановить любую версию документа или фотографии. В контекстном меню, выпадающем по правой клавише мыши, выберите Восстановить прежнюю версию.

Если документ или фотография были удалены и не могут быть восстановлены из Корзины, зайдите в раздел Настроек Параметры резервного копирования и выберите пункт Восстановить файлы из текущей резервной копии.

Кнопки навигации перемещают точку копирования вперед и назад по линии времени. Зеленая кнопка со стрелкой восстанавливает выбранный файл в папку, откуда он был удален.

Как зашифровать резервную копию

Штатные средства архивирования Windows 10 по умолчанию не шифруют данные. Перед тем, как отправить ее для хранения в облачное хранилище, папку надо упаковать и установить пароль.

Приведем пример с использованием WinRAR. Правой клавишей мыши вызываем а папке с резервными копиями контекстное меню, выбираем Добавить к архиву.

Устанавливаем пароль и запаковываем данные.

В таком виде копию без опаски можно хранить где угодно: в облаке, на сетевом хранилище, на флешке.

Как использовать облачные хранилища для резервного копирования

Облачные хранилища допускают по крайней мере три сценария, удобные для выполнения регулярных бэкапов данных.

Работа с файлами хранилища локально. Большинство сетевых хранилищ предлагают приложения-клиенты для компьютера и смартфона. В созданной локальной папке файлы автоматически синхронизируются с хранилищем. Все что требуется от пользователя - хранить свои документы в этих папках.

Если произойдет разрушение системы или физическое повреждение локального диска, вы устанавливаете новый накопитель, восстанавливаете систему и заново авторизуетесь в облаке. Все файлы на компьютере из синхронизируемых папок восстановятся без участия пользователя.

Синхронизация резервных копий с облачным диском. Еще один сценарий использования сетевого хранилища - в качестве накопителя для хранения резервных копий, выполняемых системным программным обеспечением или специальными программами.

Установите клиентскую программу облачного хранилища и создайте синхронизируемую папку Backup. При настройке резервного копирования укажите путь к ней в виде “D:\YandexDisk\YandexDisk\Backup”. Обратите внимание, что такую синхронизируемую папку нужно размещать на другом, не системном разделе. Резервные копии регулярно будут копироваться через интернет на серверы Яндекс.

Хранение резервных копий на облачном диске. Если пользователь не хочет тратить ценное место на локальном накопителе для хранения бэкапов, необходимо использовать стороннюю программу для прямого доступа к сетевому хранилищу. Такую возможность предлагают Handy Backup для Яндекс.Диска (бесплатная версия), Acronics True Image и ряд других.

При таком варианте резервная копия сразу отправляется в облако и не хранится на локальном диске. Этот способ можно использовать для регулярного копирования в сеть копий важных файлов.

Обратите внимание, что при использовании облачных хранилищ для выполнения бэкапов, необходимо обеспечить достаточное свободное место в облаке или уменьшить число копируемых файлов, оставив только самые важные.

Утилиты для резервного копирования в Windows

Чтобы сделать процедуру создания бэкапов более простой и быстрой, можно использовать программы сторонних разработчиков. Наиболее популярны:

Acronis True Image . После установки программа предлагает выбрать место хранения копий.

Также настраивается расписание для выполнения резервных копий по расписанию.

Преимущество программы для неподготовленного пользователя - все операции выполняются самостоятельно и большинство настроек “из коробки” работают правильно.

Acronis True Image 2018 защитит вас от вымогателей/шифровальщиков и потери важных данных в других случаях. Есть функция создания загрузочных флешек для полного восстановления компьютера в случае системного сбоя.

Handy Backup for Cloud . Утилита распространяется бесплатно, но требуется регистрация. На электронную почту высылается ключ. Мастер позволит быстро выполнить нужную операцию: создать резервную копию, восстановить ее или синхронизировать файлы.

И подключитесь к своему облачному хранилищу на следующем шаге. Обратите внимание, что хранить бэкапы на облаке стоит в зашифрованном виде. Для этого на пятом шаге мастера отметьте галочку Шифрование.

Копии могут сжиматься встроенным zip-архиватором для сокращения объема занимаемого ими на внешнем накопителе или в облаке места.

Handy Backup допускает настройку расписания, событий для запуска резервного копирования, разные варианты бэкапов: инкрементальное, полное, дифференцированное. Еще больше функций в платной версии.

Iperius Backup FREE . Бесплатная версия мощного средства резервного копирования для компьютеров и ноутбуков, работающих под управлением Windows 8 и 10. Полностью русифицированный пользовательский интерфейс способствует быстрому освоению функций и возможностей.

