هنگامی که اریک اشمیت ، اکنون رئیس گوگل ، ابتدا از عبارت "ابر" برای اشاره به یک سیستم محاسباتی توزیع شده در وب استفاده کرد ، به سختی می دانست که این یکی از آن کلماتی است که اغلب در افسانه ها ظاهر می شود. تقریباً در همه افسانه های مردمان جهان ، موجودات الهی بسیار نزدیک به آسمان - روی ابرها زندگی می کنند. در نتیجه ، عبارت "رایانش ابری" در بین بازاریابان بسیار محبوب است زیرا فضا را برای خلاقیت فراهم می کند. ما همچنین سعی می کنیم این افسانه ها را به صورت شفاهی بیان کنیم و بفهمیم که چگونه آنها با فناوری اطلاعات ترکیب شده اند.
مرگ مرلین
یکی از شخصیت های چرخه افسانه ها در مورد پادشاه آرتور و میز گرد او ، جادوگر و جادوگر مرلین است که در سلطنت آرتور کمک کرد. این قابل توجه است که مرلین در نهایت در ابرها زندانی شد. او که می خواست به جادوگر جوان افتخار کند و قدرت جادویی خود را نشان دهد ، قلعه ای از ابرها ساخت و اشتیاق خود را برای بررسی آن دعوت کرد. با این حال ، جادوگر حیله گر شد و شعبده باز را در قلعه ابر خود زندانی کرد. پس از آن ، هیچ کس مرلین را ندید ، بنابراین اعتقاد بر این است که او در جایی در آنجا مرده - در قلعه ابری که خودش ساخته است.
اکنون "جادوگران فناوری اطلاعات" نیز یک اسطوره شناسی کامل در مورد محاسبات توزیع شده ایجاد کرده اند ، بنابراین برای اینکه در این "قفل ها" محبوس نشوید ، ابتدا باید دریابید که این ابرها چیست ، یعنی بازاریابی را از کتلت ها جدا کنید.
در ابتدا ، فقط یک ابر وجود داشت - با این نماد اینترنت به طور سنتی تعیین شد. این ابر مجموعه ای از تمام رایانه هایی است که توسط پروتکل IP به هم متصل شده اند و آدرس IP خود را دارند. با گذشت زمان ، اینترنت مزارع سرور را که در ارائه دهندگان نصب شده بود و پروژه های وب بر اساس آنها ساخته شده بود ، اختصاص داد. در عین حال ، برای اطمینان از تحمل بار و خطای زیاد ، بزرگترین سیستم های وب چند لایه و توزیع شده بودند.
در چنین سیستم معمولی ، سطوح زیر قابل تشخیص است: یک پروکسی معکوس ، که همچنین به عنوان یک تنظیم کننده بار و رمزگشای SSL عمل می کند ، خود سرور وب ، سپس یک سرور برنامه ، یک DBMS و یک سیستم ذخیره سازی. در همان زمان ، در هر سطح چندین عنصر می تواند عملکردهای یکسانی را انجام دهد ، و بنابراین همیشه مشخص نبود که از کدام اجزا برای پردازش درخواست های کاربر استفاده می شود. و وقتی روشن نیست ، اینها ابرها هستند. بنابراین ، آنها شروع به گفتن کردند که درخواستهای کاربر در جایی در "ابر" از تعداد زیادی سرور اجرا می شود. اینگونه است که اصطلاح "رایانش ابری" به وجود آمد.
اگرچه در ابتدا رایانش ابری با پروژه های وب عمومی - پورتال ها همراه بود ، اما با توسعه سیستم های وب توزیع شده در برابر خطا ، از آنها برای حل مشکلات داخلی شرکت ها استفاده شد. این زمان رونق پرتال های شرکتی بود که مبتنی بر فناوری های وب بودند که در سیستم های عمومی توسعه یافته بودند. در همان زمان ، سیستم های شرکتی شروع به ادغام در مراکز داده کردند که نگهداری از آنها آسان تر و ارزان تر بود.
با این حال ، اختصاص یک سرور جداگانه برای هر عنصر ابر ناکارآمد خواهد بود - همه عناصر ابر به طور یکسان بارگیری نمی شوند ، بنابراین صنعت مجازی سازی به طور موازی شروع به توسعه کرد. در ابرهای عمومی ، بسیار محبوب بود ، زیرا امکان تمایز حقوق دسترسی و اطمینان از انتقال سریع عنصر یک سیستم توزیع شده به حامل سخت افزار دیگر را فراهم کرد. بدون مجازی سازی ، رایانش ابری کمتر پویا و مقیاس پذیر خواهد بود ، به همین دلیل ابرها در حال حاضر معمولاً از ماشین های مجازی تشکیل شده اند.
رایانش ابری عمدتاً با اجاره برنامه ها ارتباط دارد و سه نوع از این خدمات را تعریف می کند: IaaS - زیرساخت به عنوان سرویس ، PaaS - پلت فرم به عنوان سرویس و SaaS - نرم افزار به عنوان سرویس. گاهی اوقات امنیت به عنوان یک سرویس به SaaS نیز کاهش می یابد ، اما برای اینکه سرویس های امنیتی ابر را با اجاره نرم افزار اشتباه نگیرید ، بهتر است آن را ISaaC - امنیت اطلاعات به عنوان ابر بنامید. ارائه چنین خدماتی نیز در حال شروع به ارائه است. با این حال ، برون سپاری برنامه و رایانش ابری را اشتباه نگیرید ، زیرا ابرها می توانند داخلی ، عمومی و ترکیبی باشند. هر یک از این انواع ابرها هنگام سازماندهی یک سیستم امنیتی ویژگی های خاص خود را دارند.
سه مرحله ویشنو
خدای ویشنو در اساطیر هندو به این دلیل معروف است که او بود که با سه مرحله فضا را برای زندگی انسان فتح کرد: اولین مورد روی زمین ساخته شد ، دومی - در ابرها ، و سوم - در بالاترین اقامت مطابق با Rig Veda ، با این اقدام بود که ویشنو تمام این فضاها را برای مردم فتح کرد.
فناوری اطلاعات مدرن نیز در حال برداشتن "گام دوم" مشابه است - از زمین تا ابرها. با این حال ، برای اینکه از این ابرها روی زمین نیفتید ، ارزش مراقبت از ایمنی را دارد. در قسمت اول ، ساختار ابر را با چنین جزئیاتی تجزیه و تحلیل کردم تا بفهمم تهدیدهایی برای محاسبات ابری وجود دارد. با توجه به موارد فوق ، طبقه های زیر تهدیدها باید متمایز شوند:
حملات سنتی به نرم افزار... آنها با آسیب پذیری پروتکل های شبکه ، سیستم عامل ها ، اجزای ماژولار و سایر موارد مرتبط هستند. اینها تهدیدهای سنتی هستند که برای محافظت از آنها کافی است آنتی ویروس ، فایروال ، IPS و سایر اجزای مورد بحث را نصب کنید. فقط مهم است که این محافظت ها با زیرساخت ابری تطبیق داده شده و در یک محیط مجازی به طور م workثر کار کنند.
حملات عملکردی به عناصر ابر... این نوع حملات با لایه بندی ابر مرتبط است ، یک اصل امنیتی کلی که حفاظت کلی یک سیستم برابر ضعیف ترین حلقه است. بنابراین حمله موفقیت آمیز DoS به یک پروکسی معکوس که در مقابل ابر نصب شده است ، دسترسی به کل ابر را مسدود می کند ، حتی اگر همه ارتباطات داخل ابر بدون دخالت کار کنند. به طور مشابه ، تزریق SQL از سرور برنامه بدون در نظر گرفتن قوانین دسترسی در لایه ذخیره اطلاعات ، به داده های سیستم دسترسی می دهد. برای محافظت در برابر حملات عملکردی ، برای هر لایه ابر ، باید از ابزارهای حفاظتی خاصی استفاده کنید: برای پروکسی - محافظت در برابر حملات DoS ، برای سرور وب - کنترل تمامیت صفحه ، برای سرور برنامه - صفحه سطح برنامه ، برای DBMS لایه - حفاظت در برابر تزریق SQL ، برای سیستم ذخیره سازی - پشتیبان گیری و کنترل دسترسی. به طور جداگانه ، هر یک از این مکانیزم های دفاعی قبلاً ایجاد شده اند ، اما برای محافظت جامع از ابر با هم جمع نشده اند ، بنابراین وظیفه ادغام آنها در یک سیستم واحد باید در هنگام ایجاد ابر حل شود.
حملات مشتری... این نوع حمله در محیط وب انجام شده است ، اما برای ابر نیز مناسب است ، زیرا کلاینت ها معمولاً با استفاده از مرورگر به ابر متصل می شوند. این شامل حملاتی مانند Cross Site Scripting (XSS) ، ربودن جلسات وب ، سرقت گذرواژه ها ، "مرد در وسط" و سایر موارد است. به طور سنتی ، احراز هویت قوی و ارتباط رمزگذاری شده با احراز هویت متقابل ، دفاعی در برابر این حملات بوده است ، اما همه سازندگان ابر نمی توانند چنین وسایل حفاظتی اسراف کننده و معمولاً بسیار مناسب را بپردازند. بنابراین ، در این صنعت امنیت اطلاعات هنوز وظایف حل نشده و فضایی برای ایجاد ابزارهای جدید حفاظتی وجود دارد.
تهدیدات مجازی سازی... از آنجا که پلت فرم اجزای ابر به طور سنتی محیط های مجازی سازی شده است ، حملات به سیستم مجازی سازی کل کل را نیز تهدید می کند. این نوع تهدید مختص محاسبات ابری است ، بنابراین ما در زیر نگاهی دقیق تر به آن می اندازیم. راه حل هایی برای برخی از تهدیدات مجازی سازی در حال حاضر ظاهر می شود ، اما این صنعت کاملاً جدید است ، بنابراین ، تا کنون ، راه حل های موجود هنوز توسعه نیافته است. کاملاً محتمل است که بازار امنیت اطلاعات به زودی ابزارهای محافظتی در برابر این نوع تهدیدها ایجاد کند.
تهدیدات جامع ابر... کنترل و مدیریت ابرها نیز یک مسئله امنیتی است. چگونه می توان اطمینان حاصل کرد که همه منابع ابری شمارش می شوند و هیچ ماشین مجازی کنترل نشده ای در آن وجود ندارد ، فرآیندهای تجاری غیر ضروری راه اندازی نمی شوند و پیکربندی متقابل لایه ها و عناصر ابر نقض نمی شود. این نوع تهدید با قابلیت مدیریت ابر به عنوان یک سیستم اطلاعاتی یکپارچه و جستجوی سوء استفاده یا سایر اختلالات در عملکرد ابر همراه است که می تواند هزینه های غیر ضروری را برای حفظ سلامت سیستم اطلاعاتی در پی داشته باشد. به عنوان مثال ، اگر ابری وجود دارد که به شما امکان می دهد با استفاده از یک فایل ارسال شده یک ویروس را در آن تشخیص دهید ، چگونه می توان از سرقت چنین آشکارسازهایی جلوگیری کرد؟ این نوع تهدید در بالاترین سطح است و گمان می کنم که هیچ وسیله حفاظتی جهانی برای آن وجود ندارد - برای هر ابر حفاظت کلی آن باید به صورت جداگانه ایجاد شود. این را می توان با کلی ترین مدل مدیریت ریسک ، که هنوز باید به درستی در زیرساخت های ابری اعمال شود ، کمک کرد.
دو نوع اول تهدیدها به اندازه کافی مورد مطالعه قرار گرفته و دفاع برای آنها ایجاد شده است ، اما هنوز باید برای استفاده در ابر تطبیق داده شوند. به عنوان مثال ، فایروال ها برای محافظت از محیط طراحی شده اند ، اما در فضای ابری تخصیص محیط به یک مشتری خاص آسان نیست ، که حفاظت را بسیار دشوارتر می کند. بنابراین ، فناوری فایروال باید با زیرساخت ابر سازگار شود. کار در این راستا در حال حاضر به طور فعال انجام می شود ، به عنوان مثال ، توسط Check Point.
نوع جدیدی از تهدیدها برای رایانش ابری مشکلات مجازی سازی است. واقعیت این است که هنگام استفاده از این فناوری ، عناصر اضافی در سیستم ظاهر می شوند که می توانند مورد حمله قرار گیرند. اینها شامل یک hypervisor ، یک سیستم برای انتقال ماشین های مجازی از یک میزبان به میزبان دیگر و یک سیستم مدیریت ماشین مجازی است. اجازه دهید جزئیات بیشتری را در نظر بگیریم که عناصر ذکر شده در معرض چه نوع حملاتی هستند.
حملات Hypervisor... در واقع ، عنصر اصلی سیستم مجازی hypervisor است که تقسیم منابع رایانه فیزیکی بین ماشین های مجازی را تضمین می کند. تداخل با عملکرد هایپروایزر می تواند به این واقعیت منجر شود که یک ماشین مجازی می تواند به حافظه و منابع دیگری دسترسی داشته باشد ، ترافیک شبکه خود را رهگیری کرده ، منابع فیزیکی خود را از بین ببرد و حتی ماشین مجازی را به طور کامل از سرور خارج کند. تا کنون ، تعداد کمی از هکرها دقیقاً می دانند که hypervisor چگونه کار می کند ، بنابراین عملاً هیچ حمله ای از این نوع وجود ندارد ، اما این تضمین نمی کند که در آینده ظاهر نشوند.
مهاجرت ماشین های مجازی... لازم به ذکر است که ماشین مجازی فایلی است که می تواند برای اجرا در گره های مختلف ابر راه اندازی شود. سیستم های مدیریت ماشین های مجازی مکانیزم هایی برای انتقال ماشین های مجازی از یک میزبان به میزبان دیگر ارائه می دهند. با این حال ، فایل ماشین مجازی می تواند به سرقت رفته و سعی شود در خارج از ابر اجرا شود. خارج کردن سرور فیزیکی از مرکز داده غیرممکن است ، اما یک ماشین مجازی می تواند بدون دسترسی فیزیکی به سرورها در شبکه سرقت شود. درست است ، یک ماشین مجازی جداگانه در خارج از ابر هیچ ارزش عملی ندارد - شما باید حداقل یک ماشین مجازی از هر لایه و همچنین داده های سیستم ذخیره سازی را برای بازیابی یک ابر مشابه سرقت کنید ، با این وجود ، مجازی سازی امکان سرقت قطعات یا کل ابر یعنی دخالت در مکانیزم های انتقال ماشین های مجازی خطرات جدیدی را برای سیستم اطلاعات ایجاد می کند.
کنترل حملات سیستم... تعداد زیادی از ماشین های مجازی که در ابرها ، به ویژه در ابرهای عمومی استفاده می شوند ، به سیستم های مدیریتی نیاز دارند که بتوانند ایجاد ، مهاجرت و دفع ماشین های مجازی را به طور مطمئن کنترل کنند. مداخله در سیستم های کنترل می تواند منجر به ظهور ماشین های مجازی نامرئی ، انسداد برخی ماشین ها و جایگزینی عناصر غیر مجاز در لایه های ابر شود. همه اینها به مهاجمان اجازه می دهد تا اطلاعات را از ابر بدست آورند یا قسمت هایی از آن یا کل ابر را ضبط کنند.
لازم به ذکر است که تا کنون همه تهدیدات ذکر شده در بالا کاملاً فرضی هستند ، زیرا عملاً هیچ اطلاعاتی در مورد حملات واقعی از این دست وجود ندارد. در عین حال ، وقتی مجازی سازی و ابر به اندازه کافی محبوبیت پیدا کردند ، همه این نوع حملات می توانند کاملاً واقعی باشند. بنابراین ، آنها را باید حتی در مرحله طراحی سیستم های ابری در نظر داشت.
فراتر از آسمان هفتم
پولس رسول ادعا کرد مردی را می شناسد که تا آسمان هفتم گرفتار شده بود. از آن زمان ، عبارت "آسمان هفتم" به طور محکم برای تعیین بهشت جا افتاده است. با این حال ، همه مقدسین مسیحی افتخار دیدار حتی اولین آسمان را نداشتند ، با این وجود ، چنین شخصی وجود ندارد که در خواب نبیند که حداقل با یک چشم به آسمان هفتم نگاه کند.
شاید این افسانه بود که باعث شد سازندگان Trend Micro یکی از پروژه های محافظت از ابر خود را Cloud Nine - نهمین ابر نام ببرند. این به وضوح بالاتر از هفتم است. با این حال ، در حال حاضر این نام به انواع مختلفی از موارد داده شده است: آهنگ ها ، داستان های کارآگاهی ، بازی های رایانه ای ، اما کاملاً محتمل است که این نام از افسانه مسیحی پولس الهام گرفته شده باشد.
با این حال ، تا کنون شرکت Trend Micro تنها اطلاعاتی منتشر کرده است که Cloud Nine با رمزگذاری داده ها در ابر مرتبط است. این رمزگذاری داده است که می تواند در برابر بیشتر تهدیدات داده ها در ابر عمومی محافظت کند ، بنابراین چنین پروژه هایی اکنون به طور فعال توسعه می یابند. بیایید تصور کنیم که چه ابزارهای حفاظتی هنوز می توانند برای کاهش خطرات توصیف شده در بالا مفید باشند.
اول از همه ، شما باید احراز هویت معتبری را برای کاربران ابر و اجزای آن ارائه دهید. برای انجام این کار ، به احتمال زیاد می توانید از سیستم های احراز هویت تک آماده (SSO) استفاده کنید که بر اساس Kerberos و پروتکل احراز هویت سخت افزاری متقابل طراحی شده اند. در مرحله بعد ، به سیستم های مدیریت هویت احتیاج دارید که به شما اجازه می دهد با استفاده از مدیریت مبتنی بر نقش ، دسترسی کاربران را به سیستم های مختلف پیکربندی کنید. البته ، شما باید با تعریف نقش ها و حداقل حقوق برای هر نقش ، کار کنید ، اما هنگامی که سیستم را پیکربندی کردید ، می توانید برای مدت طولانی از آن استفاده کنید.
هنگامی که همه شرکت کنندگان در فرایند و حقوق آنها تعریف می شود ، باید بر رعایت این حقوق و تشخیص خطاهای اداری نظارت کنید. این امر به سیستم های پردازش رویداد از طریق محافظت از عناصر ابر و مکانیسم های حفاظتی اضافی مانند فایروال ، آنتی ویروس ها ، IPS و سایر موارد نیاز دارد. درست است ، ارزش استفاده از گزینه هایی را دارد که می توانند در محیط مجازی سازی کار کنند - این م moreثرتر خواهد بود.
علاوه بر این ، شما همچنین باید از نوعی ماشین کلاهبرداری استفاده کنید که به شما امکان می دهد تقلب در استفاده از ابرها را تشخیص دهید ، یعنی سخت ترین خطر دخالت در فرایندهای تجاری را کاهش دهید. درست است ، در حال حاضر در بازار ، به احتمال زیاد ، هیچ دستگاه تقلبی وجود ندارد که اجازه کار با ابرها را بدهد ، با این وجود ، فناوری هایی برای تشخیص موارد کلاهبرداری و سوء استفاده قبلاً برای تلفن کار شده است. از آنجا که یک سیستم صورتحساب باید در ابرها اجرا شود ، دستگاه کلاهبرداری باید به آن متصل شود. بنابراین ، حداقل می توان تهدیدهای فرایندهای تجاری ابری را کنترل کرد.
از چه مکانیسم های دفاعی دیگری می توان برای محافظت از ابرها استفاده کرد؟ سوال هنوز باز است.
