Când Eric Schmitt, acum șeful Google, a folosit pentru prima dată termenul „cloud” pentru a se referi la un sistem de calcul distribuit pe web, abia știa că este unul dintre acele cuvinte care apar adesea în legende. În aproape toate miturile popoarelor lumii, ființele divine trăiesc foarte aproape de cer - pe nori. Drept urmare, termenul „cloud computing” este foarte popular printre specialiștii în marketing, deoarece oferă loc creativității. De asemenea, vom încerca să verbalizăm aceste mituri și să înțelegem cât de organic sunt combinate cu IT.
Moartea lui Merlin
Unul dintre personajele din ciclul legendelor despre regele Arthur și masa sa rotundă este magicianul și vrăjitorul Merlin, care l-a ajutat pe Arthur în domnia sa. Este semnificativ faptul că Merlin a ajuns să fie închis în nori. El, dorind să se laude cu tânăra vrăjitoare și să-și arate puterea magică, a construit un castel de nori și și-a invitat pasiunea să-l examineze. Cu toate acestea, vrăjitoarea sa dovedit a fi vicleană și a închis magul în propriul său castel de nori. După aceea, nimeni nu l-a văzut pe Merlin, așa că se crede că a murit undeva acolo - în castelul de nori pe care el însuși l-a construit.
Acum, „magicienii din IT” au construit, de asemenea, o întreagă mitologie în jurul calculelor distribuite, astfel încât, pentru a nu fi închiși în aceste „încuietori”, ar trebui mai întâi să vă dați seama ce sunt acești nori, adică să separați marketingul de cotlete.
Inițial, a existat un singur nor - tocmai cu acest simbol a fost desemnat în mod tradițional internetul. Acest cloud a reprezentat colecția tuturor computerelor conectate prin protocolul IP și care au propria lor adresă IP. De-a lungul timpului, Internetul a început să aloce ferme de servere care au fost instalate la furnizori și pe care s-au bazat proiectele web. În același timp, pentru a asigura o toleranță ridicată la sarcină și erori, cele mai mari sisteme web au devenit multi-nivel și distribuite.
Într-un astfel de sistem tipic, s-ar putea distinge următoarele niveluri: un proxy invers, care acționează și ca un echilibrator de încărcare și decriptor SSL, serverul web în sine, apoi un server de aplicații, un SGBD și un sistem de stocare. În același timp, la fiecare nivel ar putea exista mai multe elemente care îndeplinesc aceleași funcții și, prin urmare, nu a fost întotdeauna clar ce componente au fost utilizate pentru a procesa cererile utilizatorilor. Și când nu este clar, atunci aceștia sunt norii. Prin urmare, au început să spună că cererile utilizatorilor sunt executate undeva în „cloud” de la un număr mare de servere. Așa a apărut termenul „cloud computing”.
Deși inițial cloud computing a fost asociat cu proiecte web disponibile public - portaluri, totuși, pe măsură ce s-au dezvoltat sisteme web distribuite tolerante la erori, acestea au început să fie utilizate pentru rezolvarea problemelor interne ale corporației. Era vremea exploziei în portalurile corporative care se bazau pe tehnologii web dezvoltate în sistemele publice. În același timp, sistemele corporative au început să se consolideze în centre de date mai ușor și mai ieftin de întreținut.
Cu toate acestea, ar fi ineficient să alocăm un server separat pentru fiecare element al cloudului - nu toate elementele cloud-ului sunt încărcate în mod egal, astfel încât industria virtualizării a început să se dezvolte în paralel. În cloud-uri publice, sa dovedit a fi destul de popular, deoarece a permis diferențierea drepturilor de acces și a oferit un transfer rapid al unui element al unui sistem distribuit către un alt operator de hardware. Fără virtualizare, cloud computing-ul ar fi mai puțin dinamic și scalabil, motiv pentru care norii au acum tendința de a fi alcătuit din mașini virtuale.
Cloud computing este în principal asociat cu închirierea de aplicații, definind trei tipuri de astfel de servicii: IaaS - infrastructură ca serviciu, PaaS - platformă ca serviciu și SaaS - software ca serviciu. Uneori, securitatea ca serviciu este, de asemenea, redusă la SaaS, cu toate acestea, pentru a nu confunda serviciile de securitate în cloud cu închirierea de software, este mai bine să o numim ISaaC - Securitatea informațiilor ca cloud. Astfel de servicii încep de asemenea să fie furnizate. Cu toate acestea, nu confundați externalizarea aplicațiilor și cloud computing, deoarece cloud-urile pot fi interne, publice și hibride. Fiecare dintre aceste tipuri de nori are propriile sale caracteristici atunci când organizează un sistem de securitate.
