Kada je Eric Schmitt, sada čelnik Google-a, prvi put upotrijebio termin "oblak" da označi distribuirani računarski sistem na webu, jedva da je znao da je to jedna od onih riječi koje se često pojavljuju u legendama. U gotovo svim mitovima naroda svijeta, božanska bića žive vrlo blizu neba - na oblacima. Kao rezultat toga, pojam "cloud computing" je vrlo popularan među trgovcima jer pruža prostor za kreativnost. Također ćemo pokušati verbalizirati ove mitove i razumjeti koliko su organski spojeni s IT-om.
Smrt Merlina
Jedan od likova u ciklusu legendi o kralju Arturu i njegovom okruglom stolu je mađioničar i čarobnjak Merlin, koji je pomogao Arturu u njegovoj vladavini. Značajno je da je Merlin završio zatočen u oblacima. On je, želeći da se pohvali mladoj čarobnici i pokaže svoju magijsku moć, sagradio zamak od oblaka i pozvao svoju strast da ga ispita. Međutim, čarobnica se pokazala lukavom i zatvorila mađioničara u njegov vlastiti zamak od oblaka. Nakon toga Merlina niko nije vidio, pa se vjeruje da je on tamo negdje umro - u zamku od oblaka koji je sam sagradio.
Sada su i "mađioničari iz IT-a" izgradili čitavu mitologiju oko distribuiranog računarstva, pa da ne bismo bili zatočeni u ovim "bravama", valja prvo shvatiti koji su to oblaci, odnosno odvojiti marketing od kotleta.
U početku je postojao samo jedan oblak - upravo se ovim simbolom tradicionalno označavao internet. Ovaj oblak je predstavljao skup svih računara povezanih IP protokolom i koji imaju svoju IP adresu. Vremenom je Internet počeo da dodeljuje farme servera koji su instalirani kod provajdera i na kojima su zasnovani veb projekti. Istovremeno, kako bi se osiguralo veliko opterećenje i tolerancija grešaka, najveći web sistemi postali su višeslojni i distribuirani.
U tipičnom takvom sistemu mogu se razlikovati sljedeći nivoi: obrnuti proxy, koji također djeluje kao balansator opterećenja i SSL dekriptor, sam web server, zatim aplikacijski server, DBMS i sistem za skladištenje podataka. Istovremeno, na svakom nivou može postojati nekoliko elemenata koji obavljaju iste funkcije, pa stoga nije uvijek bilo jasno koje komponente se koriste za obradu korisničkih zahtjeva. A kad nije vedro, onda su to oblaci. Stoga su počeli govoriti da se zahtjevi korisnika izvršavaju negdje u "oblaku" sa velikog broja servera. Tako je nastao pojam "cloud computing".
Iako je u početku računarstvo u oblaku bilo povezano s javnim web projektima – portalima, međutim, kako su se razvijali distribuirani web sistemi otporni na greške, počeli su se koristiti za rješavanje internih korporativnih problema. Bilo je to vrijeme procvata korporativnih portala koji su bili bazirani na web tehnologijama koje su razvijene u javnim sistemima. U isto vrijeme, korporativni sistemi su se počeli konsolidirati u podatkovne centre koje je bilo lakše i jeftinije održavati.
Međutim, bilo bi neefikasno dodijeliti poseban server za svaki element oblaka – nisu svi elementi oblaka jednako učitani, pa je industrija virtuelizacije počela da se razvija paralelno. U javnim oblacima pokazalo se prilično popularnim, jer je omogućilo razlikovanje prava pristupa i osiguravanje brzog prijenosa elementa distribuiranog sistema na drugi hardverski nosač. Bez virtuelizacije, računarstvo u oblaku bi bilo manje dinamično i skalabilno, zbog čega se oblaci danas obično sastoje od virtuelnih mašina.
Cloud computing se uglavnom povezuje sa iznajmljivanjem aplikacija, definišući tri vrste takvih usluga: IaaS – infrastruktura kao usluga, PaaS – platforma kao usluga i SaaS – softver kao usluga. Ponekad se i sigurnost kao usluga svodi na SaaS, međutim, kako se usluge sigurnosti u oblaku ne bi zamijenile sa iznajmljivanjem softvera, bolje je to nazvati ISaaC - Informacijska sigurnost kao oblak. Takve usluge takođe počinju da se pružaju. Međutim, nemojte miješati outsourcing aplikacija i računalstvo u oblaku, jer oblaci mogu biti interni, javni i hibridni. Svaka od ovih vrsta oblaka ima svoje karakteristike prilikom organizovanja sigurnosnog sistema.
Tri Vishnuova koraka
Bog Višnu u hinduističkoj mitologiji poznat je po tome što je upravo on osvojio prostor za ljudski život uz pomoć tri koraka: prvi je napravljen na zemlji, drugi - u oblacima, a treći - u najvišim prebivalište. U skladu sa Rig Vedom, Višnu je ovom akcijom osvojio sve te prostore za ljude.
Moderni IT takođe čini sličan "drugi korak" - od tla do oblaka. Međutim, kako ne biste pali s ovih oblaka na tlo, vrijedi voditi računa o sigurnosti. U prvom dijelu sam tako detaljno analizirao strukturu oblaka kako bih shvatio koje prijetnje postoje za cloud computing. Od gore navedenog, treba razlikovati sljedeće klase prijetnji:
Tradicionalni napadi na softver... One se odnose na ranjivost mrežnih protokola, operativnih sistema, modularnih komponenti i dr. To su tradicionalne prijetnje, za zaštitu od kojih je dovoljno instalirati antivirus, firewall, IPS i druge komponente o kojima se raspravlja. Važno je samo da su ove zaštite prilagođene infrastrukturi oblaka i da efikasno rade u virtuelizovanom okruženju.
Funkcionalni napadi na elemente oblaka... Ova vrsta napada je povezana sa slojevitošću oblaka, opštim sigurnosnim principom da je ukupna zaštita sistema jednaka zaštiti najslabije karike. Dakle, uspješan DoS napad na obrnuti proxy instaliran ispred oblaka će blokirati pristup cijelom oblaku, iako će sve komunikacije unutar oblaka raditi bez smetnji. Slično, SQL injekcija prošla kroz aplikacijski server će dati pristup sistemskim podacima, bez obzira na pravila pristupa u sloju za pohranu podataka. Za zaštitu od funkcionalnih napada, za svaki sloj oblaka, potrebno je koristiti posebna sredstva zaštite: za proxy - zaštitu od DoS napada, za web server - kontrolu integriteta stranice, za aplikacijski server - ekran na nivou aplikacije, za DBMS sloj - zaštita od SQL -injekcija, za sistem skladištenja - backup i kontrola pristupa. Zasebno, svaki od ovih odbrambenih mehanizama je već kreiran, ali se ne prikupljaju zajedno za sveobuhvatnu zaštitu oblaka, tako da se prilikom kreiranja oblaka mora riješiti zadatak njihove integracije u jedinstven sistem.
Napadi klijenata... Ova vrsta napada je praktikovana u web okruženju, ali je relevantna i za oblak, jer se klijenti povezuju na oblak, obično koristeći pretraživač. Uključuje napade kao što su Cross Site Scripting (XSS), otmica web sesija, krađa lozinki, "čovjek u sredini" i druge. Tradicionalno, jaka autentifikacija i šifrovana komunikacija uz međusobnu autentifikaciju bili su obrana od ovih napada, ali ne mogu svi kreatori oblaka priuštiti tako rasipna i obično ne baš zgodna sredstva zaštite. Dakle, u ovoj industriji informacione sigurnosti još uvijek postoje neriješeni zadaci i prostor za kreiranje novih sredstava zaštite.
Pretnje virtuelizacije... Budući da je platforma za komponente oblaka tradicionalno virtuelizovana okruženja, napadi na sistem virtuelizacije takođe ugrožavaju čitav oblak u celini. Ova vrsta prijetnji je jedinstvena za računalstvo u oblaku, pa ćemo je detaljnije pogledati u nastavku. Počinju se pojavljivati rješenja za neke prijetnje virtuelizacije, ali ova industrija je prilično nova, tako da do sada postojeća rješenja još nisu razvijena. Sasvim je moguće da će tržište informacione sigurnosti u bliskoj budućnosti razviti sredstva zaštite od ove vrste prijetnji.
Sveobuhvatne pretnje iz oblaka... Kontrola i upravljanje oblacima je također sigurnosni problem. Kako osigurati da se prebroje svi resursi oblaka i da u njemu nema nekontroliranih virtuelnih mašina, da se ne pokreću nepotrebni poslovni procesi i da se ne naruši međusobna konfiguracija slojeva i elemenata oblaka. Ova vrsta prijetnje povezana je sa upravljivošću oblaka kao jedinstvenog informacionog sistema i traženjem zloupotreba ili drugih poremećaja u radu oblaka, što može dovesti do nepotrebnih troškova za održavanje zdravlja informacionog sistema. Na primjer, ako postoji oblak koji omogućava otkrivanje virusa u njemu pomoću datoteke, kako spriječiti krađu takvih detektora? Ova vrsta prijetnje je najvišeg nivoa i pretpostavljam da za nju ne postoji univerzalno sredstvo zaštite – za svaki oblak njegova ukupna zaštita mora biti izgrađena pojedinačno. Tome može pomoći najopćenitiji model upravljanja rizikom, koji još uvijek treba pravilno primijeniti na infrastrukturu u oblaku.
Prve dvije vrste prijetnji su već dovoljno proučene i za njih je razvijena odbrana, ali ih još treba prilagoditi za korištenje u oblaku. Na primjer, zaštitni zidovi su dizajnirani da štite perimetar, ali u oblaku nije lako dodijeliti perimetar pojedinačnom klijentu, što čini zaštitu znatno težom. Stoga, firewall tehnologiju treba prilagoditi infrastrukturi oblaka. Rad u ovom smjeru sada aktivno provodi, na primjer, Check Point.
Nova vrsta pretnje za računarstvo u oblaku su problemi sa virtuelizacijom. Činjenica je da se pri korištenju ove tehnologije pojavljuju dodatni elementi u sistemu koji mogu biti napadnuti. To uključuje hipervizor, sistem za prenos virtuelnih mašina sa jednog hosta na drugi i sistem upravljanja virtuelnim mašinama. Razmotrimo detaljnije kakvim napadima mogu biti izloženi navedeni elementi.
Hipervizorski napadi... Zapravo, ključni element virtuelnog sistema je hipervizor, koji obezbeđuje podelu resursa fizičkog računara između virtuelnih mašina. Ometanje rada hipervizora može dovesti do činjenice da jedna virtuelna mašina može pristupiti memoriji i resursima druge, presresti njen mrežni saobraćaj, oduzeti joj fizičke resurse, pa čak i potpuno istisnuti virtuelnu mašinu sa servera. Do sada je malo hakera tačno razumjelo kako hipervizor funkcionira, tako da napada ovog tipa praktično nema, ali to ne garantuje da se neće pojaviti u budućnosti.
Migrirajte virtuelne mašine... Treba napomenuti da je virtuelna mašina datoteka koja se može pokrenuti za izvršenje u različitim čvorovima oblaka. Sistemi za upravljanje virtuelnim mašinama pružaju mehanizme za prenos virtuelnih mašina sa jednog hosta na drugi. Međutim, datoteka virtuelne mašine može se ukrasti i pokušati pokrenuti izvan oblaka. Nemoguće je izvaditi fizički server iz data centra, ali virtuelna mašina može biti ukradena preko mreže bez fizičkog pristupa serverima. Istina, zasebna virtuelna mašina izvan oblaka nema praktičnu vrednost - potrebno je ukrasti najmanje jednu virtuelnu mašinu sa svakog sloja, kao i podatke iz sistema za skladištenje da biste vratili sličan oblak; ipak, virtuelizacija prilično dozvoljava krađu delova ili ceo oblak. Odnosno, ometanje mehanizama za prenos virtuelnih mašina stvara nove rizike za informacioni sistem.
Kontrolišite napade na sistem... Veliki broj virtuelnih mašina koje se koriste u oblacima, posebno u javnim oblacima, zahtevaju sisteme upravljanja koji mogu pouzdano da kontrolišu kreiranje, migraciju i odlaganje virtuelnih mašina. Intervencija u upravljačkim sistemima može dovesti do pojave nevidljivih virtuelnih mašina, blokiranja nekih mašina i zamene neovlašćenih elemenata u slojevima oblaka. Sve to omogućava napadačima da dobiju informacije iz oblaka ili zahvate njegove dijelove ili cijeli oblak.
Treba napomenuti da su do sada sve gore navedene prijetnje čisto hipotetičke, budući da praktično nema informacija o stvarnim napadima ove vrste. Istovremeno, kada virtuelizacija i oblak postanu dovoljno popularni, sve ove vrste napada mogle bi biti sasvim realne. Stoga ih treba imati na umu još u fazi projektovanja cloud sistema.
Iznad sedmog neba
Apostol Pavle je tvrdio da je poznavao čoveka koji je bio uznesen do sedmog neba. Od tada je izraz "sedmo nebo" čvrsto ukorijenjen za označavanje raja. Međutim, nisu svi kršćanski sveci bili udostojeni posjetiti čak ni prvo nebo, ipak, nema te osobe koja ne bi sanjala da barem jednim okom gleda u sedmo nebo.
Možda je upravo ova legenda potaknula kreatore Trend Micro-a da jedan od svojih projekata zaštite oblaka nazovu Cloud Nine - deveti oblak. Ovo je jasno iznad sedmog. Međutim, sada se ovo ime daje raznim stvarima: pjesmama, detektivskim pričama, kompjuterskim igricama, ali je sasvim moguće da je ovo ime inspirirano kršćanskom legendom o Pavlu.
Međutim, do sada je kompanija Trend Micro objavila samo informaciju da će Cloud Nine biti povezan sa enkripcijom podataka u oblaku. Upravo enkripcija podataka omogućava zaštitu od većine prijetnji podacima u javnom oblaku, pa će se takvi projekti sada aktivno razvijati. Zamislimo koji alati zaštite još mogu biti korisni za ublažavanje gore opisanih rizika.
Prije svega, morate osigurati pouzdanu autentifikaciju, kako korisnika oblaka, tako i njegovih komponenti. Da biste to učinili, najvjerovatnije možete koristiti gotove jednostruke sisteme provjere autentičnosti (SSO), koji su bazirani na Kerberos-u i protokolu za međusobnu hardversku autentifikaciju. Zatim će vam trebati sistemi upravljanja identitetom koji vam omogućavaju da konfigurirate prava pristupa korisnika različitim sistemima koristeći upravljanje zasnovano na ulogama. Naravno, morate se pozabaviti definicijom uloga i minimalnim pravima za svaku ulogu, ali kada jednom konfigurirate sistem, možete ga koristiti dugo vremena.
Kada se definišu svi učesnici u procesu i njihova prava, potrebno je pratiti poštovanje ovih prava i otkrivanje administrativnih grešaka. Za to su potrebni sistemi za obradu događaja od sredstava zaštite elemenata oblaka i dodatnih zaštitnih mehanizama, kao što su firewall, antivirusi, IPS i drugi. Istina, vrijedi koristiti one opcije koje mogu raditi u okruženju virtualizacije - to će biti efikasnije.
Pored toga, trebalo bi da koristite i neku vrstu mašine za prevara koja bi vam omogućila da otkrijete prevaru u korišćenju oblaka, odnosno da smanjite najteži rizik od ometanja poslovnih procesa. Istina, sada na tržištu, najvjerovatnije, ne postoji mašina za prevare koja bi omogućila rad s oblacima, ali su tehnologije za otkrivanje slučajeva prijevare i zloupotrebe već razrađene za telefoniju. Pošto će sistem naplate morati da se implementira u oblacima, mašina za prevare treba da bude povezana na njega. Tako će biti moguće barem kontrolisati prijetnje poslovnim procesima u oblaku.
Koji drugi odbrambeni mehanizmi se mogu koristiti za zaštitu oblaka? Pitanje je i dalje otvoreno.
Postoji nekoliko metoda za izgradnju korporativne IT infrastrukture. Postavljanje svih resursa i usluga na platformu u oblaku samo je jedan od njih. Međutim, predrasude o sigurnosti rješenja u oblaku često postaju prepreka na ovaj način. U ovom članku ćemo razumjeti kako je sigurnosni sistem uređen u oblaku jednog od najpoznatijih ruskih provajdera - Yandex.