روش های مختلفی برای ایجاد زیرساخت فناوری اطلاعات شرکت ها وجود دارد. استقرار همه منابع و خدمات در بستر ابری تنها یکی از آنهاست. با این حال ، پیش داوری ها در مورد امنیت راه حل های ابری اغلب مانعی در این راه می شوند. در این مقاله ، ما نحوه چیدمان سیستم امنیتی در ابر یکی از معروف ترین ارائه دهندگان روسی - Yandex را درک خواهیم کرد.
یک افسانه دروغ است ، اما یک اشاره در آن وجود دارد
می توان آغاز این داستان را مانند یک افسانه معروف بیان کرد. سه مدیر در شرکت حضور داشتند: ارشد یک فرد باهوش بود ، مدیر میانی این و آن ، کوچکترین ... کارآموز enikeys بود. من کاربران را در Active Directory راه اندازی کردم و دنباله ها را به tsiska پیچاندم. زمان گسترش شرکت فرا رسیده است و پادشاه ، یعنی رئیس ، ارتش سرپرست خود را فراخواند. او می گوید ، آرزو می کنم ، خدمات وب جدیدی برای مشتریان ما ، ذخیره فایل خود ما ، پایگاه های داده مدیریت شده و ماشین های مجازی برای آزمایش نرم افزار باشد.
جوانترین بلافاصله پیشنهاد ایجاد زیرساخت خود را از ابتدا: خرید سرور ، نصب و پیکربندی نرم افزار ، گسترش کانال اصلی اینترنت و افزودن یک نسخه پشتیبان به آن - برای اطمینان. و شرکت آرام تر است: سخت افزار همیشه در دسترس است ، در هر زمان می توانید چیزی را جایگزین یا پیکربندی کنید ، و او خود فرصتی عالی برای تقویت مهارت های مدیر خود خواهد داشت. آنها محاسبه کردند و اشک ریختند: شرکت قادر به پرداخت چنین هزینه هایی نخواهد بود. مشاغل بزرگ می توانند این کار را انجام دهند ، اما برای مشاغل متوسط و کوچک بسیار گران تمام می شود. خوب ، شما فقط نیازی به خرید تجهیزات ، تجهیز اتاق سرور ، آویزان کردن کولرها و تنظیم هشدارهای آتش سوزی ندارید ، همچنین باید نظم و ترتیب ساعت را به منظور حفظ نظم روز و شب و دفع حملات شبکه ای افراد هجوم آور از اینترنت ، سازماندهی کنید. به و به دلایلی ، مدیران نمی خواستند شب و آخر هفته کار کنند. اگر فقط برای پرداخت دو برابر.
مدیر ارشد با تامل به پنجره ترمینال نگاه کرد و پیشنهاد کرد همه خدمات را در ابر قرار دهید. اما سپس همکارانش شروع به ترساندن یکدیگر با داستان های وحشتناک کردند: آنها می گویند که زیرساخت ابری دارای رابط ها و API های محافظت نشده است و بار مشتریان مختلف را متعادل نمی کند ، که می تواند به منابع شما آسیب برساند و همچنین در برابر سرقت اطلاعات و حملات خارجی ناپایدار است. به و به طور کلی ، انتقال کنترل داده ها و نرم افزارهای مهم به افراد غیر مجاز که با آنها یک پوند نمک نخورده اید و یک سطل آبجو نوشیده اید ، ترسناک است.
Mediocre این ایده را مطرح کرد که کل سیستم فناوری اطلاعات را در مرکز داده ارائه دهنده و در کانال های آن قرار دهید. در آن و تصمیم گرفت. با این حال ، چندین شگفتی در انتظار سه نفر ما بود ، که همه آنها خوشایند نبودند.
اول ، هر زیرساخت شبکه ای به دسترسی اجباری ابزارهای امنیتی و حفاظتی نیاز دارد که البته به کار گرفته شده ، پیکربندی و راه اندازی شده است. اما هزینه منابع سخت افزاری مورد استفاده آنها ، همانطور که معلوم شد ، باید توسط خود مشتری پرداخت شود. و سیستم امنیت اطلاعات مدرن منابع قابل توجهی را مصرف می کند.
ثانیاً ، تجارت به رشد خود ادامه داد و زیرساخت های ایجاد شده از ابتدا به سرعت به سقف مقیاس پذیری رسید. علاوه بر این ، برای گسترش آن ، تغییر ساده تعرفه کافی نیست: در این مورد ، بسیاری از خدمات باید به سرورهای دیگر منتقل شوند ، پیکربندی مجدد شوند و چیزی کاملاً از ابتدا دوباره طراحی شود.
سرانجام ، یک روز ، به دلیل آسیب پذیری بحرانی در یکی از برنامه ها ، کل سیستم خراب شد. سرپرستان به سرعت آن را از نسخه های پشتیبان تهیه کردند ، اما آنها نتوانستند به سرعت دلایل اتفاقی را بیابند ، زیرا فراموش کرده اند که برای خدمات ورود به سیستم پشتیبان تهیه کنند. زمان ارزشمندی از دست رفت و زمان ، همانطور که خرد عمومی می گوید ، پول است.
محاسبه هزینه ها و جمع بندی نتایج ، مدیریت شرکت را به نتایج ناامیدکننده ای رساند: ادمینی که از همان ابتدا پیشنهاد کرد از مدل ابری IaaS - "زیرساخت بعنوان یک سرویس" استفاده کند ، درست می گفت. در مورد امنیت چنین پلتفرم ها ، ارزش صحبت در مورد آن به طور جداگانه را دارد. و ما این کار را با استفاده از مثال محبوب ترین چنین سرویس هایی - Yandex.Cloud انجام می دهیم.
امنیت در Yandex.Cloud
بیایید شروع کنیم ، همانطور که گربه Cheshire به دختر آلیس توصیه کرد ، از ابتدا. یعنی از مسئله تعیین مسئولیت. در Yandex.Cloud ، مانند سایر بسترهای مشابه ، ارائه دهنده مسئول امنیت خدمات ارائه شده به کاربران است ، در حالی که مشتری مسئول اطمینان از عملکرد صحیح برنامه های توسعه یافته ، سازماندهی و محدود کردن دسترسی از راه دور به منابع اختصاصی است. ، پیکربندی پایگاه داده ها و ماشین های مجازی ، کنترل ورود به سیستم. با این حال ، برای این کار تمام ابزارهای لازم در اختیار او قرار می گیرد.
امنیت زیرساخت های ابری Yandex دارای چندین سطح است که هر یک از آنها اصول حفاظتی خاص خود را اجرا می کند و از زرادخانه ای جداگانه از فناوری ها استفاده می کند.
لایه فیزیکی
بر هیچ کس پوشیده نیست که Yandex مراکز داده خود را دارد که توسط بخش های امنیتی خود ارائه می شود. ما نه تنها در مورد خدمات نظارت تصویری و کنترل دسترسی که برای جلوگیری از ورود افراد خارجی به اتاق سرور طراحی شده است صحبت می کنیم ، بلکه در مورد سیستم های کنترل آب و هوا ، اطفاء حریق و منبع تغذیه بی وقفه نیز صحبت می کنیم. اگر قفل سرور شما یکبار از آب پاشش آب پر شود ، یا اگر بعد از خرابی کولر گازی بیش از حد گرم شوند ، از نگهبانان امنیتی کم استفاده می شود. این امر قطعاً در مراکز داده Yandex برای آنها اتفاق نخواهد افتاد.
علاوه بر این ، سخت افزار Cloud از نظر فیزیکی از "Yandex بزرگ" جدا شده است: آنها در قفسه های مختلف قرار دارند ، اما به همان ترتیب آنها به طور منظم تعمیر و نگهداری و جایگزینی قطعات را انجام می دهند. در مرز این دو زیرساخت ، از فایروال های سخت افزاری و در داخل Cloud - یک فایروال نرم افزاری مبتنی بر میزبان استفاده می شود. علاوه بر این ، سوئیچ های برتر از سیستم کنترل دسترسی (ACL) استفاده می کنند که امنیت کل زیرساخت ها را تا حد زیادی افزایش می دهد. Yandex به طور مداوم ابر را از خارج در جستجوی پورت های باز و خطاهای پیکربندی اسکن می کند ، به طوری که آسیب پذیری بالقوه می تواند از قبل شناسایی و حذف شود. برای کارکنانی که با منابع Cloud کار می کنند ، یک سیستم احراز هویت متمرکز با استفاده از کلیدهای SSH با یک مدل دسترسی مبتنی بر نقش اجرا شده است و همه جلسات مدیر ثبت می شود. این رویکرد بخشی از مدل Secure by default است که به طور گسترده توسط Yandex استفاده می شود: امنیت در مرحله طراحی و توسعه در زیرساخت فناوری اطلاعات گنجانده شده است و بعداً اضافه نمی شود ، زمانی که همه چیز قبلاً به کار گرفته شده است.
سطح زیرساخت
در سطح "منطق سخت افزاری و نرم افزاری" ، Yandex.Cloud از سه سرویس زیرساختی استفاده می کند: Compute Cloud ، Virtual Private Cloud و Yandex Managed Services. و اکنون در مورد هر یک از آنها با جزئیات بیشتر.
ابر محاسبه کنید
این سرویس قدرت محاسباتی مقیاس پذیر را برای کارهای مختلف ، مانند میزبانی پروژه های وب و خدمات با بار زیاد ، آزمایش و نمونه سازی اولیه ، یا مهاجرت موقت زیرساخت های فناوری اطلاعات برای دوره تعمیر یا تعویض تجهیزات خاص خود فراهم می کند. می توانید سرویس را از طریق کنسول ، خط فرمان (CLI) ، SDK یا API مدیریت کنید.
امنیت رایانش مبتنی بر این واقعیت است که همه ماشین های مجازی مشتری حداقل از دو هسته استفاده می کنند و هیچ تعهدی بیش از حد در تخصیص حافظه وجود ندارد. از آنجا که در این مورد فقط کد مشتری روی هسته اجرا می شود ، سیستم مستعد آسیب پذیری هایی مانند L1TF ، Spectre و Meltdown یا حملات جانبی نیست.
علاوه بر این ، Yandex از مونتاژ Qemu / KVM خود استفاده می کند ، که در آن همه چیز غیر ضروری غیرفعال شده است ، و تنها حداقل مجموعه کد و کتابخانه های لازم برای عملکرد hypervisors باقی می ماند. در همان زمان ، فرآیندها تحت کنترل ابزارهای مبتنی بر AppArmor راه اندازی می شوند ، که با استفاده از سیاست های امنیتی ، تعیین می کند که یک برنامه خاص به چه منابع سیستم و با چه امتیازاتی می تواند دسترسی داشته باشد. AppArmor که روی هر ماشین مجازی اجرا می شود ، خطر دسترسی یک برنامه سرویس گیرنده به ماشین مجازی از VM را کاهش می دهد. برای دریافت و پردازش گزارشات ، Yandex فرایندی را برای انتقال داده ها از AppArmor و جعبه های سند به Splunk خود ایجاد کرده است.
ابر خصوصی مجازی
سرویس Virtual Private Cloud به شما امکان می دهد شبکه های ابری ایجاد کنید که برای انتقال اطلاعات بین منابع مختلف و اتصال آنها به اینترنت استفاده می شود. این سرویس از نظر فیزیکی توسط سه مرکز داده مستقل پشتیبانی می شود. در این محیط ، جداسازی منطقی در سطح ارتباطات چند پروتکلی - MPLS انجام می شود. در همان زمان ، Yandex به طور مداوم رابط SDN و hypervisor را فاش می کند ، یعنی از طرف ماشین های مجازی ، یک جریان از بسته های ناقص به طور مداوم به محیط خارجی ارسال می شود تا از SDN پاسخ دریافت کند ، آن را تجزیه و تحلیل کرده و ممکن را ببندد. شکاف های پیکربندی هنگام ایجاد ماشین های مجازی ، حفاظت از DDoS به طور خودکار فعال می شود.
خدمات مدیریت شده Yandex
Yandex Managed Services یک محیط نرم افزاری برای مدیریت خدمات مختلف است: DBMS ، خوشه های Kubernetes ، سرورهای مجازی در زیرساخت Yandex.Cloud. این جایی است که سرویس بیشتر کارهای امنیتی را بر عهده می گیرد. کلیه پشتیبان گیری ، رمزگذاری پشتیبان گیری ، مدیریت آسیب پذیری و غیره به طور خودکار توسط نرم افزار Yandex.Cloud ارائه می شود.
ابزارهای واکنش به حوادث
برای پاسخگویی به موقع به حوادث امنیت اطلاعات ، لازم است منبع مشکل را به موقع شناسایی کنیم. برای این منظور ، لازم است از ابزارهای نظارتی قابل اطمینان استفاده کنید که باید شبانه روزی و بدون وقفه کار کنند. چنین سیستم هایی به ناچار منابع مصرف می کنند ، اما Yandex.Cloud هزینه محاسبه قدرت ابزارهای امنیتی را به کاربران پلتفرم منتقل نمی کند.
هنگام انتخاب جعبه ابزار ، Yandex با یک الزام مهم دیگر راهنمایی شد: در صورت سوء استفاده موفقیت آمیز از آسیب پذیری 0 روزه در یکی از برنامه ها ، مهاجم نباید میزبان برنامه را ترک کند ، در حالی که تیم امنیتی باید فوراً در مورد حادثه بیاموزد و واکنش نشان دهد مورد نیاز
آخرین و مهمترین ، آرزو این بود که همه ابزارها باید منبع باز باشند. این معیارها به طور کامل توسط بسته نرم افزاری AppArmor + Osquery ، که تصمیم گرفته شد در Yandex.Cloud استفاده شود ، برآورده می شود.
AppArmor
AppArmor در بالا ذکر شد: این یک ابزار نرم افزاری حفاظتی مبتنی بر پروفایل های امنیتی قابل تنظیم است. پروفایل ها از فناوری برچسب گذاری حریم خصوصی کنترل اجباری (MAC) استفاده می کنند که با استفاده از LSM مستقیماً در هسته لینوکس از نسخه 2.6 پیاده سازی شده است. توسعه دهندگان Yandex به دلایل زیر AppArmor را انتخاب کردند:
- سبکی و سرعت ، زیرا ابزار به قسمتی از هسته لینوکس متکی است.
- این یک راه حل منبع باز است ؛
- AppArmor را می توان خیلی سریع بر روی لینوکس بدون نوشتن هیچ کدی مستقر کرد.
- پیکربندی انعطاف پذیر با استفاده از فایل های پیکربندی امکان پذیر است.
اسکوئری
Osquery یک ابزار نظارت بر امنیت سیستم است که توسط فیس بوک توسعه یافته است و در حال حاضر با موفقیت در بسیاری از صنایع فناوری اطلاعات استفاده می شود. در عین حال ، این ابزار چند پلت فرم و منبع باز است.
با Osquery ، می توانید اطلاعاتی در مورد وضعیت اجزای مختلف سیستم عامل جمع آوری کرده ، آنها را جمع آوری کرده ، آنها را به یک قالب استاندارد JSON تبدیل کرده و برای گیرنده انتخاب شده ارسال کنید. این ابزار به شما امکان می دهد پرس و جوهای استاندارد SQL را به برنامه خود بنویسید و ارسال کنید که در پایگاه داده rocksdb ذخیره می شوند. می توانید فرکانس و شرایط اجرای یا پردازش این درخواست ها را سفارشی کنید.
جداول استاندارد قبلاً ویژگی های زیادی را پیاده سازی کرده اند ، به عنوان مثال ، می توانید لیستی از فرآیندهای در حال اجرا روی سیستم ، بسته های نصب شده ، مجموعه فعلی قوانین iptables ، موجودیت های crontab و غیره را دریافت کنید. خارج از جعبه ، پشتیبانی از دریافت و تجزیه رویدادها از سیستم حسابرسی هسته اجرا شده است (در Yandex.Cloud برای رسیدگی به رویدادهای AppArmor استفاده می شود).
Osquery خود به زبان C ++ نوشته شده و با منبع باز توزیع می شود ، می توانید آنها را تغییر دهید و هر دو جداول جدیدی را به پایگاه کد اصلی اضافه کنید و پسوندهای خود را در C ، Go یا Python ایجاد کنید.
یکی از ویژگی های مفید Osquery وجود یک سیستم پرس و جو توزیع شده است که با استفاده از آن می توانید پرس و جوها را در زمان واقعی برای همه ماشین های مجازی موجود در شبکه اجرا کنید. این می تواند مفید باشد ، به عنوان مثال ، اگر یک آسیب پذیری در یک بسته پیدا شود: با یک پرس و جو ، می توانید لیستی از ماشین هایی را که این بسته بر روی آنها نصب شده است دریافت کنید. این ویژگی هنگام مدیریت سیستم های توزیع شده بزرگ با زیرساخت های پیچیده بسیار مورد استفاده قرار می گیرد.
نتیجه گیری
اگر به داستانی که در ابتدای این مقاله گفته شد بازگردیم ، خواهیم دید که ترس هایی که قهرمانان ما را از استقرار زیرساخت ها بر روی سکوی ابری امتناع کرده است بی اساس بوده است. حداقل در مورد Yandex.Cloud صحبت می شود. امنیت زیرساخت ابری ایجاد شده توسط Yandex دارای معماری چند لایه است و بنابراین سطح بالایی از حفاظت را در برابر اکثر تهدیدهای شناخته شده در حال حاضر ارائه می دهد.
در عین حال ، به دلیل صرفه جویی در نگهداری معمول سخت افزار و پرداخت منابع مصرف شده توسط سیستم های نظارت و هشدار حوادث که Yandex انجام می دهد ، استفاده از Yandex.Cloud به طور قابل توجهی برای مشاغل کوچک و متوسط صرفه جویی می کند. البته کنار گذاشتن کامل بخش فناوری اطلاعات یا بخش مسئول امنیت اطلاعات (به ویژه اگر هر دوی این نقشها در یک تیم ترکیب شوند) کارساز نخواهد بود. اما Yandex.Cloud هزینه کار و هزینه های سربار را به میزان قابل توجهی کاهش می دهد.
از آنجایی که Yandex.Cloud زیرساخت های ایمن و تمام ابزارهای امنیتی لازم را در اختیار مشتریان خود قرار می دهد ، آنها می توانند روی فرایندهای تجاری تمرکز کرده و وظایف سرویس و نظارت سخت افزار را به ارائه دهنده واگذار کنند. این امر نیازی به مدیریت فعلی VM ها ، پایگاه داده ها و برنامه های کاربردی را برطرف نمی کند ، اما چنین طیفی از وظایف باید در هر صورت حل شود. به طور کلی ، می توان گفت که Yandex.Cloud نه تنها در هزینه ، بلکه در زمان نیز صرفه جویی می کند. و دوم ، برخلاف اولی ، یک منبع غیر قابل تعویض است.
GRIGORIEV1 ویتالی روبرتوویچ ، نامزد علوم فنی ، دانشیار KUZNETSOV2 ولادیمیر سرگئیویچ
مشکلات شناسایی آسیب پذیری ها در مدل محاسباتی ابر
این مقاله مروری بر رویکردهای ایجاد یک مدل مفهومی از رایانش ابری و همچنین مقایسه دیدگاه های موجود در زمینه شناسایی آسیب پذیری های ذاتی در سیستم های ساخته شده بر اساس این مدل را ارائه می دهد. کلیدواژه ها: رایانش ابری ، آسیب پذیری ، هسته تهدید ، مجازی سازی
هدف از این مقاله ارائه مروری بر رویکردهای ایجاد یک مدل رایانش ابری مفهومی است که در معماری مرجع محاسبات ابری NIST بیان شده است ، و مقایسه دیدگاه های سازمان های پیشرو در این زمینه در مورد آسیب پذیری های این مدل محاسباتی ، و همچنین بازیگران اصلی بازار رایانش ابری
رایانش ابری مدلی است که دسترسی راحت و درخواستی به منابع محاسبه اشتراکی قابل تنظیم (شبکه ها ، سرورها ، ذخیره داده ها ، برنامه ها و خدمات) را فراهم می کند که به سرعت با حداقل مدیریت و تعامل ارائه دهنده خدمات ارائه می شود. این تعریف موسسه استاندارد ملی (NIST) به طور گسترده در سراسر صنعت پذیرفته شده است. تعریف رایانش ابری شامل پنج ویژگی اساسی ، سه مدل سرویس و چهار مدل استقرار است.