Cei trei pași ai lui Vishnu
Zeul Vishnu din mitologia hindusă este cunoscut pentru faptul că el a fost cel care a cucerit spațiul pentru viața umană cu ajutorul a trei pași: primul a fost făcut pe pământ, al doilea - în nori și al treilea - în cel mai înalt locuit. În conformitate cu Rig Veda, prin această acțiune Vishnu a cucerit toate aceste spații pentru oameni.
IT-ul modern face, de asemenea, un „al doilea pas” similar - de la sol la nori. Cu toate acestea, pentru a nu cădea de pe acești nori pe pământ, merită să aveți grijă de siguranță. În prima parte, am analizat structura norului în detaliu pentru a înțelege ce amenințări există pentru cloud computing. Din cele de mai sus, ar trebui să se distingă următoarele clase de amenințări:
Atacuri tradiționale asupra software-ului... Acestea sunt legate de vulnerabilitatea protocoalelor de rețea, a sistemelor de operare, a componentelor modulare și altele. Acestea sunt amenințări tradiționale, pentru protecția împotriva cărora este suficient să instalați antivirus, firewall, IPS și alte componente discutate. Este important doar ca aceste protecții să fie adaptate infrastructurii cloud și să funcționeze eficient într-un mediu virtualizat.
Atacuri funcționale asupra elementelor cloud... Acest tip de atac este asociat cu stratificarea norului, un principiu general de securitate conform căruia protecția generală a unui sistem este egală cu cea a celei mai slabe verigi. Deci, un atac DoS de succes asupra unui proxy invers instalat în fața norului va bloca accesul la întregul nor, chiar dacă toate comunicațiile din interiorul cloudului vor funcționa fără interferențe. În mod similar, o injecție SQL trecută prin serverul de aplicații va da acces la datele de sistem, indiferent de regulile de acces din stratul de stocare a datelor. Pentru a vă proteja împotriva atacurilor funcționale, pentru fiecare strat de cloud, trebuie să utilizați mijloace de protecție specifice: pentru un proxy - protecție împotriva atacurilor DoS, pentru un server web - controlul integrității paginii, pentru un server de aplicații - un ecran la nivel de aplicație, pentru un SGBD layer - protecție împotriva SQL-injecții, pentru sistemul de stocare - backup și control acces. Separat, fiecare dintre aceste mecanisme de apărare a fost deja creat, dar nu sunt colectate împreună pentru o protecție cuprinzătoare a cloud-ului, astfel încât sarcina de a le integra într-un singur sistem trebuie rezolvată în timpul creării cloud-ului.
Atacurile clientului... Acest tip de atac a fost practicat în mediul web, dar este relevant și pentru cloud, deoarece clienții se conectează la cloud, de obicei folosind un browser. Include atacuri precum Cross Site Scripting (XSS), deturnarea sesiunilor web, furtul de parole, „om în mijloc” și altele. În mod tradițional, autentificarea puternică și comunicarea criptată cu autentificare reciprocă au fost o apărare împotriva acestor atacuri, dar nu toți creatorii de cloud își pot permite astfel de mijloace de protecție risipitoare și, de obicei, nu foarte convenabile. Prin urmare, în această industrie a securității informației există încă sarcini nerezolvate și spațiu pentru crearea de noi mijloace de protecție.
Amenințări de virtualizare... Deoarece platforma pentru componentele cloud a fost în mod tradițional medii virtualizate, atacurile asupra sistemului de virtualizare amenință, de asemenea, întregul cloud în ansamblu. Acest tip de amenințare este unic pentru cloud computing, așa că o vom analiza mai atent mai jos. Soluțiile pentru unele amenințări de virtualizare încep acum să apară, dar această industrie este destul de nouă, până acum soluțiile existente nu au fost încă dezvoltate. Este foarte posibil ca piața securității informațiilor să dezvolte mijloace de protecție împotriva acestui tip de amenințare în viitorul apropiat.