При настройке папок, подлежащих созданию бэкапов, можно поставить фильтр на размер. Если случайно в папке Документы окажется фильм размером 3,5 Гб, Iperius Backup самостоятельно пропустит его и не станет увеличивать размер резервной копии.

Внимание! Резервное копирование в облако поддерживается только в платных версиях утилиты Imperius Backup. В бесплатной можно выбрать хранилище, расположенное в локальной сети, ftp-сервер или внешний дисковод.

Программы для резервного копирования в Linux

Для операционной системы Linux также существует ряд удобных программ для выполнения бэкапа важных данных. Приведем список этих приложений:

Rsync . Утилита предназначена для опытных пользователей. Работает из командной строки. Используется для создания мощных скриптов, автоматически выполняющих все нужные операции по бэкапу. Имеет графический интерфейс Grsync.

Fwbackups . Бесплатная утилита, имеющая версии под Windows и Linux. Код утилиты открыт. В качестве плюса эксперты отмечают простой графический интерфейс с настройками, доступными неподготовленным пользователям.

Идея облачных хранилищ гениальна. Вместо того чтобы хранить данные локально на используемых устройствах, внешних дисках и домашних сетевых хранилищах и во­зиться с доступом, синхронизацией и резервными копиями, пользователи по Интернету переносят файлы и папки в дата-центры служб и не знают забот. Доступ обеспечивается из приложения или программы-клиента, где бы пользователь ни находился - нужно только ввести пароль. Проблем с местом для хранения нет: сервисы предлагают до 30 Тбайт, причем за начальный период пользования плата не взимается.

И все же есть в бочке меда ложка дегтя, из-за которой забывается вся прелесть использования облаков. Пользователи передают в чужие руки свои данные: фото из последнего отпуска на море, или видео со свадьбы, или личную переписку. Поэтому в этом сравнении мы сосредоточились на безопасности десяти сервисов облачного хранения данных: IT-гигантов - Apple, Google, Microsoft, Amazon, двух хостингов - Box и Dropbox, - специализирующихся на облачном хранении, а также двух поставщиков услуг из России - «Яндекс» и Mail.ru.

Плюс миллиард пользователей за пять лет

Еще в 2015 году количество пользователей облачных хранилищ составляло около 1,3 млрд. К 2020-му их станет на 1 млрд больше.

Трафик данных - в три раза больше

В 2015 году пользователи облачных хранилищ передавали в среднем всего 513 Мбайт данных в месяц. К 2020-му объем увеличится втрое.


Функциональные возможности: можно ли верить рекламе

Поставщики, разумеется, знают, что пользователи придают безопасности особое значение, и должны идти навстречу их требованиям. Если бегло просмотреть все предложения, складывается впечатление, что облачные сервисы используют высочайшие стандарты безопасности и поставщики приклады­вают все усилия, чтобы защитить данные своих клиентов.

Впрочем, при более внимательном прочтении становится ­ясно, что это не совсем соответствует действительности и стандарты не всегда новые. Поставщики услуг исчерпывают возможности безопасного хранения данных далеко не полностью, а «высокий уровень безопасности», «SSL-защита» или «безопасное шифрование» - не более чем слоганы, позволяющие воспользоваться тем, что у большинства клиентов нет специальных знаний в вопросах безопасности.

Объем памяти в Сети

Сервисы облачного хранения данных завлекают клиентов бесплатными предложениями. За некоторую плату объем можно увеличить.

TLS - далеко не все

«SSL» и «HTTPS» - популярные и всем известные аббревиатуры из области безопасности. Но бдительность терять не следует. Этот вид шифрования - необходимость, но не гарантия исключительной безопасности данных. Криптографический протокол TLS (Transport Layer Security - «протокол защиты транспортного уровня»), в 1999 году официально заменивший SSL 3.0 (Secure Sockets Layer - «уровень защищенных cокетов»), обеспечивает защищенный обмен данными между веб-сайтом облачного хранилища и программой-клиентом на вашем компьютере или приложением на вашем смартфоне.

Шифрование во время передачи данных важно в первую очередь для защиты поступающих метаданных. Без TLS любой злоумышленник может перехватить передачу и изменить данные или украсть пароль.