پنج ویژگی اصلی
سلف سرویس در صورت درخواست
کاربران قادر به دستیابی ، کنترل و مدیریت منابع محاسباتی بدون کمک مدیران سیستم هستند. دسترسی گسترده به شبکه - خدمات محاسبه بر روی شبکه های استاندارد و دستگاه های ناهمگن ارائه می شود.
کشش عملیاتی - 1T-
در صورت نیاز می توان منابع را به سرعت در هر جهتی افزایش داد.
منابع منابع - منابع فناوری اطلاعات توسط برنامه ها و کاربران مختلف در حالت قطع به اشتراک گذاشته می شوند.
محاسبه هزینه خدمات - استفاده از منابع 1T برای هر برنامه و کاربر ، به عنوان یک قاعده ، برای ارائه صورتحساب برای ابر عمومی و پرداخت های داخلی برای استفاده از ابرهای خصوصی ، پیگیری می شود.
سه مدل سرویس
نرم افزار به عنوان سرویس (SaaS) - معمولاً برنامه ها به عنوان سرویس از طریق مرورگر وب به کاربران نهایی تحویل داده می شوند. امروزه صدها پیشنهاد SaaS وجود دارد ، از برنامه های افقی سازمانی گرفته تا پیشنهادات خاص صنعت ، و همچنین برنامه های کاربردی مصرف کننده مانند ایمیل.
پلتفرم به عنوان یک سرویس (PaaS) - یک پلت فرم توسعه و استقرار برنامه به عنوان یک سرویس به توسعه دهندگان برای ایجاد ، استقرار و مدیریت برنامه های SaaS ارائه می شود. به طور معمول ، این پلت فرم شامل پایگاه های داده ، میان افزار و ابزارهای توسعه است که همه آنها به عنوان سرویس از طریق اینترنت ارائه می شوند. PaaS اغلب یک زبان برنامه نویسی یا API مانند جاوا یا پایتون را هدف قرار می دهد. معماری محاسباتی توزیع شده مجازی و خوشه ای اغلب به عنوان پایه ای برای سیستم ها عمل می کند
1 - MSTU MIREA ، دانشیار گروه امنیت اطلاعات ؛
2 - دانشگاه دولتی رادیو الکترونیک و اتوماسیون مسکو (MSTU MIREA) ، دانشجو.
بهشت ، از آنجا که ساختار شبکه منابع شبکه مقیاس پذیری الاستیک لازم و تجمع منابع را فراهم می کند. زیرساخت به عنوان یک سرویس (IaaS) - سرورها ، سخت افزارهای ذخیره سازی و شبکه به عنوان یک سرویس ارائه می شوند. این سخت افزار زیرساخت اغلب مجازی سازی می شود ، بنابراین مجازی سازی ، مدیریت و نرم افزار سیستم عامل نیز بخشی از LaaR هستند.
چهار مدل استقرار
ابرهای خصوصی - برای استفاده منحصر به فرد یک سازمان طراحی شده اند و معمولاً توسط مراکز داده خصوصی کنترل ، مدیریت و میزبانی می شوند. میزبانی و مدیریت ابرهای خصوصی را می توان به یک ارائه دهنده خدمات خارجی واگذار کرد ، اما اغلب
ابر جدید در استفاده انحصاری یک سازمان باقی می ماند. ابرهای عمومی - توسط بسیاری از سازمانها (کاربران) به اشتراک گذاشته می شود ، توسط ارائه دهندگان خدمات خارجی نگهداری و مدیریت می شوند.
ابرهای گروهی - توسط گروهی از سازمانهای مرتبط که به دنبال استفاده از محیط رایانش ابری مشترک هستند استفاده می شود. به عنوان مثال ، یک گروه ممکن است از شاخه های مختلف ارتش ، همه دانشگاه های یک منطقه معین یا همه تامین کنندگان یک تولید کننده اصلی تشکیل شده باشد.
ابرهای ترکیبی - هنگامی ظاهر می شوند که یک سازمان از یک ابر خصوصی و عمومی برای یک برنامه یکسان استفاده می کند تا از هر دو استفاده کند. به عنوان مثال ، در یک سناریوی "طوفان" ، یک سازمان-کاربر در صورت بارگذاری استاندارد بر روی برنامه
از یک ابر خصوصی استفاده می کند ، و هنگامی که بار به حداکثر می رسد ، به عنوان مثال ، در پایان یک چهارم یا در فصل تعطیلات ، از پتانسیل ابر عمومی استفاده می کند و متعاقباً این منابع را در صورت عدم نیاز به استخر عمومی باز می گرداند.
در شکل 1 مدل مفهومی محاسبات ابری را با توجه به سند "معماری مرجع محاسبات ابری NIST" نشان می دهد. همانطور که در شکل نشان داده شده است. مدل 1 در استاندارد شرکت کنندگان اصلی در سیستم ابر را برجسته می کند: مصرف کننده ابر ، ارائه دهنده ابر ، حسابرس ابر ، واسطه ابر ، واسطه ابر. هر شرکت کننده شخص یا سازمانی است که وظایف خود را در زمینه پیاده سازی یا ارائه محاسبات ابری انجام می دهد. مصرف کننده ابر - شخص یا سازمانی که تعاملات تجاری خود را با دیگران حفظ می کند
مصرف کننده ابر
حسابرس ابر
ج حسابرسی امنیتی L I J
I محرمانه بودن حسابرسی I J
(حسابرسی خدمات ارائه شده |
ارائه دهنده ابر
مجموعه ای از سطوح
سطح دلخواه
^ خدمات به عنوان خدمات ^ ^ پلت فرم به عنوان خدمات ^ زیرساخت ها به عنوان خدمات)
سطح انتزاع
لایه فیزیکی
سرویس ابری
^ J پشتیبانی ^ J سفارشی سازی
قابلیت حمل
کارگزار ابر
واسطه ابری
برنج. 1. مدل مفهومی توسعه یافته توسط متخصصان NIST
شبکه tori و از خدمات ارائه دهندگان ابر استفاده می کند. ارائه دهنده ابر - شخص ، سازمان یا هر شخصی که مسئول در دسترس بودن خدمات ارائه شده به مصرف کنندگان علاقه مند است. حسابرس ابری - مشارکت کننده ای که می تواند ارزیابی های مستقل از خدمات ، خدمات و امنیت اجرای ابر را انجام دهد. یک کارگزار ابر مشارکت کننده ای است که استفاده ، عملکرد و ارائه خدمات ابری به مصرف کننده را مدیریت می کند و در مورد تعامل بین ارائه دهندگان ابر و مصرف کنندگان ابر مذاکره می کند. واسطه ابری - واسطه ای که ارتباط و ارائه خدمات ابری را بین ارائه دهندگان ابر و مصرف کنندگان ابر فراهم می کند.
مزایا و چالش های رایانش ابری
نظرسنجی های اخیر از متخصصان فناوری اطلاعات نشان می دهد که رایانش ابری هنگام سازماندهی خدمات توزیع شده دو مزیت اصلی را ارائه می دهد - سرعت و هزینه. با دسترسی مستقل به مجموعه ای از منابع محاسباتی ، کاربران می توانند در طی چند دقیقه و نه در هفته ها یا ماهها ، مانند گذشته ، در فرایندهای مورد علاقه خود قرار گیرند. ظرفیت محاسبه نیز به لطف محیط محاسبات Grid مقیاس پذیر به سرعت در حال تغییر است. از آنجایی که در محاسبات ابری ، کاربران فقط هزینه استفاده خود را پرداخت می کنند و مقیاس پذیری و اتوماسیون به سطح بالایی می رسد ، نسبت هزینه و کارایی خدمات ارائه شده نیز برای همه شرکت کنندگان در فرایندهای مبادله یک عامل بسیار جذاب است.
همان نظرسنجی ها نشان می دهد که تعدادی از ملاحظات جدی مانع از حرکت برخی از شرکت ها به ابر می شود. در میان این ملاحظات ، امنیت رایانش ابری بسیار پیشرو است.
برای ارزیابی مناسب امنیت در سیستم های ابری ، منطقی است که دیدگاه های تهدیدات در این زمینه از بازیگران اصلی بازار را بررسی کنیم. ما رویکردهای تهدید ابر فعلی ارائه شده در نقشه راه استانداردهای محاسبه ابر NIST را با روش های ارائه شده توسط IBM ، Oracle و VmWare مقایسه خواهیم کرد.
استاندارد امنیت ملی موسسه استانداردهای ملی ایالات متحده
نقشه راه استانداردهای محاسبات ابری NIST ، که توسط NIST تصویب شده است ، انواع احتمالی حملات به خدمات رایانش ابری را پوشش می دهد:
♦ به خطر انداختن محرمانه بودن و در دسترس بودن داده های منتقل شده توسط ارائه دهندگان ابر ؛
♦ حملاتی که از ویژگی ها و قابلیت های ساختاری محیط محاسبات ابری ناشی می شوند تا آسیب ها را افزایش داده و افزایش دهند.
access دسترسی غیرمجاز مصرف کننده (از طریق احراز هویت یا مجوز نادرست ، یا آسیب پذیری هایی که از طریق تعمیر و نگهداری دوره ای ایجاد می شود) به نرم افزار ، داده ها و منابع مورد استفاده مصرف کننده مجاز سرویس ابری ؛
♦ افزایش سطح حملات شبکه مانند DoS ، سوء استفاده از نرم افزار ، توسعه آنها مدل تهدید منابع توزیع شده اینترنت و همچنین آسیب پذیری منابع قابل دسترسی از شبکه های خصوصی را در نظر نگرفته است.
possibilities امکانات محدود برای رمزگذاری داده ها در محیطی با تعداد زیادی شرکت کننده ؛
ability قابلیت حمل ناشی از استفاده از API های غیر استاندارد که مهاجرت مصرف کننده ابر را به ارائه دهنده ابری جدید در صورت برآورده نکردن الزامات دسترسی مشکل می کند.
♦ حملاتی که از انتزاع فیزیکی منابع ابری سوء استفاده می کنند و از نقص در سوابق و رویه های حسابرسی استفاده می کنند.
♦ حملات به ماشین های مجازی که مطابق آن به روز نشده اند.
♦ حملات سوء استفاده از ناهماهنگی در سیاست های امنیتی جهانی و خصوصی.
این استاندارد همچنین اهداف اصلی امنیتی برای رایانش ابری را برجسته می کند:
♦ محافظت از داده های کاربر در برابر دسترسی ، افشای ، تغییر یا مشاهده غیر مجاز ؛ به معنای حمایت از خدمات شناسایی به گونه ای است که مصرف کننده این توانایی را دارد که سیاست های شناسایی و کنترل دسترسی را در مورد کاربران مجاز که به خدمات ابری دسترسی دارند ، انجام دهد. این رویکرد به معنای توانایی مصرف کننده برای دسترسی انتخابی به داده های خود برای سایر کاربران است.
♦ حفاظت در برابر تهدیدهای زنجیره تامین ؛ شامل تأیید میزان اعتماد و قابلیت اطمینان ارائه دهنده خدمات به همان میزان اطمینان از نرم افزار و سخت افزار مورد استفاده است.
♦ جلوگیری از دسترسی غیرمجاز به منابع رایانش ابری. شامل ایجاد دامنه های امن است که به طور منطقی از منابع جدا هستند (به عنوان مثال ، جداسازی منطقی بارهای کاری که بر روی یک سرور فیزیکی از طریق یک hypervisor در محیط چندمنظوره اجرا می شوند) و استفاده از تنظیمات پیش فرض امن ؛
♦ توسعه برنامه های وب مستقر در ابر برای مدل تهدید منابع توزیع شده اینترنت و ادغام عملکردهای امنیتی در فرایند توسعه نرم افزار ؛
♦ حفاظت از مرورگرهای اینترنت در برابر حملات برای کاهش ضعف های امنیتی کاربر نهایی. شامل اتخاذ تدابیری برای حفاظت از اتصال رایانه های شخصی به اینترنت از طریق استفاده از نرم افزار ایمن ، فایروال (فایروال) و نصب دوره ای به روزرسانی ها است.
♦ استقرار فناوری های کنترل دسترسی و تشخیص نفوذ
نیازی از ارائه دهنده ابر و انجام ارزیابی مستقل برای در دسترس بودن این موارد ؛ شامل (اما محدود به آن) اقدامات امنیتی محیطی سنتی همراه با مدل امنیتی دامنه نمی شود. امنیت محیطی سنتی شامل محدودیت دسترسی فیزیکی به شبکه و دستگاه ها ، محافظت از اجزای فردی در برابر بهره برداری با به روزرسانی ، تنظیم بیشتر تنظیمات امنیتی به طور پیش فرض ، غیرفعال کردن همه پورت ها و سرویس های بلااستفاده ، استفاده از کنترل دسترسی مبتنی بر نقش ، نظارت بر سوابق حسابرسی ، به حداقل رساندن امتیازات استفاده شده ، با استفاده از بسته های ضد ویروس و اتصالات رمزگذاری شده ؛
♦ تعیین مرزهای قابل اعتماد بین ارائه دهنده خدمات (خدمات) و مصرف کنندگان برای اطمینان از روشن بودن مسئولیت مجاز برای تأمین امنیت ؛
♦ پشتیبانی از قابلیت حمل ، به گونه ای انجام می شود که مصرف کننده این فرصت را داشته باشد که ارائه دهنده ابر را در مواردی که نیاز به رعایت الزامات یکپارچگی ، در دسترس بودن ، محرمانه بودن دارد ، تغییر دهد. این شامل توانایی بستن حساب در لحظه و کپی داده ها از یک ارائه دهنده خدمات به سرویس دیگر است.
بنابراین ، نقشه راه استانداردهای محاسبات ابری NIST ، که توسط NIST تصویب شده است ، لیستی از حملات به سیستم های ابری و لیستی از وظایف اساسی را که باید
با اعمال مقابله می شود
اقدامات مناسب
بیایید تهدیدات مربوط به امنیت اطلاعات سیستم ابری را بیان کنیم:
♦ U1 - تهدید (سازش ، در دسترس بودن و غیره ...) برای داده ها ؛
U2 - تهدیدهای ایجاد شده توسط ویژگی های ساختاری و قابلیت های معماری برای اجرای محاسبات توزیع شده ؛
♦ U4 - تهدیدهای مرتبط با مدل تهدید نادرست ؛
♦ U5 - تهدیدهای مربوط به استفاده نادرست از رمزگذاری (لازم است از رمزگذاری در محیطی که چندین جریان داده وجود دارد استفاده شود) ؛
♦ U6 - تهدیدهای مربوط به استفاده از API های غیر استاندارد در حین توسعه ؛
♦ U7 - تهدیدات مجازی سازی ؛
♦ U8 - تهدیدهایی که از ناهماهنگی در سیاست های امنیتی جهانی استفاده می کنند.
دیدگاه IBM در مورد امنیت رایانش ابری
راهنمای امنیت ابری توصیه های IBM برای پیاده سازی امنیت ابری به ما امکان می دهد در مورد چشم انداز امنیتی IBM نتیجه گیری کنیم. بر اساس این سند ، می توانیم لیست تهدیدهای پیشنهادی قبلی را گسترش دهیم ، یعنی:
♦ U9 - تهدیدهای مرتبط با دسترسی شخص ثالث به منابع فیزیکی \ سیستم ها ؛
♦ U10 - تهدیدهای مرتبط با دفع نادرست (چرخه عمر) اطلاعات شخصی ؛
U11 - تهدیدهای مربوط به نقض قوانین منطقه ای ، ملی و بین المللی در مورد اطلاعات پردازش شده.
رویکردهای IBM ، Oracle و VmWare به امنیت رایانش ابری
اسناد ارائه شده توسط این شرکتها که توصیف کننده دیدگاههای آنها در زمینه امنیت در سیستمهای آنهاست ، اساساً با تهدیدهای فوق تفاوت ندارد.
جدول 1 طبقه بندی اصلی آسیب پذیری هایی است که شرکت ها در محصولات خود فرموله کرده اند. برگه 1 به شما امکان می دهد عدم پوشش کامل تهدیدها را در شرکت های مورد مطالعه مشاهده کرده و "هسته تهدیدات" ایجاد شده توسط شرکت ها در سیستم های ابری خود را تدوین کنید:
♦ تهدید برای داده ها ؛
♦ تهدیدها بر اساس ساختار \ قابلیت های محاسبه توزیع شده ؛
♦ تهدیدهای مرتبط با مدل تهدید نادرست ؛
threats تهدیدات مجازی سازی
نتیجه
مروری بر کلاس های اصلی آسیب پذیری در بستر ابر به ما این امکان را می دهد که به این نتیجه برسیم که در حال حاضر هیچ راه حل آماده ای برای محافظت کامل از ابر به دلیل انواع حملات که از این آسیب پذیری ها استفاده می کنند ، وجود ندارد.
لازم به ذکر است که جدول ساخته شده از کلاس های آسیب پذیری (جدول 1) ، که رویکردهای پیشرو را ادغام می کند
جدول 1. طبقه بندی آسیب پذیری
منبع تهدیدهای اعلام شده
U1 U2 U3 U4 U5 U6 U7 U8 U9 U10 U11
NIST + + + + + + + + + - - - -
IBM + + + + + + - + - + + +
Sun / Oracle + + + + - - + + - - + -
VmWare + + + + - - + - - - -
این صنعت بازیکنان محدود به تهدیدهای ارائه شده در آن نیست. به عنوان مثال ، تهدیدهای مربوط به محو شدن مرزهای بین محیط های دارای سطوح مختلف محرمانه بودن داده ها ، و همچنین محو شدن مرزهای مسئولیت امنیت اطلاعات بین مصرف کننده خدمات و ارائه دهنده ابر را منعکس نمی کند.
بدیهی است که برای پیاده سازی یک سیستم ابری پیچیده ، باید حفاظتی برای یک پیاده سازی خاص ایجاد شود. همچنین ، فقدان استانداردهای FSTEC و FSB برای سیستم های ابری نقش مهمی در پیاده سازی محاسبات ایمن در محیط های مجازی ایفا می کند. استفاده از "هسته تهدیدها" که در کار در مطالعه مشخص شده است منطقی است
وظیفه ایجاد یک مدل واحد از کلاس های آسیب پذیری است. این مقاله دارای ماهیت کلی است ، در آینده برنامه ریزی شده است تا با تجزیه و تحلیل دقیق کلاسهای تهدیدهای مرتبط با مجازی سازی ، رویکردهایی برای ایجاد یک سیستم حفاظتی ایجاد شود که به طور بالقوه مانع از اجرای این تهدیدها می شود.
ادبیات
1. راهنمای امنیت ابر توصیه های IBM برای پیاده سازی امنیت ابر ، ibm.com/redbooks ، 2 نوامبر 2009.
2.http: //www.vmware.com/technical-resources/security/index.html.
3. ابر NIST. معماری مرجع محاسبات ، موسسه ملی استاندارد و. فناوری ، انتشارات ویژه. 500-292 ، سپتامبر 2011.