Amenințări cuprinzătoare în cloud... Controlul și gestionarea cloud-urilor este, de asemenea, o problemă de securitate. Cum să vă asigurați că toate resursele cloud sunt numărate și că nu există mașini virtuale necontrolate în ea, nu sunt lansate procese de afaceri inutile și nu se încalcă configurația reciprocă a straturilor și elementelor cloud. Acest tip de amenințare este asociat cu gestionarea cloud-ului ca sistem de informații unificat și căutarea abuzului sau a altor perturbări în funcționarea cloud-ului, ceea ce poate duce la costuri inutile pentru menținerea stării de sănătate a sistemului informațional. De exemplu, dacă există un nor care permite detectarea unui virus folosind un fișier, atunci cum se poate preveni furtul unor astfel de detectoare? Acest tip de amenințare este cel mai înalt nivel și, bănuiesc, că nu există o protecție universală pentru acesta - pentru fiecare nor, protecția sa generală trebuie construită individual. Acest lucru poate fi ajutat de cel mai general model de gestionare a riscurilor, care încă trebuie aplicat corect infrastructurilor cloud.
Primele două tipuri de amenințări au fost deja studiate suficient și au fost dezvoltate mijloace de apărare pentru acestea, dar acestea trebuie încă adaptate pentru a fi utilizate în cloud. De exemplu, firewall-urile sunt proiectate pentru a proteja perimetrul, dar în cloud nu este ușor să alocați un perimetru unui client individual, ceea ce face protecția mult mai dificilă. Prin urmare, tehnologia firewall trebuie adaptată la infrastructura cloud. Lucrările în această direcție sunt acum efectuate în mod activ, de exemplu, de Check Point.
Un nou tip de amenințare pentru cloud computing este problemele de virtualizare. Faptul este că atunci când se utilizează această tehnologie, apar în sistem elemente suplimentare care pot fi atacate. Acestea includ un hipervizor, un sistem pentru transferul mașinilor virtuale de la o gazdă la alta și un sistem de gestionare a mașinilor virtuale. Să analizăm mai detaliat ce fel de atacuri pot suferi elementele listate.
Atacuri de hipervizor... De fapt, elementul cheie al unui sistem virtual este hipervizorul, care asigură împărțirea resurselor unui computer fizic între mașinile virtuale. Interferența cu funcționarea hipervizorului poate duce la faptul că o mașină virtuală poate accesa memoria și resursele alteia, îi poate intercepta traficul de rețea, îi poate lua resursele fizice și chiar poate deplasa complet mașina virtuală de pe server. Până în prezent, puțini hackeri înțeleg exact cum funcționează hipervizorul, deci practic nu există atacuri de acest tip, dar acest lucru nu garantează că nu vor apărea în viitor.
Migrați mașini virtuale... Trebuie remarcat faptul că o mașină virtuală este un fișier care poate fi lansat pentru executare în diferite noduri cloud. Sistemele de gestionare a mașinilor virtuale oferă mecanisme pentru transferul mașinilor virtuale de la o gazdă la alta. Cu toate acestea, fișierul mașinii virtuale poate fi furat și încercat să ruleze în afara cloud-ului. Este imposibil să scoateți un server fizic din centrul de date, dar o mașină virtuală poate fi furată prin rețea fără a avea acces fizic la servere. Este adevărat, o mașină virtuală separată în afara cloudului nu are nicio valoare practică - trebuie să furați cel puțin o mașină virtuală din fiecare strat, precum și date din sistemul de stocare pentru a restabili un nor similar, cu toate acestea, virtualizarea permite destul furtul de piese sau întregul nor. Adică, interferența cu mecanismele de transfer a mașinilor virtuale creează noi riscuri pentru sistemul informațional.
Controlează atacurile sistemului... Numărul total de mașini virtuale care sunt utilizate în nori, în special în nori publici, necesită sisteme de gestionare care pot controla în mod fiabil crearea, migrarea și eliminarea mașinilor virtuale. Intervenția în sistemele de control poate duce la apariția mașinilor virtuale invizibile, blocarea unor mașini și înlocuirea elementelor neautorizate în straturile de nor. Toate acestea permit atacatorilor să obțină informații din nor sau să capteze părți din acesta sau din întregul nor.
Trebuie remarcat faptul că până acum toate amenințările enumerate mai sus sunt pur ipotetice, deoarece practic nu există informații despre atacuri reale de acest tip. În același timp, când virtualizarea și cloud-ul devin suficient de populare, toate aceste tipuri de atacuri pot fi destul de reale. Prin urmare, acestea ar trebui luate în considerare chiar și în etapa de proiectare a sistemelor cloud.
Dincolo de al șaptelea cer
Apostolul Pavel a susținut că a cunoscut un om care a fost prins până în cel de-al șaptelea cer. De atunci, sintagma „al șaptelea cer” a fost ferm înrădăcinată pentru desemnarea paradisului. Cu toate acestea, nu toți sfinții creștini au fost onorați să viziteze chiar și primul cer, cu toate acestea, nu există o astfel de persoană care să nu viseze să privească cel de-al șaptelea cer cu cel puțin un ochi.