Bajka je laž, ali u njoj ima nagoveštaja
Početak ove priče može se ispričati kao poznata bajka. U firmi su bila tri administratora: stariji je bio pametan momak, srednji je bio ovako i onako, najmlađi je bio... pripravnik-enikejščik. Uveo sam korisnike u Active Directory i podvrnuo repove tsiski. Došlo je vrijeme da se kompanija proširi, a kralj, odnosno šef, je pozvao svoju admin vojsku. Želim, kaže, nove web usluge za naše klijente, naše vlastito skladište datoteka, upravljane baze podataka i virtuelne mašine za testiranje softvera.
Najmlađi je odmah predložio stvaranje vlastite infrastrukture od nule: kupovinu servera, instaliranje i konfiguriranje softvera, proširenje glavnog internetskog kanala i dodavanje rezervnog na njega - radi pouzdanosti. I kompanija je mirnija: hardver je uvijek pri ruci, u svakom trenutku možete nešto zamijeniti ili rekonfigurirati, a on će imati odličnu priliku da ispumpa svoje administratorske vještine. Računali su i pustili suze: kompanija neće moći priuštiti takve troškove. Velika preduzeća to mogu, ali za srednja i mala preduzeća se ispostavlja da je to preskupo. Pa, ne morate samo da kupite opremu, opremite server sobu, okačite klima-uređaje i postavite požarne alarme, potrebno je i da organizujete dežurstvo kako biste danonoćno održavali red i odbijali mrežne napade poletnih ljudi sa interneta . I iz nekog razloga, administratori nisu htjeli raditi noću i vikendom. Ako samo za duplo plaćanje.
Viši administrator je zamišljeno pogledao kroz prozor terminala i predložio da se sve usluge stave u oblak. Ali tada su se njegove kolege počele plašiti horor priča: kažu, infrastruktura oblaka ima nezaštićena sučelja i API-je, loše balansira opterećenje različitih klijenata, što može oštetiti vaše vlastite resurse, a također je nestabilna na krađu podataka i vanjske napade. . I općenito, zastrašujuće je prenijeti kontrolu nad kritičnim podacima i softverom na neovlaštene osobe s kojima niste pojeli kilu soli i popili kantu piva.
Mediocre je dao ideju da se kompletan IT sistem postavi u data centar provajdera, na njegovim kanalima. Na to i odlučio. Međutim, naš trojac je čekalo nekoliko iznenađenja, od kojih nisu sva bila prijatna.
Prvo, svaka mrežna infrastruktura zahtijeva obaveznu dostupnost sigurnosnih i zaštitnih alata, koji su, naravno, raspoređeni, konfigurirani i pokrenuti. Ali troškove hardverskih resursa koje koriste, kako se ispostavilo, mora platiti sam klijent. Savremeni sistem informacione bezbednosti troši znatne resurse.
Drugo, posao je nastavio da raste, a infrastruktura izgrađena od početka brzo je dostigla plafon skalabilnosti. Štaviše, za njegovo proširenje nije bila dovoljna jednostavna promjena tarife: u ovom slučaju mnoge usluge bi morale biti prebačene na druge servere, rekonfigurirane i nešto potpuno redizajnirane od nule.
Konačno, jednog dana, zbog kritične ranjivosti u jednoj od aplikacija, cijeli sistem se srušio. Admini su to brzo pokupili iz rezervnih kopija, ali nisu mogli brzo da otkriju razloge za ovo, jer su zaboravili da podese rezervnu kopiju za logging servise. Izgubljeno je dragocjeno vrijeme, a vrijeme je, kako narodna mudrost kaže, novac.
Obračun troškova i sumiranje rezultata doveli su menadžment kompanije do razočaravajućih zaključaka: bio je u pravu administrator koji je od samog početka predlagao korištenje cloud modela IaaS-a – „infrastruktura kao usluga“. Što se tiče sigurnosti takvih platformi, vrijedi razgovarati o tome zasebno. I to ćemo učiniti koristeći primjer najpopularnijeg od takvih servisa - Yandex.Cloud.
Sigurnost u Yandex.Cloud
Počnimo, kao što je Češirski mačak savjetovao djevojci Alice, od početka. Odnosno, od pitanja razgraničenja odgovornosti. U Yandex.Cloud, kao i na svim drugim sličnim platformama, provajder je odgovoran za sigurnost usluga koje se pružaju korisnicima, dok je sam klijent odgovoran za osiguravanje ispravnog rada aplikacija koje razvija, organiziranje i ograničavanje udaljenog pristupa namjenskim resursi, konfigurisanje baza podataka i virtuelnih mašina, kontrola nad logovanjem. Međutim, za to ima sav potreban alat.
Sigurnost Yandex cloud infrastrukture ima nekoliko nivoa, od kojih svaki implementira vlastite principe zaštite i koristi poseban arsenal tehnologija.
Fizički sloj
Nije tajna da Yandex ima svoje podatkovne centre, koje opslužuju vlastita sigurnosna odjeljenja. Ne govorimo samo o uslugama video nadzora i kontrole pristupa koji su dizajnirani da spreče ulazak stranaca u serverske prostorije, već i o sistemima za kontrolu klime, gašenja požara i besprekidnog napajanja. Krmeni zaštitari su od male koristi ako je vaš serverski stalak jednom poplavljen vodom iz prskalica za požar ili ako se pregriju nakon kvara klima uređaja. To im se definitivno neće dogoditi u Yandex data centrima.
Osim toga, Cloud hardver je fizički odvojen od "velikog Yandexa": smješteni su u različitim reckovima, ali na isti način prolaze kroz redovno rutinsko održavanje i zamjenu komponenti. Na granici ove dvije infrastrukture koriste se hardverski firewall, a unutar Clouda - softverski Host-based Firewall. Pored toga, prekidači na vrhu rack-a koriste sistem liste kontrole pristupa (ACL), koji uveliko povećava sigurnost cjelokupne infrastrukture. Yandex kontinuirano skenira Cloud izvana u potrazi za otvorenim portovima i greškama u konfiguraciji, tako da se potencijalna ranjivost može prepoznati i eliminirati unaprijed. Za zaposlene koji rade sa Cloud resursima implementiran je centralizirani sistem autentifikacije koji koristi SSH ključeve sa modelom pristupa zasnovanog na ulozi, a sve sesije administratora se evidentiraju. Ovaj pristup je dio Secure by default modela koji naširoko koristi Yandex: sigurnost je ugrađena u IT infrastrukturu u fazi njenog dizajna i razvoja, a ne dodaje se kasnije, kada je sve već operativno.
Infrastrukturni nivo
Na nivou „logike hardvera i softvera“, Yandex.Cloud koristi tri infrastrukturne usluge: Compute Cloud, Virtual Private Cloud i Yandex Managed Services. A sada o svakom od njih malo detaljnije.
Compute Cloud
Ova usluga pruža skalabilnu računarsku snagu za različite zadatke, kao što su hostovanje web projekata i usluga sa velikim opterećenjem, testiranje i prototipovanje, ili privremena migracija IT infrastrukture za period popravke ili zamene sopstvene opreme. Uslugom možete upravljati putem konzole, komandne linije (CLI), SDK-a ili API-ja.
Sigurnost Compute Clouda zasniva se na činjenici da sve klijentske virtuelne mašine koriste najmanje dva jezgra i da nema prevelike obaveze u alokaciji memorije. Pošto se u ovom slučaju samo klijentski kod izvršava na kernelu, sistem nije podložan ranjivostima kao što su L1TF, Spectre i Meltdown ili napadima sa strane kanala.
Osim toga, Yandex koristi vlastiti Qemu / KVM sklop, u kojem je sve nepotrebno onemogućeno, ostavljajući samo minimalni skup koda i biblioteka potrebnih za rad hipervizora. Istovremeno, procesi se pokreću pod kontrolom instrumentacije zasnovane na AppArmoru, koja, koristeći sigurnosne politike, određuje kojim sistemskim resursima i sa kojim privilegijama određena aplikacija može pristupiti. AppArmor koji radi na vrhu svake virtuelne mašine smanjuje rizik da klijentska aplikacija može pristupiti hipervizoru iz VM-a. Za primanje i obradu dnevnika, Yandex je izgradio proces za isporuku podataka iz AppArmor-a i sandboxova u svoj Splunk.
Virtuelni privatni oblak
Usluga Virtual Private Cloud vam omogućava da kreirate mreže u oblaku koje se koriste za prijenos informacija između različitih resursa i njihovo povezivanje na Internet. Ovu uslugu fizički podržavaju tri nezavisna data centra. U ovom okruženju logička izolacija se vrši na nivou multiprotokolske komunikacije - MPLS. Istovremeno, Yandex konstantno fuzzuje SDN i interfejs hipervizora, odnosno sa strane virtuelnih mašina, tok deformisanih paketa se kontinuirano šalje u spoljno okruženje kako bi dobio odgovor od SDN-a, analizirao ga i zatvorio moguće praznine u konfiguraciji. DDoS zaštita je automatski omogućena kada se kreiraju virtuelne mašine.
Yandex Managed Services
Yandex Managed Services je softversko okruženje za upravljanje različitim uslugama: DBMS, Kubernetes klasterima, virtuelnim serverima u infrastrukturi Yandex.Cloud. Ovdje služba preuzima najveći dio poslova sigurnosti. Sve sigurnosne kopije, šifriranje rezervnih kopija, upravljanje ranjivostima i tako dalje automatski osigurava softver Yandex.Cloud.
Alati za reagovanje na incidente
Da bi se pravovremeno odgovorilo na incidente informacione sigurnosti, potrebno je na vrijeme identifikovati izvor problema. Za to je potrebno koristiti pouzdane alate za praćenje koji bi trebali raditi 24 sata dnevno i bez prekida. Takvi sistemi će neizbježno trošiti resurse, ali Yandex.Cloud ne prebacuje troškove računarske snage sigurnosnih alata na korisnike platforme.
Prilikom odabira alata Yandex se vodio još jednim važnim zahtjevom: u slučaju uspješnog iskorištavanja ranjivosti 0 dana u jednoj od aplikacija, napadač ne bi trebao napustiti host aplikacije, dok bi sigurnosni tim trebao odmah saznati o incidentu i reagirati kao potreban.
Na kraju, ali ne i najmanje važno, želja je bila da svi alati budu otvorenog koda. Ove kriterijume u potpunosti ispunjava paket AppArmor + Osquery, za koji je odlučeno da se koristi u Yandex.Cloud.
AppArmor
AppArmor je već spomenut: to je softverski alat za proaktivnu zaštitu baziran na prilagodljivim sigurnosnim profilima. Profili koriste tehnologiju označavanja privatnosti obavezne kontrole pristupa (MAC) implementiranu koristeći LSM direktno u samom jezgru Linuxa od verzije 2.6. Yandex programeri su odabrali AppArmor iz sljedećih razloga:
- lakoća i brzina, budući da se alat oslanja na dio Linux kernela;
- to je rješenje otvorenog koda;
- AppArmor se može vrlo brzo implementirati na Linux bez pisanja bilo kakvog koda;
- fleksibilna konfiguracija je moguća korištenjem konfiguracijskih datoteka.
Osquery
Osquery je alat za praćenje sigurnosti sistema koji je razvio Facebook i sada se uspješno koristi u mnogim IT industrijama. Istovremeno, alat je višeplatformski i otvorenog koda.
Uz pomoć Osqueryja možete prikupiti informacije o stanju različitih komponenti operativnog sistema, akumulirati ih, transformisati u standardizovani JSON format i poslati odabranom primaocu. Ovaj alat vam omogućava da pišete i usmjeravate standardne SQL upite vašoj aplikaciji, koji su pohranjeni u rocksdb bazi podataka. Možete prilagoditi učestalost i uslove za izvršenje ili obradu ovih zahtjeva.
U standardnim tabelama mnoge funkcije su već implementirane, na primjer, možete dobiti listu procesa koji se pokreću na sistemu, instalirane pakete, trenutni skup iptables pravila, crontab entitete i tako dalje. Izvan kutije, implementirana je podrška za primanje i raščlanjivanje događaja iz sistema revizije kernela (koristi se u Yandex.Cloud za rukovanje AppArmor događajima).
Sam Osquery je napisan na C++ i distribuiran sa otvorenim kodom, možete ih modificirati i dodati nove tablice u glavnu bazu koda, te kreirati vlastita proširenja u C, Go ili Python-u.
Korisna karakteristika Osqueryja je prisustvo distribuiranog sistema upita, sa kojim možete izvršavati upite u realnom vremenu svim virtuelnim mašinama na mreži. Ovo može biti korisno, na primjer, ako se u paketu pronađe ranjivost: jednim upitom možete dobiti listu strojeva na kojima je ovaj paket instaliran. Ova karakteristika se široko koristi kada se administriraju veliki distribuirani sistemi sa složenom infrastrukturom.
zaključci
Ako se vratimo na priču ispričanu na samom početku ovog članka, vidjet ćemo da su se strahovi zbog kojih su naši heroji odbili da razmjeste infrastrukturu na platformi u oblaku pokazali neosnovani. Barem kada je u pitanju Yandex.Cloud. Sigurnost infrastrukture oblaka koju je kreirao Yandex ima višeslojnu ešaloniranu arhitekturu i stoga pruža visok nivo zaštite od većine trenutno poznatih prijetnji.
Istovremeno, zbog ušteda na rutinskom održavanju hardvera i plaćanju resursa potrošenih sistema za praćenje i upozoravanje na incidente koje Yandex preduzima, korišćenje Yandex.Cloud-a značajno štedi novac za mala i srednja preduzeća. Naravno, potpuno napuštanje IT odjela ili odjela odgovornog za sigurnost informacija (naročito ako se obje ove uloge spoje u jedan tim) neće uspjeti. Ali Yandex.Cloud će značajno smanjiti troškove rada i režijske troškove.
Budući da Yandex.Cloud svojim korisnicima pruža sigurnu infrastrukturu sa svim potrebnim sigurnosnim alatima, oni se mogu fokusirati na poslovne procese, prepuštajući zadatke servisiranja i nadgledanja hardvera provajderu. Ovo ne eliminira potrebu za trenutnom administracijom VM-ova, baza podataka i aplikacija, ali bi se takav niz zadataka u svakom slučaju morao riješiti. Općenito, možemo reći da Yandex.Cloud štedi ne samo novac, već i vrijeme. A drugi je, za razliku od prvog, nezamjenjiv resurs.
GRIGORIEV1 Vitalij Robertovič, kandidat tehničkih nauka, vanredni profesor KUZNETSOV2 Vladimir Sergejevič
PROBLEMI IDENTIFIKACIJE RANJIVOSTI U MODELU OBLAKA
U članku je dat pregled pristupa izgradnji konceptualnog modela računarstva u oblaku, kao i poređenje postojećih pogleda na identifikaciju ranjivosti koje su inherentne sistemima izgrađenim na osnovu ovog modela. Ključne reči: računarstvo u oblaku, ranjivost, jezgro pretnji, virtuelizacija.
Svrha ovog članka je da pruži pregled pristupa izgradnji konceptualnog modela računarstva u oblaku koji je predstavljen u NIST Referentnoj arhitekturi Cloud Computing Reference Architecture i da uporedi stavove vodećih organizacija u ovoj oblasti o ranjivostima u ovom računarskom modelu, kao i glavni igrači na tržištu računarstva u oblaku.
Računarstvo u oblaku je model koji pruža zgodan mrežni pristup na zahtjev konfigurabilnim zajedničkim računarskim resursima (mrežama, serverima, skladištima podataka, aplikacijama i uslugama) koji se brzo isporučuje uz minimalno upravljanje i interakciju provajdera usluga. Ova definicija Nacionalnog instituta za standarde (NIST) je široko prihvaćena u cijeloj industriji. Definicija računarstva u oblaku uključuje pet osnovnih karakteristika, tri modela usluga i četiri modela implementacije.
Pet glavnih karakteristika
Samoposluživanje na zahtjev
Korisnici su u mogućnosti da dobiju, kontrolišu i upravljaju računarskim resursima bez pomoći administratora sistema. Široki pristup mreži - Računalne usluge se pružaju preko standardnih mreža i heterogenih uređaja.