4. ابر NIST. نقشه راه استانداردهای محاسباتی ، موسسه ملی استاندارد و. فناوری ، انتشارات ویژه. 500-291 ، جولای 2011.
5.http: //www.oracle.com/technetwork/indexes/documentation/index.html.
رایانش ابری به طور جمعی به مجموعه وسیعی از منابع مجازی سازی شده که به راحتی قابل استفاده و در دسترس هستند (مانند سیستم های سخت افزاری ، خدمات و غیره) اشاره دارد. این منابع را می توان به صورت پویا مجدداً تخصیص داد (مقیاس بندی کرد) تا با حجم کاری تغییرپذیر پویا سازگار شده و از استفاده بهینه از منابع اطمینان حاصل شود. این مجموعه منابع معمولاً به صورت پرداختی ارائه می شود. در عین حال ، صاحب ابر بر اساس توافقنامه های خاص با کاربر ، کیفیت خدمات را تضمین می کند.
مطابق با همه موارد فوق ، ویژگی های اصلی زیر در رایانش ابری قابل تشخیص است:
1) رایانش ابری یک الگوی جدید برای تأمین منابع محاسباتی است.
2) منابع زیرساختی اساسی (منابع سخت افزاری ، سیستم های ذخیره سازی ، نرم افزار سیستم) و برنامه های کاربردی به عنوان خدمات ارائه می شوند.
3) این خدمات می تواند توسط یک ارائه دهنده مستقل برای کاربران خارجی به صورت پرداختی ارائه شود ، ویژگی های اصلی رایانش ابری مجازی سازی و مقیاس پذیری پویا است.
4) خدمات ابری را می توان از طریق مرورگر وب یا از طریق API (رابط برنامه نویسی برنامه) به کاربر نهایی ارائه کرد.
مدل کلی رایانش ابری شامل یک قسمت خارجی و یک بخش داخلی است. این دو عنصر از طریق شبکه و در بیشتر موارد از طریق اینترنت به یکدیگر متصل می شوند. از طریق قسمت خارجی ، کاربر با سیستم تعامل می کند. قسمت داخلی در واقع خود ابر است. قسمت جلویی شامل یک رایانه مشتری یا شبکه ای از رایانه های سازمانی و برنامه های کاربردی است که برای دسترسی به ابر استفاده می شود. قسمت داخلی توسط برنامه ها ، رایانه ها ، سرورها و ذخیره داده ها نشان داده می شود که ابری از خدمات را از طریق مجازی سازی ایجاد می کند (شکل 1).
وقتی ماشین های مجازی فیزیکی (VM) موجود از مرکز داده (DC) به ابرهای خارجی منتقل می شوند یا خدمات فناوری اطلاعات خارج از محیط امن در ابرهای خصوصی منتقل می شوند ، محیط شبکه کاملاً بی معنی می شود و سطح کلی امنیت نسبتاً پایین می آید.
در حالی که در مراکز داده سنتی ، دسترسی مهندسان به سرورها در سطح فیزیکی کاملاً کنترل می شود ، در حالی که در محاسبات ابری ، دسترسی مهندسان از طریق اینترنت اتفاق می افتد ، که منجر به بروز تهدیدهای مربوطه می شود. بر این اساس ، کنترل دقیق دسترسی برای مدیران و همچنین اطمینان از کنترل و شفافیت تغییرات در سطح سیستم بسیار مهم است.
ماشین های مجازی پویا هستند. بی ثباتی VM ها ایجاد و نگهداری یک سیستم امنیتی منسجم را بسیار مشکل می کند. آسیب پذیری ها و خطاهای پیکربندی می توانند از کنترل خارج شوند. علاوه بر این ، ثبت وضعیت حفاظت در هر مقطع زمانی خاص برای ممیزی بعدی بسیار دشوار است.
سرورهای رایانش ابری از سیستم عامل مشابه و برنامه های وب مشابه سرورهای مجازی و فیزیکی داخلی استفاده می کنند. بر این اساس ، برای سیستم های ابری ، تهدید هک از راه دور یا عفونت با بدافزار به همان اندازه زیاد است.
تهدید دیگر تهدید یکپارچگی داده ها است: سازش و سرقت داده ها. یکپارچگی سیستم عامل و فایلهای برنامه و همچنین فعالیتهای داخلی باید کنترل شود.
استفاده از سرویس های ابر چند مستاجر ، رعایت الزامات استانداردها و قوانین ، از جمله الزامات استفاده از ابزارهای رمزنگاری ، برای محافظت از اطلاعات حساس مانند اطلاعات مربوط به صاحب یک کارت اعتباری و اطلاعاتی که یک کارت شخص این به نوبه خود وظیفه ای دلهره آور را ارائه می دهد که حفاظت قابل اعتماد و دسترسی ایمن به داده های حساس را ارائه می دهد.
بر اساس تجزیه و تحلیل تهدیدات احتمالی در محاسبات ابری ، یک حفاظت امنیتی سخت افزاری و نرم افزاری احتمالی برای محاسبات ابری ارائه شده است که شامل 5 فناوری است: فایروال ، تشخیص و پیشگیری از نفوذ ، کنترل یکپارچگی ، تجزیه و تحلیل ورود به سیستم و حفاظت در برابر نرم افزارهای مخرب.
ارائه دهندگان رایانش ابری از مجازی سازی برای دسترسی مشتریان خود به منابع محاسباتی کم هزینه استفاده می کنند. در عین حال ، VM های سرویس گیرنده از منابع سخت افزاری یکسانی برخوردارند که برای دستیابی به بیشترین بازده اقتصادی ضروری است. مشتریان سازمانی که علاقه مند به رایانش ابری برای توسعه زیرساخت های فناوری اطلاعات داخلی خود هستند ، باید تهدیدهایی را که چنین حرکتی ایجاد می کند در نظر بگیرند. علاوه بر مکانیسم های سنتی برای محافظت از شبکه مراکز پردازش داده ها ، با استفاده از رویکردهای امنیتی مانند: دیوار آتش ، مناطق غیرنظامی ، تقسیم بندی شبکه ، نظارت بر وضعیت شبکه ، سیستم های تشخیص و پیشگیری از نفوذ ، مکانیسم های حفاظت از داده های نرم افزاری نیز باید در سرورهای مجازی سازی یا VM ، از آنجا که با انتقال ماشین های مجازی به سرویس های ابری عمومی ، محیط شبکه شرکتی به تدریج معنای خود را از دست می دهد و کمترین محافظت از گره ها شروع به تأثیر قابل توجهی بر سطح کلی امنیت می کند. عدم امکان جداسازی فیزیکی و استفاده از سخت افزار امنیتی برای دفع حملات بین ماشین های مجازی است که نیاز به قرار دادن مکانیزم حفاظت در سرور مجازی سازی یا در خود ماشین های مجازی را در پی دارد. پیاده سازی یک روش حفاظتی جامع بر روی ماشین مجازی ، شامل اجرای نرم افزار فایروال ، تشخیص و پیشگیری از نفوذ ، کنترل یکپارچگی ، تجزیه و تحلیل گزارشات و حفاظت در برابر کد مخرب ، م effectiveثرترین راه برای حفاظت از تمامیت ، رعایت الزامات قانونی و رعایت موارد زیر است. سیاست های امنیتی هنگام انتقال منابع مجازی از اینترانت به ابر.
ادبیات:
1. رادچنکو G.I. سیستم های محاسبه توزیع شده // آموزش. - 2012 .-- S. 146-149.
2. Kondrashin M. امنیت محاسبات ابری // اخبار ذخیره سازی. - 2010. - شماره 1.
دروس بر اساس رشته
نرم افزار و سخت افزار امنیت اطلاعات
"امنیت اطلاعات در رایانش ابری: آسیب پذیری ها ، روش ها و وسایل حفاظت ، ابزارهای ممیزی و بررسی حوادث."
معرفی
1. تاریخچه و عوامل کلیدی توسعه
2. تعریف رایانش ابری
3. معماری مرجع
4. توافقنامه سطح خدمات
5. روشها و وسایل حفاظت در محاسبات ابری
6. امنیت مدل های ابری
7. ممیزی امنیتی
8. بررسی حوادث و پزشکی قانونی در محاسبات ابری
9. مدل تهدید
10. استانداردهای بین المللی و داخلی
11. هویت سرزمینی داده ها
12. استانداردهای ایالتی
13. ابزار امنیت ابری
14. قسمت عملی
خروجی
ادبیات
معرفی
سرعت روزافزون محاسبات ابری با این واقعیت توضیح داده می شود که به طور کلی ، پول کمی ، مشتری بدون نیاز به خرید ، نصب و نگهداری رایانه های گران قیمت به مطمئن ترین زیرساخت ها با عملکرد مورد نیاز دسترسی پیدا می کند. سیستم به 99.9 reaches می رسد ، که در منابع محاسباتی نیز صرفه جویی می شود. ... و آنچه مهمتر است - امکانات مقیاس پذیری تقریبا نامحدود. با خرید میزبانی معمولی و تلاش برای پرش از روی سر (با افزایش شدید بار) ، خطر دریافت سرویس متوقف شده برای چندین ساعت وجود دارد. در ابر ، منابع اضافی در صورت درخواست در دسترس است.
مشکل اصلی رایانش ابری ، سطح عدم تضمین امنیت اطلاعات پردازش شده ، میزان حفاظت از منابع و اغلب ، یک چارچوب نظارتی کاملاً غایب است.
هدف از این مطالعه ارائه یک مرور کلی از بازار رایانش ابری موجود و ابزارهایی برای اطمینان از امنیت در آنها خواهد بود.
اطلاعات امنیتی رایانش ابری
1. تاریخچه و عوامل کلیدی توسعه
ایده آنچه ما امروزه محاسبات ابری می نامیم برای اولین بار توسط J. C. R. Licklider در 1970 مطرح شد. در این سالها او مسئول ایجاد ARPANET (شبکه آژانس پروژه های تحقیقاتی پیشرفته) بود. ایده او این بود که همه افراد روی زمین به شبکه ای متصل می شوند که از آن نه تنها داده ها بلکه برنامه ها را نیز دریافت می کند. جان مک کارتی ، دانشمند دیگری این ایده را مطرح کرد که قدرت محاسبه به عنوان یک سرویس (سرویس) در اختیار کاربران قرار می گیرد. بر این اساس ، توسعه فناوری های ابری تا دهه 90 متوقف شد ، پس از آن عوامل متعددی در توسعه آن نقش داشتند.
گسترش پهنای باند اینترنت در دهه 90 امکان پیشرفت قابل توجهی را در زمینه فناوری ابر ایجاد نکرد ، زیرا تقریباً هیچ شرکت و فناوری آن زمان برای این کار آماده نبود. با این حال ، واقعیت شتاب اینترنت به توسعه اولیه محاسبات ابری انگیزه می دهد.
2. یکی از مهمترین تحولات در این زمینه ظهور Salesforce.com در 1999 بود. این شرکت اولین شرکتی بود که از طریق سایت به برنامه خود دسترسی پیدا کرد. در واقع این شرکت اولین شرکتی بود که نرم افزار خود را بر اساس نرم افزار به عنوان سرویس (SaaS) ارائه کرد.
گام بعدی توسعه سرویس وب ابری توسط آمازون در سال 2002 بود. این سرویس امکان ذخیره اطلاعات و انجام محاسبات را فراهم کرد.
در سال 2006 ، آمازون سرویسی با نام Elastic Compute cloud (EC2) را به عنوان یک وب سرویس راه اندازی کرد که به کاربرانش اجازه می داد برنامه های خود را اجرا کنند. Amazon EC2 و Amazon S3 اولین خدمات رایانش ابری موجود بودند.
نقطه عطف دیگری در توسعه رایانش ابری با ایجاد پلت فرم Google Apps برای برنامه های وب در بخش تجاری توسط Google ایجاد شد.
فناوری های مجازی سازی نقش بسزایی در توسعه فناوری های ابری ، به ویژه نرم افزاری که به شما امکان ایجاد زیرساخت مجازی را می دهد ، ایفا کرده اند.
توسعه سخت افزار نه تنها به رشد سریع فناوری های ابری ، بلکه در دسترس بودن این فناوری برای مشاغل و افراد کوچک کمک کرده است. با توجه به پیشرفت تکنولوژیکی ، ایجاد پردازنده های چند هسته ای و افزایش ظرفیت دستگاه های ذخیره اطلاعات نقش مهمی در این زمینه ایفا کردند.
2. تعریف رایانش ابری
طبق تعریف موسسه ملی استاندارد و فناوری ایالات متحده:
پردازش ابری (پردازش ابری) (انگلیسیابر -ابر محاسبه- محاسبات) مدلی برای ارائه دسترسی همه جانبه و راحت به شبکه مورد نیاز به مجموعه ای از منابع محاسباتی قابل تنظیم (به عنوان مثال شبکه ها ، سرورها ، سیستم های ذخیره سازی ، برنامه ها و خدمات) است که می تواند به سرعت تهیه و منتشر شود با حداقل تلاش مدیریتی و نیاز به تعامل با ارائه دهنده خدمات (ارائه دهنده خدمات).
مدل ابری از قابلیت دسترسی بالای خدمات پشتیبانی می کند و با پنج ویژگی اساسی ، سه مدل سرویس / سرویس و چهار مدل استقرار توصیف می شود.
برنامه ها راه اندازی می شوند و نتایج کار را در یک پنجره مرورگر وب استاندارد در رایانه محلی خروجی می دهند ، در حالی که همه برنامه ها و داده های مورد نیاز آنها برای کار بر روی یک سرور از راه دور در اینترنت قرار دارد. رایانه های رایانش ابری را "رایانش ابری" می نامند. در این حالت ، بار بین رایانه های موجود در "ابر محاسباتی" به طور خودکار توزیع می شود. ساده ترین مثال رایانش ابری ، شبکه های p2p است.
برای پیاده سازی محاسبات ابری ، از محصولات میان افزار ایجاد شده با استفاده از فناوری های خاص استفاده می شود. آنها به عنوان پیوند میانی بین تجهیزات و کاربر عمل می کنند و نظارت بر وضعیت تجهیزات و برنامه ها ، توزیع بار برابر و تأمین به موقع منابع از یک مجموعه مشترک را فراهم می کنند. یکی از این فناوری ها مجازی سازی در محاسبات است.
مجازی سازی در محاسبات- فرایند نمایش مجموعه ای از منابع محاسباتی یا ترکیب منطقی آنها ، که مزایایی نسبت به پیکربندی اصلی دارد. این یک نمای مجازی جدید از منابع قطعات تشکیل دهنده است که با اجرا ، پیکربندی فیزیکی یا موقعیت جغرافیایی محدود نمی شود. به طور معمول ، منابع مجازی شامل قدرت محاسبه و ذخیره اطلاعات است. از نظر علمی ، مجازی سازی جداسازی فرآیندها و منابع محاسباتی از یکدیگر است.
نمونه ای از مجازی سازی معماری رایانه چند پردازنده متقارن است که از بیش از یک پردازنده استفاده می کند. سیستم عامل ها معمولاً طوری پیکربندی می شوند که چندین پردازنده به عنوان یک واحد پردازنده واحد ظاهر شوند. به همین دلیل است که برنامه های نرم افزاری را می توان برای یک منطق ( مجازی) ماژول محاسباتی ، که بسیار آسانتر از کار با تعداد زیادی پیکربندی پردازنده مختلف است.
برای محاسبات بسیار بزرگ و با منابع زیاد ، از محاسبات شبکه استفاده می شود.
محاسبات شبکه ای (توری - lattice، network) نوعی محاسبه توزیع شده است که در آن "ابر رایانه مجازی" به صورت مجموعه ای از رایانه های شبکه ای ، به هم پیوسته و ناهمگن که برای انجام تعداد زیادی از وظایف (عملیات ، مشاغل) با یکدیگر کار می کنند ، نشان داده می شود.
از این فناوری برای حل مسائل علمی و ریاضی که نیاز به منابع محاسباتی قابل توجهی دارد استفاده می شود. محاسبات شبکه ای نیز در زیرساخت های تجاری برای حل کارهای زمان بر مانند پیش بینی اقتصادی ، تحلیل لرزه ای و توسعه و مطالعه خواص داروهای جدید استفاده می شود.
از دیدگاه یک سازمان شبکه ای ، شبکه یک محیط سازگار ، باز و استاندارد است که جداسازی انعطاف پذیر ، امن و هماهنگ منابع محاسباتی و ذخیره سازی را که بخشی از این محیط در یک سازمان مجازی واحد است ، فراهم می کند.
مجازی سازییک تکنیک مجازی سازی است که رابط برنامه نویسی شبیه به سخت افزار اصلی را در اختیار ماشین های مجازی قرار می دهد. هدف این رابط کاربری اصلاح شده کاهش زمان صرف شده توسط سیستم عامل مهمان برای انجام عملیات است که انجام آنها در محیط مجازی بسیار دشوارتر از محیط غیر مجازی است.
قلاب های خاصی وجود دارد که به مهمان و میزبان اجازه می دهد تا این وظایف پیچیده را درخواست و تصدیق کنند ، که می تواند در محیط مجازی انجام شود ، اما با سرعت بسیار کمتر.
نظارت کننده (یا مانیتور ماشین مجازی) - در رایانه ها ، یک برنامه یا طرح سخت افزاری که اجرای همزمان و موازی چندین یا حتی بسیاری از سیستم عامل ها در یک رایانه میزبان را فراهم یا امکان پذیر می کند. Hypervisor همچنین جداسازی سیستم عامل از یکدیگر ، حفاظت و امنیت ، اشتراک منابع بین سیستم عامل های مختلف در حال اجرا و مدیریت منابع را فراهم می کند.
یک Hypervisor همچنین می تواند (اما لازم نیست) سیستم عامل اجرا شده بر روی یک کامپیوتر میزبان را با وسایل ارتباطی و تعامل با یکدیگر (به عنوان مثال ، از طریق تبادل فایل یا اتصالات شبکه) به گونه ای ارائه دهد که گویی این سیستم عامل ها از نظر فیزیکی مختلف در حال اجرا هستند. کامپیوترها
خود hypervisor به نوعی حداقل سیستم عامل (میکروکرنل یا نانو هسته) است. این سیستم عامل هایی را که تحت کنترل آن هستند با سرویس ماشین مجازی ، مجازی سازی یا شبیه سازی سخت افزار واقعی (فیزیکی) یک ماشین خاص را ارائه می دهد و این ماشین های مجازی را مدیریت می کند ، منابع را برای آنها اختصاص داده و آزاد می کند. Hypervisor اجازه می دهد تا "روشن" مستقل ، راه اندازی مجدد ، "خاموش" هر یک از ماشین های مجازی با سیستم عامل خاص. با این حال ، یک سیستم عامل که در یک ماشین مجازی تحت کنترل یک hypervisor کار می کند ، اما لازم نیست "بداند" که در یک ماشین مجازی اجرا می شود و نه بر روی سخت افزار واقعی.
مدلهای سرویس ابری
گزینه های ارائه قدرت محاسباتی بسیار متفاوت است. معمولاً همه چیز مربوط به رایانش ابری aaS نامیده می شود - این کلمه به معنای ساده "به عنوان یک سرویس" ، یعنی "به عنوان یک سرویس" یا "به شکل یک سرویس" است.
نرم افزار به عنوان سرویس (SaaS) -ارائه دهنده یک برنامه کاربردی آماده به مشتری ارائه می دهد. برنامه های کاربردی از انواع دستگاه های مشتری یا از طریق رابط های مشتری نازک مانند مرورگر وب (مانند پست الکترونیکی وب) یا رابط برنامه قابل دسترسی هستند. در عین حال ، مصرف کننده زیرساخت ابر زیربنایی ، از جمله شبکه ها ، سرورها ، سیستم عامل ها ، سیستم های ذخیره سازی و حتی تنظیمات برنامه های فردی را به استثنای برخی تنظیمات پیکربندی برنامه کاربر کنترل نمی کند.