Мы проверили облачные хранилища с помощью комплексного инструмента для тестирований Qualys (sslabs.com/ssltest). Все поставщики используют актуальную версию стандарта TLS 1.2. Шесть из них предпочитают 128-битное шифрование AES, четыре - более мощное AES 256. И то, и другое нареканий не вызывает. Все сервисы активируют дополнительную защиту Perfect Forward Secrecy (PFS - «совершенная прямая секретность») для того, чтобы переданные зашифрованные данные даже впоследствии нельзя было расшифровать.

HSTS же (HTTP Strict Transport Security - «строгая транспортная безопасность HTTP») - еще один механизм безопасности, который защищает от операций типа downgrade attacks, - большинство поставщиков не использует. Весь список, то есть TLS 1.2 с AES 256, PFS и HSTS, есть только у Dropbox.

Двойная защита доступа

Доступ к личным данным должен быть защищен двухэтапной верификацией. Amazon помимо пароля запрашивает PIN-код, который генерируется прило­жением.


Шифрование на сервере - вопрос доверия

Еще одна стандартная функция, кроме безопасной передачи, - это шифрование данных на сервере поставщика. Amazon и Microsoft, увы, составляют исключение из правил, не шифруя данные. Apple использует AES 128, остальные - более свежий AES 256.

Шифрование в дата-центрах - не диковинка: если злоумышленникам, несмотря на все меры безопасности, все-таки удастся украсть данные пользователя, им еще понадобится ключ - если только они не прибегнут к вымогательству. И часто именно тут возникает проблема: этот вид шифрования - весьма сомнительный выход, если поставщики хранят ключи к вашим данным.

То есть какой-нибудь администратор облачного сервиса легко может в любой момент просмотреть все ваши фотографии. Если верится с трудом, может, вариант доступа следственных органов к данным будет более убедительным. Конечно, поставщики всячески демонстрируют серьезное отношение к делу, но клиентам приходится пересиливать себя и проявить доверие, поскольку таким образом их данные защищены не полностью.


Dropbox обеспечивает безопасность с помощью 256-битного шифрования AES во время хранения и SSL/TLS во время передачи

Без шифрования end-to-end

Итак, большинство сервисов обеспечивает безопасность данных пользователей путем защиты передачи и шифрования на сервере, причем все участники нашего сравнения, которые шифруют данные пользователей, имеют ключи. Ни один из сервисов не использует шифрование end-to-end. Его принципиальное отличие от шифрования во время передачи и на сервере - шифрование с самого начала.


End-to-end подразумевает шифрование локально на устройствах пользователя и передачу уже в этом виде в дата-центры. При обращении к данным они возвращаются обратно к пользователю в том же зашифрованном виде и расшифровываются на его устройствах. Смысл в том, что пользователь, во-первых, отправляет данные исключительно в зашифрованном виде, а во-вторых, не выдает поставщику никаких ключей.

То есть даже если админ сгорает от любопытства, злоумышленник похищает данные или следственным органам нужно их раскрыть, ничего у них не получится.
С постоянным шифрованием тесно связана реализация так называемого «принципа нулевого разглашения» (Zero know­ledge).

В переводе на простой язык суть его в следующем: никто, кроме вас, не знает, как расшифровать ваши данные. Ни один поставщик услуг облачного хранения данных не получает информацию, которую можно использовать для расшифровки зашифрованных данных, - вы ему ничего не сообщали, у него «ноль знаний». Осуществить это на практике затруднительно и довольно неудобно, и участники нашего сравнения по этому критерию ничего представить нам не могут.

Без двухфакторной аутентификации

Очевидно, что поставщики занимаются вопросами безопасности данных своих клиентов, но почему-то не до конца продумывают план действий. Доступ к данным, хранящимся в об­лаке, эффективно защищает двухфакторная аутентификация. Суть его заключается в следующем.

Для успешного завершения процесса входа недостаточно только имени пользователя и пароля - нужен еще PIN-код, причем не постоянный, как, например, для банковской карточки, а генерируемый приложением на смартфоне или отправляемый по SMS на телефон. Обычно такие коды действительны в течение 30 секунд.

Пользователю нужно держать под рукой смартфон, привязанный к учетной записи, и во время выполнения входа после пароля ввести полученный код. Отечественные поставщики этот простой и эффективный метод защиты не предлагают, в отличие от интернет-гигантов, а также «узкопрофильных» Box и Dropbox.

Фактическая скорость облачных хранилищ

Мы измерили скорость облачных хранилищ по кабелю (до 212 Мбит/с), DSL (18 Мбит/с) и LTE (40 Мбит/с). На диаграмме представлена средняя скорость по всем способам соединения.