Operativna elastičnost - 1T-
resursi se mogu brzo skalirati u bilo kojem smjeru po potrebi.
Skup resursa – IT resurse dijele različite aplikacije i korisnici u isključenom načinu rada.
Obračun cijene usluge - prati se korištenje 1T resursa za svaku aplikaciju i korisnika, po pravilu, za naplatu za javni oblak i interna plaćanja za korištenje privatnih oblaka.
Tri servisna modela
Softver kao usluga (SaaS) – Obično se aplikacije isporučuju krajnjim korisnicima kao usluga putem web pretraživača. Danas postoje stotine SaaS ponuda, od horizontalnih aplikacija za preduzeća do ponuda specifičnih za industriju, kao i potrošačkih aplikacija kao što je e-pošta.
Platforma kao usluga (PaaS) – Platforma za razvoj i implementaciju aplikacija pruža se kao usluga programerima za izgradnju, implementaciju i upravljanje SaaS aplikacijama. Platforma obično uključuje baze podataka, međuverski softver i razvojne alate, koji se svi pružaju kao usluga preko Interneta. PaaS često cilja programski jezik ili API kao što su Java ili Python. Virtuelizovana, klasterizovana distribuirana računarska arhitektura često služi kao osnova za sisteme
1 - MSTU MIREA, vanredni profesor Katedre za informatičku sigurnost;
2 - Moskovski državni univerzitet za radioelektroniku i automatizaciju (MSTU MIREA), student.
Raj, budući da mrežna struktura mrežnog resursa pruža neophodnu elastičnu skalabilnost i udruživanje resursa. Infrastruktura kao usluga (IaaS) - Serveri, skladište i mrežni hardver se pružaju kao usluga. Ovaj infrastrukturni hardver je često virtuelizovan, tako da su softver za virtuelizaciju, upravljanje i operativni sistem takođe deo LaaR-a.
Četiri modela implementacije
Privatni oblaci – Dizajnirani za ekskluzivnu upotrebu jedne organizacije i obično ih kontrolišu, upravljaju i hostuju privatni centri podataka. Hosting i upravljanje privatnim oblacima može se prepustiti eksternom dobavljaču usluga, ali često
Novi oblak ostaje u isključivoj upotrebi jedne organizacije. Javni oblaci - dijele mnoge organizacije (korisnici), održavaju i upravljaju vanjskim provajderima usluga.
Grupni oblaci – Koristi ih grupa povezanih organizacija koje žele da iskoriste prednosti zajedničkog računarskog okruženja u oblaku. Na primjer, grupa može biti sastavljena od različitih grana oružanih snaga, svih univerziteta u datom regionu ili svih dobavljača velikog proizvođača.
Hibridni oblaci – pojavljuju se kada organizacija koristi i privatni i javni oblak za istu aplikaciju kako bi iskoristila obje prednosti. Na primjer, u scenariju "oluje", organizacija-korisnik u slučaju standardnog opterećenja aplikacije
koristi privatni oblak, a kada je opterećenje na vrhuncu, na primjer, na kraju kvartala ili tokom sezone godišnjih odmora, koristi potencijal javnog oblaka, naknadno vraćajući ove resurse u opći skup kada nisu potrebni.
Na sl. 1 prikazan je konceptualni model računarstva u oblaku prema dokumentu "NIST Cloud Computing Reference Architecture". Kao što je prikazano na sl. 1 model u standardu ističe glavne učesnike u sistemu oblaka: potrošača oblaka, provajdera oblaka, revizora oblaka, posrednika u oblaku, posrednika u oblaku. Svaki učesnik je osoba ili organizacija koja obavlja sopstvene funkcije implementacije ili pružanja računarstva u oblaku. Cloud potrošač - osoba ili organizacija koja održava poslovnu interakciju s drugima
Cloud potrošač
Cloud revizor
C Revizija sigurnosti L I J
I Povjerljivost revizije I J
(Revizija pruženih usluga | J
Provajder u oblaku
Kompleks nivoa
Prilagođeni nivo
^ Usluga kao usluga ^ ^ Platforma kao usluga ^ Infrastruktura kao usluga)
Nivo apstrakcije
Fizički sloj
Cloud usluga
^ J podrška ^ J prilagođavanje
Prenosivost
Cloud broker
Posrednik u oblaku
Rice. 1. Konceptualni model razvijen od strane stručnjaka NIST-a
tori mreže i koristi usluge od provajdera u oblaku. Cloud provajder – osoba, organizacija ili bilo ko tko je odgovoran za dostupnost usluga koje se pružaju zainteresiranim potrošačima. Cloud revizor - učesnik koji može vršiti nezavisne evaluacije cloud servisa, usluga i sigurnosti implementacije u oblaku. Posrednik u oblaku je učesnik koji upravlja korišćenjem, performansama i isporukom usluga u oblaku potrošaču i pregovara o interakcijama između dobavljača oblaka i korisnika oblaka. Posrednik u oblaku - Posrednik koji pruža komunikaciju i isporuku usluga u oblaku između provajdera oblaka i korisnika oblaka.
Prednosti i izazovi računarstva u oblaku
Nedavna istraživanja IT stručnjaka pokazuju da računarstvo u oblaku nudi dvije glavne prednosti pri organizaciji distribuiranih usluga – brzinu i cijenu. Uz autonomni pristup skupu računarskih resursa, korisnici mogu biti uključeni u procese koji ih zanimaju za nekoliko minuta, a ne za sedmice ili mjesece, kao što je to bio slučaj u prošlosti. Kapacitet računara se takođe brzo menja zahvaljujući elastično skalabilnom Grid računarskom okruženju. Budući da u računarstvu u oblaku korisnici plaćaju samo ono što koriste, a skalabilnost i automatizacija dostižu visok nivo, odnos cene i efikasnosti pruženih usluga je takođe veoma atraktivan faktor za sve učesnike u procesima razmene.
Iste ankete pokazuju da postoji niz ozbiljnih razloga koji sprečavaju neke kompanije da pređu na oblak. Među ovim razmatranjima, sigurnost računarstva u oblaku je daleko vodeća.
Za adekvatnu procjenu sigurnosti u cloud sistemima, ima smisla istražiti stavove o prijetnjama u ovoj oblasti glavnih igrača na tržištu. Uporedićemo trenutne pristupe pretnji u oblaku predstavljene u NIST Planu standarda za računarstvo u oblaku sa onima koje nude IBM, Oracle i VmWare.
Američki nacionalni institut za standarde Cloud Computing Security Standard
NIST Cloud Computing Standards Roadmap, koji je usvojio NIST, pokriva moguće potencijalne tipove napada na usluge računarstva u oblaku:
♦ ugrožavanje povjerljivosti i dostupnosti podataka koje prenose provajderi u oblaku;
♦ napadi koji proizilaze iz strukturnih karakteristika i sposobnosti računarskog okruženja u oblaku da pojačaju i povećaju štetu od napada;
♦ neovlašteni pristup korisnika (kroz pogrešnu autentifikaciju ili autorizaciju, ili ranjivosti uvedene periodičnim održavanjem) softveru, podacima i resursima koje koristi ovlašteni korisnik cloud servisa;
♦ povećanje nivoa mrežnih napada, poput DoS-a, eksploatacije softvera, čiji razvoj nije uzeo u obzir model prijetnji za distribuirane Internet resurse, kao i ranjivosti resursa koji su bili dostupni iz privatnih mreža;
♦ ograničene mogućnosti za šifrovanje podataka u okruženju sa velikim brojem učesnika;
♦ prenosivost koja je rezultat upotrebe nestandardnih API-ja koji otežavaju potrošaču oblaka da pređe na novog provajdera oblaka kada zahtjevi za dostupnost nisu ispunjeni;
♦ napadi koji iskorištavaju fizičku apstrakciju resursa u oblaku i iskorištavaju nedostatke u revizijskim zapisima i procedurama;
♦ napadi na virtuelne mašine koje nisu ažurirane na odgovarajući način;
♦ napadi koji iskorištavaju nedosljednosti u globalnim i privatnim sigurnosnim politikama.
Standard također naglašava glavne sigurnosne ciljeve za računalstvo u oblaku:
♦ zaštita podataka korisnika od neovlašćenog pristupa, otkrivanja, modifikacije ili pregleda; podrazumijeva podršku usluge identifikacije na način da potrošač ima mogućnost da izvrši politiku identifikacije i kontrole pristupa nad ovlaštenim korisnicima koji imaju pristup uslugama u oblaku; ovaj pristup podrazumijeva mogućnost potrošača da drugim korisnicima omogući pristup svojim podacima selektivno;
♦ zaštita od pretnji u lancu snabdevanja; uključuje potvrdu stepena poverenja i pouzdanosti pružaoca usluga u istoj meri kao i stepen poverenja u softver i hardver koji se koristi;
♦ sprečavanje neovlašćenog pristupa resursima računarstva u oblaku; uključuje kreiranje sigurnih domena koje su logički odvojene od resursa (na primjer, logičko razdvajanje radnih opterećenja koja se pokreću na istom fizičkom poslužitelju preko hipervizora u okruženju s više stanara) i korištenje sigurnih zadanih konfiguracija;
♦ razvoj web aplikacija raspoređenih u oblaku za model prijetnji distribuiranih Internet resursa i integraciju sigurnosnih funkcija u proces razvoja softvera;
♦ zaštita internet pretraživača od napada radi ublažavanja sigurnosnih slabosti krajnjih korisnika; uključuje poduzimanje mjera za zaštitu internetske veze osobnih računala korištenjem sigurnog softvera, zaštitnih zidova (firewall-a) i periodične instalacije ažuriranja;
♦ implementaciju tehnologija kontrole pristupa i detekcije upada
niy od provajdera u oblaku i provođenje nezavisne procjene kako bi se provjerila dostupnost istih; uključuje (ali nije ograničeno na) tradicionalne mjere sigurnosti perimetra u kombinaciji s modelom sigurnosti domena; tradicionalna sigurnost perimetra uključuje ograničavanje fizičkog pristupa mreži i uređajima, zaštitu pojedinačnih komponenti od eksploatacije implementacijom ažuriranja, postavljanje većine sigurnosnih postavki prema zadanim postavkama, onemogućavanje svih neiskorištenih portova i usluga, korištenje kontrole pristupa zasnovane na ulogama, praćenje zapisa revizije, minimiziranje korištenih privilegija , korištenjem antivirusnih paketa i šifriranih veza;
♦ definisanje granica poverenja između pružaoca(a) usluga i potrošača kako bi se osiguralo da je ovlašćena odgovornost za obezbeđivanje sigurnosti jasna;
♦ podrška za prenosivost, izvedena tako da potrošač ima mogućnost da promeni cloud provajdera u slučajevima kada treba da ispuni zahteve za integritet, dostupnost, poverljivost; ovo uključuje mogućnost trenutnog zatvaranja naloga i kopiranja podataka sa jednog provajdera usluga na drugog.
Tako, NIST Cloud Computing Standards Roadmap, koji je usvojio NIST, definiše osnovnu listu napada na cloud sisteme i listu osnovnih zadataka koje treba
rješavaju primjenom
odgovarajuće mere.
Hajde da formulišemo pretnje informacionoj bezbednosti sistema u oblaku:
♦ U1 - prijetnja (kompromis, dostupnost, itd...) podacima;
♦ U2 - pretnje koje generišu strukturne karakteristike i mogućnosti arhitekture za implementaciju distribuiranog računarstva;
♦ U4 - prijetnje povezane s netačnim modelom prijetnji;
♦ U5 - prijetnje vezane za pogrešnu upotrebu enkripcije (neophodno je koristiti šifriranje u okruženju u kojem postoji više tokova podataka);
♦ U6 - pretnje povezane sa upotrebom nestandardnih API-ja tokom razvoja;
♦ U7 - prijetnje virtuelizacije;
♦ U8 - pretnje koje iskorištavaju nedoslednosti u globalnoj bezbednosnoj politici.
IBM-ov pogled na sigurnost računarstva u oblaku
Smjernice za sigurnost u oblaku IBM-ove preporuke za implementaciju sigurnosti u oblaku nam omogućavaju da izvučemo zaključke o viziji sigurnosti IBM-a. Na osnovu ovog dokumenta možemo proširiti prethodno predloženu listu prijetnji, i to:
♦ U9 - pretnje povezane sa pristupom trećih strana fizičkim resursima \ sistemima;
♦ U10 - prijetnje povezane s netačnim odlaganjem (životni ciklus) ličnih podataka;
♦ U11 - prijetnje vezane za kršenje regionalnih, nacionalnih i međunarodnih zakona u vezi sa obrađenim informacijama.
IBM, Oracle i VmWare pristupi sigurnosti računarstva u oblaku
Dokumentacija koju su dostavile ove kompanije u kojoj se opisuju njihovi stavovi o sigurnosti u njihovim sistemima ne razlikuje se suštinski od gore navedenih prijetnji.
Table 1 navodi glavne klase ranjivosti koje su kompanije formulisale u svojim proizvodima. Tab. 1 vam omogućava da vidite nedostatak potpune pokrivenosti pretnji od kompanija koje su proučavane i da formulišete „jezgro pretnji“ koje kompanije kreiraju u svojim cloud sistemima:
♦ prijetnja podacima;
♦ prijetnje zasnovane na strukturi \ mogućnostima distribuiranog računarstva;
♦ prijetnje povezane s netačnim modelom prijetnji;
♦ prijetnje virtuelizacije.
Zaključak
Pregled glavnih klasa ranjivosti u cloud platformi omogućava nam da zaključimo da trenutno ne postoje gotova rješenja za potpunu zaštitu oblaka zbog raznih napada koji koriste ove ranjivosti.
Treba napomenuti da je konstruisana tabela klasa ranjivosti (tabela 1) koja integriše pristupe vodećih
Tabela 1. Klase ranjivosti
Izvor je objavio prijetnje
U1 U2 U3 U4 U5 U6 U7 U8 U9 U10 U11
NIST + + + + + + + + - - -
IBM + + + + + - + - + + +
Sun / Oracle + + + + - - + - - + -
VmWare + + + + - - + - - - -
ova industrija igrača nije ograničena na prijetnje predstavljene u njoj. Na primjer, ne odražava prijetnje povezane sa zamagljivanjem granica između okruženja s različitim nivoima povjerljivosti podataka, kao ni zamagljivanjem granica odgovornosti za sigurnost informacija između korisnika usluge i provajdera oblaka.
Postaje očigledno da se za implementaciju složenog cloud sistema mora razviti zaštita za konkretnu implementaciju. Takođe, važnu ulogu za implementaciju bezbednog računarstva u virtuelnim okruženjima igra i nedostatak FSTEC i FSB standarda za cloud sisteme. Ima smisla koristiti „jezgro prijetnji“ istaknuto u radu u studiji
zadatak izgradnje jedinstvenog modela klasa ranjivosti. Ovaj članak je preglednog karaktera, u budućnosti se planira detaljna analiza klasa prijetnji povezanih sa virtualizacijom, razvijanje pristupa kreiranju sistema zaštite koji potencijalno sprječava implementaciju ovih prijetnji.
Književnost
1. Smjernice za sigurnost u oblaku IBM-ove preporuke za implementaciju sigurnosti u oblaku, ibm.com/redbooks, 2. novembar 2009.
2.http: //www.vmware.com/technical-resources/security/index.html.
3. NIST oblak. Referentna arhitektura računarstva, Nacionalni institut za standarde i. Tehnologija, posebna publikacija. 500-292, septembar 2011.
4. NIST oblak. Mapa puta za računarske standarde, Nacionalni institut za standarde i. Tehnologija, posebna publikacija. 500-291, jul 2011.
5.http: //www.oracle.com/technetwork/indexes/documentation/index.html.
Računarstvo u oblaku se zajedno odnosi na veliki skup lako korišćenih i lako dostupnih virtuelizovanih resursa (kao što su hardverski sistemi, usluge, itd.). Ovi resursi se mogu dinamički preraspodijeliti (skalirati) kako bi se prilagodili radnim opterećenjima koja se dinamički mijenjaju, osiguravajući optimalno korištenje resursa. Ovaj skup resursa se obično obezbjeđuje po principu pay-as-you-go. Istovremeno, vlasnik oblaka garantuje kvalitet usluge na osnovu određenih ugovora sa korisnikom.