در مدل SaaS ، مشتریان نه برای داشتن این نرم افزار ، بلکه برای اجاره آن هزینه می پردازند (یعنی از طریق رابط وب استفاده می کنند). بنابراین ، برخلاف طرح صدور مجوز نرم افزارهای کلاسیک ، مشتری هزینه های مکرر نسبتاً کمی را متحمل می شود و نیازی به سرمایه گذاری قابل توجه برای خرید نرم افزار و پشتیبانی آن ندارد. طرح پرداخت دوره ای فرض می کند که در صورت عدم وجود موقت نرم افزار ، مشتری می تواند استفاده از آن را متوقف کرده و پرداخت ها را به توسعه دهنده متوقف کند.
از نظر توسعه دهندگان ، مدل SaaS به شما این امکان را می دهد تا به طور م useثر با استفاده از نرم افزارهای غیر مجاز (دزدی دریایی) مبارزه کنید ، زیرا خود نرم افزار به مشتریان نهایی نمی رسد. علاوه بر این ، مفهوم SaaS اغلب می تواند هزینه استقرار و پیاده سازی سیستم های اطلاعاتی را کاهش دهد.
برنج. 1 چیدمان معمول SaaS
پلتفرم به عنوان سرویس (PaaS) -ارائه دهنده یک بستر نرم افزاری و ابزارهایی برای طراحی ، توسعه ، آزمایش و استقرار برنامه های کاربردی به مشتری ارائه می دهد. در عین حال ، مصرف کننده زیرساخت ابر زیربنایی ، از جمله شبکه ها ، سرورها ، سیستم عامل ها و سیستم های ذخیره سازی را کنترل نمی کند ، اما بر برنامه های کاربردی مستقر و احتمالاً برخی پارامترهای پیکربندی محیط میزبانی کنترل دارد.
برنج. 2 چیدمان معمولی PaaS
زیرساخت به عنوان یک سرویس (IaaS). -ارائه دهنده منابع رایانه ای را برای اجاره به مشتری ارائه می دهد: سرورها ، سیستم های ذخیره سازی ، تجهیزات شبکه ، سیستم عامل ها و نرم افزار سیستم ، سیستم های مجازی سازی ، سیستم های مدیریت منابع. در عین حال ، مصرف کننده زیرساخت ابر زیرین را کنترل نمی کند ، اما کنترل سیستم عامل ها ، سیستم های ذخیره سازی ، برنامه های کاربردی و احتمالاً کنترل محدود بر انتخاب اجزای شبکه (به عنوان مثال ، میزبان دارای دیوارهای آتش) را در اختیار دارد.
برنج. 3 طرح بندی IaaS معمولی
به علاوهخدمات متمایز مانند:
ارتباطات به عنوان یک سرویس (Com -aaS) -قابل درک است که خدمات ارتباطی به عنوان خدمات ارائه می شود. معمولاً تلفن IP ، پست الکترونیکی و ارتباطات فوری (چت ، IM) است.
ذخیره سازی داده های ابری- فضای مشخصی برای ذخیره اطلاعات در اختیار کاربر قرار می گیرد. از آنجا که اطلاعات به صورت توزیع شده و تکراری ذخیره می شوند ، چنین انبارهایی بسیار بیشتر از سرورهای محلی امنیت داده ها را ارائه می دهند.
محل کار به عنوان سرویس (WaaS) -کاربر با داشتن رایانه ای به اندازه کافی قدرتمند ، می تواند منابع محاسباتی را از تأمین کننده خریداری کرده و از رایانه خود به عنوان پایانه برای دسترسی به سرویس استفاده کند.
ابر آنتی ویروس- زیرساختی که برای پردازش اطلاعات دریافتی از کاربران به منظور شناسایی به موقع تهدیدهای جدید و قبلاً ناشناخته استفاده می شود. آنتی ویروس ابری نیازی به اقدامات غیر ضروری از طرف کاربر ندارد - به سادگی درخواست برنامه یا پیوند مشکوک را ارسال می کند. هنگامی که خطر تأیید می شود ، تمام اقدامات لازم به طور خودکار انجام می شود.
مدلهای استقرار
در بین مدلهای استقرار ، 4 نوع زیرساخت اصلی وجود دارد.
ابر خصوصی -زیرساخت های مورد استفاده برای یک سازمان ، از جمله چندین مصرف کننده (به عنوان مثال ، بخش های یک سازمان) ، احتمالاً توسط مشتریان و پیمانکاران این سازمان. یک ابر خصوصی می تواند توسط خود سازمان یا شخص ثالث (یا ترکیبی از این موارد) متعلق ، اداره و اداره شود و می تواند از نظر فیزیکی هم در داخل و هم خارج از حوزه قضایی مالک وجود داشته باشد.
برنج. 4 ابر خصوصی
ابر عمومی -زیرساخت هایی که برای استفاده عموم مردم رایگان در نظر گرفته شده است. ابر عمومی می تواند متعلق به سازمان های تجاری ، دانشگاهی و دولتی (یا هر ترکیبی از آنها) باشد ، اداره و اداره شود. ابر عمومی از نظر فیزیکی در صلاحیت مالک - ارائه دهنده خدمات وجود دارد.
برنج. 5 ابر عمومی
ابر ترکیبی -این ترکیبی از دو یا چند زیرساخت مختلف ابر (خصوصی ، عمومی یا عمومی) است که به عنوان اشیاء منحصر به فرد باقی می مانند ، اما با فن آوری های استاندارد یا خصوصی برای انتقال داده ها و برنامه ها به هم متصل هستند (به عنوان مثال ، استفاده کوتاه مدت از منابع ابری عمومی برای ایجاد تعادل بار بین ابرها)
برنج. 6 ابر ترکیبی
ابر عمومی (ابر جامعه) -یک نوع زیرساخت برای استفاده توسط جامعه خاصی از مصرف کنندگان از سازمانهایی با اهداف مشترک (به عنوان مثال ماموریت ، الزامات امنیتی ، خط مشی ها و رعایت الزامات مختلف). یک ابر عمومی می تواند تحت مالکیت مشترک ، اداره و اداره یک یا چند سازمان اجتماعی یا شخص ثالث (یا هر ترکیبی از این موارد) باشد ، و می تواند از نظر فیزیکی هم در داخل و هم خارج از صلاحیت مالک وجود داشته باشد.
برنج. 7 شرح ویژگی های ابر
خواص اساسی
NIST در سند خود "The NIST Definition of Cloud Computing" ویژگی های زیر ابرها را تعریف می کند:
سلف سرویس در صورت تقاضا.مصرف کننده این امکان را دارد که در صورت نیاز به صورت یک طرفه و بدون نیاز به تعامل با کارکنان هر ارائه دهنده خدمات ، به منابع محاسباتی ارائه شده دسترسی پیدا کند.
دسترسی گسترده به شبکهمنابع محاسباتی ارائه شده در شبکه از طریق مکانیزم های استاندارد برای سیستم عامل های مختلف ، کلاینت های ضعیف و ضخیم (تلفن های همراه ، تبلت ، لپ تاپ ، ایستگاه های کاری و غیره) در دسترس هستند.
تجمیع منابع (تجمیع منابع).منابع محاسباتی ارائه دهنده برای خدمت به بسیاری از مصرف کنندگان در یک مدل چند مستأجری جمع آوری شده است. استخرها شامل انواع منابع فیزیکی و مجازی هستند که می توانند به صورت پویا برای پاسخگویی به نیازهای مشتری اختصاص داده و مجدداً تعیین شوند. مصرف کننده نیازی به اطلاع از مکان دقیق منابع ندارد ، اما می توان مکان آنها را در سطح بالاتری از انتزاع (به عنوان مثال ، کشور ، منطقه یا مرکز داده) مشخص کرد. نمونه هایی از این نوع منابع شامل سیستم های ذخیره سازی ، قدرت محاسبه ، حافظه ، پهنای باند شبکه است.
کشش سریع.منابع را می توان به طور مفصل تخصیص داد و در برخی موارد به صورت خودکار منتشر کرد تا سریعاً مطابق با تقاضا مقیاس بندی شود. برای مصرف کننده ، امکانات تأمین منابع نامحدود تلقی می شود ، یعنی می توان آنها را در هر مقدار و در هر زمان اختصاص داد.
خدمات اندازه گیری شده.سیستم های ابری با استفاده از ابزارهای اندازه گیری که در سطح انتزاعی برای انواع مختلف خدمات (به عنوان مثال ، مدیریت حافظه خارجی ، پردازش ، پهنای باند یا جلسات کاربر فعال) به طور خودکار منابع را مدیریت و بهینه می کنند. منابع مورد استفاده را می توان تحت نظارت و کنترل قرار داد ، که شفافیت را به عنوان برای ارائه دهنده و مصرف کننده از خدمات استفاده می کند.
برنج. 8 نمودار ساختاری سرور ابری
مزایا و معایب رایانش ابری
مزایای
· الزامات مربوط به قدرت محاسباتی رایانه کاهش می یابد (شرط ضروری فقط دسترسی به اینترنت است).
· تحمل خطا؛
· امنیت؛
· سرعت بالای پردازش داده ها.
· کاهش هزینه های سخت افزار و نرم افزار ، تعمیر و نگهداری و برق ؛
· صرفه جویی در فضای دیسک (هر دو داده و برنامه ها در اینترنت ذخیره می شوند).
· مهاجرت زنده - انتقال یک ماشین مجازی از یک سرور فیزیکی به سرور دیگر بدون وقفه در ماشین مجازی و توقف خدمات.
· در اواخر سال 2010 ، به دلیل حملات DDoS علیه شرکت هایی که از ارائه منابع به ویکی لیکس خودداری کردند ، مزیت دیگری از رایانش ابری آشکار شد. همه شرکت هایی که با ویکی لیکس مخالف بودند مورد حمله قرار گرفتند ، اما تنها آمازون به این تأثیرات حساس نبود ، زیرا از ابزارهای محاسبات ابری استفاده می کرد. ("ناشناس: تهدید جدی یا مزاحمت صرف" ، امنیت شبکه ، N1 ، 2011).
معایب
· وابستگی ایمنی داده های کاربر به شرکت های ارائه دهنده خدمات رایانش ابری.
· اتصال دائمی به شبکه - برای دسترسی به خدمات "ابر" شما نیاز به اتصال دائمی به اینترنت دارید. با این حال ، در زمان ما ، این یک اشکال بزرگ نیست ، به ویژه با ظهور فناوری های تلفن همراه 3G و 4G.
· نرم افزار و اصلاح آن - محدودیت هایی برای نرم افزارهایی وجود دارد که می توانند روی "ابرها" مستقر شده و در اختیار کاربر قرار گیرند. کاربر نرم افزار محدودیت هایی در نرم افزار مورد استفاده دارد و گاهی اوقات توانایی سفارشی سازی آن برای اهداف خود را ندارد.
· محرمانه بودن - محرمانه بودن داده های ذخیره شده در "ابرهای" عمومی در حال حاضر محل بحث و جدل زیادی است ، اما در بیشتر موارد کارشناسان موافق هستند که توصیه نمی شود اسناد با ارزش ترین شرکت را در "ابر" عمومی ذخیره کنید ، زیرا در حال حاضر هیچ فناوری وجود ندارد که 100٪ محرمانه بودن داده های ذخیره شده را تضمین کند ، به همین دلیل استفاده از رمزگذاری در ابر ضروری است.
· قابلیت اطمینان - در مورد قابلیت اطمینان اطلاعات ذخیره شده ، می توان با اطمینان گفت که اگر اطلاعات ذخیره شده در "ابر" را از دست داده اید ، آن را برای همیشه از دست داده اید.
· امنیت - "ابر" خود یک سیستم نسبتاً قابل اعتماد است ، اما هنگام نفوذ به آن ، مهاجم به یک ذخیره اطلاعات عظیم دسترسی پیدا می کند ، و دیگران ، که اجازه استفاده از ویروس ها را می دهد.
· هزینه بالای تجهیزات - برای ساختن ابر خود ، یک شرکت باید منابع مادی قابل توجهی را اختصاص دهد ، که برای شرکتهای تازه تأسیس و کوچک سودمند نیست.
3. معماری مرجع
معماری مرجع محاسبات ابری NIST شامل پنج بازیگر اصلی است - بازیگران. هر بازیگری نقشی ایفا می کند و کنش ها و عملکردهایی را انجام می دهد. معماری مرجع به صورت نمودارهای متوالی با افزایش سطوح جزئیات ارائه شده است.
برنج. 9 نمودار مفهومی معماری مرجع
مصرف کننده ابری- شخص یا سازمانی که روابط تجاری خود را حفظ کرده و از خدمات ارائه دهندگان ابر استفاده می کند.
مصرف کنندگان ابر به 3 گروه تقسیم می شوند:
· SaaS - از برنامه های کاربردی برای خودکارسازی فرایندهای تجاری استفاده می کند.
PaaS - توسعه ، آزمایش ، استقرار و مدیریت برنامه های کاربردی مستقر در محیط ابر.
· IaaS - خدمات زیرساخت فناوری اطلاعات را ایجاد ، مدیریت می کند.
ارائه دهنده ابر- شخص ، سازمان یا نهادی که مسئول دسترسی خدمات ابری به مصرف کنندگان ابر است.
SaaS - نرم افزارهای نصب شده ، مدیریت ، نگهداری و ارائه شده در زیرساخت ابری را ارائه می دهد.
PaaS - زیرساخت ابری و میان افزار را ارائه و مدیریت می کند. ابزارهای توسعه و مدیریت را ارائه می دهد.
· IaaS - سرورها ، پایگاه های داده ، منابع محاسباتی را ارائه و نگهداری می کند. ساختار ابری را در اختیار مصرف کننده قرار می دهد.
فعالیتهای ارائه دهندگان ابر به 5 اقدام اصلی اصلی تقسیم می شود:
استقرار خدمات:
o ابر خصوصی - توسط یک سازمان ارائه می شود. زیرساخت ها هم توسط خود سازمان و هم توسط شخص ثالث اداره می شود و می تواند هم توسط ارائه دهنده (خارج از ساختمان) و هم توسط سازمان (بر اساس) مستقر شود.
o ابر مشترک - زیرساخت توسط چندین سازمان با الزامات مشابه (امنیت ، رعایت RD) به اشتراک گذاشته می شود.
o ابر عمومی - زیرساخت توسط تعداد زیادی از سازمانها با الزامات مختلف استفاده می شود. فقط پیش فرض
o ابر ترکیبی - زیرساخت ها زیرساخت های مختلف را بر اساس فناوری های مشابه ترکیب می کنند.
مدیریت خدمات
o سطح خدمات - خدمات اولیه ارائه شده توسط ارائه دهنده را تعریف می کند.
§ SaaS یک برنامه کاربردی است که توسط مصرف کننده با دسترسی به ابر از برنامه های خاص استفاده می شود.
§ PaaS - ظروف برای برنامه های کاربردی مصرف کننده ، ابزارهای توسعه و مدیریت.
a IaaS - قدرت محاسباتی ، پایگاه های داده ، منابع اساسی ، که مصرف کننده در زیر آنها زیرساخت های خود را مستقر می کند.
o سطح انتزاع و کنترل منابع
§ مدیریت hypervisor و اجزای مجازی مورد نیاز برای پیاده سازی زیرساخت.
o سطح منابع فیزیکی
§ تجهیزات کامپیوتر
infrastructure زیرساخت های مهندسی
o در دسترس بودن
o محرمانه بودن
o شناسایی
o نظارت امنیتی و رسیدگی به حوادث
o سیاست های امنیتی
حریم خصوصی
o حفاظت از پردازش ، ذخیره و انتقال داده های شخصی.
Cloud Auditor- مشارکت کننده ای که می تواند به طور مستقل خدمات ابری ، نگهداری سیستم های اطلاعاتی ، عملکرد و امنیت پیاده سازی ابری را ارزیابی کند.
این می تواند ارزیابی خود را از امنیت ، حریم خصوصی ، عملکرد و سایر موارد مطابق با اسناد مورد تایید ارائه دهد.
برنج. 10 فعالیت ارائه دهنده
بروکر ابر- نهادی که استفاده ، عملکرد و ارائه خدمات ابری را مدیریت می کند و رابطه بین ارائه دهندگان و مصرف کنندگان را برقرار می کند.
با توسعه رایانش ابری ، ادغام خدمات ابری ممکن است برای مصرف کننده بسیار دشوار باشد.
o میانجیگری خدمات - گسترش خدمات مشخص شده و ارائه فرصت های جدید
o تجمع - ترکیب خدمات مختلف برای ارائه به مصرف کننده
اپراتور ارتباطات ابری- یک واسطه ارائه خدمات اتصال و حمل و نقل (خدمات ارتباطی) برای ارائه خدمات ابری از ارائه دهندگان به مصرف کنندگان.
دسترسی را از طریق دستگاه های ارتباطی فراهم می کند
مطابق SLA ، سطح اتصال را ارائه می دهد.
از بین پنج بازیگر ارائه شده ، یک کارگزار ابری اختیاری است مصرف کنندگان ابر می توانند خدمات را مستقیماً از ارائه دهنده ابر دریافت کنند.
معرفی بازیگران به دلیل نیاز به تنظیم روابط بین سوژه ها است.
4. توافقنامه سطح خدمات
توافقنامه سطح خدمات - سندی که میزان ارائه خدمات مورد انتظار مشتری از تأمین کننده را بر اساس شاخص های قابل استفاده برای سرویس داده شده توصیف می کند و در صورت عدم دستیابی به شاخص های توافق شده ، مسئولیت تأمین کننده را تعیین می کند.
در اینجا برخی از شاخص ها ، به این شکل یا شکل دیگر ، در اسناد اپراتور یافت می شود:
ASR (نسبت تشنج پاسخ) -پارامتری که کیفیت اتصال تلفن را در جهت معین تعیین می کند. ASR به عنوان درصدی از تعداد اتصالات تلفن ایجاد شده در نتیجه تماس با تعداد کل تماس های انجام شده در یک جهت مشخص محاسبه می شود.
PDD (تأخیر پس از شماره گیری) -پارامتری که مدت زمان (ثانیه) را از لحظه تماس تا لحظه برقراری ارتباط تلفنی تعریف می کند.
نسبت در دسترس بودن خدمات- نسبت زمان وقفه در ارائه خدمات به کل زمانی که قرار است خدمات ارائه شود.
نسبت تلفات بسته- نسبت بسته های دریافتی صحیح به تعداد کل بسته هایی که برای مدت زمان معینی از طریق شبکه منتقل شده اند.
تأخیر زمان در انتقال بسته های اطلاعاتی- فاصله زمانی مورد نیاز برای انتقال یک بسته اطلاعات بین دو دستگاه شبکه.
قابلیت اطمینان انتقال اطلاعات- نسبت تعداد بسته های داده منتقل شده به اشتباه به تعداد کل بسته های داده منتقل شده.
دوره های کاری ، زمان اطلاع رسانی مشترکان و زمان بازسازی خدمات.