Poate că această legendă i-a determinat pe creatorii Trend Micro să numească unul dintre proiectele lor de protecție cloud Cloud Nine - al nouălea cloud. Acest lucru este clar peste al șaptelea. Cu toate acestea, acum acest nume este dat unei game largi de lucruri: cântece, povești de detectivi, jocuri pe computer, dar este foarte posibil ca acest nume să fi fost inspirat de legenda creștină a lui Pavel.
Cu toate acestea, până în prezent compania Trend Micro a publicat doar informații că Cloud Nine va fi asociat cu criptarea datelor în cloud. Criptarea datelor face posibilă protejarea împotriva majorității amenințărilor la adresa datelor din cloud-ul public, astfel încât astfel de proiecte vor fi acum dezvoltate activ. Să ne imaginăm ce instrumente de protecție mai pot fi utile pentru a atenua riscurile descrise mai sus.
În primul rând, trebuie să oferiți autentificare fiabilă, atât utilizatorilor cloud, cât și componentelor sale. Pentru a face acest lucru, puteți utiliza cel mai probabil sisteme de autentificare unice (SSO) gata făcute, care se bazează pe Kerberos și protocolul de autentificare hardware reciproc. Apoi, veți avea nevoie de sisteme de gestionare a identității care vă permit să configurați drepturile de acces ale utilizatorilor la diferite sisteme utilizând gestionarea bazată pe roluri. Desigur, va trebui să lucrați cu definiția rolurilor și a drepturilor minime pentru fiecare rol, dar odată ce configurați sistemul, îl puteți folosi mult timp.
Când toți participanții la proces și drepturile lor sunt definite, trebuie să monitorizați respectarea acestor drepturi și detectarea erorilor administrative. Acest lucru necesită sisteme de procesare a evenimentelor de la mijloacele de protecție a elementelor cloud și mecanisme de protecție suplimentare, cum ar fi firewall-uri, antivirusuri, IPS și altele. Este adevărat, merită să folosiți acele opțiuni care pot funcționa într-un mediu de virtualizare - acest lucru va fi mai eficient.
În plus, ar trebui să utilizați și un fel de mașină de fraudare care vă va permite să detectați frauda în utilizarea cloud-urilor, adică pentru a reduce cel mai dificil risc de a interfera cu procesele de afaceri. Este adevărat, acum pe piață, cel mai probabil, nu există nicio mașină de fraudă care să permită lucrul cu nori, cu toate acestea, tehnologiile pentru detectarea cazurilor de fraudă și abuz au fost deja elaborate pentru telefonie. Deoarece un sistem de facturare va trebui să fie implementat în cloud, automatul de fraudă ar trebui să fie conectat la acesta. Astfel, va fi posibil cel puțin să controlăm amenințările la adresa proceselor de business din cloud.
Ce alte mecanisme de apărare pot fi utilizate pentru a proteja norii? Întrebarea este încă deschisă.
Există mai multe metode pentru construirea unei infrastructuri IT corporative. Implementarea tuturor resurselor și serviciilor pe o platformă cloud este doar una dintre ele. Cu toate acestea, prejudecățile cu privire la securitatea soluțiilor cloud devin adesea un obstacol în acest fel. În acest articol, vom înțelege modul în care sistemul de securitate este aranjat în norul unuia dintre cei mai renumiți furnizori ruși - Yandex.
Un basm este o minciună, dar există un indiciu în el
Începutul acestei povești poate fi spus ca un basm celebru. În firmă erau trei administratori: seniorul era un tip inteligent, cel de mijloc era acesta și acela, cel mai tânăr era ... un stagiar-enikeyschik. Am început utilizatorii în Active Directory și am răsucit cozile la tsiska. A sosit timpul ca compania să se extindă, iar regele, adică șeful, a apelat la armata sa administrativă. Îmi doresc, spune el, noi servicii web pentru clienții noștri, propriul nostru stocare de fișiere, baze de date gestionate și mașini virtuale pentru testarea software-ului.