Сам себе шифровальщик. Boxcryptor шифрует файлы на устройстве и обеспечивает удобное управление аккаунтами в облачных хранилищах в одном окне. Пользователи могут выбрать, нужно ли им самим управлять ключом или нет

Местонахождение - тоже важный аспект

Несмотря на все старания, в домашних условиях невозможно достигнуть того уровня безопасности, который предлагает сервис облачного хранения данных в дата-центре, и это мощный аргумент в пользу облачного хранилища. В этом можно убедиться, взглянув на их оборудование. Все поставщики, кроме Drop­box, даже для бесплатных предложений сертифицированы по международному стандарту ISO 27001.

Немаловажную роль играет также местонахождение дата-центров. Серверы Amazon, Google и других компаний находятся в США и подпадают под действие американских законов. На серверы, которые находятся только в России, например, «Яндекс» и Mail.ru, соответственно, распространяются российские законы.


Чтобы не мешать работе других программ, Dropbox использует автоматическое ограничение в клиенте

Вывод: есть куда расти

Сервисы облачного хранения данных, которые мы рассмотрели, по безопасности предлагают только стандартный набор. Искать шифрование End-to-end или Zero knowledge не имеет смысла. Защиту передачи данных обеспечивают все сервисы, однако шифрованием на серверах Amazon и Microsoft не занимаются.

Зато дата-центры отвечают высоким требованиям информационной безопасности. Вместе с тем, облачного хранилища с идеальной защитой сравнение не выявило.

Преимущества поставщиков России - в местонахождении, однако самые простые методы защиты, например двухфакторную ­аутентификацию, они игнорируют. Вы должны сами позаботиться о постоянной защите данных, даже если это означает большие расходы и сложное управление.

В какой-то момент мы столкнулись с необходимостью организовать шифрованное хранилище для удаленного размещения файлов. После недолгих поисков нашел легкое облачное решение, которое в итоге полностью устроило. Далее я вкратце опишу это решение и некоторые особенности работы с ним, возможно, кому-нибудь пригодится. На мой взгляд, вариант надежный и вместе с тем достаточно удобный.

Архитектура
За основу я решил взять систему облачного хранения данных . Которая была установлена в OS Debian Linux v7.1 и развернута в виде виртуальной машины под гипервизором Proxmox Virtual Environment v3.1.

Систему облачного хранения данных установил на зашифрованный диск ОС Linux, доступ к данным возможен только по протоколу HTTPS, для авторизации помимо стандартного пароля необходимо ввести также одноразовый пароль (OTP). Регулярно осуществляется резервное копирование. Предусмотрена возможность экстренного отключения и удаления всех данных ownCloud.

Гипервизор Proxmox Virtual Environment
Гипервизор Proxmox Virtual Environment представляет собой специализированный дистрибутив OS Debian Linux v7.1, удаленный доступ к системе возможен по протоколу SSH на стандартном порту TCP 22. Однако основным рабочим инструментом для управления виртуальными машинами является Web-интерфейс.

Раз в сутки происходит генерирование горячей копии (snapshot) виртуальной машины ownCloud с экспортом ее на серверы NFS, используя стандартные возможности Proxmox VE.

На скриншоте, виртуальная машина в Web-интерфейсе имеет идентификатор 100 (ownCloud). Доступ к ее консоли возможен через пункт контекстного меню «Console».

Например, вот так выглядит ввод пароля для шифрованного диска во время загрузки:

Облачное хранилище данных ownCloud
Про установку ownCloud на хабре есть достаточно хорошая статья от пользователя BlackIce13 http://habrahabr.ru/post/208566/ там уже перечислены основные возможности и некоторые плюсы этой платформы.

От себя могу лишь добавить, что, на мой взгляд, существует несколько более простой способ установки ownCloud для дистрибутива ОС Linux Debian и многих других, нежели предложенный автором статьи. Доступны готовые репозитории: http://software.opensuse.org/download/package?project=isv:ownCloud:community&package=owncloud
В этом случае все необходимые зависимости ставятся автоматически, а от вас будет лишь требоваться скорректировать настройки под свою специфику.

OwnCloud развернул на базе ОС Debian Linux v7.1 внутри виртуального контейнера. Удаленный доступ к хранилищу возможен по протоколу SSH на стандартном порту TCP 22.
Основная работа с ownCloud осуществляется через Web-интерфейс, возможно также подключение через протокол WebDAV и использование клиентов синхронизации (Sync).