به عبارت دیگر ، در دسترس بودن سرویس 99.99 indicates نشان می دهد که اپراتور بیش از 4.3 دقیقه مکث در ماه ، 99.9 - - که ممکن است خدمات 43.2 دقیقه ارائه نشود ، و 99 - - که استراحت می تواند بیشتر طول بکشد ، تضمین می کند. بیش از 7 ساعت در برخی از شیوه ها ، تفاوت در دسترس بودن شبکه وجود دارد و مقدار کمتری از پارامتر فرض می شود - در ساعات خاموش. مقادیر مختلف شاخص ها نیز برای انواع مختلف خدمات (کلاس های ترافیکی) ارائه شده است. به عنوان مثال ، مهمترین چیز برای صدا میزان تأخیر است - باید حداقل باشد. و سرعت آن کم است ، بعلاوه برخی بسته ها را می توان بدون افت کیفیت از دست داد (بسته به کدک تا حدود 1). برای انتقال داده ها ، سرعت حرف اول را می زند و از دست دادن بسته ها باید به صفر برسد.
5. روشها و وسایل حفاظت در محاسبات ابری
محرمانه بودن باید در سراسر زنجیره ، از جمله ارائه دهنده ابر ، مصرف کننده و ارتباطاتی که آنها را به هم متصل می کند ، تضمین شود.
وظیفه ارائه دهنده این است که از تمامیت فیزیکی و نرم افزاری داده های ناشی از حملات شخص ثالث اطمینان حاصل کند. مصرف کننده باید سیاست ها و رویه های مناسب را "در قلمرو خود" برای جلوگیری از انتقال حقوق دسترسی به اطلاعات به اشخاص ثالث وضع کند.
وظایف اطمینان از یکپارچگی اطلاعات در مورد استفاده از برنامه های جداگانه "ابر" قابل حل است - به لطف معماری های مدرن پایگاه داده ، سیستم های پشتیبان ، الگوریتم های بررسی یکپارچگی و سایر راه حل های صنعتی. اما این همه ماجرا نیست. هنگامی که صحبت از ادغام چندین برنامه ابری از فروشندگان مختلف می شود ، چالش های جدیدی ایجاد می شود.
در آینده نزدیک ، برای شرکت هایی که به دنبال یک محیط مجازی امن هستند ، تنها گزینه ایجاد یک سیستم ابر خصوصی است. واقعیت این است که ابرهای خصوصی ، برخلاف سیستم های دولتی یا ترکیبی ، بیشتر شبیه زیرساخت های مجازی هستند که بخش های فناوری اطلاعات شرکت های بزرگ قبلاً پیاده سازی آن را آموخته اند و می توانند کنترل کاملی بر آنها داشته باشند. نقص های امنیت اطلاعات در سیستم های ابری عمومی یک چالش مهم است. بیشتر حوادث سرقت در ابرهای عمومی رخ می دهد.
6. امنیت مدل های ابری
سطح ریسک در سه مدل ابری بسیار متفاوت است و راه های حل مسائل امنیتی نیز بسته به سطح تعامل متفاوت است. الزامات امنیتی یکسان است ، اما سطح کنترل امنیتی در مدلهای مختلف ، SaaS ، PaaS یا IaaS تغییر می کند. از نظر منطقی ، هیچ چیز تغییر نمی کند ، اما امکانات پیاده سازی فیزیکی کاملاً متفاوت است.
برنج. 11. فوری ترین تهدیدات امنیت اطلاعات
در مدل SaaS ، برنامه بر روی زیرساخت ابری اجرا می شود و از طریق مرورگر وب قابل دسترسی است. سرویس گیرنده هیچ کنترلی بر شبکه ، سرورها ، سیستم عامل ها ، ذخیره سازی و حتی برخی از قابلیت های برنامه ندارد. به همین دلیل ، در مدل SaaS ، مسئولیت اصلی امنیت تقریباً به طور کامل بر عهده فروشندگان است.
مشکل شماره 1 مدیریت رمز عبور است. در مدل SaaS ، برنامه ها در ابر هستند ، بنابراین خطر اصلی استفاده از چندین حساب برای دسترسی به برنامه ها است. سازمان ها می توانند با یکپارچه سازی حساب ها برای سیستم های ابری و داخلی ، این مشکل را حل کنند. با ورود به سیستم ، کاربران می توانند با استفاده از یک حساب کاربری به ایستگاه های کاری و خدمات ابری دسترسی پیدا کنند. این رویکرد احتمال "گیر افتادن" حساب های مشمول استفاده غیرمجاز پس از خاتمه کارکنان را کاهش می دهد.
طبق توضیح CSA ، PaaS فرض می کند که مشتریان برنامه هایی را با استفاده از زبان ها و ابزارهای برنامه نویسی پشتیبانی شده توسط فروشنده ایجاد می کنند و سپس آنها را در زیرساخت ابری مستقر می کنند. همانطور که در مدل SaaS ، مشتری نمی تواند زیرساخت ها - شبکه ها ، سرورها ، سیستم عامل ها یا سیستم های ذخیره سازی - را مدیریت یا کنترل کند ، اما بر استقرار برنامه ها کنترل دارد.
در مدل PaaS ، کاربران باید به امنیت برنامه ها و همچنین مسائل مربوط به مدیریت API مانند اعتبار سنجی ، مجوز و تأیید توجه کنند.
مشکل شماره 1 رمزگذاری داده ها است. مدل PaaS ذاتاً امن است ، اما خطر عملکرد ناکافی سیستم است. این امر به این دلیل است که هنگام برقراری ارتباط با ارائه دهندگان PaaS رمزگذاری توصیه می شود و این به قدرت پردازش اضافی نیاز دارد. با این وجود ، در هر راه حلی ، انتقال اطلاعات محرمانه کاربران باید از طریق یک کانال رمزگذاری شده انجام شود.
در حالی که مشتریان در اینجا هیچ کنترلی بر زیرساخت ابر زیرساختی ندارند ، آنها کنترل سیستم عامل ها ، ذخیره سازی و استقرار برنامه ها و احتمالاً کنترل محدودی بر انتخاب اجزای شبکه را دارند.
این مدل دارای چندین قابلیت امنیتی داخلی بدون محافظت از خود زیرساخت است. این بدان معناست که کاربران باید سیستم عامل ها ، برنامه ها و محتوا را معمولاً از طریق API مدیریت و ایمن کنند.
اگر این به زبان روشهای حفاظتی ترجمه شده باشد ، ارائه دهنده باید موارد زیر را ارائه دهد:
· کنترل قابل اطمینان دسترسی به زیرساخت ها.
· تاب آوری زیرساخت ها.
در عین حال ، مصرف کننده ابر عملکردهای حفاظتی بیشتری را بر عهده می گیرد:
· دیوار آتش در زیرساخت.
· حفاظت در برابر نفوذ به شبکه.
· حفاظت از سیستم عامل ها و پایگاه های داده (کنترل دسترسی ، حفاظت در برابر آسیب پذیری ها ، کنترل تنظیمات امنیتی) ؛
· حفاظت از برنامه های نهایی (حفاظت از آنتی ویروس ، کنترل دسترسی).
بنابراین ، بیشتر اقدامات حفاظتی بر دوش مصرف کننده است. ارائه دهنده می تواند توصیه های معمولی برای حفاظت یا راه حل های آماده ارائه دهد ، که کار را برای کاربران نهایی ساده می کند.
جدول 1. تعیین مسئولیت امنیت بین مشتری و ارائه دهنده خدمات. (P - تامین کننده ، K - مشتری)
سرور سازمانی کاربرد داده ها محیط اجرا میان افزار سیستم عامل مجازی سازی سرور انبارهای داده سخت افزار شبکه وظایف حسابرس ابری اساساً همان وظیفه حسابرس سیستم های معمولی است. حسابرسی امنیتی ابری به ممیزی تامین کننده و حسابرسی کاربر تقسیم می شود. ممیزی کاربر به درخواست کاربر انجام می شود ، در حالی که ممیزی تامین کننده یکی از مهمترین شرایط برای انجام تجارت است. شامل موارد زیر است: · شروع روش حسابرسی ؛ · جمع آوری اطلاعات حسابرسی ؛ · تجزیه و تحلیل داده های حسابرسی ؛ · تهیه گزارش حسابرسی. در مرحله شروع روش حسابرسی ، مسائل مربوط به اختیارات حسابرس ، زمان حسابرسی باید حل شود. کمک اجباری کارکنان به حسابرس نیز باید مقرر شود. به طور کلی ، حسابرس برای تعیین قابلیت اطمینان حسابرسی انجام می دهد · سیستم های مجازی سازی ، hypervisor. · سرورها ؛ · انبارهای داده ؛ · تجهیزات شبکه. اگر Supplier از مدل IaaS در سرور بررسی شده استفاده کند ، این بررسی برای شناسایی آسیب پذیری ها کافی خواهد بود. هنگام استفاده از مدل PaaS ، بررسی های اضافی باید انجام شود · سیستم عامل، میان افزار ، · محیط زمان اجرا. هنگام استفاده از مدل SaaS ، آسیب پذیری ها نیز بررسی می شوند سیستم های ذخیره و پردازش داده ها ، · برنامه های کاربردی. ممیزی های امنیتی با استفاده از روشها و ابزارهای مشابه ممیزی سرورهای معمولی انجام می شود. اما بر خلاف یک سرور معمولی در فناوری های ابری ، Hypervisor علاوه بر ثبات ، بررسی می شود. در ابر ، Hypervisor یکی از فناوری های اصلی است و بنابراین باید روی حسابرسی تأکید ویژه ای شود. اقدامات امنیتی اطلاعات را می توان به پیشگیرانه (به عنوان مثال رمزگذاری و سایر مکانیسم های کنترل دسترسی) و واکنش پذیر (تحقیقات) تقسیم کرد. جنبه پیشگیرانه امنیت ابر حوزه تحقیقات فعال است ، در حالی که جنبه واکنشی امنیت ابر بسیار کمتر مورد توجه قرار گرفته است. بررسی حوادث (از جمله بررسی جنایات در حوزه اطلاعات) بخش شناخته شده ای از امنیت اطلاعات است. اهداف این گونه تحقیقات معمولاً عبارتند از: اثبات وقوع جنایت / حادثه بازیابی حوادث پیرامون حادثه شناسایی متخلفان اثبات دخالت و مسئولیت متخلفان اثبات نیت غیر صادقانه از سوی مجرمان. یک رشته جدید - رایانه و تخصص فنی (یا پزشکی قانونی) ، با توجه به نیاز به تجزیه و تحلیل قانونی سیستم های دیجیتال ظاهر شد. اهداف پزشکی قانونی رایانه معمولاً به شرح زیر است: بازیابی اطلاعاتی که ممکن است حذف شده باشند بازیابی حوادث رخ داده در داخل و خارج از سیستم های دیجیتال مرتبط با حادثه شناسایی کاربران سیستم های دیجیتال تشخیص وجود ویروس ها و سایر نرم افزارهای مخرب تشخیص وجود مواد و برنامه های غیرقانونی شکستن رمزهای عبور ، کلیدهای رمزگذاری و کدهای دسترسی در حالت ایده آل ، پزشکی قانونی رایانه نوعی ماشین زمان برای یک محقق است که می تواند هر لحظه به گذشته یک دستگاه دیجیتال سفر کرده و اطلاعاتی را در اختیار موارد زیر قرار دهد: افرادی که در نقطه خاصی از دستگاه استفاده می کردند اقدامات کاربر (به عنوان مثال ، باز کردن اسناد ، دسترسی به یک وب سایت ، چاپ داده ها در یک واژه پرداز و غیره) اطلاعات ذخیره شده ، ایجاد و پردازش شده توسط دستگاه در یک زمان خاص. خدمات ابری که جایگزین دستگاه های دیجیتالی مستقل می شوند باید سطح مشابهی از آمادگی پزشکی قانونی را ارائه دهند. با این حال ، این امر مستلزم غلبه بر چالش های مرتبط با تجمیع منابع ، چندرسانی و انعطاف پذیری زیرساخت های رایانش ابری است. ابزار اصلی در بررسی حادثه دنباله حسابرسی است. مسیرهای حسابرسی - طراحی شده برای نظارت بر تاریخ ورود کاربران ، وظایف اداری و تغییرات داده ها - بخش مهمی از یک سیستم امنیتی هستند. در ابر ، دنباله حسابرسی نه تنها ابزاری برای تحقیقات است ، بلکه ابزاری برای محاسبه هزینه استفاده از سرورها است. در حالی که مسیر حسابرسی به حفره های امنیتی نمی پردازد ، اما چشم انداز انتقادی را برای آنچه اتفاق می افتد ارائه می دهد و پیشنهاداتی را برای اصلاح وضعیت ارائه می دهد. ایجاد بایگانی و پشتیبان گیری مهم است ، اما نمی تواند جایگزین یک حسابرسی رسمی شود که ثبت می کند چه کسی ، چه وقت و چه کاری انجام داده است. دنباله حسابرسی یکی از ابزارهای اصلی حسابرس امنیتی است. در قرارداد خدمات معمولاً ذکر می شود که کدام گزارشهای حسابرسی نگهداری و در اختیار کاربر قرار می گیرد. در سال 2010 ، CSA تجزیه و تحلیل تهدیدات اصلی امنیتی در فناوری های ابری را انجام داد. نتیجه کار آنها سند "تهدیدهای برتر رایانش ابری v 1.0" بود که در حال حاضر مدل تهدید و مدل مزاحم را به کامل ترین شکل توصیف می کند. در حال حاضر ، نسخه کامل تر و دوم این سند در حال توسعه است. سند فعلی مهاجمان را برای سه مدل سرویس SaaS ، PaaS و IaaS شرح می دهد. هفت بردار اصلی حمله شناسایی شده است. در بیشتر موارد ، همه انواع حملات مورد بررسی ، حملات ذاتی سرورهای معمولی "غیر ابری" هستند. زیرساخت ابری ویژگی های خاصی را به آنها تحمیل می کند. به عنوان مثال ، حملات به آسیب پذیری ها در بخش نرم افزاری سرورها با حملات به هایپروایزر ، که بخش نرم افزاری آنها نیز است ، تکمیل می شود. تهدید امنیتی شماره 1 استفاده نامناسب و غیر صادقانه از فناوری های ابری. شرح: برای به دست آوردن منابع از ارائه دهنده IaaS مبتنی بر ابر ، کاربر فقط باید کارت اعتباری داشته باشد. سهولت ثبت نام و تخصیص منابع به هرزنامه نویسان ، نویسندگان ویروس و غیره اجازه می دهد. از سرویس ابری برای اهداف جنایی خود استفاده کنند. قبلاً ، این نوع حمله فقط در PaaS مشاهده می شد ، اما مطالعات اخیر امکان استفاده از IaaS برای حملات DDOS ، قرار دادن کدهای مخرب ، ایجاد شبکه های بات نت و موارد دیگر را نشان داده است. نمونه هایی از خدمات برای ایجاد یک شبکه بات نت بر اساس تروجان "Zeus" ، ذخیره کد اسب تروا "InfoStealer" و ارسال اطلاعات در مورد آسیب پذیری های مختلف MS Office و AdobePDF استفاده شد. علاوه بر این ، شبکه های بات نت از IaaS برای مدیریت همتایان خود و ارسال هرزنامه استفاده می کنند. به همین دلیل ، برخی از خدمات IaaS در لیست سیاه قرار گرفتند و کاربران آنها توسط سرورهای ایمیل کاملاً نادیده گرفته شدند. بهبود روشهای ثبت نام کاربر بهبود روشهای تأیید کارت اعتباری و نظارت بر استفاده از ابزارهای پرداخت مطالعه جامع فعالیت شبکه کاربران خدمات · پیگیری صفحات سیاه اصلی برای ظاهر شدن شبکه ارائه دهنده ابر در آنجا. مدلهای خدمات تحت تأثیر قرار می گیرند: تهدید امنیتی شماره 2 رابط های برنامه نویسی ناامن (API) شرح: ارائه دهندگان زیرساخت ابری مجموعه ای از API ها را برای مدیریت منابع ، ماشین های مجازی یا خدمات در اختیار کاربران قرار می دهند. امنیت کل سیستم به امنیت این رابط ها بستگی دارد. دسترسی ناشناس به رابط و انتقال اعتبار در متن واضح ، مشخصه اصلی API های ناامن است. نظارت محدود بر استفاده از API ، عدم وجود سیستم های ورود به سیستم ، و همچنین روابط ناشناخته بین سرویس های مختلف تنها خطرات هک را افزایش می دهد. مدل امنیتی ارائه دهنده ابر را تجزیه و تحلیل کنید اطمینان حاصل کنید که از الگوریتم های رمزگذاری قوی استفاده می شود اطمینان حاصل کنید که از روشهای احراز هویت و مجوز قوی استفاده می شود · درک کل زنجیره وابستگی بین خدمات مختلف. مدلهای خدمات تحت تأثیر قرار می گیرند: تهدید امنیتی شماره 3 متخلفان داخلی شرح: مشکل دسترسی غیرقانونی به اطلاعات از درون بسیار خطرناک است. اغلب ، از طرف ارائه دهنده ، سیستم نظارت بر فعالیت کارکنان اجرا نمی شود ، به این معنی که مهاجم می تواند با استفاده از موقعیت رسمی خود به اطلاعات مشتری دسترسی پیدا کند. از آنجا که ارائه دهنده سیاست استخدام خود را فاش نمی کند ، تهدید می تواند هم از یک هکر آماتور و هم از ساختار جنایی سازمان یافته ای باشد که در صفوف کارکنان ارائه دهنده نفوذ کرده است. در حال حاضر ، نمونه ای از این نوع سوء استفاده وجود ندارد. اجرای قوانین دقیق برای خرید تجهیزات و استفاده از سیستم های مناسب برای تشخیص دسترسی های غیر مجاز مقررات مربوط به استخدام کارکنان در قراردادهای عمومی با کاربران ایجاد یک سیستم امنیتی شفاف ، همراه با انتشار گزارشهای حسابرسی امنیتی در سیستمهای داخلی ارائه دهنده مدلهای خدمات تحت تأثیر قرار می گیرند: برنج. 12 مثال از خودی تهدید امنیتی شماره 4 آسیب پذیری در فناوری های ابری شرح: ارائه دهندگان خدمات IaaS از منابع سخت افزاری با استفاده از سیستم های مجازی سازی استفاده می کنند. با این حال ، سخت افزار را می توان بدون در نظر گرفتن منابع مشترک طراحی کرد. به منظور به حداقل رساندن تأثیر این عامل ، hypervisor دسترسی ماشین مجازی به منابع سخت افزاری را کنترل می کند ، با این حال ، حتی در hypervisors ، آسیب پذیری های جدی وجود دارد که استفاده از آنها می تواند منجر به افزایش امتیاز یا دسترسی غیرقانونی به تجهیزات فیزیکی شود. به منظور محافظت از سیستم ها در برابر چنین مشکلاتی ، لازم است مکانیسم هایی برای جداسازی محیط های مجازی و سیستم هایی برای تشخیص خرابی اعمال شود. کاربران ماشین مجازی نباید به منابع مشترک دسترسی داشته باشند. نمونه هایی از آسیب پذیری های بالقوه و همچنین روش های نظری برای دور زدن انزوا در محیط های مجازی وجود دارد. پیاده سازی پیشرفته ترین روش های نصب ، پیکربندی و حفاظت از محیط های مجازی استفاده از سیستم های تشخیص دسترسی غیرمجاز اعمال احراز هویت و مجوزهای قوی برای کارهای اداری تشدید الزامات زمان استفاده از وصله ها و به روز رسانی ها · انجام مراحل به موقع برای اسکن و تشخیص آسیب پذیری ها. تهدید امنیتی شماره 5 از دست دادن یا نشت داده ها شرح: از دست دادن اطلاعات می تواند به هزار دلیل رخ دهد. به عنوان مثال ، تخریب عمدی کلید رمزگذاری منجر به غیر قابل بازیابی اطلاعات رمزگذاری شده می شود. حذف داده ها یا بخشی از داده ها ، دسترسی غیرمجاز به اطلاعات مهم ، تغییر