U skladu sa svim navedenim, mogu se razlikovati sljedeće glavne karakteristike računarstva u oblaku:
1) računarstvo u oblaku je nova paradigma za obezbeđivanje računarskih resursa;
2) osnovni infrastrukturni resursi (hardverski resursi, sistemi za skladištenje podataka, sistemski softver) i aplikacije se pružaju kao usluge;
3) ove usluge može pružati nezavisni provajder za eksterne korisnike po principu pay-as-you-go, glavne karakteristike računarstva u oblaku su virtuelizacija i dinamička skalabilnost;
4) usluge u oblaku mogu biti pružene krajnjem korisniku preko web pretraživača ili preko specifičnog API-ja (Application Programming Interface).
Opšti model računarstva u oblaku sastoji se od eksternog i unutrašnjeg dela. Ova dva elementa su povezana preko mreže, u većini slučajeva preko interneta. Preko eksternog dijela korisnik stupa u interakciju sa sistemom; unutrašnji deo je zapravo sam oblak. Prednji kraj se sastoji od klijentskog računara ili mreže poslovnih računara i aplikacija koje se koriste za pristup oblaku. Unutrašnji dio predstavljaju aplikacije, računari, serveri i skladišta podataka koji virtualizacijom stvaraju oblak servisa (Sl. 1).
Kada se postojeće fizičke virtuelne mašine (VM) prebace iz data centra (DC) u eksterne oblake ili pružanje IT usluga izvan sigurnog perimetra u privatnim oblacima, perimetar mreže postaje potpuno besmislen, a ukupni nivo bezbednosti postaje prilično nizak.
Dok je u tradicionalnim data centrima pristup inženjera serverima strogo kontrolisan na fizičkom nivou, dok se u računarstvu u oblaku pristup inženjera odvija preko interneta, što dovodi do pojave odgovarajućih pretnji. Shodno tome, kritična je stroga kontrola pristupa za administratore, kao i osiguranje kontrole i transparentnosti promjena na nivou sistema.
Virtuelne mašine su dinamične. Promjenljivost VM-a otežava stvaranje i održavanje koherentnog sigurnosnog sistema. Ranjivosti i greške u konfiguraciji mogu se izmaknuti kontroli. Osim toga, vrlo je teško zabilježiti stanje zaštite u bilo kojem određenom trenutku za naknadnu reviziju.
Serveri računarstva u oblaku koriste isti OS i iste web aplikacije kao lokalni virtuelni i fizički serveri. Shodno tome, za sisteme u oblaku, opasnost od udaljenog hakovanja ili zaraze malverom je jednako visoka.
Druga prijetnja je prijetnja integriteta podataka: kompromis i krađa podataka. Integritet operativnog sistema i fajlova aplikacija, kao i interne aktivnosti, moraju se pratiti.
Upotreba višezakupničkih usluga u oblaku otežava ispunjavanje zahtjeva standarda i zakona, uključujući zahtjeve za korištenje kriptografskih alata, za zaštitu osjetljivih informacija, kao što su informacije o vlasniku kreditne kartice i informacije koje identifikuju osoba. Ovo zauzvrat predstavlja zastrašujući zadatak pružanja pouzdane zaštite i sigurnog pristupa osjetljivim podacima.
Na osnovu analize mogućih pretnji u računarstvu u oblaku, predlaže se moguća hardverska i softverska sveobuhvatna zaštita bezbednosti računarstva u oblaku, koja uključuje 5 tehnologija: firewall, detekciju i prevenciju upada, kontrolu integriteta, analizu dnevnika i zaštitu od zlonamernog softvera.
Provajderi računarstva u oblaku koriste virtuelizaciju kako bi svojim klijentima omogućili pristup jeftinim računarskim resursima. Istovremeno, klijentski VM-ovi dijele iste hardverske resurse, što je neophodno za postizanje najveće ekonomske efikasnosti. Poslovni korisnici koji su zainteresovani za računarstvo u oblaku kako bi proširili svoju internu IT infrastrukturu moraju razmotriti pretnje koje takav potez predstavlja. Pored tradicionalnih mehanizama za mrežnu zaštitu centara za obradu podataka, korištenje sigurnosnih pristupa kao što su: rubni firewall, demilitarizirane zone, segmentacija mreže, alati za praćenje mreže, sistemi za detekciju i prevenciju upada, softverske mehanizme zaštite podataka bi se trebali koristiti i na serverima virtuelizacije ili na samim serverima.VM, budući da transferom VM-a na javne cloud servise, perimetar korporativne mreže postepeno gubi smisao i najmanje zaštićeni čvorovi počinju značajno da utiču na ukupan nivo bezbednosti. Upravo nemogućnost fizičkog razdvajanja i korištenje sigurnosnog hardvera za odbijanje napada između VM-a dovodi do potrebe da se zaštitni mehanizam postavi na server virtuelizacije ili na same VM. Implementacija sveobuhvatne metode zaštite na samoj virtuelnoj mašini, uključujući softversku implementaciju zaštitnog zida, detekciju i prevenciju upada, kontrolu integriteta, analizu dnevnika i zaštitu od zlonamernog koda, najefikasniji je način zaštite integriteta, usklađenosti sa regulatornim zahtevima i usklađenosti sa sigurnosne politike prilikom premeštanja virtuelnih resursa sa intraneta u oblak.
književnost:
1. Radchenko G.I. Distribuirani računarski sustavi // Tutorial. - 2012.-- S. 146-149.
2. Kondrašin M. Sigurnost računalstva u oblaku // Storage News. - 2010. - br. 1.
Nastavni rad po disciplinama
Softver i hardver za sigurnost informacija
"Informacijska sigurnost u računarstvu u oblaku: ranjivosti, metode i sredstva zaštite, alati za reviziju i istragu incidenata."
Uvod
1. Istorijat i ključni faktori razvoja
2. Definicija računalstva u oblaku
3. Referentna arhitektura
4. Ugovor o nivou usluge
5. Metode i sredstva zaštite u računarstvu u oblaku
6. Sigurnost modela u oblaku
7. Revizija sigurnosti
8. Istraga incidenata i forenzika u računarstvu u oblaku
9. Model prijetnje
10. Međunarodni i domaći standardi
11. Teritorijalni identitet podataka
12. Državni standardi
13. Sigurnosna sredstva u oblaku
14. Praktični dio
Izlaz
Književnost
Uvod
Rastuća brzina računarstva u oblaku objašnjava se činjenicom da za mali, generalno, novac, korisnik dobija pristup najpouzdanijoj infrastrukturi sa potrebnim performansama bez potrebe kupovine, instaliranja i održavanja skupih računara.Sistem dostiže 99,9% , što takođe štedi na računarskim resursima... I što je još važnije - gotovo neograničene mogućnosti skalabilnosti. Kupovinom redovnog hostinga i pokušajem da vam preskočite glavu (uz nagli porast opterećenja), postoji rizik da dobijete uslugu koja je pala nekoliko sati. U oblaku su dodatni resursi dostupni na zahtjev.
Glavni problem računarstva u oblaku je nezagarantovan nivo sigurnosti obrađenih informacija, stepen zaštite resursa i često potpuno odsutan regulatorni okvir.
Svrha studije će biti da pruži pregled postojećeg tržišta računarstva u oblaku i sredstava za osiguranje sigurnosti na njima.
informacije o sigurnosti računarstva u oblaku
1. Istorijat i ključni faktori razvoja
Ideju onoga što danas nazivamo računarstvom u oblaku prvi je izneo J. C. R. Licklider 1970. godine. Tokom ovih godina bio je odgovoran za stvaranje ARPANET-a (Mreža agencija za napredne istraživačke projekte). Njegova ideja je bila da svaka osoba na zemlji bude povezana na mrežu iz koje će primati ne samo podatke već i programe. Drugi naučnik John McCarthy iznio je ideju da se računarska snaga pruža korisnicima kao usluga (usluga). Zbog toga je razvoj cloud tehnologija obustavljen do 90-ih godina, nakon čega je niz faktora doprinio njegovom razvoju.
Ekspanzija Internet propusnog opsega 90-ih godina nije omogućila značajan iskorak u razvoju cloud tehnologije, jer gotovo nijedna kompanija i tehnologija tog vremena nisu bili spremni za to. Međutim, sama činjenica ubrzanja Interneta dala je podsticaj ranom razvoju računarstva u oblaku.
2. Jedan od najznačajnijih događaja u ovoj oblasti bilo je uvođenje Salesforce.com 1999. godine. Ova kompanija je postala prva kompanija koja je omogućila pristup svojoj aplikaciji putem stranice. Naime, ova kompanija je postala prva kompanija koja je ponudila svoj softver na bazi softvera kao usluge (SaaS).
Sljedeći korak bio je razvoj web servisa u oblaku od strane Amazona 2002. godine. Ova usluga je omogućila pohranjivanje informacija i izvođenje proračuna.
Amazon je 2006. godine lansirao uslugu pod nazivom Elastic Compute cloud (EC2) kao web servis koji je svojim korisnicima omogućio pokretanje vlastitih aplikacija. Amazon EC2 i Amazon S3 su bile prve dostupne usluge računarstva u oblaku.
Još jedna prekretnica u razvoju računarstva u oblaku došla je sa kreiranjem Google Apps platforme za web aplikacije u poslovnom sektoru.
Tehnologije virtuelizacije odigrale su značajnu ulogu u razvoju cloud tehnologija, posebno softvera koji vam omogućava da kreirate virtuelnu infrastrukturu.
Razvoj hardvera je doprineo ne toliko brzom rastu cloud tehnologija, koliko dostupnosti ove tehnologije za mala preduzeća i pojedince. Što se tiče tehnološkog napretka, značajnu ulogu u tome ima stvaranje višejezgrenih procesora i povećanje kapaciteta uređaja za pohranu informacija.
2. Definicija računalstva u oblaku
Prema definiciji američkog Nacionalnog instituta za standarde i tehnologiju:
Cloud computing (Cloud computing) (engleskioblak - oblak; računarstvo- računarstvo) je model za pružanje sveprisutnog i praktičnog pristupa mreži po potrebi zajedničkom skupu konfigurabilnih računarskih resursa (npr. mreže, serveri, sistemi za pohranu, aplikacije i usluge) koji se mogu brzo obezbijediti i osloboditi uz minimalan napor upravljanja i potrebna je interakcija kod provajdera servisa (provajdera servisa).
Model oblaka podržava visoku dostupnost usluga i opisuje ga pet osnovnih karakteristika, tri modela usluga i četiri modela implementacije.
Programi se pokreću i prikazuju rezultate rada u standardnom prozoru web pretraživača na lokalnom računaru, dok se sve aplikacije i njihovi podaci potrebni za rad nalaze na udaljenom serveru na Internetu. Računarstvo u oblaku se naziva "računanje u oblaku". U ovom slučaju, opterećenje između računara uključenih u "računarski oblak" se automatski raspoređuje. Najjednostavniji primjer računarstva u oblaku su p2p mreže.
Za implementaciju računalstva u oblaku koriste se proizvodi srednjeg softvera kreirani korištenjem posebnih tehnologija. Oni služe kao posredna veza između opreme i korisnika i omogućavaju praćenje stanja opreme i programa, ravnomjernu raspodjelu opterećenja i pravovremeno obezbjeđivanje resursa iz zajedničkog pula. Jedna od ovih tehnologija je virtuelizacija u računarstvu.
Virtuelizacija u računarstvu- proces predstavljanja skupa računarskih resursa, ili njihove logičke kombinacije, što daje bilo kakvu prednost u odnosu na originalnu konfiguraciju. Ovo je novi virtuelni pogled na resurse sastavnih delova, koji nije ograničen implementacijom, fizičkom konfiguracijom ili geografskom lokacijom. Virtuelizirani resursi obično uključuju računarsku snagu i skladištenje podataka. Naučno, virtuelizacija je izolacija računarskih procesa i resursa jedan od drugog.
Primjer virtuelizacije su simetrične multiprocesorske računarske arhitekture koje koriste više od jednog procesora. Operativni sistemi su obično konfigurisani tako da se više procesora pojavljuje kao jedna procesorska jedinica. Zbog toga se softverske aplikacije mogu napisati za jedan logički ( virtuelno) računski modul, koji je mnogo lakši od rada sa velikim brojem različitih konfiguracija procesora.
Za posebno velike proračune i proračune koji zahtijevaju velike resurse, koriste se mrežni proračuni.
Mrežno računarstvo (mreža - rešetka, mreža) je oblik distribuiranog računarstva u kojem je "virtuelni superkompjuter" predstavljen kao klasteri umreženih, labavo povezanih, heterogenih računara koji rade zajedno za obavljanje ogromnog broja zadataka (operacija, poslova).
Ova tehnologija se koristi za rješavanje naučnih i matematičkih problema koji zahtijevaju značajne računarske resurse. Mrežno računarstvo se također koristi u komercijalnoj infrastrukturi za rješavanje dugotrajnih zadataka kao što su ekonomsko predviđanje, seizmička analiza i razvoj i proučavanje svojstava novih lijekova.
Iz perspektive umrežene organizacije, grid je konzistentno, otvoreno i standardizirano okruženje koje pruža fleksibilno, sigurno, koordinisano razdvajanje računarskih i skladišnih resursa koji su dio ovog okruženja unutar jedne virtuelne organizacije.
Paravirtualizacija To je tehnika virtuelizacije koja virtuelnim mašinama obezbeđuje programski interfejs sličan, ali ne i identičan hardveru u osnovi. Cilj ovog modifikovanog interfejsa je da smanji vreme koje gostujući operativni sistem troši za obavljanje operacija koje je mnogo teže izvesti u virtuelnom okruženju nego u nevirtualizovanom.
Postoje posebne "hokice" koje omogućavaju gostu i domaćinu da zatraže i priznaju ove složene zadatke, koji bi se mogli obaviti u virtuelnom okruženju, ali mnogo sporije.
hipervizor ( ili Monitor virtuelne mašine) - u računarima, programska ili hardverska šema koja obezbeđuje ili dozvoljava istovremeno, paralelno izvršavanje nekoliko ili čak više operativnih sistema na istom glavnom računaru. Hipervizor takođe obezbeđuje izolaciju OS-a jedan od drugog, zaštitu i sigurnost, deljenje resursa između različitih operativnih operativnih sistema i upravljanje resursima.
Hipervizor također može (ali ne mora) osigurati OS-u koji radi na istom glavnom računalu sredstva komunikacije i interakcije međusobno (na primjer, putem razmjene datoteka ili mrežnih veza) kao da su ti OS-ovi pokrenuti na različitim fizičkim kompjuteri.
Sam hipervizor je na neki način minimalni operativni sistem (mikrokernel ili nanokernel). Operativnim sistemima koji rade pod njegovom kontrolom obezbjeđuje uslugu virtuelne mašine, virtuelizirajući ili emulirajući stvarni (fizički) hardver određene mašine, i upravlja tim virtuelnim mašinama, dodeljuje i oslobađa resurse za njih. Hipervizor omogućava nezavisno "uključivanje", ponovno pokretanje, "gašenje" bilo koje virtuelne mašine sa određenim OS. Međutim, operativni sistem koji radi u virtuelnoj mašini pod kontrolom hipervizora može, ali ne mora, da "zna" da radi u virtuelnoj mašini, a ne na stvarnom hardveru.
Modeli usluga u oblaku
Opcije za obezbeđivanje računarske snage su veoma različite. Sve što se odnosi na Cloud Computing obično se naziva aaS – to je jednostavno „kao usluga“, odnosno „kao usluga“ ili „u obliku usluge“.
Softver kao usluga (SaaS) - provajder pruža klijentu aplikaciju spremnu za korištenje. Aplikacijama se može pristupiti sa raznih klijentskih uređaja ili preko sučelja tankog klijenta kao što je web pretraživač (kao što je web pošta) ili sučelja programa. Istovremeno, potrošač ne kontroliše osnovnu infrastrukturu oblaka, uključujući mreže, servere, operativne sisteme, sisteme za skladištenje, pa čak i pojedinačne postavke aplikacije, sa izuzetkom nekih postavki konfiguracije korisničkih aplikacija.