Cel mai tânăr a sugerat imediat să-și creeze propria infrastructură de la zero: achiziționarea de servere, instalarea și configurarea software-ului, extinderea canalului principal de internet și adăugarea unui canal de rezervă - pentru fiabilitate. Și compania este mai calmă: hardware-ul este întotdeauna la îndemână, în orice moment puteți înlocui sau reconfigura ceva, iar el însuși va avea o oportunitate excelentă de a-și pompa abilitățile de administrator. Au calculat și au vărsat o lacrimă: compania nu își va putea permite astfel de costuri. Întreprinderile mari pot face acest lucru, dar pentru întreprinderile mici și mijlocii se dovedește a fi prea scump. Ei bine, nu trebuie doar să achiziționați echipamente, să echipați o cameră de servere, să atârnați aparate de aer condiționat și să setați alarme de incendiu, trebuie să organizați și serviciul de schimb pentru a menține ordinea zi și noapte și a respinge atacurile din rețea ale persoanelor care acționează din Internet. Și, dintr-un anumit motiv, administratorii nu au vrut să lucreze noaptea și în weekend. Numai pentru plata dublă.
Administratorul principal s-a uitat atent la fereastra terminalului și a sugerat să pună toate serviciile în cloud. Dar apoi colegii săi au început să se sperie unii pe alții cu povești de groază: spun ei, infrastructura cloud are interfețe și API neprotejate, echilibrând slab încărcătura diferiților clienți, ceea ce vă poate deteriora propriile resurse și este, de asemenea, instabil la furtul de date și la atacurile externe. . Și, în general, este înfricoșător să transferați controlul asupra datelor și programelor critice către persoanele neautorizate cu care nu ați mâncat un kilogram de sare și nu ați băut o găleată de bere.
Mediocre a dat ideea de a plasa întregul sistem IT în centrul de date al furnizorului, pe canalele sale. Pe asta și decis. Cu toate acestea, au existat mai multe surprize în așteptarea trio-ului nostru, nu toate plăcute.
În primul rând, orice infrastructură de rețea necesită disponibilitatea obligatorie a instrumentelor de securitate și protecție, care, desigur, au fost implementate, configurate și lansate. Dar costul resurselor hardware pe care le utilizează, după cum sa dovedit, trebuie să fie plătit chiar de client. Iar sistemul modern de securitate a informației consumă resurse considerabile.
În al doilea rând, afacerea a continuat să crească și infrastructura construită de la început a atins rapid plafonul de scalabilitate. Mai mult, pentru extinderea sa, o simplă modificare a tarifului nu a fost suficientă: în acest caz, multe servicii ar trebui transferate pe alte servere, reconfigurate și ceva complet reproiectat de la zero.
În cele din urmă, într-o zi, din cauza unei vulnerabilități critice a uneia dintre aplicații, întregul sistem sa prăbușit. Administratorii l-au preluat rapid din copiile de rezervă, dar nu au reușit să-și dea seama rapid motivele celor întâmplate, pentru că au uitat să configureze copiile de rezervă pentru serviciile de înregistrare. Timpul valoros s-a pierdut și timpul, așa cum spune înțelepciunea populară, este bani.
Calculul costurilor și însumarea rezultatelor au condus conducerea companiei la concluzii dezamăgitoare: administratorul care de la bun început a sugerat utilizarea modelului cloud al IaaS - „infrastructura ca serviciu”, a avut dreptate. În ceea ce privește securitatea unor astfel de platforme, merită să vorbim despre aceasta separat. Și vom face acest lucru folosind exemplul celui mai popular dintre astfel de servicii - Yandex.Cloud.
Securitate în Yandex.Cloud
Să începem, așa cum pisica Cheshire a sfătuit-o de la început pe fata Alice. Adică din problema delimitării responsabilității. În Yandex.Cloud, ca în orice alte platforme similare, furnizorul este responsabil pentru securitatea serviciilor furnizate utilizatorilor, în timp ce clientul însuși este responsabil pentru asigurarea funcționării corecte a aplicațiilor pe care le dezvoltă, organizarea și delimitarea accesului de la distanță la aplicații dedicate. resurse, configurarea bazelor de date și a mașinilor virtuale, control asupra înregistrării. Cu toate acestea, pentru aceasta i se oferă toate instrumentele necesare.
Securitatea infrastructurii cloud Yandex are mai multe niveluri, fiecare dintre acestea implementându-și propriile principii de protecție și utilizând un arsenal separat de tehnologii.
Strat fizic
Nu este un secret faptul că Yandex are propriile sale centre de date, care sunt deservite de propriile lor departamente de securitate. Vorbim nu numai despre servicii de supraveghere video și control al accesului concepute pentru a preveni accesul persoanelor din afară în camerele serverelor, ci și despre sistemele de control al climatului, stingerea incendiilor și sursele de alimentare neîntreruptibile. Securizatorii de la pupa sunt de puțin folos dacă rackul serverului dvs. este inundat odată cu apă din stropitoarele de incendiu sau dacă acestea se supraîncălzesc după o defecțiune a aparatului de aer condiționat. Acest lucru nu li se va întâmpla cu siguranță în centrele de date Yandex.