پرونده ها یا خرابی رسانه نیز نمونه هایی از چنین شرایطی است. در زیرساخت های ابری پیچیده ، احتمال وقوع هر یک از رویدادها به دلیل تعامل نزدیک اجزا افزایش می یابد. استفاده نادرست از احراز هویت ، مجوزها و قوانین حسابرسی ، استفاده نادرست از قوانین و روشهای رمزگذاری و خرابی تجهیزات می تواند منجر به از دست رفتن یا نشت داده ها شود. استفاده از API قابل اعتماد و مطمئن رمزگذاری و حفاظت از داده های منتقل شده تجزیه و تحلیل مدل حفاظت از داده ها در تمام مراحل عملکرد سیستم پیاده سازی یک سیستم مدیریت کلید رمزگذاری قابل اعتماد انتخاب و خرید تنها معتبرترین رسانه اطمینان از پشتیبان گیری به موقع داده ها مدلهای خدمات تحت تأثیر قرار می گیرند: تهدید امنیتی شماره 6 سرقت هویت و دسترسی غیرقانونی به سرویس شرح: این نوع تهدید چیز جدیدی نیست. میلیون ها کاربر روزانه با آن روبرو می شوند. هدف اصلی مهاجمان نام کاربری (ورود) و رمز عبور وی است. در زمینه سیستم های ابری ، سرقت رمز عبور و نام کاربری خطر استفاده از داده های ذخیره شده در زیرساخت ابری ارائه دهنده را افزایش می دهد. بنابراین مهاجم این فرصت را دارد که از شهرت قربانی برای فعالیت های خود استفاده کند. ممنوعیت انتقال حساب ها با استفاده از دو روش احراز هویت اجرای نظارت فعال بر دسترسی غیر مجاز · شرح مدل امنیتی ارائه دهنده ابر. مدلهای خدمات تحت تأثیر قرار می گیرند: تهدید امنیتی شماره 7 آسیب پذیری های دیگر شرح: استفاده از فناوری های ابری برای انجام کسب و کار به شرکت اجازه می دهد تا بر تجارت خود تمرکز کند و مراقبت از زیرساخت ها و خدمات فناوری اطلاعات را به ارائه دهنده ابری واگذار می کند. هنگام تبلیغ خدمات خود ، یک ارائه دهنده ابر به دنبال نشان دادن همه امکانات است ، در حالی که جزئیات پیاده سازی را فاش می کند. این می تواند تهدیدی جدی باشد ، زیرا آگاهی از زیرساخت های داخلی به مهاجم این توانایی را می دهد که آسیب پذیری بی نظیری را بیابد و حمله ای به سیستم انجام دهد. به منظور اجتناب از چنین شرایطی ، ارائه دهندگان ابر ممکن است اطلاعاتی در مورد ساختار داخلی ابر ارائه نکنند ، اما این رویکرد نیز اعتماد را افزایش نمی دهد ، زیرا کاربران بالقوه توانایی ارزیابی درجه امنیت داده ها را ندارند. علاوه بر این ، این رویکرد توانایی یافتن و از بین بردن آسیب پذیری ها به موقع را محدود می کند. آمازون از ممیزی امنیتی ابر EC2 خودداری می کند آسیب پذیری در پردازش نرم افزار ، که منجر به نقض سیستم امنیتی مرکز داده Hearthland می شود افشای داده های گزارش افشای کامل یا جزئی داده ها در مورد معماری سیستم و جزئیات مربوط به نرم افزار نصب شده · استفاده از سیستم های نظارت بر آسیب پذیری. مدلهای خدمات تحت تأثیر قرار می گیرند: 1. پایه حقوقی به گفته کارشناسان ، اگر به درستی قرارداد خدمات را تنظیم کنید ، می توان از 70٪ مشکلات امنیتی در ابر جلوگیری کرد. اساس چنین توافقی می تواند به عنوان "لایحه حقوق ابر" عمل کند لایحه حقوق ابر در سال 2008 توسط جیمز اورکوهارت تهیه شد. او این مطالب را در وبلاگ خود منتشر کرد که باعث علاقه و جنجال زیادی شد به طوری که نویسنده به صورت دوره ای "نسخه خطی" خود را مطابق با واقعیت ها به روز می کند. ماده 1 (بخشی): مشتریان اطلاعات خود را در اختیار دارند · هیچ سازنده (یا تأمین کننده ای) نباید در فرآیند تعامل با مشتریان هر طرح ، حقوق هرگونه داده بارگذاری شده ، ایجاد شده ، ایجاد شده ، اصلاح شده یا هرگونه حق دیگری را که مشتری از آن برخوردار است ، مورد بحث قرار دهد. · تولید کنندگان باید در مرحله توسعه راه حل ها و خدمات ، حداقل دسترسی به داده های مشتریان را ارائه دهند. · مشتریان مالک داده های خود هستند ، به این معنی که آنها مسئول اطمینان از مطابقت داده ها با مقررات و قوانین قانونی هستند. · از آنجا که رعایت داده ها ، مسائل مربوط به رعایت ایمنی و ایمنی بسیار مهم هستند ، ضروری است که مشتری داده های خود را تعیین کند. در غیر این صورت ، تولیدکنندگان باید کلیه ضمانت ها را در اختیار کاربران قرار دهند که اطلاعات آنها مطابق با تمام قوانین و مقررات ذخیره می شود. بند 2: تولیدکنندگان و مشتریان به طور مشترک سطوح خدمات را در سیستم مالک و مدیریت می کنند · تولید کنندگان مالک هستند و باید همه کارها را انجام دهند تا سطح خدمات را برای هر مشتری به صورت جداگانه برآورده کنند. تمام منابع و تلاشهای لازم برای دستیابی به سطح مناسب خدمات در کار با مشتریان باید برای مشتری رایگان باشد ، یعنی در هزینه خدمات گنجانده نشده است. · مشتریان نیز به نوبه خود مسئول و دارای سطح خدمات ارائه شده به مشتریان داخلی و خارجی خود هستند. هنگام استفاده از راه حل های سازنده برای ارائه خدمات خود ، مسئولیت مشتری و سطح چنین خدماتی نباید کاملاً به تولید کننده بستگی داشته باشد. · در صورت لزوم ادغام سیستم های سازنده و مشتری ، تولیدکنندگان باید به مشتریان امکان نظارت بر روند ادغام را بدهند. اگر مشتری استانداردهای شرکتی برای یکپارچه سازی سیستم های اطلاعاتی دارد ، سازنده باید این استانداردها را رعایت کند. · تحت هیچ شرایطی تولیدکنندگان نباید حساب های مشتریان را برای سخنرانی سیاسی ، سخنرانی نامناسب ، اظهارنظرهای مذهبی ببندند ، مگر اینکه مغایر با مقررات قانونی خاص باشد ، بیان نفرت و غیره نیست. ماده 3: تولیدکنندگان رابط کاربری خود را دارند · تولیدکنندگان ملزم به ارائه رابط های استاندارد یا منبع باز نیستند مگر اینکه در توافقنامه های مشتری موارد دیگری مشخص شده باشد. تولید کنندگان حق استفاده از رابط ها را دارند. اگر سازنده این امکان را نمی دهد که امکان اصلاح رابط کاربری را به زبان برنامه نویسی آشنا به مشتری ارائه دهد ، مشتری می تواند از خدمات سازنده یا توسعه دهندگان شخص ثالث برای نهایی کردن رابط ها مطابق با نیازهای خود خریداری کند. · با این حال ، مشتری حق دارد از خدمات خریداری شده برای اهداف شخصی خود استفاده کند ، همچنین قابلیت های آن را گسترش داده ، تکثیر و بهبود بخشد. این بند مشتریان را از حقوق ثبت اختراع و مالکیت معنوی رهایی نمی بخشد. سه مقاله فوق پایه و اساس مشتریان و فروشندگان در ابر است. می توانید متن کامل آنها را در حوزه عمومی در اینترنت پیدا کنید. البته این لایحه یک سند کامل حقوقی نیست ، چه رسد به اینکه یک سند رسمی باشد. مقالات آن را می توان در هر زمان تغییر داد و گسترش داد ، همانطور که لایحه را می توان با مقالات جدید تکمیل کرد. این تلاشی است برای رسمی شدن "مالکیت" در ابر به منظور استانداردسازی این منطقه آزادیخواه دانش و فناوری. رابطه بین طرفین تا کنون بهترین متخصص امنیت ابر Cloud Security Alliance (CSA) است. این سازمان راهنمایی را منتشر کرده و به تازگی به روز کرده است که شامل صدها تفاوت و بهترین شیوه برای ارزیابی خطرات محاسبات ابری است. سازمان دیگری که به جنبه های امنیت ابر می پردازد ، گروه محاسبات مورد اعتماد (TCG) است. او نویسنده چندین استاندارد در این زمینه و زمینه های دیگر است ، از جمله Trusted Storage ، Trusted Network Connect (TNC) و Trusted Platform Module (TPM) امروزه. این سازمانها به طور مشترک تعدادی از مسائل را که مشتری و ارائه دهنده باید هنگام انعقاد قرارداد کار کنند ، حل کرده اند. این سوالات بیشتر مشکلات هنگام استفاده از ابر ، فورس ماژور ، تغییر ارائه دهندگان خدمات ابری و سایر شرایط را حل می کند. 1. ایمنی داده های ذخیره شده. چگونه ارائه دهنده خدمات ایمنی داده های ذخیره شده را تضمین می کند؟
بهترین اقدام برای حفاظت از داده های ذخیره شده در یک انبار داده استفاده از فناوری های رمزگذاری است. ارائه دهنده باید همیشه اطلاعات سرویس گیرنده ذخیره شده در سرورهای خود را برای جلوگیری از موارد دسترسی غیرمجاز رمزگذاری کند. ارائه دهنده همچنین باید داده ها را در مواقعی که دیگر نیازی به آنها نیست و در آینده مورد نیاز نخواهند بود ، برای همیشه حذف کند. 2. حفاظت از داده ها در حین انتقال. چگونه ارائه دهنده ایمنی داده ها را در حین انتقال (در داخل ابر و در مسیر / از ابر) تضمین می کند؟
داده های منتقل شده باید همیشه پس از احراز هویت رمزگذاری شده و در دسترس کاربر قرار گیرند. این رویکرد تضمین می کند که هیچ کس نمی تواند این داده ها را تغییر داده یا بخواند ، حتی اگر از طریق گره های نامعتبر در شبکه به آنها دسترسی پیدا کند. این فناوری ها در طول "هزاران سال انسان" توسعه یافته و منجر به ایجاد پروتکل ها و الگوریتم های معتبر (به عنوان مثال TLS ، IPsec و AES) شده است. ارائه دهندگان باید از این پروتکل ها استفاده کنند نه اینکه پروتکل خود را اختراع کنند. 3. احراز هویت چگونه ارائه دهنده از صحت سرویس گیرنده مطلع است؟
رایج ترین روش احراز هویت حفاظت از رمز عبور است. با این حال ، ارائه دهندگانی که به دنبال ارائه قابلیت اطمینان بیشتر به مشتریان خود هستند ، به دنبال ابزارهای قدرتمندتری مانند گواهی ها و نشانه ها هستند. ارائه دهندگان باید بتوانند علاوه بر استفاده از وسایل احراز هویت امن تر ، با استانداردهایی مانند LDAP و SAML کار کنند. این امر برای اطمینان از تعامل ارائه دهنده با سیستم شناسایی کاربر مشتری در هنگام تأیید و تعریف مجوزهای داده شده به کاربر ضروری است. با تشکر از این ، ارائه دهنده همیشه اطلاعات به روز در مورد کاربران مجاز خواهد داشت. بدترین حالت زمانی است که مشتری لیست خاصی از کاربران مجاز را در اختیار ارائه دهنده قرار دهد. به عنوان یک قاعده ، در این مورد ، وقتی کارمندی اخراج می شود یا به موقعیت دیگری منتقل می شود ، ممکن است مشکلات ایجاد شود. 4. انزوای کاربر. چگونه داده ها و برنامه های کاربردی یک مشتری از داده ها و برنامه های دیگر مشتریان جدا می شود؟
بهترین گزینه: وقتی هریک از کلاینت ها از یک ماشین مجازی جداگانه (ماشین مجازی - VM) و یک شبکه مجازی استفاده می کنند. جداسازی بین ماشین های مجازی و در نتیجه بین کاربران ، توسط hypervisor ارائه می شود. شبکه های مجازی نیز به نوبه خود با استفاده از فناوری های استاندارد مانند VLAN (شبکه محلی مجازی) ، VPLS (سرویس شبکه خصوصی مجازی) و VPN (شبکه خصوصی مجازی) مستقر می شوند. برخی از ارائه دهندگان همه داده های مشتری را در یک محیط نرم افزاری واحد قرار می دهند و سعی می کنند با تغییر در کد آن ، داده های مشتری را از یکدیگر جدا کنند. این رویکرد بی پروا و غیرقابل اعتماد است. ابتدا ، یک مهاجم می تواند نقصی در کد غیر استاندارد پیدا کند که به او اجازه می دهد به داده هایی که نباید ببیند دسترسی پیدا کند. ثانیاً ، یک اشتباه در کد می تواند منجر به این واقعیت شود که یک مشتری به طور تصادفی داده های دیگری را "می بیند". اخیراً ، هم آن موارد و هم موارد دیگری مشاهده شده است. بنابراین ، برای تمایز داده های کاربر ، استفاده از ماشین های مجازی مختلف و شبکه های مجازی گام منطقی تری است. 5. مسائل نظارتی. رعایت قوانین و مقررات مربوط به صنعت رایانش ابری چقدر خوب است؟
بسته به حوزه قضایی ، قوانین ، مقررات و مقررات خاص ممکن است متفاوت باشد. به عنوان مثال ، آنها می توانند صادرات داده ها را ممنوع کرده ، نیاز به ضمانت نامه های دقیق تعیین شده داشته باشند ، با استانداردهای خاصی مطابقت داشته باشند و حسابرسی شوند. در نهایت ، آنها می توانند ادارات دولتی و دادگاه ها را در صورت نیاز به اطلاعات دسترسی داشته باشند. بی توجهی ارائه دهنده به این لحظات می تواند مشتریان آن را به دلیل پیامدهای قانونی به هزینه های قابل توجهی برساند. ارائه دهنده باید قوانین دقیق را دنبال کند و از یک استراتژی قانونی و نظارتی واحد پیروی کند. این امر به امنیت داده های کاربر ، صادرات آنها ، مطابقت با استانداردها ، حسابرسی ، ایمنی و حذف داده ها و همچنین افشای اطلاعات مربوط می شود (این مورد به ویژه هنگامی مهم است که اطلاعات چندین مشتری در یک سرور فیزیکی ذخیره شود). برای آگاهی از این امر ، مشتریان به شدت تشویق می شوند تا از متخصصانی که این موضوع را به طور کامل مطالعه می کنند ، کمک بگیرند. 6. واکنش به حوادث. ارائه دهنده چگونه به حوادث واکنش نشان می دهد و مشتریان آن تا چه اندازه ممکن است در این حادثه دخیل باشند؟
گاهی اوقات همه چیز طبق برنامه پیش نمی رود. بنابراین ، ارائه دهنده خدمات موظف است در صورت بروز شرایط پیش بینی نشده ، به قوانین خاصی از رفتار پایبند باشد. این قوانین باید مستند باشند. برای ارائه دهندگان ضروری است که حوادث را شناسایی کرده و پیامدهای آنها را با اطلاع رسانی به کاربران در مورد وضعیت فعلی به حداقل برسانند. در حالت ایده آل ، آنها باید به طور مرتب اطلاعاتی را در اختیار مشتریان خود قرار دهند که تا آنجا که ممکن است در مورد این موضوع توضیح داده شود. علاوه بر این ، بر عهده مشتریان است که احتمال وقوع یک مسئله امنیتی را ارزیابی کرده و اقدامات لازم را انجام دهند. تکامل فناوری ابر از تلاش برای ایجاد و اصلاح استانداردهای مورد نیاز صنعت پیشی گرفته است ، که بسیاری از آنها طی سالها به روز نشده است. بنابراین ، قانون گذاری در زمینه فناوری های ابری یکی از مهمترین مراحل در جهت اطمینان از امنیت است. IEEE ، یکی از بزرگترین سازمانهای توسعه استانداردهای جهان ، از راه اندازی یک برنامه محاسبات ابری اختصاصی خبر داده است. این اولین ابتکار استانداردسازی ابری است که در سطح بین المللی راه اندازی شده است - تا کنون ، استانداردهای رایانش ابری تحت تسلط کنسرسیوم های صنعت بوده است. این ابتکار در حال حاضر شامل 2 پروژه است: IEEE P2301 (tm) ، "پیش نویس راهنمای قابلیت حمل و قابلیت همکاری پروفایل های ابر" ، و IEEE P2302 (tm) - "پیش نویس استاندارد همکاری و قابلیت توزیع توزیع شده (فدراسیون) سیستم های ابری". در چارچوب انجمن توسعه استانداردهای IEEE ، 2 گروه کاری جدید ایجاد شده است که به ترتیب بر روی پروژه های IEEE P2301 و IEEE P2302 کار می کنند. IEEE P2301 شامل پروفایل های برنامه های موجود و معلق ، قابلیت حمل ، مدیریت و استانداردهای قابلیت همکاری و همچنین فرمت های فایل و قراردادهای عملیاتی خواهد بود. اطلاعات موجود در سند با توجه به گروه های مختلف مخاطب هدف: فروشندگان ، ارائه دهندگان خدمات و سایر شرکت کنندگان علاقه مند در بازار ، منطقی ساختار بندی می شوند. پس از تکمیل ، انتظار می رود این استاندارد در تهیه ، توسعه ، ساخت و استفاده از محصولات و خدمات ابری بر اساس فناوری های استاندارد قابل استفاده باشد. استاندارد IEEE P2302 توپولوژی ، پروتکل ها ، عملکرد و روش های مدیریتی مورد نیاز برای تعامل ساختارهای مختلف ابر (به عنوان مثال ، برای تعامل یک ابر خصوصی و یک ابر عمومی مانند EC2) را شرح می دهد. این استاندارد ارائه دهندگان محصولات و خدمات ابری را قادر می سازد تا از مزایای اقتصادی مقیاس بهره مند شوند ، در حالی که شفافیت را برای کاربران خدمات و برنامه ها فراهم می کند. ISO یک استاندارد ویژه برای امنیت محاسبات ابری آماده می کند. تمرکز اصلی استاندارد جدید پرداختن به مسائل سازمانی مربوط به ابرها است. با این حال ، به دلیل پیچیدگی روش های هماهنگ سازی ISO ، نسخه نهایی سند نباید تا سال 2013 منتشر شود. ارزش سند این است که نه تنها سازمانهای دولتی (NIST ، ENISA) در تهیه آن مشارکت دارند ، بلکه نمایندگان جوامع و انجمنهای متخصص مانند ISACA و CSA نیز مشارکت دارند. علاوه بر این ، یک سند شامل توصیه هایی برای ارائه دهندگان خدمات ابری و مصرف کنندگان آنها - سازمان های مشتری است. هدف اصلی این سند شرح مفصل بهترین شیوه های مربوط به استفاده از رایانش ابری از منظر امنیت اطلاعات است. در عین حال ، استاندارد فقط بر جنبه های فنی تمرکز نمی کند ، بلکه بر جنبه های سازمانی تمرکز می کند که نباید در گذار به محاسبات ابری