U SaaS modelu, korisnici ne plaćaju da posjeduju softver kao takav, već da ga iznajmljuju (tj. koriste ga putem web sučelja). Dakle, za razliku od klasične šeme licenciranja softvera, korisnik ima relativno male periodične troškove i ne mora da ulaže značajna sredstva za kupovinu softvera i njegovu podršku. Šema periodičnog plaćanja pretpostavlja da, ako je potreba za softverom privremeno odsutna, korisnik može obustaviti njegovu upotrebu i zamrznuti plaćanja programeru.
Sa stanovišta programera, SaaS model vam omogućava da se efikasno borite protiv nelicenciranog korišćenja softvera (piraterije), pošto sam softver ne stiže do krajnjih kupaca. Osim toga, SaaS koncept često može smanjiti troškove postavljanja i implementacije informacionih sistema.
Rice. 1 Tipični SaaS izgled
Platforma kao usluga (PaaS) - provajder nudi klijentu softversku platformu i alate za dizajniranje, razvoj, testiranje i implementaciju korisničkih aplikacija. Istovremeno, potrošač ne kontroliše osnovnu infrastrukturu oblaka, uključujući mreže, servere, operativne sisteme i sisteme za skladištenje podataka, ali ima kontrolu nad postavljenim aplikacijama i, eventualno, nekim konfiguracionim parametrima hosting okruženja.
Rice. 2 Tipični PaaS izgled
Infrastruktura kao usluga (IaaS). - provajder klijentu nudi računarske resurse za iznajmljivanje: servere, sisteme za skladištenje podataka, mrežnu opremu, operativne sisteme i sistemski softver, sisteme virtuelizacije, sisteme za upravljanje resursima. Istovremeno, potrošač ne kontroliše osnovnu infrastrukturu oblaka, ali ima kontrolu nad operativnim sistemima, sistemima za skladištenje, postavljenim aplikacijama i, moguće, ograničenu kontrolu nad izborom mrežnih komponenti (na primer, host sa zaštitnim zidovima).
Rice. 3 Tipični IaaS izgled
Dodatno razlikovati usluge kao što su:
Komunikacija kao usluga (Com-aaS) - podrazumijeva se da se komunikacijske usluge pružaju kao usluge; obično je to IP telefonija, pošta i trenutne komunikacije (chat, IM).
Pohrana podataka u oblaku- korisniku se daje određena količina prostora za pohranjivanje informacija. Pošto se informacije pohranjuju distribuirano i duplicirano, takva skladišta pružaju mnogo veći stepen sigurnosti podataka od lokalnih servera.
Radno mjesto kao usluga (WaaS) - korisnik, koji ima na raspolaganju nedovoljno moćan računar, može kupiti računarske resurse od dobavljača i koristiti svoj računar kao terminal za pristup servisu.
Antivirusni oblak- infrastruktura koja se koristi za obradu informacija koje dolaze od korisnika u cilju blagovremenog prepoznavanja novih, ranije nepoznatih prijetnji. Cloud antivirus ne zahtijeva nikakve nepotrebne radnje od korisnika - jednostavno šalje zahtjev za sumnjivim programom ili linkom. Kada se opasnost potvrdi, sve potrebne radnje se izvršavaju automatski.
Modeli implementacije
Među modelima implementacije postoje 4 glavna tipa infrastrukture.
Privatni oblak - infrastrukturu namijenjenu jednoj organizaciji, koja uključuje više potrošača (na primjer, odjeljenja jedne organizacije), moguće i klijente i izvođače organizacije. Privatni oblak može biti u vlasništvu, kojim upravlja i njime upravlja sama organizacija ili treća strana (ili neka njihova kombinacija), i može fizički postojati unutar i izvan jurisdikcije vlasnika.
Rice. 4 Privatni oblak.
Javni oblak - infrastruktura namijenjena za besplatno korištenje široj javnosti. Javni oblak mogu biti u vlasništvu, kojima upravljaju i njima upravljaju komercijalne, akademske i vladine organizacije (ili bilo koja kombinacija ovih). Javni oblak fizički postoji u jurisdikciji vlasnika – pružaoca usluge.
Rice. 5 Javni oblak.
Hibridni oblak - to je kombinacija dvije ili više različitih infrastruktura oblaka (privatne, javne ili javne) koje ostaju jedinstveni objekti, ali su međusobno povezane standardiziranim ili privatnim tehnologijama za prijenos podataka i aplikacija (na primjer, kratkoročno korištenje javnih resursa oblaka za ravnotežu opterećenje između oblaka).
Rice. 6 Hibridni oblak.
Javni oblak (oblak zajednice) - tip infrastrukture namijenjen za korištenje od strane određene zajednice potrošača iz organizacija sa zajedničkim ciljevima (npr. misija, sigurnosni zahtjevi, politike i usklađenost sa različitim zahtjevima). Javni oblak može biti u suvlasništvu, kojim upravlja i njime upravlja jedna ili više organizacija zajednice ili treća strana (ili bilo koja kombinacija ovih), i može fizički postojati unutar i izvan jurisdikcije vlasnika.
Rice. 7 Opis svojstava oblaka
Osnovna svojstva
NIST u svom dokumentu `The NIST Definition of Cloud Computing` definira sljedeće karakteristike oblaka:
Samoposluživanje na zahtjev. Potrošač ima mogućnost jednostranog pristupa dostavljenim računarskim resursima po potrebi, automatski, bez potrebe za interakcijom sa zaposlenima svakog pružaoca usluga.
Široki pristup mreži. Obezbeđeni računarski resursi dostupni su preko mreže putem standardnih mehanizama za različite platforme, tanke i debele klijente (mobilni telefoni, tableti, laptopi, radne stanice, itd.).
Udruživanje resursa (Resorce pooling). Računalni resursi provajdera su objedinjeni da opslužuju mnoge potrošače u modelu sa više zakupaca. Pulovi uključuju različite fizičke i virtuelne resurse koji se mogu dinamički dodijeliti i ponovno dodijeliti kako bi se zadovoljile potrebe korisnika. Potrošač ne mora znati tačnu lokaciju resursa, ali je moguće odrediti njihovu lokaciju na višem nivou apstrakcije (na primjer, država, regija ili centar podataka). Primeri ove vrste resursa uključuju sisteme za skladištenje podataka, računarsku snagu, memoriju, propusni opseg mreže.
Brza elastičnost. Resursi se mogu elastično dodijeliti i osloboditi, u nekim slučajevima automatski, kako bi se brzo povećali u skladu sa potražnjom. Za potrošača su mogućnosti obezbjeđivanja resursa neograničene, odnosno mogu se dodijeliti u bilo kojoj količini iu bilo koje vrijeme.
Measured service. Sistemi u oblaku automatski upravljaju i optimizuju resurse koristeći alate za merenje implementirane na nivou apstrakcije za različite vrste usluga (na primer, upravljanje eksternom memorijom, obrada, propusni opseg ili aktivne korisničke sesije). Korišteni resursi se mogu pratiti i kontrolisati, što obezbeđuje transparentnost kao za provajdera i za potrošača koji koristi uslugu.
Rice. 8 Strukturni dijagram cloud servera
Prednosti i nedostaci računarstva u oblaku
Prednosti
· Smanjeni su zahtevi za računarskom snagom računara (neophodan uslov je samo dostupnost pristupa Internetu);
· tolerancije grešaka;
· sigurnost;
· Velika brzina obrade podataka;
· Smanjeni troškovi za hardver i softver, održavanje i električnu energiju;
· Ušteda prostora na disku (i podaci i programi su pohranjeni na Internetu).
· Živa migracija - prenos virtuelne mašine sa jednog fizičkog servera na drugi bez prekidanja virtuelne mašine i zaustavljanja usluga.
· Krajem 2010. godine, zbog DDoS napada na kompanije koje su odbile da obezbede resurse WikiLeaksu, otkrivena je još jedna prednost računarstva u oblaku. Sve kompanije koje su se suprotstavljale WikiLeaksu bile su napadnute, ali se samo Amazon pokazao neosetljivim na ove uticaje, jer je koristio sredstva računarstva u oblaku. („Anonimno: ozbiljna prijetnja ili puka smetnja“, Sigurnost mreže, N1, 2011.).
nedostatke
· Zavisnost sigurnosti korisničkih podataka o kompanijama koje pružaju usluge računarstva u oblaku;
· Trajna veza sa mrežom - da biste dobili pristup uslugama "oblaka" potrebna vam je stalna veza sa Internetom. Međutim, u naše vrijeme to nije tako veliki nedostatak, posebno s pojavom 3G i 4G mobilnih tehnologija.
· Softver i njegove modifikacije - postoje ograničenja za softver koji se može postaviti na "oblake" i dati korisniku. Korisnik softvera ima ograničenja u korištenom softveru i ponekad nema mogućnost da ga prilagodi za svoje potrebe.
· Povjerljivost – povjerljivost podataka pohranjenih na javnim „oblacima“ trenutno je predmet mnogih kontroverzi, ali se u većini slučajeva stručnjaci slažu da se ne preporučuje pohranjivanje dokumenata najvrednijih za kompaniju na javnom „oblaku“, jer trenutno ne postoji tehnologija koja bi garantovala 100% povjerljivost pohranjenih podataka, zbog čega je upotreba enkripcije u oblaku neophodna.
· Pouzdanost – što se tiče pouzdanosti pohranjenih informacija, sa sigurnošću možemo reći da ako ste izgubili informaciju pohranjenu u „oblaku“, onda ste je izgubili zauvijek.
· Sigurnost - sam "oblak" je prilično pouzdan sistem, ali kada prodre u njega, napadač dobija pristup ogromnoj pohrani podataka.Još jedan nedostatak je korištenje sistema virtuelizacije, koji koriste standardne jezgre OS-a kao hipervizor, kao što je Linux , Windows i drugi, što omogućava korištenje virusa.
· Visoka cena opreme – za izgradnju sopstvenog oblaka kompanije potrebno je izdvojiti značajna materijalna sredstva, što nije od koristi za novostvorene i male kompanije.
3. Referentna arhitektura
NIST Referentna arhitektura računarstva u oblaku sadrži pet glavnih aktera – aktera. Svaki akter igra ulogu i vrši radnje i funkcije. Referentna arhitektura je predstavljena kao sekvencijalni dijagrami sa sve većim nivoom detalja.
Rice. 9 Konceptualni dijagram referentne arhitekture
Cloud Consumer- osoba ili organizacija koja održava poslovni odnos i koristi usluge Cloud Provajdera.
Potrošači u oblaku su podijeljeni u 3 grupe:
· SaaS - koristi aplikacije za automatizaciju poslovnih procesa.
PaaS - Razvija, testira, implementira i upravlja aplikacijama koje su raspoređene u cloud okruženju.
· IaaS - kreira, upravlja uslugama IT infrastrukture.
Cloud Provider- osoba, organizacija ili entitet odgovorni za dostupnost usluge u oblaku potrošačima u oblaku.
SaaS - Instalira, upravlja, održava i pruža softver postavljen na infrastrukturi oblaka.
PaaS - Pruža i upravlja infrastrukturom oblaka i međuvera. Pruža alate za razvoj i administraciju.
· IaaS - obezbeđuje i održava servere, baze podataka, računarske resurse. Potrošaču pruža strukturu oblaka.
Aktivnosti Cloud provajdera podijeljene su u 5 glavnih tipičnih radnji:
Postavljanje usluge:
o Privatni oblak - Poslužuje ga jedna organizacija. Infrastrukturom upravlja i sama organizacija i treća strana, a može je postaviti i Provajder (van premisa) i organizacija (na licu mesta).
o Zajednički oblak – infrastrukturu dijeli nekoliko organizacija sa sličnim zahtjevima (sigurnost, RD usklađenost).
o Javni oblak – infrastrukturu koristi veliki broj organizacija sa različitim zahtjevima. Samo van lokala.
o Hibridni oblak – infrastruktura kombinuje različite infrastrukture zasnovane na sličnim tehnologijama.
Upravljanje uslugama
o Nivo usluge - definiše osnovne usluge koje pruža Provajder.
§ SaaS je aplikacija koju koristi potrošač pristupajući oblaku iz posebnih programa.
PaaS - kontejneri za potrošačke aplikacije, razvojne i administrativne alate.
§ IaaS – računarska snaga, baze podataka, fundamentalni resursi, povrh kojih potrošač postavlja svoju infrastrukturu.
o Nivo apstrakcije i kontrole resursa
§ Upravljanje hipervizorom i virtuelnim komponentama potrebnim za implementaciju infrastrukture.
o Nivo fizičkih resursa
§ Računarska oprema
§ Inženjerska infrastruktura
o Dostupnost
o Povjerljivost
o Identifikacija
o Sigurnosni nadzor i rukovanje incidentima
o Sigurnosne politike
Privatnost
o Zaštita obrade, skladištenja i prenosa ličnih podataka.
Cloud Auditor- Saradnik koji može samostalno procijeniti usluge u oblaku, održavanje informacionih sistema, performanse i sigurnost implementacije u oblaku.
Može dati sopstvenu ocjenu sigurnosti, privatnosti, performansi i drugih stvari u skladu sa odobrenim dokumentima.
Rice. 10 Aktivnosti provajdera
Cloud Broker- subjekt koji upravlja korištenjem, performansama i isporukom usluga u oblaku, te uspostavlja odnos između provajdera i potrošača.
Sa razvojem računarstva u oblaku, integracija usluga u oblaku može biti preteška za potrošača.
o Uslužno posredovanje - proširenje navedene usluge i pružanje novih mogućnosti
o Agregacija – kombinovanje različitih usluga za pružanje potrošača
Operater komunikacije u oblaku- posrednik koji pruža usluge povezivanja i transporta (komunikacijske usluge) za isporuku usluga u oblaku od provajdera do potrošača.
Omogućava pristup putem komunikacionih uređaja
Pruža nivo veze, prema SLA.
Među pet predstavljenih aktera, broker u oblaku nije obavezan, jer korisnici oblaka mogu primati usluge direktno od provajdera oblaka.
Uvođenje glumaca je zbog potrebe da se razrade odnosi između subjekata.
4. Ugovor o nivou usluge
Ugovor o nivou usluge je dokument koji opisuje nivo isporuke usluge koju očekuje kupac od dobavljača, na osnovu metrike primenljive na datu uslugu, i koji navodi odgovornost provajdera ako se dogovoreni pokazatelji ne ispune.
Evo nekih indikatora, u ovom ili onom obliku, koji se nalaze u dokumentima operatera:
ASR (Omjer napadaja odgovora) - parametar koji određuje kvalitet telefonske veze u datom pravcu. ASR se izračunava kao procenat broja telefonskih veza uspostavljenih kao rezultat poziva prema ukupnom broju poziva u datom pravcu.
PDD (odgoda nakon biranja) - parametar koji definiše vremenski period (u sekundama) koji je protekao od trenutka poziva do trenutka uspostavljanja telefonske veze.
Odnos dostupnosti usluge- odnos vremena prekida u pružanju usluga i ukupnog vremena kada će se usluga pružiti.
Omjer gubitka paketa- odnos ispravno primljenih paketa podataka i ukupnog broja paketa koji su preneti preko mreže za određeni vremenski period.
Vremenska kašnjenja u prijenosu informacijskih paketa- vremenski interval potreban za prijenos paketa informacija između dva mrežna uređaja.
Pouzdanost prenosa informacija- odnos broja pogrešno prenetih paketa podataka i ukupnog broja prenetih paketa podataka.
Period rada, vrijeme obavještavanja pretplatnika i vrijeme obnavljanja usluga.
Drugim riječima, dostupnost usluge od 99,99% ukazuje na to da operater garantuje ne više od 4,3 minuta prekida komunikacije mjesečno, 99,9% - da usluga ne može biti pružena 43,2 minuta, a 99% - da pauza može trajati duže od 7 sati. U nekim praksama postoji razgraničenje dostupnosti mreže i pretpostavlja se niža vrijednost parametra - van radnog vremena. Također su predviđene različite vrijednosti indikatora za različite vrste usluga (klase saobraćaja). Na primjer, najvažnija stvar za glas je stopa kašnjenja - ona bi trebala biti minimalna. A brzina za to je potrebna niska, plus neki od paketa mogu biti izgubljeni bez gubitka kvaliteta (do oko 1%, u zavisnosti od kodeka). Za prijenos podataka, brzina je na prvom mjestu, a gubitak paketa bi trebao težiti nuli.