În plus, hardware-ul Cloud este separat fizic de „marele Yandex”: acestea sunt amplasate în rafturi diferite, dar exact în același mod suferă întreținere și înlocuire regulată a componentelor. La granița acestor două infrastructuri, sunt utilizate firewall-uri hardware, iar în interiorul Cloud - un firewall software bazat pe gazdă. În plus, comutatoarele Top-of-the-rack utilizează sistemul Access Control List (ACL), care îmbunătățește foarte mult securitatea întregii infrastructuri. Yandex continuă scanează Cloud-ul din exterior în căutarea porturilor deschise și a erorilor de configurare, astfel încât o potențială vulnerabilitate să poată fi recunoscută și eliminată în prealabil. Pentru angajații care lucrează cu resurse Cloud, a fost implementat un sistem de autentificare centralizat care utilizează chei SSH cu un model de acces bazat pe roluri, iar toate sesiunile de administrator sunt înregistrate. Această abordare face parte din modelul Secure by default, utilizat pe scară largă de Yandex: securitatea este încorporată în infrastructura IT în etapa de proiectare și dezvoltare și nu este adăugată mai târziu, când totul a fost deja pus în funcțiune.
Nivelul infrastructurii
La nivelul „logicii hardware și software”, Yandex.Cloud folosește trei servicii de infrastructură: Compute Cloud, Virtual Private Cloud și Yandex Managed Services. Și acum despre fiecare dintre ele mai puțin detaliat.
Compute Cloud
Acest serviciu oferă o putere de calcul scalabilă pentru diverse sarcini, cum ar fi găzduirea de proiecte web și servicii cu sarcină mare, testarea și prototiparea sau migrarea temporară a infrastructurii IT pentru perioada de reparații sau înlocuire a propriilor echipamente. Puteți gestiona serviciul prin consolă, linia de comandă (CLI), SDK sau API.
Securitatea Compute Cloud se bazează pe faptul că toate mașinile virtuale client utilizează cel puțin două nuclee și nu există o supra-angajare în alocarea memoriei. Deoarece în acest caz numai codul clientului este executat pe kernel, sistemul nu este susceptibil la vulnerabilități precum L1TF, Spectre și Meltdown sau atacuri pe canale laterale.
În plus, Yandex folosește propriul său ansamblu Qemu / KVM, în care tot ceea ce nu este necesar este dezactivat, lăsând doar setul minim de cod și biblioteci necesare pentru funcționarea hipervizoarelor. În același timp, procesele sunt lansate sub controlul instrumentelor bazate pe AppArmor, care, utilizând politici de securitate, determină ce resurse de sistem și cu ce privilegii poate accesa o anumită aplicație. Rularea AppArmor deasupra fiecărei mașini virtuale reduce riscul ca o aplicație client să poată accesa hipervizorul din VM. Pentru a primi și procesa jurnalele, Yandex a construit un proces pentru livrarea datelor de la AppArmor și sandbox-uri către propriul său Splunk.
Cloud privat virtual
Serviciul Virtual Private Cloud vă permite să creați rețele cloud utilizate pentru a transfera informații între diferite resurse și conexiunea lor la Internet. Acest serviciu este susținut fizic de trei centre de date independente. În acest mediu, izolarea logică se realizează la nivelul comunicării multi-protocol - MPLS. În același timp, Yandex fuzzing constant interfața SDN și hipervizor, adică din partea mașinilor virtuale, un flux de pachete malformate este trimis continuu către mediul extern pentru a primi un răspuns de la SDN, analiza și închiderea posibilului lacune de configurare. Protecția DDoS este activată automat atunci când sunt create mașini virtuale.
Servicii gestionate Yandex
Yandex Managed Services este un mediu software pentru gestionarea diferitelor servicii: SGBD, clustere Kubernetes, servere virtuale în infrastructura Yandex.Cloud. Aici serviciul preia cea mai mare parte a muncii de securitate. Toate copiile de rezervă, criptarea copiilor de rezervă, gestionarea vulnerabilității și așa mai departe sunt furnizate automat de software-ul Yandex.Cloud.
Instrumente de răspuns la incidente
Pentru a răspunde în timp util la incidentele de securitate a informațiilor, este necesar să se identifice la timp sursa problemei. Pentru aceasta, este necesar să utilizați instrumente de monitorizare fiabile, care ar trebui să funcționeze non-stop și fără întreruperi. Astfel de sisteme vor consuma inevitabil resurse, dar Yandex.Cloud nu transferă costul puterii de calcul a instrumentelor de securitate asupra utilizatorilor platformei.