فراموش شوند. این تفکیک حقوق و مسئولیت ها و امضای موافقت نامه با اشخاص ثالث و مدیریت دارایی های متعلق به شرکت کنندگان مختلف در فرایند "ابر" و مسائل مربوط به مدیریت پرسنل و غیره است. سند جدید تا حد زیادی شامل موادی است که قبلاً در صنعت فناوری اطلاعات توسعه یافته بود. دولت استرالیا پس از ماه ها طوفان فکری ، دولت استرالیا یک سری راهنماهای مهاجرت مبتنی بر ابر را در 15 فوریه 2012 در وبلاگ دفتر مدیریت اطلاعات دولت استرالیا (AGIMO) منتشر کرد. برای سهولت مهاجرت شرکت ها به ابر ، دستورالعمل هایی در مورد بهترین شیوه های استفاده از خدمات ابری برای برآوردن الزامات قانون راهنمای عملکرد بهتر 1997 برای مدیریت مالی و پاسخگویی 1997 ارائه شده است. راهنماها به طور کلی به مسائل مالی ، حقوقی و حفاظت از داده ها می پردازند. دستورالعمل ها در مورد نیاز به نظارت و کنترل مداوم استفاده از خدمات ابری از طریق تجزیه و تحلیل روزانه صورتحساب ها و گزارش ها صحبت می کنند. این به جلوگیری از نشانه گذاری های پنهان و وابستگی به ارائه دهندگان خدمات ابری کمک می کند. اولین راهنما با عنوان حریم خصوصی و رایانش ابری برای آژانس های دولتی استرالیا (9 صفحه) است. این سند بر مسائل مربوط به حریم خصوصی و امنیت داده ها تمرکز دارد. علاوه بر این راهنما ، مذاکره درباره ابر - مسائل حقوقی در توافق نامه های رایانش ابری (19 صفحه) نیز آماده شده است تا به شما در درک بندهای مندرج در قرارداد کمک کند. آخرین ، سومین راهنمای ، ملاحظات مالی برای استفاده دولت از رایانش ابری ، 6 صفحه ، مسائل مالی را مورد بحث قرار می دهد که اگر یک شرکت تصمیم بگیرد از رایانش ابری در تجارت خود استفاده کند ، باید به آن توجه کند. علاوه بر موارد ذکر شده در راهنماها ، تعدادی از مسائل دیگر نیز وجود دارد که هنگام استفاده از رایانش ابری باید مورد توجه قرار گیرد ، از جمله مسائل مربوط به دولت ، تدارکات و سیاست مدیریت کسب و کار. بحث عمومی این مقاله خط مشی فرصتی را برای ذینفعان فراهم می کند تا مسائل زیر را مورد توجه قرار داده و نظر دهند: · دسترسی غیرمجاز به اطلاعات طبقه بندی شده. · از دست دادن دسترسی به داده ها. عدم اطمینان از صحت و اعتبار داده ها و · درک جنبه های عملی ارائه خدمات ابری. تعدادی مقررات در کشورهای مختلف وجود دارد که مستلزم ماندن اطلاعات حساس در داخل کشور است. در حالی که ذخیره داده ها در یک منطقه معین در نگاه اول دشوار به نظر نمی رسد ، ارائه دهندگان خدمات ابری اغلب نمی توانند آن را تضمین کنند. در سیستم هایی با درجه مجازی سازی بالا ، داده ها و ماشین های مجازی می توانند برای اهداف مختلف از کشوری به کشور دیگر حرکت کنند - تعادل بار ، تحمل خطا. برخی از بازیگران اصلی بازار SaaS (مانند Google ، Symantec) می توانند ذخیره اطلاعات را در کشور مربوطه تضمین کنند. اما اینها استثنائاتی هستند ؛ به طور کلی ، برآورده ساختن این الزامات هنوز بسیار نادر است. حتی اگر داده ها در کشور باقی بمانند ، راهی برای تأیید مشتریان وجود ندارد. علاوه بر این ، نباید تحرک کارکنان شرکت را فراموش کرد. اگر متخصصی که در مسکو کار می کند به نیویورک سفر کند ، بهتر است (یا حداقل سریعتر) داده ها را از یک مرکز داده در ایالات متحده دریافت کند. برای اطمینان از این امر در حال حاضر یک کار بزرگتر دشوارتر است. در حال حاضر ، هیچ چارچوب نظارتی جدی برای فناوری های ابری در کشور ما وجود ندارد ، اگرچه پیشرفت هایی در این زمینه در حال انجام است. بنابراین ، به دستور رئیس جمهور فدراسیون روسیه شماره 146 از 8.02.2012. مشخص شد که مقامات اجرایی فدرال مجاز در زمینه امنیت داده ها در سیستم های اطلاعاتی ایجاد شده با استفاده از فناوری های فوق رایانه و شبکه عبارتند از FSB روسیه و FSTEC روسیه. در ارتباط با این فرمان ، اختیارات این خدمات افزایش یافته است. FSB روسیه در حال حاضر اسناد نظارتی و روش شناختی را در زمینه اطمینان از امنیت این سیستم ها تهیه و تصویب می کند ، در زمینه امنیت اطلاعات سازماندهی و انجام می دهد. این سرویس همچنین مطالعات تخصصی رمزنگاری ، مهندسی-رمزنگاری و ویژه این سیستم های اطلاعاتی را انجام می دهد و نظرات کارشناسی را در مورد پیشنهادات مربوط به ایجاد آنها آماده می کند. این سند همچنین تصریح می کند که FSTEC روسیه یک استراتژی تدوین می کند و زمینه های اولویت را برای اطمینان از امنیت اطلاعات در سیستم های اطلاعاتی ایجاد شده با استفاده از ابر رایانه و فناوری های شبکه ای که داده های محدود را پردازش می کنند ، تعیین می کند و همچنین بر وضعیت کار برای اطمینان از این امنیت نظارت می کند. FSTEC دستور انجام یک مطالعه را داد ، که منجر به نسخه بتا "سیستم اصطلاحات در زمینه" فناوری های ابری "شد همانطور که می دانید ، کل این سیستم اصطلاحات ترجمه ای اقتباس شده از دو سند است: "گروه تمرکز بر گزارش فنی رایانش ابری" و "تعریف NIST از رایانش ابری". خوب ، این واقعیت که این دو سند چندان با یکدیگر سازگار نیستند ، یک موضوع جداگانه است. اما از نظر بصری هنوز قابل مشاهده است: در "Terminosystem" روسی نویسندگان به سادگی پیوندهایی را برای این اسناد انگلیسی برای شروع ارائه نکرده اند. واقعیت این است که برای چنین کاری ، ابتدا باید مفهوم ، اهداف و اهداف ، روشهای حل آنها را مورد بحث قرار دهید. سوالات و نظرات زیادی وجود دارد. نکته روش شناختی اصلی: لازم است به روشنی فرموله شود که این تحقیق چه مشکلی را حل می کند ، هدف آن. من می خواهم بلافاصله به این نکته اشاره کنم که "ایجاد یک سیستم اصطلاح شناسی" نمی تواند یک هدف باشد ، این یک وسیله است ، اما دستیابی به چیزی که هنوز چندان روشن نیست. ناگفته نماند که یک تحقیق عادی باید شامل بخش وضعیت موجود باشد. بحث درباره نتایج یک مطالعه بدون اطلاع از فرمول اصلی مسئله و نحوه حل آن توسط نویسندگان دشوار است. اما یک اشتباه اساسی در سیستم اصطلاحات به وضوح قابل مشاهده است: بحث درباره "موضوع کدر" جدا از "غیر کدر" غیرممکن است. خارج از زمینه کلی فناوری اطلاعات اما این زمینه در مطالعه قابل مشاهده نیست. و نتیجه این است که در عمل نمی توان چنین سیستم اصطلاحاتی را اعمال کرد. فقط می تواند وضعیت را بیشتر آشفته کند. یک سیستم حفاظتی سرور ابری در حداقل پیکربندی خود باید امنیت تجهیزات شبکه ، ذخیره داده ها ، سرور و هایپروایزر را تضمین کند. علاوه بر این ، می توان یک آنتی ویروس را در یک هسته اختصاصی برای جلوگیری از آلودگی hypervisor از طریق یک ماشین مجازی ، یک سیستم رمزگذاری داده ها برای ذخیره اطلاعات کاربر به صورت رمزگذاری شده و وسیله ای برای اجرای تونل رمزگذاری شده بین سرور مجازی و سرویس گیرنده ، قرار داد. دستگاه. برای این منظور به سروری نیاز داریم که از مجازی سازی پشتیبانی کند. راه حل هایی از این دست توسط Cisco ، Microsoft ، VMWare ، Xen ، KVM ارائه می شود. همچنین مجاز است از یک سرور کلاسیک استفاده کنید و مجازی سازی را روی آن با استفاده از یک hypervisor انجام دهید. هر سروری با پردازنده سازگار برای مجازی سازی سیستم عامل ها برای سیستم عامل های x86-64 مناسب است. چنین راه حلی بدون نیاز به سرمایه گذاری مالی اضافی در ارتقاء سخت افزار ، انتقال به رایانه مجازی سازی را ساده می کند. طرح کار: برنج. 11. نمونه ای از سرور "ابر" برنج. 12. پاسخ سرور به خرابی تجهیزات در حال حاضر ، بازار ابزارهای امنیتی رایانش ابری هنوز کاملاً خالی است. و این تعجب آور نیست. در غیاب چارچوب نظارتی و عدم اطمینان در مورد استانداردهای آتی ، شرکتهای توسعه دهنده نمی دانند که تلاش خود را بر چه چیزی متمرکز کنند. با این حال ، حتی در چنین شرایطی ، نرم افزارها و سیستم های سخت افزاری تخصصی ظاهر می شوند که امکان محافظت از ساختار ابر را از انواع اصلی تهدیدها فراهم می کند. نقض یکپارچگی هک کردن یک hypervisor خودی ها شناسایی احراز هویت رمزگذاری آکورد-بی سیستم سخت افزاری و نرم افزاری آکورد-بی.طراحی شده برای محافظت از زیرساخت های مجازی سازی VMware vSphere 4.1 ، VMware vSphere 4.0 و VMware Infrastructure 3.5. آکورد-بی. محافظت از همه اجزای محیط مجازی سازی: سرورهای ESX و خود ماشین های مجازی ، سرورهای مدیریت vCenter و سرورهای اضافی با خدمات VMware (برای مثال ، VMware Consolidated Backup). مکانیسم های حفاظتی زیر در مجموعه سخت افزاری و نرم افزاری Accord-V پیاده سازی شده است: · کنترل گام به گام یکپارچگی hypervisor ، ماشینهای مجازی ، فایلهای داخل ماشینهای مجازی و سرورهای مدیریت زیرساخت. · تمایز دسترسی مدیران زیرساخت مجازی و مدیران امنیتی. · تمایز دسترسی کاربر در ماشین های مجازی. · شناسایی سخت افزاری کلیه کاربران و مدیران زیرساخت مجازی سازی. اطلاعات در مورد در دسترس بودن گواهینامه ها: گواهی انطباق FSTEC روسیه شماره 2598 مورخ 2012/03/20 تأیید می کند که مجموعه سخت افزاری و نرم افزاری حفاظت از اطلاعات از دسترسی های غیر مجاز "Accord-V." مطابق با الزامات اسناد راهنمایی "امکانات رایانه. حفاظت در برابر دسترسی غیرمجاز به اطلاعات. شاخص های امنیت در برابر دسترسی غیرمجاز به اطلاعات "(کمیسیون فنی دولتی روسیه ، 1992) - با توجه به 5
کلاس امنیتی ، "حفاظت در برابر دسترسی غیرمجاز به اطلاعات. بخش 1. نرم افزار حفاظت از اطلاعات. طبقه بندی بر اساس سطح کنترل عدم وجود قابلیت های اعلام نشده" (کمیسیون فنی دولتی روسیه ، 1999) - توسط 4
سطح کنترل و شرایط فنی TU 4012-028-11443195-2010 ، و همچنین می تواند برای ایجاد سیستم های خودکار تا کلاس امنیت 1G و محافظت از اطلاعات در سیستم های اطلاعات شخصی اطلاعات تا کلاس 1 استفاده شود. vGate R2 vGate R2 یک ابزار تأیید شده برای حفاظت از اطلاعات در برابر دسترسی غیرمجاز و کنترل اجرای سیاست های امنیت اطلاعات برای زیرساخت های مجازی بر اساس سیستم های VMware vSphere 4 و VMware vSphere 5.S R2 - نسخه ای از محصول قابل استفاده برای محافظت از اطلاعات در زیرساخت های مجازی شرکتهای دولتی که IP آنها الزامات کاربردی برای استفاده از سیستمهای امنیت اطلاعات با گواهینامه بالا است. به شما امکان می دهد کار مدیران را برای پیکربندی و عملکرد سیستم امنیتی خودکار کنید. به مقابله با خطاها و سوء استفاده در مدیریت زیرساخت مجازی کمک می کند. به شما امکان می دهد زیرساخت های مجازی را با قوانین ، استانداردهای صنعت و بهترین شیوه های جهانی مطابقت دهید. <#"783809.files/image017.gif"> <#"783809.files/image018.gif"> <#"783809.files/image019.gif"> <#"783809.files/image020.gif"> برنج. 13 vGate R2 قابلیت های خود را اعلام کرد بنابراین ، به طور خلاصه ، در اینجا ابزارهای اصلی vGate R2 برای محافظت از مرکز داده ارائه دهنده خدمات در برابر تهدیدات داخلی ناشی از مدیران خود آمده است: تفکیک سازمانی و فنی قوا برای مدیران vSphere تخصیص نقش جداگانه مدیر IS که امنیت منابع مرکز داده را بر اساس vSphere مدیریت می کند تقسیم ابر به مناطق امنیتی ، که در آن مدیران با سطح اقتدار مناسب فعالیت می کنند کنترل صداقت ماشین های مجازی امکان دریافت گزارش در مورد امنیت زیرساخت vSphere در هر زمان و همچنین ممیزی رویدادهای امنیت اطلاعات در اصل ، این تقریباً همه آن چیزی است که برای محافظت از زیرساخت های مرکز داده مجازی در برابر تهدیدات داخلی از نظر زیرساخت مجازی مورد نیاز است. البته ، شما همچنین نیاز به حفاظت در سطح سخت افزار ، برنامه ها و سیستم عامل مهمان دارید ، اما این مشکل دیگری است که با استفاده از محصولات شرکت امنیت کد نیز حل می شود<#"783809.files/image021.gif"> برنج. 14. ساختار سرور. مطابق جدول 2 ، برای اطمینان از ایمنی در چنین تاسیساتی ، اطمینان از ایمنی لازم است. برای انجام این کار ، پیشنهاد می کنم از محصول نرم افزاری استفاده کنید vGate R2.این به شما امکان می دهد مشکلات زیر را حل کنید: · احراز هویت قوی تر برای مدیران زیرساخت مجازی و مدیران امنیت اطلاعات. · حفاظت از ابزارهای مدیریت زیرساخت مجازی در برابر دستکاری. · محافظت از سرورهای ESX در برابر دستکاری. · کنترل دسترسی اجباری. · نظارت بر یکپارچگی پیکربندی ماشین های مجازی و بوت قابل اعتماد. · کنترل دسترسی مدیران VI به داده های ماشین های مجازی. · ثبت وقایع مربوط به امنیت اطلاعات. · نظارت بر یکپارچگی و حفاظت در برابر دستکاری اجزای سیستم امنیت اطلاعات. · مدیریت و نظارت متمرکز. جدول 2. نقشه برداری نیازهای امنیتی برای مدل PaaS
گواهی FSTEC روسیه علاوه بر این ، برای محافظت در برابر خودی ها ، باید یک زنگ امنیتی نصب کنید. این راه حل ها در بازار حفاظت سرور بسیار غنی ارائه شده است. قیمت چنین راه حلی با دسترسی محدود به منطقه کنترل شده ، سیستم هشدار دهنده و نظارت تصویری از 200،000 روبل و بیشتر متغیر است به عنوان مثال ، بیایید مبلغ 250،000 روبل بگیریم. برای محافظت از ماشین های مجازی در برابر عفونت های ویروسی ، یک هسته سرور McAfee Total Protection for Virtualization را اجرا می کند. هزینه راه حل از 42200 روبل است. Symantec Netbackup برای جلوگیری از از دست رفتن اطلاعات در انبارها استفاده می شود. این به شما امکان می دهد از اطلاعات و تصاویر سیستم به طور ایمن نسخه پشتیبان تهیه کنید. هزینه کل اجرای چنین پروژه ای به شرح زیر خواهد بود: پیاده سازی مایکروسافت از راه حل طراحی مشابه را می توانید از اینجا بارگیری کنید: http://www.microsoft.com/en-us/download/confirmation. aspx؟ id = 2494 "فناوری های ابری" یکی از فعال ترین مناطق در حال توسعه بازار فناوری اطلاعات در حال حاضر است. اگر میزان رشد فناوری ها کاهش نیابد ، تا سال 2015 آنها بیش از 170 میلیون یورو در سال به خزانه کشورهای اروپایی کمک می کنند. در کشور ما با فناوری های ابری با احتیاط برخورد می شود. این امر تا حدی به دلیل دیدگاه های جعلی رهبری و تا حدی عدم اعتماد به امنیت است. اما این نوع فناوری ، با همه مزایا و معایب آنها ، لوکوموتیو جدیدی از پیشرفت فناوری اطلاعات است. برنامه "در آن طرف ابر" اصلاً مهم نیست که آیا درخواست خود را در رایانه ای با پردازنده x86 Intel ، AMD ، VIA تنظیم کنید یا آن را بر اساس تلفن یا تلفن هوشمند مبتنی بر پردازنده ARM Freescale ، OMAP ، Tegra ایجاد کنید. به علاوه بر این ، به طور کلی مهم نخواهد بود که سیستم عامل های لینوکس Google Chrome ، OHA Android ، Intel Moblin ، Windows CE ، Windows Mobile Windows XP / Vista / 7 را اجرا می کنید یا از چیزهای عجیب و غریب بیشتری برای این کار استفاده می کنید. ... اگر فقط درخواست به درستی و قابل درک گردآوری شده باشد و سیستم شما بتواند پاسخ دریافتی را "تسلط" دهد. مسئله امنیت یکی از مسائل اصلی در رایانش ابری است و حل آن باعث بهبود کیفیت خدمات در حوزه رایانه می شود. با این حال ، هنوز کارهای زیادی در این زمینه باید انجام شود. در کشور ما ، ارزش آن را دارد که با واژگان یکپارچه ای از اصطلاحات برای کل حوزه فناوری اطلاعات شروع کنیم. استانداردهای مبتنی بر تجربه بین المللی را تدوین کنید. الزامات مربوط به سیستم های امنیتی را مطرح کنید. 1. ملاحظات مالی برای استفاده دولت از رایانش ابری - دولت استرالیا 2010. 2. حفظ حریم خصوصی و رایانش ابری برای آژانس های دولتی استرالیا 2007. مذاکره درباره ابر - مسائل حقوقی در توافقنامه های رایانش ابری 2009. مجله "علوم مدرن: مشکلات واقعی تئوری و عمل" 2012.
7. ممیزی امنیتی
8. بررسی حوادث و پزشکی قانونی در محاسبات ابری
9. مدل تهدید
10. استانداردهای بین المللی و داخلی
11. هویت سرزمینی داده ها
12. استانداردهای ایالتی
13. ابزار امنیت ابری
خروجی
ادبیات
کارهای مشابه - امنیت اطلاعات در رایانش ابری: آسیب پذیری ها ، روش ها و وسایل حفاظت ، ابزارهای حسابرسی و بررسی حادثه