5. Metode i sredstva zaštite u računarstvu u oblaku
Povjerljivost mora biti osigurana u cijelom lancu, uključujući dobavljača u oblaku, potrošača i komunikacije koje ih povezuju.
Zadatak Provajdera je da obezbedi fizički i softverski integritet podataka od napada trećih lica. Potrošač mora uspostaviti odgovarajuće politike i procedure "na svojoj teritoriji" kako bi isključio prijenos prava pristupa informacijama na treća lica.
Zadaci osiguranja integriteta informacija u slučaju korištenja pojedinačnih aplikacija u oblaku mogu se riješiti – zahvaljujući modernim arhitekturama baza podataka, backup sistemima, algoritmima za provjeru integriteta i drugim industrijskim rješenjima. Ali to nije sve. Novi izazovi mogu se pojaviti kada je u pitanju integracija više aplikacija u oblaku različitih proizvođača.
U bliskoj budućnosti, za kompanije koje traže sigurno virtuelno okruženje, jedina opcija je kreiranje privatnog cloud sistema. Činjenica je da su privatni oblaci, za razliku od javnih ili hibridnih sistema, najsličniji virtueliziranim infrastrukturama koje su IT odjeli velikih korporacija već naučili implementirati i nad kojima mogu zadržati potpunu kontrolu. Nedostaci informacione sigurnosti u sistemima javnog oblaka predstavljaju veliki izazov. Većina provala dešava se u javnim oblacima.
6. Sigurnost modela u oblaku
Nivo rizika u tri modela oblaka je veoma različit, a načini rješavanja sigurnosnih problema također se razlikuju u zavisnosti od nivoa interakcije. Sigurnosni zahtjevi ostaju isti, ali se nivo sigurnosne kontrole mijenja u različitim modelima, SaaS, PaaS ili IaaS. Sa logičke tačke gledišta, ništa se ne mijenja, ali mogućnosti fizičke implementacije su radikalno različite.
Rice. 11. Najhitnije prijetnje sigurnosti informacija
u SaaS modelu, aplikacija radi na infrastrukturi oblaka i dostupna je preko web pretraživača. Klijent nema kontrolu nad mrežom, serverima, operativnim sistemima, skladištem ili čak nekim mogućnostima aplikacije. Iz tog razloga, u SaaS modelu, primarna odgovornost za sigurnost gotovo u potpunosti pada na dobavljače.
Problem broj 1 je upravljanje lozinkama. U SaaS modelu, aplikacije su u oblaku, tako da je glavni rizik korištenje više naloga za pristup aplikacijama. Organizacije mogu riješiti ovaj problem objedinjavanjem računa za cloud i lokalne sisteme. Uz jedinstvenu prijavu, korisnici mogu pristupiti radnim stanicama i uslugama u oblaku koristeći jedan nalog. Ovakav pristup smanjuje vjerovatnoću „zaglavljenih“ računa koji su podložni neovlaštenoj upotrebi nakon prestanka rada zaposlenih.
Prema CSA-ovom objašnjenju, PaaS pretpostavlja da korisnici grade aplikacije koristeći programske jezike i alate koje podržava proizvođač, a zatim ih postavljaju na infrastrukturu oblaka. Kao iu SaaS modelu, korisnik ne može upravljati ili kontrolirati infrastrukturu — mreže, servere, operativne sisteme ili sisteme za skladištenje — ali ima kontrolu nad implementacijom aplikacija.
U PaaS modelu, korisnici moraju obratiti pažnju na sigurnost aplikacije, kao i probleme upravljanja API-jem kao što su validacija, autorizacija i verifikacija.
Problem broj 1 je enkripcija podataka. PaaS model je inherentno siguran, ali rizik predstavlja neadekvatne performanse sistema. To je zato što se kod komunikacije s PaaS provajderima preporučuje šifriranje, a to zahtijeva dodatnu snagu obrade. Ipak, u svakom rješenju, prijenos povjerljivih korisničkih podataka mora se obaviti preko šifriranog kanala.
Dok kupci ovdje nemaju kontrolu nad osnovnom infrastrukturom oblaka, oni imaju kontrolu nad operativnim sistemima, skladištenjem i implementacijom aplikacija, i moguće ograničenu kontrolu nad izborom mrežnih komponenti.
Ovaj model ima nekoliko ugrađenih sigurnosnih mogućnosti bez zaštite same infrastrukture. To znači da korisnici moraju upravljati i osiguravati operativne sisteme, aplikacije i sadržaj, obično putem API-ja.
Ako se ovo prevede na jezik metoda zaštite, dobavljač mora osigurati:
· Pouzdana kontrola pristupa samoj infrastrukturi;
· Otpornost infrastrukture.
Istovremeno, potrošač u oblaku preuzima mnogo više zaštitnih funkcija:
· Zaštitni zid unutar infrastrukture;
· Zaštita od upada u mrežu;
· Zaštita operativnih sistema i baza podataka (kontrola pristupa, zaštita od ranjivosti, kontrola sigurnosnih postavki);
· Zaštita krajnjih aplikacija (antivirusna zaštita, kontrola pristupa).
Dakle, većina mjera zaštite pada na ramena potrošača. Provajder može dati standardne preporuke za zaštitu ili rješenja po sistemu ključ u ruke, što će krajnjim korisnicima pojednostaviti zadatak.
Tabela 1. Razgraničenje odgovornosti za sigurnost između klijenta i pružaoca usluge. (P - dobavljač, K - klijent)
Enterprise Server Aplikacija Podaci Runtime okruženje Middleware Operativni sistem Virtuelizacija Server Skladišta podataka mrežni hardver Zadaci Cloud Auditora su u suštini isti kao i zadaci revizora konvencionalnih sistema. Revizija sigurnosti u oblaku je podijeljena na reviziju dobavljača i reviziju korisnika. Revizija Korisnika se vrši na zahtjev Korisnika, dok je revizija Dobavljača jedan od najvažnijih uslova za poslovanje. Sastoji se od: · Pokretanje postupka revizije; · Prikupljanje revizorskih informacija; · Analiza revizorskih podataka; · Priprema revizorskog izvještaja. U fazi pokretanja postupka revizije moraju se riješiti pitanja ovlaštenja revizora, vrijeme revizije. Takođe treba predvideti obaveznu pomoć zaposlenih revizoru. Generalno, revizor provodi reviziju kako bi utvrdio pouzdanost · Sistemi virtuelizacije, hipervizor; · Serveri; · Skladišta podataka; · Mrežna oprema. Ako dobavljač koristi IaaS model na provjerenom serveru, tada će ova provjera biti dovoljna za identifikaciju ranjivosti. Kada koristite PaaS model, potrebno je izvršiti dodatne provjere · operativni sistem, srednji softver, · Runtime okruženje. Kada se koristi SaaS model, provjeravaju se i ranjivosti Sistemi za skladištenje i obradu podataka, · Aplikacije. Sigurnosne revizije se izvode korištenjem istih metoda i alata kao i revizija konvencionalnih servera. Ali za razliku od konvencionalnog servera u cloud tehnologijama, hipervizor se dodatno provjerava stabilnosti. U oblaku, hipervizor je jedna od ključnih tehnologija i stoga mu treba dati poseban naglasak na reviziju. Mjere sigurnosti informacija mogu se podijeliti na preventivne (na primjer, šifriranje i drugi mehanizmi kontrole pristupa) i reaktivne (istrage). Proaktivni aspekt sigurnosti u oblaku je područje aktivnog istraživanja, dok se reaktivnom aspektu sigurnosti u oblaku pridaje mnogo manje pažnje. Istraga incidenata (uključujući istragu zločina u informacionoj sferi) je dobro poznata oblast informacione bezbednosti. Ciljevi takvih istraga su obično: Dokaz da se zločin/incident dogodio Obnavljanje događaja vezanih za incident Identifikacija počinitelja Dokaz o umiješanosti i odgovornosti počinitelja Dokaz nepoštenih namjera izvršilaca. Pojavila se nova disciplina - kompjutersko-tehnička ekspertiza (ili forenzika), s obzirom na potrebu forenzičke analize digitalnih sistema. Ciljevi kompjuterske forenzike obično su sljedeći: Oporavak podataka koji su možda izbrisani Oporavak događaja koji su se dogodili unutar i izvan digitalnih sistema povezanih s incidentom Identifikacija korisnika digitalnih sistema Otkrivanje prisustva virusa i drugog zlonamjernog softvera Detekcija prisustva nelegalnih materijala i programa Razbijanje lozinki, ključeva za šifriranje i pristupnih kodova U idealnom slučaju, kompjuterska forenzika je svojevrsna vremenska mašina za istražitelja, koja u svakom trenutku može otputovati u prošlost digitalnog uređaja i pružiti istražitelju informacije o: ljudi koji su koristili uređaj u određenom trenutku radnje korisnika (na primjer, otvaranje dokumenata, pristup web stranici, ispis podataka u program za obradu teksta, itd.) podatke koje uređaj pohranjuje, kreira i obrađuje u određeno vrijeme. Usluge u oblaku koje zamjenjuju samostalne digitalne uređaje trebale bi pružiti sličan nivo forenzičke spremnosti. Međutim, ovo zahtijeva prevazilaženje izazova povezanih sa udruživanjem resursa, višestanarstvom i otpornošću infrastrukture računarstva u oblaku. Glavni alat u istrazi incidenta je revizorski trag. Tragovi revizije — dizajnirani za praćenje istorije prijavljivanja korisnika, administrativnih zadataka i promjena podataka — su suštinski dio sigurnosnog sistema. U oblaku, sam revizorski trag nije samo alat za istrage, već i alat za izračunavanje troškova korištenja servera. Iako se revizorski trag ne bavi sigurnosnim rupama, on pruža kritičko oko na ono što se dešava i daje prijedloge za ispravljanje situacije. Stvaranje arhiva i rezervnih kopija je važno, ali ne može zamijeniti formalni revizorski trag koji bilježi ko je šta uradio, kada i šta. Revizorski trag je jedan od glavnih alata sigurnosnog revizora. U ugovoru o usluzi obično se navodi koji će se zapisnici revizije čuvati i dostavljati Korisniku. CSA je 2010. godine izvršio analizu glavnih sigurnosnih prijetnji u cloud tehnologijama. Rezultat njihovog rada bio je dokument „Top prijetnje Cloud Computinga v 1.0“, koji trenutno na najpotpuniji način opisuje model prijetnje i model uljeza. Trenutno je u izradi potpunija, druga verzija ovog dokumenta. Trenutni dokument opisuje napadače za tri modela usluga SaaS, PaaS i IaaS. Identificirano je sedam glavnih vektora napada. Uglavnom, sve vrste napada koje se razmatraju su napadi svojstveni konvencionalnim serverima koji nisu u oblaku. Cloud infrastruktura im nameće određene karakteristike. Na primjer, napadi na ranjivosti u softverskom dijelu servera su dopunjeni napadima na hipervizor, koji je ujedno i njihov softverski dio. Sigurnosna prijetnja #1 Neprikladna i nepoštena upotreba cloud tehnologija. Opis: Da bi dobio resurse od IaaS provajdera zasnovanog na oblaku, korisnik treba samo da ima kreditnu karticu. Jednostavna registracija i dodjela resursa omogućava pošiljatelje neželjene pošte, autore virusa itd. koriste uslugu u oblaku u vlastite kriminalne svrhe. Ranije je ova vrsta napada primećena samo u PaaS-u, ali nedavne studije su pokazale mogućnost korišćenja IaaS-a za DDOS napade, postavljanje zlonamernog koda, kreiranje botnet mreža i još mnogo toga. Korišteni su primjeri usluga za kreiranje botnet mreže zasnovane na trojancu "Zeus", pohranjivanje koda trojanskog konja "InfoStealer" i objavljivanje informacija o različitim ranjivostima MS Office-a i AdobePDF-a. Osim toga, botnet mreže koriste IaaS za upravljanje svojim kolegama i slanje neželjene pošte. Zbog toga su neki IaaS servisi stavljeni na crnu listu, a njihovi korisnici su potpuno ignorisani od strane mail servera. Poboljšanja procedura registracije korisnika Unapređenje procedura verifikacije kreditnih kartica i praćenje upotrebe sredstava plaćanja Sveobuhvatna studija mrežne aktivnosti korisnika usluga · Praćenje glavnih crnih listova za pojavu mreže provajdera u oblaku. Pogođeni modeli usluga: Sigurnosna prijetnja #2 Nesigurni programski interfejsi (API) Opis: Provajderi infrastrukture u oblaku pružaju korisnicima skup programskih interfejsa za upravljanje resursima, virtuelnim mašinama ili uslugama. Sigurnost cijelog sistema zavisi od sigurnosti ovih interfejsa. Anonimni pristup interfejsu i prenos akreditiva u čistom tekstu glavna su obeležja nesigurnih API-ja. Ograničeno praćenje upotrebe API-ja, nedostatak sistema za evidentiranje, kao i nepoznati odnosi između različitih servisa samo povećavaju rizike od hakovanja. Analizirajte sigurnosni model provajdera u oblaku Osigurajte da se koriste jaki algoritmi šifriranja Osigurajte da se koriste jake metode provjere autentičnosti i autorizacije · Razumjeti cijeli lanac ovisnosti između različitih usluga. Pogođeni modeli usluga: Sigurnosna prijetnja #3 Unutrašnji prestupnici Opis: Problem ilegalnog pristupa informacijama iznutra je izuzetno opasan. Često na strani provajdera nije implementiran sistem praćenja aktivnosti zaposlenih, što znači da napadač može pristupiti informacijama o klijentu koristeći svoj službeni položaj. Pošto provajder ne otkriva svoju politiku zapošljavanja, pretnja može doći i od hakera amatera i od organizovane kriminalne strukture koja se infiltrirala u redove zaposlenih u provajderu. U ovom trenutku nema primjera ovakve vrste zlostavljanja. Sprovođenje strogih pravila za nabavku opreme i korišćenje odgovarajućih sistema za otkrivanje neovlašćenog pristupa Uređenje pravila za zapošljavanje radnika u javnim ugovorima sa korisnicima Kreiranje transparentnog sistema bezbednosti, uz objavljivanje izveštaja o reviziji bezbednosti na internim sistemima provajdera