La alegerea setului de instrumente, Yandex a fost ghidat de o altă cerință importantă: în cazul exploatării cu succes a unei vulnerabilități de 0 zile într-una dintre aplicații, atacatorul nu ar trebui să părăsească gazda aplicației, în timp ce echipa de securitate ar trebui să afle instantaneu despre incident și să reacționeze ca Necesar.
Nu în ultimul rând, dorința a fost ca toate instrumentele să fie open source. Aceste criterii sunt îndeplinite pe deplin de pachetul AppArmor + Osquery, pe care s-a decis să îl folosească în Yandex.Cloud.
AppArmor
AppArmor a fost menționat mai sus: este un instrument software de protecție proactivă bazat pe profiluri de securitate personalizabile. Profilurile utilizează tehnologia de etichetare a confidențialității Controlului obligatoriu al accesului (MAC) implementată utilizând LSM direct în nucleul Linux însuși de la versiunea 2.6. Dezvoltatorii Yandex au ales AppArmor din următoarele motive:
- ușurință și viteză, deoarece instrumentul se bazează pe o parte a nucleului Linux;
- este o soluție open source;
- AppArmor poate fi implementat foarte rapid pe Linux fără a scrie niciun cod;
- configurarea flexibilă este posibilă folosind fișiere de configurare.
Osquery
Osquery este un instrument de monitorizare a securității sistemului dezvoltat de Facebook și este utilizat acum cu succes în multe industrii IT. În același timp, instrumentul este multiplataformă și open source.
Cu ajutorul Osquery, puteți colecta informații despre starea diferitelor componente ale sistemului de operare, le puteți acumula, transforma într-un format standard JSON și le puteți trimite destinatarului ales. Acest instrument vă permite să scrieți și să trimiteți cereri SQL standard către aplicația dvs., care sunt stocate în baza de date rocksdb. Puteți personaliza frecvența și condițiile pentru ca aceste solicitări să fie executate sau procesate.
Tabelele standard au implementat deja multe caracteristici, de exemplu, puteți obține o listă de procese care rulează pe sistem, pachete instalate, setul actual de reguli iptables, entități crontab și așa mai departe. Dintr-o cutie, a fost implementat suport pentru primirea și analizarea evenimentelor din sistemul de audit al nucleului (utilizat în Yandex.Cloud pentru a gestiona evenimentele AppArmor).
Osquery în sine este scris în C ++ și distribuit cu sursă deschisă, le puteți modifica și ambele adăugați tabele noi la baza de cod principală și puteți crea propriile extensii în C, Go sau Python.
O caracteristică utilă a Osquery este prezența unui sistem de interogare distribuit, cu care puteți interoga toate mașinile virtuale din rețea în timp real. Acest lucru poate fi util, de exemplu, dacă se găsește o vulnerabilitate într-un pachet: cu o singură interogare, puteți obține o listă de mașini pe care este instalat acest pachet. Această caracteristică este utilizată pe scară largă atunci când se administrează sisteme distribuite mari cu infrastructură complexă.
concluzii
Dacă ne întoarcem la povestea spusă chiar la începutul acestui articol, vom vedea că temerile care i-au făcut pe eroii noștri să refuze implementarea infrastructurii pe o platformă cloud s-au dovedit a fi neîntemeiate. Cel puțin când vine vorba de Yandex.Cloud. Securitatea infrastructurii cloud create de Yandex are o arhitectură eșalonată cu mai multe straturi și, prin urmare, oferă un nivel ridicat de protecție împotriva majorității amenințărilor cunoscute în prezent.
În același timp, datorită economiilor la întreținerea de rutină a hardware-ului și la plata resurselor consumate de sistemele de monitorizare și prevenire a incidentelor pe care le întreprinde Yandex, utilizarea Yandex.Cloud economisește în mod semnificativ întreprinderile mici și mijlocii. Desigur, abandonarea completă a departamentului IT sau a departamentului responsabil cu securitatea informațiilor (mai ales dacă ambele roluri sunt combinate într-o singură echipă) nu va funcționa. Dar Yandex.Cloud va reduce semnificativ costurile forței de muncă și costurile generale.
Întrucât Yandex.Cloud oferă clienților săi o infrastructură sigură cu toate instrumentele de securitate necesare, aceștia se pot concentra asupra proceselor de afaceri, lăsând sarcinile de întreținere a serviciilor și monitorizarea hardware în sarcina furnizorului. Acest lucru nu elimină necesitatea administrării actuale a VM-urilor, bazelor de date și aplicațiilor, dar o astfel de gamă de sarcini ar trebui rezolvată în orice caz. În general, putem spune că Yandex.Cloud economisește nu numai bani, ci și timp. Iar a doua, spre deosebire de prima, este o resursă de neînlocuit.