Кстати, поскольку доступ к ownCloud осуществляется через HTTPS логи доступа и ошибок ведутся сервером Apache в файлах "/var/log/apache2/access.log" и "/var/log/apache2/error.log" соответственно. Также ownCloud имеет свой собственный лог "/var/www/owncloud/data/owncloud.log".

Одноразовые пароли OTP
Для усиления безопасности доступ к ownCloud через Web-интерфейс возможен с использованием двухфакторной авторизации: традиционный пароль и одноразовый пароль OTP. Функционал OTP реализуется с помощью внешнего дополнения One Time Password Backend . Встроенной поддержки OTP у ownCloud нет.

Настройка основных параметров OTP осуществляется в разделе «Admin» под административной учетной записью.

На скриншотах настройки двухфакторной авторизации и одноразовых паролей подобранные для обеспечения совместимости с аппаратными генераторами FEITIAN OTP c200.
Алгоритм: Time-based One Time Password (TOTP)
Количество цифр в пароле: 6
Время жизни пароля: 60 секунд

Чтобы двухфакторная авторизация вступила в действие необходимо назначить пользователю Token Seed. До этого момента он может заходить в ownCloud, используя только лишь обычный пароль. Что собственно необходимо сделать сразу после создания пользователя, перейти в раздел «Personal» и ввести Token Seed в одноименное поле.

Генерировать Token Seed, используя встроенные возможности модуля OTP ownCloud, не рекомендуется, поскольку в алгоритме его работы наблюдаются проблемы. Формат ввода: Base32 (%32) UPPERCASE. Конвертировать Token Seed в разные форматы можно с помощью утилиты www.darkfader.net/toolbox/convert

Конкретно для этого проекта использовался Token Seed вшитый в аппаратный Token FEITIAN OTP c200. В общем случае можно использовать любой генератор паролей, а затем приводить его к нужному формату, используя приведенный в тексте конвертер.

Примером такого приложения для ОС Android может служить Android Token: https://play.google.com/store/apps/details?id=uk.co.bitethebullet.android.token&hl=ru

Проинициализированный Token Seed выглядит следующим образом:

Для отключения OTP достаточно удалить Token Seed из настроек. Если это невозможно, например, по причине того, что генератор OTP утерян, поэтому доступа к личному кабинету пользователя нет, то отключение OTP возможно только путем прямой модификации данных в СУДБ MySQL. Для этого необходимо запустить из командной строки клиент MySQL:
# mysql -uowncloud –p
Enter password:

Затем выполнить запрос аналогичный следующему, изменив значение поля «user» на необходимое:
mysql> delete from owncloud.oc_user_otp where `user` = "test";

Из-за архитектурных ограничений OTP работает только при доступе к ownCloud через Web-интерфейс, но не через WebDAV. Данный недостаток компенсируется тем, что список IP-адресов, которые могут использовать WebDAV, строго ограничен. Отвечают за это директивы «Allow from» в файле настроек сервера Apache "/etc/apache2/conf.d/owncloud.conf". Обратите внимание, что директивы там указываются дважды.

IP-адреса перечисляются через пробел. Необходимо удостоверятся в том, что в списке обязательно присутствуют IP обратной петли 127.0.0.1, а также публичный IP сервера самого ownCloud. В противном случае в работе WebDAV возможны сбои. После изменения настроек Apache его необходимо перезапустить:
service apache2 restart

Защита от брутфорса
В свежих версиях ownCloud ведется лог неудачных попыток авторизации: "/var/log/owncloud/auth.log". Содержимое "/var/log/owncloud/auth.log" контролирует сервис Fail2ban. Если им в течение короткого времени фиксируется 5 или более неудачных попыток авторизации с одного IP-адреса, то он блокируется фильтром пакетов IPTables на 10 минут. Если после автоматической разблокировки, попытки продолжаются, то IP блокируется повторно навсегда. Следит за работой Fail2ban можно в логе "/var/log/fail2ban.log".

Список IP-адресов, которые не должны блокироваться ни при каких обстоятельствах задается параметром «ignoreip» в файле настроек "/etc/fail2ban/jail.conf". IP перечисляются через пробел.

После изменения настроек Fail2ban его необходимо перезапустить:
service fail2ban restart

В случае необходимости вручную разблокировать какой-либо IP, необходимо выполнить на сервере из CLI команду аналогичную следующей, скорректировав в ней адрес:
iptables -D fail2ban-Owncloud -s 187.22.109.14/32 -j DROP

P.S.
Live версию ownCloud можно посмотреть на официальном сайте