Pogođeni modeli usluga: Rice. 12 Primjer insajdera Sigurnosna prijetnja #4 Ranjivosti u cloud tehnologijama Opis: IaaS servis provajderi apstrahuju hardverske resurse koristeći virtuelizacione sisteme. Međutim, hardver se može dizajnirati bez razmatranja zajedničkih resursa. Kako bi se smanjio uticaj ovog faktora, hipervizor kontroliše pristup virtuelne mašine hardverskim resursima, međutim, čak iu hipervizorima mogu postojati ozbiljne ranjivosti čija upotreba može dovesti do eskalacije privilegija ili dobijanja ilegalnog pristupa fizičkoj opremi. Da bi se sistemi zaštitili od ovakvih problema, potrebno je implementirati mehanizme za izolaciju virtuelnih okruženja i sisteme za otkrivanje kvarova. Korisnici virtuelnih mašina ne bi trebali imati pristup zajedničkim resursima. Postoje primjeri potencijalnih ranjivosti, kao i teorijske metode zaobilaženja izolacije u virtuelnim okruženjima. Implementacija najnaprednijih metoda instalacije, konfiguracije i zaštite virtuelnih okruženja Korišćenje sistema za otkrivanje neovlašćenog pristupa Primjena jakih pravila autentifikacije i autorizacije za administrativne poslove Pooštravanje zahtjeva za vrijeme primjene zakrpa i ažuriranja · Sprovođenje blagovremenih procedura za skeniranje i otkrivanje ranjivosti. Sigurnosna prijetnja #5 Gubitak ili curenje podataka Opis: Gubitak podataka može se dogoditi iz hiljadu razloga. Na primjer, namjerno uništavanje ključa za šifriranje će rezultirati nepopravljivim šifriranim informacijama. Brisanje podataka ili dijela podataka, neovlašteni pristup važnim informacijama, izmjena zapisa ili kvar medija su također primjeri takvih situacija. U složenoj infrastrukturi oblaka, vjerovatnoća svakog od događaja se povećava zbog bliske interakcije komponenti. Neispravna primjena pravila za autentifikaciju, autorizaciju i reviziju, nepravilna upotreba pravila i metoda šifriranja, te kvar opreme mogu dovesti do gubitka ili curenja podataka. · Korištenje pouzdanog i sigurnog API-ja Šifrovanje i zaštita prenetih podataka Analiza modela zaštite podataka u svim fazama funkcionisanja sistema Implementacija pouzdanog sistema za upravljanje ključevima za šifrovanje Odabir i kupovina samo najpouzdanijih medija Osiguravanje pravovremene sigurnosne kopije podataka Pogođeni modeli usluga: Sigurnosna prijetnja #6 Krađa identiteta i nezakonit pristup servisu Opis: Ova vrsta prijetnje nije nova. Svaki dan se suočavaju milioni korisnika. Glavna meta napadača je korisničko ime (login) i njegova lozinka. U kontekstu cloud sistema, krađa lozinke i korisničkog imena povećava rizik korištenja podataka pohranjenih u infrastrukturi oblaka dobavljača. Dakle, napadač ima priliku da koristi reputaciju žrtve za svoje aktivnosti. Zabrana prenosa računa Korištenje metoda provjere autentičnosti s dva faktora Sprovođenje proaktivnog praćenja neovlašćenog pristupa · Opis sigurnosnog modela provajdera oblaka. Pogođeni modeli usluga: Sigurnosna prijetnja #7 Druge ranjivosti Opis: Upotreba cloud tehnologija za poslovanje omogućava kompaniji da se fokusira na svoje poslovanje, prepuštajući brigu o IT infrastrukturi i uslugama cloud provajderu. Oglašavajući svoju uslugu, cloud provajder nastoji pokazati sve mogućnosti, a pritom otkriti detalje implementacije. Ovo može predstavljati ozbiljnu prijetnju, jer poznavanje interne infrastrukture daje napadaču mogućnost da pronađe nezakrpljenu ranjivost i pokrene napad na sistem. Kako bi se izbjegle ovakve situacije, provajderi oblaka možda neće dati informacije o internoj strukturi oblaka, međutim, ovaj pristup također ne povećava povjerenje, jer potencijalni korisnici nemaju mogućnost procjene stepena sigurnosti podataka. Osim toga, ovaj pristup ograničava mogućnost blagovremenog pronalaženja i uklanjanja ranjivosti. Amazon odbija provesti EC2 sigurnosnu reviziju u oblaku Ranjivost u softveru za obradu, što dovodi do narušavanja sigurnosnog sistema Hearthland data centra Objavljivanje podataka dnevnika Potpuno ili djelomično otkrivanje podataka o arhitekturi sistema i detalja o instaliranom softveru · Upotreba sistema za praćenje ranjivosti. Pogođeni modeli usluga: 1. Pravna osnova Prema mišljenju stručnjaka, 70% sigurnosnih problema u oblaku može se izbjeći ako pravilno sastavite ugovor o usluzi. Osnova za takav sporazum može poslužiti kao "Bill of Rights of the cloud" Cloud's Bill of Rights je 2008. godine razvio James Urquhart. Ovaj materijal je objavio na svom blogu, koji je izazvao toliko interesovanja i kontroverzi da autor periodično ažurira svoj "rukopis" u skladu sa realnošću. Član 1 (djelimično): Klijenti posjeduju svoje podatke · Nijedan proizvođač (ili dobavljač) ne bi trebao, u procesu interakcije s kupcima bilo kojeg plana, raspravljati o pravima na bilo koje podatke učitane, kreirane, generirane, modificirane ili bilo koja druga prava na koja korisnik ima. · Proizvođači bi u početku trebali osigurati minimalan pristup podacima o kupcima u fazi razvoja rješenja i usluga. · Korisnici posjeduju svoje podatke, što znači da su oni odgovorni da osiguraju da ti podaci budu u skladu sa zakonskim propisima i zakonima. · Pošto su pitanja usklađenosti podataka, sigurnosti i sigurnosti veoma važna, imperativ je da korisnik locira svoje podatke. U suprotnom, proizvođači moraju korisnicima dati sve garancije da će njihovi podaci biti pohranjeni u skladu sa svim pravilima i propisima. Klauzula 2: Proizvođači i kupci zajednički posjeduju i upravljaju nivoima usluga u sistemu · Proizvođači posjeduju i moraju učiniti sve kako bi zadovoljili nivo usluge za svakog klijenta pojedinačno. Svi potrebni resursi i napori za postizanje odgovarajućeg nivoa usluge u radu sa klijentima treba da budu besplatni za klijenta, odnosno ne ulaze u cenu usluge. · Kupci su, zauzvrat, odgovorni i posjeduju nivo usluga koje se pružaju njihovim internim i eksternim kupcima. Prilikom korištenja rješenja proizvođača za pružanje vlastitih usluga, odgovornost klijenta i nivo takve usluge ne bi trebali u potpunosti ovisiti o proizvođaču. · Ukoliko je potrebno integrisati sisteme proizvođača i kupca, proizvođači treba da ponude kupcima mogućnost praćenja procesa integracije. Ukoliko klijent ima korporativne standarde za integraciju informacionih sistema, proizvođač mora da se pridržava ovih standarda. · Proizvođači ni u kom slučaju ne smiju zatvarati račune kupaca zbog političkih izjava, neprimjerenog govora, vjerskih komentara, osim ako je u suprotnosti sa posebnim zakonskim propisima, nije izraz mržnje itd. Član 3: Proizvođači posjeduju svoja sučelja · Od proizvođača se ne traži da obezbede standardne ili otvorene interfejse osim ako nije drugačije navedeno u ugovorima sa kupcima. Proizvođači imaju prava na interfejse. Ako proizvođač ne smatra mogućim pružiti klijentu mogućnost da usavrši sučelje u poznatom programskom jeziku, klijent može kupiti od proizvođača ili treće strane programere usluge za finalizaciju interfejsa u skladu sa svojim zahtjevima. · Klijent, međutim, ima pravo da kupljenu uslugu koristi za svoje potrebe, kao i da proširi njene mogućnosti, replicira i poboljša. Ova klauzula ne oslobađa kupce prava na patent i intelektualnu svojinu. Gornja tri članka su temelj za klijente i dobavljače u oblaku. Njihov puni tekst možete pronaći u javnom domenu na internetu. Naravno, ovaj prijedlog zakona nije potpun pravni dokument, a još manje službeni. Njegovi članovi mogu se mijenjati i proširivati u bilo kojem trenutku, kao što se prijedlog zakona može dopuniti novim članovima. Ovo je pokušaj formalizacije "vlasništva" u oblaku kako bi se nekako standardiziralo ovo područje znanja i tehnologije koje voli slobodu. Odnos između stranaka Daleko najbolji stručnjak za sigurnost u oblaku je Cloud Security Alliance (CSA). Organizacija je objavila i nedavno ažurirala vodič koji uključuje stotine nijansi i najboljih praksi koje treba uzeti u obzir pri procjeni rizika računarstva u oblaku. Druga organizacija koja se bavi aspektima sigurnosti u oblaku je Trusted Computing Group (TCG). Ona je autor nekoliko standarda u ovoj i drugim oblastima, uključujući danas široko korišćeni Trusted Storage, Trusted Network Connect (TNC) i Trusted Platform Module (TPM). Ove organizacije su zajednički razradile niz pitanja koja kupac i dobavljač moraju riješiti prilikom sklapanja ugovora. Ova pitanja će riješiti većinu problema pri korištenju oblaka, višoj sili, promjeni dobavljača usluga u oblaku i drugim situacijama. 1. Sigurnost pohranjenih podataka. Kako pružatelj usluga osigurava sigurnost pohranjenih podataka?
Najbolja mjera za zaštitu podataka pohranjenih u skladištu podataka je korištenje tehnologija šifriranja. Provajder uvijek mora šifrirati informacije o klijentu pohranjene na njegovim serverima kako bi spriječio slučajeve neovlaštenog pristupa. Provajder također mora trajno izbrisati podatke kada više nisu potrebni i neće biti potrebni u budućnosti. 2. Zaštita podataka tokom prenosa. Kako provajder osigurava sigurnost podataka tokom njihovog prijenosa (unutar oblaka i na putu od/do oblaka)?
Preneseni podaci moraju uvijek biti šifrirani i dostupni korisniku tek nakon autentifikacije. Ovaj pristup osigurava da ove podatke ne može mijenjati ili čitati bilo ko, čak i ako im pristupe preko nepouzdanih čvorova na mreži. Ove tehnologije su se razvijale tokom "hiljada čovek-godina" i dovele su do stvaranja pouzdanih protokola i algoritama (npr. TLS, IPsec i AES). Provajderi treba da koriste ove protokole, a ne da izmišljaju sopstvene. 3. Autentifikacija. Kako provajder zna autentičnost klijenta?
Najčešći način provjere autentičnosti je zaštita lozinkom. Međutim, provajderi koji žele svojim kupcima ponuditi veću pouzdanost traže moćnije alate kao što su certifikati i tokeni. Provajderi bi trebali biti u mogućnosti da rade sa standardima kao što su LDAP i SAML uz korištenje sigurnijih sredstava za autentifikaciju. Ovo je neophodno kako bi se osiguralo da provajder stupi u interakciju sa klijentovim sistemom identifikacije korisnika prilikom autorizacije i definiranja ovlaštenja koja će se dati korisniku. Zahvaljujući tome, provajder će uvijek imati ažurne informacije o ovlaštenim korisnicima. Najgori scenario je kada klijent pruža provajderu specifičnu listu ovlašćenih korisnika. U pravilu, u ovom slučaju, kada je zaposlenik otpušten ili premješten na drugu poziciju, mogu nastati poteškoće. 4. Izolacija korisnika. Kako su podaci i aplikacije jednog korisnika odvojeni od podataka i aplikacija drugih kupaca?
Najbolja opcija: kada svaki od klijenata koristi pojedinačnu virtuelnu mašinu (Virtual Machine - VM) i virtuelnu mrežu. Razdvajanje između VM-ova, a time i između korisnika, osigurava hipervizor. Virtuelne mreže se, zauzvrat, postavljaju koristeći standardne tehnologije kao što su VLAN (Virtuelna lokalna mreža), VPLS (Virtuelna privatna LAN usluga) i VPN (Virtuelna privatna mreža). Neki provajderi stavljaju sve korisničke podatke u jedno softversko okruženje i pokušavaju da izoluju podatke o korisnicima izmenama u svom kodu. Ovaj pristup je nepromišljen i nepouzdan. Prvo, napadač bi mogao pronaći nedostatak u nestandardnom kodu koji bi mu omogućio pristup podacima koje ne bi trebao vidjeti. Drugo, greška u kodu može dovesti do toga da jedan klijent slučajno "vidi" podatke drugog. Nedavno je bilo i tih i drugih slučajeva. Stoga je za razlikovanje korisničkih podataka korištenje različitih virtuelnih mašina i virtuelnih mreža razumniji korak. 5. Regulatorna pitanja. Koliko dobro provajder poštuje zakone i propise koji se primenjuju na industriju računarstva u oblaku?
Ovisno o jurisdikciji, zakoni, propisi i bilo koje posebne odredbe mogu se razlikovati. Na primjer, mogu zabraniti izvoz podataka, zahtijevati striktno definirane mjere zaštite, biti usklađeni sa određenim standardima i biti podložni reviziji. Na kraju, oni mogu zahtijevati da vladina odjeljenja i sudovi mogu pristupiti informacijama kada je to potrebno. Nepažnja provajdera prema ovim trenucima može dovesti do znatnih troškova njegovih kupaca zbog pravnih posljedica. Ponuđač mora slijediti stroga pravila i pridržavati se jedinstvene pravne i regulatorne strategije. To se odnosi na sigurnost korisničkih podataka, njihov izvoz, usklađenost sa standardima, reviziju, sigurnost i brisanje podataka, kao i otkrivanje informacija (ovo je posebno važno kada se na jednom fizičkom serveru mogu pohraniti informacije više klijenata). Kako bi saznali, klijenti se snažno ohrabruju da potraže pomoć od stručnjaka koji će detaljno proučiti ovo pitanje. 6. Reakcija na incidente. Kako provajder reaguje na incidente i u kojoj meri njegovi kupci mogu biti uključeni u incident?
Ponekad ne ide sve po planu. Stoga je pružatelj usluga dužan pridržavati se posebnih pravila ponašanja u slučaju nepredviđenih okolnosti. Ova pravila treba dokumentovati. Imperativ je da provajderi identifikuju incidente i minimiziraju njihove posljedice informiranjem korisnika o trenutnoj situaciji. Idealno bi bilo da klijentima redovno pružaju informacije koje su što detaljnije o tom pitanju. Osim toga, na kupcima je da procijene vjerovatnoću sigurnosnog problema i preduzmu potrebne radnje. Evolucija tehnologije oblaka nadmašuje napore da se kreiraju i modificiraju potrebni industrijski standardi, od kojih mnogi nisu ažurirani godinama. Stoga je donošenje zakona u oblasti cloud tehnologija jedan od najvažnijih koraka ka osiguranju sigurnosti. IEEE, jedna od najvećih organizacija za razvoj standarda, objavila je pokretanje namjenske Cloud Computing Initiative. Ovo je prva međunarodna inicijativa za standardizaciju oblaka – do danas, standardima računarstva u oblaku dominiraju industrijski konzorcijumi. Inicijativa trenutno uključuje 2 projekta: IEEE P2301 (tm), "Nacrt vodiča za prenosivost i interoperabilnost Cloud profila", i IEEE P2302 (tm) - "Nacrt standarda za interoperabilnost i distribuiranu interoperabilnost (Federacija) Cloud sistema". U okviru IEEE Standards Development Association, stvorene su 2 nove radne grupe za rad na projektima IEEE P2301 i IEEE P2302, respektivno. IEEE P2301 će sadržati profile postojećih i standarda aplikacija na čekanju, interfejsa za prenosivost, upravljanje i interoperabilnost, kao i formate datoteka i operativne ugovore. Informacije u dokumentu će biti logično strukturirane prema različitim ciljnim grupama: dobavljačima, pružaocima usluga i drugim zainteresiranim učesnicima na tržištu. Po završetku, očekuje se da će standard biti upotrebljiv u nabavci, razvoju, izgradnji i korištenju cloud proizvoda i usluga zasnovanih na standardnim tehnologijama. IEEE P2302 standard će opisati osnovnu topologiju, protokole, funkcionalnost i metode upravljanja potrebne za interakciju različitih struktura oblaka (na primjer, za interakciju između privatnog i javnog oblaka kao što je EC2). Ovaj standard će omogućiti provajderima proizvoda i usluga u oblaku da izvuku ekonomske koristi od ekonomije obima, istovremeno pružajući transparentnost korisnicima usluga i aplikacija. ISO priprema poseban standard za sigurnost računarstva u oblaku. Glavni fokus novog standarda je rješavanje organizacijskih pitanja vezanih za oblake. Međutim, zbog složenosti procedura usklađivanja ISO-a, konačna verzija dokumenta bi trebala biti objavljena tek 2013. godine. Vrijednost dokumenta je što u njegovu pripremu nisu uključene samo vladine organizacije (NIST, ENISA), već i predstavnici stručnih zajednica i udruženja poput ISACA i CSA. Štaviše, jedan dokument sadrži preporuke kako za pružaoce usluga u oblaku, tako i za njihove potrošače – klijentske organizacije. Glavna svrha ovog dokumenta je da detaljno opiše najbolje prakse u vezi sa korišćenjem računarstva u oblaku iz perspektive informacione bezbednosti. Istovremeno, standard se ne fokusira samo na tehničke aspekte, već na organizacione aspekte koji se ne smiju zaboraviti u prelasku na računalstvo u oblaku. To je i razdvajanje prava i odgovornosti, i potpisivanje ugovora sa trećim licima, i upravljanje imovinom u vlasništvu različitih učesnika u „cloud“ procesu, i pitanja upravljanja kadrovima i tako dalje. Novi dokument u velikoj mjeri uključuje materijale koji su prethodno razvijeni u IT industriji. australijska vlada Nakon višemjesečnog razmišljanja, australijska vlada je 15. februara 2012. objavila seriju vodiča za migraciju baziranih na oblaku na blogu Ureda za upravljanje informacijama vlade Australije (AGIMO). Kako bi se kompanijama olakšala migracija na oblak, date su smjernice o najboljim praksama za korištenje usluga u oblaku kako bi se ispunili zahtjevi Zakona o boljoj praksi za finansijsko upravljanje i odgovornost iz 1997. godine. Vodiči se uopšteno bave finansijskim, pravnim pitanjima i pitanjima zaštite podataka. Smjernice govore o potrebi stalnog praćenja i kontrole korištenja cloud servisa kroz svakodnevnu analizu računa i izvještaja. Ovo će pomoći da se izbjegnu skrivene oznake i ovisnost o dobavljačima usluga u oblaku. Prvi vodič nosi naslov Privatnost i računarstvo u oblaku za australske vladine agencije (9 stranica). Ovaj dokument se fokusira na pitanja privatnosti i sigurnosti podataka. Pored ovog vodiča, Pregovaranje o oblaku – pravna pitanja u sporazumima o računarstvu u oblaku (19 stranica) je takođe pripremljeno da vam pomogne da razumete klauzule uključene u ugovor. Završni, treći priručnik, Finansijska razmatranja za upotrebu računarstva u oblaku od strane vlade, na 6 stranica, govori o finansijskim pitanjima na koja kompanija treba da pazi ako odluči da koristi računarstvo u oblaku u svom poslovanju. Osim onih obuhvaćenih u vodičima, postoji niz drugih pitanja koja treba riješiti kada se koristi računalstvo u oblaku, uključujući pitanja koja se odnose na vladu, nabavke i politiku upravljanja poslovanjem. Javna rasprava o ovom dokumentu o politici pruža priliku zainteresiranim stranama da razmotre i komentiraju sljedeća pitanja od interesa: · Neovlašteni pristup povjerljivim informacijama; · Gubitak pristupa podacima; Propust da se osigura integritet i autentičnost podataka, i · Razumijevanje praktičnih aspekata pružanja usluga u oblaku. Postoji niz propisa u različitim zemljama koji zahtijevaju da osjetljivi podaci ostanu unutar zemlje. Iako pohranjivanje podataka unutar određene teritorije na prvi pogled možda ne izgleda teško, dobavljači usluga u oblaku to često ne mogu garantirati. U sistemima sa visokim stepenom virtuelizacije, podaci i virtuelne mašine mogu se kretati iz jedne zemlje u drugu u različite svrhe – balansiranje opterećenja, tolerancija grešaka. Neki od velikih igrača na SaaS tržištu (kao što su Google, Symantec) mogu garantovati skladištenje podataka u odgovarajućoj zemlji. Ali to su, prije, izuzeci, općenito, ispunjenje ovih zahtjeva je još uvijek prilično rijetko. Čak i ako podaci ostanu u zemlji, kupci ne mogu to provjeriti. Osim toga, ne treba zaboraviti ni mobilnost zaposlenih u kompaniji. Ako stručnjak koji radi u Moskvi putuje u New York, onda je bolje (ili barem brže) da dobije podatke iz data centra u Sjedinjenim Državama. Omogućavanje ovoga već je za red veličine teži zadatak. U našoj zemlji trenutno ne postoji ozbiljan regulatorni okvir za cloud tehnologije, iako je razvoj u ovoj oblasti već u toku. Dakle, naredbom predsjednika Ruske Federacije br. 146 od 8.02.2012. utvrđeno je da su savezni organi izvršne vlasti nadležni u oblasti sigurnosti podataka u informacionim sistemima kreiranim primenom superkompjuterskih i grid tehnologija FSB Rusije i FSTEC Rusije. U vezi sa ovom uredbom, proširena su ovlaštenja ovih službi. FSB Rusije sada razvija i odobrava regulatorne i metodološke dokumente o osiguranju sigurnosti ovih sistema, organizira i provodi istraživanja u oblasti informacione sigurnosti. Služba vrši i stručne kriptografske, inženjersko-kriptografske i specijalne studije ovih informacionih sistema i priprema stručna mišljenja o prijedlozima za rad na njihovoj izradi. Dokumentom je takođe predviđeno da FSTEC Rusije razvija strategiju i utvrđuje prioritetne oblasti za osiguranje bezbednosti informacija u informacionim sistemima kreiranim korišćenjem superkompjuterskih i grid tehnologija koje obrađuju ograničene podatke, a takođe prati stanje rada na obezbeđivanju te bezbednosti. FSTEC je naručio studiju, koja je rezultirala beta verzijom "terminološkog sistema u oblasti" cloud tehnologija " Kao što možete razumjeti, cijeli ovaj terminološki sistem je prilagođeni prijevod dva dokumenta: "Fokus grupa o tehničkom izvještaju o računarstvu u oblaku" i "NIST definiciji računarstva u oblaku". Pa, činjenica da ova dva dokumenta nisu baš konzistentna jedan sa drugim je posebno pitanje. Ali vizuelno je to i dalje vidljivo: u ruskom "Terminosistemu" autori jednostavno nisu dali veze do ovih engleskih dokumenata za početak. Činjenica je da za takav rad prvo morate razgovarati o konceptu, ciljevima i zadacima, metodama njihovog rješavanja. Mnogo je pitanja i komentara. Glavna metodološka napomena: potrebno je vrlo jasno formulirati koji problem rješava ovo istraživanje, njegovu svrhu. Odmah želim da istaknem da „stvaranje terminskog sistema“ ne može biti cilj, to je sredstvo, već postizanje onoga što još nije sasvim jasno. Da ne spominjemo da bi normalno istraživanje trebalo uključivati odjeljak o statusu quo. Teško je raspravljati o rezultatima studije bez poznavanja originalne formulacije problema i načina na koji su ga autori riješili. Ali jedna fundamentalna greška Terminološkog sistema je jasno vidljiva: nemoguće je raspravljati o "oblačnoj temi" odvojeno od one "ne-oblačne". Izvan opšteg IT konteksta. Ali ovaj kontekst nije vidljiv u studiji. A rezultat toga je da će u praksi takav sistem terminologije biti nemoguće primijeniti. To može samo dodatno zbuniti situaciju. Sistem zaštite servera u oblaku u svojoj minimalnoj konfiguraciji treba da obezbedi sigurnost mrežne opreme, skladištenja podataka, servera i hipervizora. Dodatno, moguće je postaviti antivirus u namjensko jezgro kako bi se spriječila infekcija hipervizora putem virtuelne mašine, sistem za šifrovanje podataka za skladištenje korisničkih informacija u šifrovanom obliku i sredstva za implementaciju šifrovanog tuneliranja između virtuelnog servera i klijentske mašine . Za ovo nam je potreban server koji podržava virtuelizaciju. Rešenja ove vrste nude Cisco, Microsoft, VMWare, Xen, KVM. Dozvoljeno je i korištenje klasičnog servera, te obezbjeđivanje virtuelizacije na njemu pomoću hipervizora. Svi serveri sa kompatibilnim procesorima su pogodni za virtuelizaciju operativnih sistema za x86-64 platforme. Ovakvo rešenje će pojednostaviti prelazak na virtuelizaciju računara bez dodatnih finansijskih ulaganja u nadogradnju hardvera. Šema rada: Rice. 11. Primjer "cloud" servera Rice. 12. Odgovor servera na kvar opreme Trenutno je tržište sigurnosnih alata za računalstvo u oblaku još uvijek prilično prazno. I to nije iznenađujuće. U nedostatku regulatornog okvira i neizvjesnosti oko budućih standarda, razvojne kompanije ne znaju na šta da usmjere svoje napore. Međutim, čak iu takvim uslovima pojavljuju se specijalizovani softverski i hardverski sistemi koji omogućavaju da se struktura oblaka zaštiti od glavnih vrsta pretnji. Kršenje integriteta Hakovanje hipervizora Insajderi Identifikacija Autentifikacija Enkripcija Accord-B Hardverski i softverski sistem Accord-B. dizajniran za zaštitu infrastrukture virtuelizacije VMware vSphere 4.1, VMware vSphere 4.0 i VMware Infrastructure 3.5. Accord-B. Pruža zaštitu za sve komponente okruženja virtuelizacije: ESX servere i same virtuelne mašine, servere za upravljanje vCenter i dodatne servere sa VMware uslugama (na primer, VMware Consolidated Backup). U hardversko-softverskom kompleksu Accord-V implementirani su sljedeći mehanizmi zaštite: · Korak po korak kontrola integriteta hipervizora, virtuelnih mašina, fajlova unutar virtuelnih mašina i servera za upravljanje infrastrukturom; · Razlikovanje pristupa za administratore virtuelne infrastrukture i administratore bezbednosti; · Razlikovanje pristupa korisnika unutar virtuelnih mašina; · Hardverska identifikacija svih korisnika i administratora infrastrukture virtuelizacije. INFORMACIJE O DOSTUPNOSTI CERTIFIKATA: FSTEC Rusije sertifikat o usaglašenosti br. 2598 od 20.03.2012. potvrđuje da je hardverski i softverski kompleks sredstava za zaštitu informacija od neovlašćenog pristupa „Accord-V.“ u skladu sa zahtevima uputstava „Računarska postrojenja. Zaštita od neovlašćenog pristupa informacijama. Indikatori sigurnosti od neovlašćenog pristupa informacijama" (Državna tehnička komisija Rusije, 1992) - prema 5
sigurnosna klasa, "Zaštita od neovlaštenog pristupa informacijama. Dio 1. Softver za zaštitu informacija. Klasifikacija prema nivou kontrole odsustva neprijavljenih sposobnosti" (Državna tehnička komisija Rusije, 1999.) - od 4
stepena kontrole i tehničkih uslova TU 4012-028-11443195-2010, a može se koristiti i za kreiranje automatizovanih sistema do klase sigurnosti do 1G uključujući i za zaštitu informacija u informacionim sistemima ličnih podataka do klase 1 uključujući. vGate R2 vGate R2 je certificirano sredstvo zaštite informacija od neovlaštenog pristupa i kontrole implementacije politika sigurnosti informacija za virtuelnu infrastrukturu zasnovanu na VMware vSphere 4 i VMware vSphere 5.S R2 sistemima - verzija proizvoda primjenjiva za zaštitu informacija u virtualnim infrastrukturama javnih preduzeća, na čije IP se primenjuju zahtevi za korišćenje sistema informacione bezbednosti sa visokim nivoom sertifikacije. Omogućava vam da automatizujete rad administratora za konfigurisanje i upravljanje sigurnosnim sistemom. Pomaže u suzbijanju grešaka i zloupotreba u upravljanju virtuelnom infrastrukturom. Omogućava vam da virtualnu infrastrukturu uskladite sa zakonima, industrijskim standardima i najboljom svjetskom praksom. <#"783809.files/image017.gif"> <#"783809.files/image018.gif"> <#"783809.files/image019.gif"> <#"783809.files/image020.gif"> Rice. 13 vGate R2 najavljenih mogućnosti Dakle, da rezimiramo, evo glavnih alata koje vGate R2 posjeduje za zaštitu data centra dobavljača usluga od internih prijetnji koje potiču od njegovih vlastitih administratora: Organizaciono i tehničko razdvajanje ovlasti za vSphere administratore Dodjela posebne uloge IS administratora koji će upravljati sigurnošću resursa podatkovnog centra na bazi vSphere Podjela oblaka na sigurnosne zone, unutar kojih djeluju administratori sa odgovarajućim nivoom ovlaštenja Kontrola integriteta virtuelnih mašina Mogućnost primanja izvještaja o sigurnosti vSphere infrastrukture u bilo kojem trenutku, kao i revizije događaja sigurnosti informacija U principu, ovo je skoro sve što je potrebno da se infrastruktura virtuelnog data centra zaštiti od internih pretnji sa stanovišta virtuelne infrastrukture. Naravno, potrebna vam je i zaštita na nivou hardvera, aplikacija i gostujućeg OS-a, ali to je još jedan problem, koji se također rješava pomoću proizvoda kompanije Security Code<#"783809.files/image021.gif"> Rice. 14. Struktura servera. Da bi se osigurala sigurnost u ovakvom objektu, potrebno je osigurati sigurnost, prema tabeli 2. Za to predlažem korištenje softverskog proizvoda vGate R2. To će vam omogućiti da riješite probleme kao što su: · Jača autentikacija za administratore virtuelne infrastrukture i administratore sigurnosti informacija. · Zaštita alata za upravljanje virtuelnom infrastrukturom od neovlašćenog pristupa. · Zaštita ESX-servera od neovlaštenog pristupa. · Obavezna kontrola pristupa. · Nadgledanje integriteta konfiguracije virtuelnih mašina i pouzdanog pokretanja. · Kontrola pristupa VI administratora podacima virtuelnih mašina. · Registracija događaja vezanih za sigurnost informacija. · Kontrola integriteta i zaštita od neovlaštenog pristupa komponentama sigurnosti informacija. · Centralizovano upravljanje i nadzor. Tablica 2. Mapiranje sigurnosnih potreba za PaaS model
FSTEC sertifikat Rusije Osim toga, da biste se zaštitili od insajdera, morat ćete instalirati sigurnosni alarm. Ova rješenja su prilično bogata na tržištu zaštite servera. Cijena takvog rješenja sa ograničenim pristupom kontrolisanom području, alarmnim i videonadzornim sistemom kreće se od 200.000 rubalja i više Na primjer, uzmimo iznos od 250.000 rubalja. Da bi zaštitili virtuelne mašine od virusnih infekcija, jedno jezgro servera će pokretati McAfee Total Protection for Virtualization. Cijena rješenja je od 42.200 rubalja. Symantec Netbackup će se koristiti za sprečavanje gubitka podataka na skladištima. Omogućava vam da sigurno napravite sigurnosnu kopiju informacija i slika sistema. Ukupni troškovi implementacije ovakvog projekta će biti: Implementaciju ovakvog dizajnerskog rješenja zasnovanog na Microsoftu možete preuzeti ovdje: http://www.microsoft.com/en-us/download/confirmation. aspx? id = 2494 „Cloud tehnologije“ su jedna od oblasti IT tržišta koje se trenutno najaktivnije razvija. Ako se stopa rasta tehnologija ne smanji, onda će do 2015. godine u blagajnu evropskih zemalja doprinositi više od 170 miliona eura godišnje. U našoj zemlji, cloud tehnologije se tretiraju s oprezom. To je dijelom zbog okoštalih stavova rukovodstva, dijelom zbog nedostatka povjerenja u sigurnost. Ali ova vrsta tehnologije, sa svim svojim prednostima i nedostacima, nova je lokomotiva IT napretka. Aplikacija "s druge strane oblaka" uopće nije bitna da li svoj zahtjev formirate na računaru sa x86 procesorom Intel, AMD, VIA ili ga sastavite na telefonu ili pametnom telefonu baziranog na ARM-procesoru Freescale, OMAP, Tegra . Štaviše, uglavnom neće biti važno da li koristite Linux operativne sisteme Google Chrome, OHA Android, Intel Moblin, Windows CE, Windows Mobile Windows XP / Vista / 7 ili koristite nešto još egzotičnije za ovo. ... Samo da je zahtjev sastavljen korektno i razumljivo i da bi vaš sistem mogao "savladati" primljeni odgovor. Pitanje sigurnosti je jedno od glavnih pitanja u računarstvu u oblaku i njegovo rješavanje će poboljšati kvalitet usluga u računarskoj sferi. Međutim, ima još mnogo toga da se uradi u tom pravcu. U našoj zemlji vrijedi krenuti sa jedinstvenim rječnikom pojmova za cjelokupnu IT oblast. Razviti standarde zasnovane na međunarodnom iskustvu. Iznesite zahtjeve za sigurnosne sisteme. 1. Finansijska razmatranja za vladino korištenje računarstva u oblaku - Vlada Australije 2010. 2. Privatnost i računarstvo u oblaku za australske vladine agencije 2007. Pregovaranje o oblaku - pravna pitanja u sporazumima o računarstvu u oblaku 2009. Časopis "Savremena nauka: Aktuelni problemi teorije i prakse" 2012.
7. Revizija sigurnosti
8. Istraga incidenata i forenzika u računarstvu u oblaku
9. Model prijetnje
10. Međunarodni i domaći standardi
11. Teritorijalni identitet podataka
12. Državni standardi
13. Sigurnosna sredstva u oblaku
Izlaz
Književnost
Sličan rad kao - Sigurnost informacija u računarstvu u oblaku: ranjivosti, metode i sredstva zaštite, alati za reviziju i istraživanje incidenata