GRIGORIEV1 Vitaly Robertovich, candidat la științe tehnice, profesor asociat KUZNETSOV2 Vladimir Sergeevich
PROBLEME DE IDENTIFICARE A VULNERABILITĂȚILOR ÎNTR-UN MODEL DE CALCULATOR CLOUD
Articolul oferă o prezentare generală a abordărilor pentru construirea unui model conceptual de cloud computing, precum și o comparație a punctelor de vedere existente privind identificarea vulnerabilităților care sunt inerente sistemelor construite pe baza acestui model. Cuvinte cheie: cloud computing, vulnerabilitate, core amenințare, virtualizare.
Scopul acestui articol este de a oferi o imagine de ansamblu asupra abordărilor pentru construirea unui model conceptual de cloud computing prezentat în Arhitectura de referință Cloud Computing Cloud și de a compara punctele de vedere ale organizațiilor de top din acest domeniu cu privire la vulnerabilitățile din acest model de calcul, precum și principalii jucători de pe piața cloud computing.
Cloud computing este un model care oferă acces convenabil la rețea la cerere, la resurse de calcul partajabile configurabile (rețele, servere, magazine de date, aplicații și servicii), care este livrat rapid cu o interacțiune minimă de gestionare și furnizor de servicii. Această definiție a Institutului Național de Standardizare (NIST) este larg acceptată în întreaga industrie. Definiția cloud computing include cinci caracteristici de bază, trei modele de servicii și patru modele de implementare.
Cinci caracteristici principale
Autoservire la cerere
Utilizatorii pot obține, controla și gestiona resursele de calcul fără asistența administratorilor de sistem. Acces larg la rețea - Serviciile de calcul sunt furnizate prin rețele standard și dispozitive eterogene.
Elasticitate operativă - 1T-
resursele pot fi rapid scalate în orice direcție, după cum este necesar.
Grup de resurse - resursele IT sunt partajate de diferite aplicații și utilizatori într-un mod deconectat.
Calculul costului serviciului - utilizarea resursei 1T este urmărită pentru fiecare aplicație și utilizator, de regulă, pentru a furniza facturare pentru cloud-ul public și plăți interne pentru utilizarea cloud-urilor private.
Trei modele de service
Software ca serviciu (SaaS) - De obicei, aplicațiile sunt livrate utilizatorilor finali ca serviciu printr-un browser web. Există sute de oferte SaaS astăzi, de la aplicații orizontale pentru întreprinderi la oferte specifice industriei, precum și aplicații pentru consumatori, cum ar fi e-mailul.
Platform as a Service (PaaS) - O platformă de dezvoltare și implementare a aplicațiilor este oferită dezvoltatorilor pentru a construi, implementa și gestiona aplicații SaaS. De obicei, o platformă include baze de date, middleware și instrumente de dezvoltare, toate acestea fiind furnizate ca serviciu pe internet. PaaS vizează adesea un limbaj de programare sau API cum ar fi Java sau Python. Arhitectura clusterizată de calculare a rețelei virtualizate este adesea baza sistemelor
1 - MSTU MIREA, profesor asociat al Departamentului de securitate a informațiilor;
2 - Universitatea de Stat din Moscova de Radioelectronică și Automatizare (MSTU MIREA), student.
Paradis, deoarece structura grilei resursei rețelei asigură scalabilitatea elastică necesară și punerea în comun a resurselor. Infrastructură ca serviciu (IaaS) - Serverele, stocarea și hardware-ul de rețea sunt furnizate ca serviciu. Acest hardware de infrastructură este adesea virtualizat, astfel încât virtualizarea, gestionarea și software-ul sistemului de operare fac, de asemenea, parte din LaaRa.
Patru modele de implementare
Cloud-uri private - Concepute pentru utilizarea exclusivă a unei singure organizații și sunt de obicei controlate, gestionate și găzduite de centre de date private. Găzduirea și gestionarea cloud-urilor private pot fi externalizate către un furnizor extern de servicii, dar deseori
Noul cloud rămâne în utilizarea exclusivă a unei organizații. Cloud-uri publice - partajate de multe organizații (utilizatori), întreținute și gestionate de furnizori externi de servicii.
Nori de grup - Utilizați de un grup de organizații conexe care doresc să profite de un mediu de cloud computing partajat. De exemplu, un grup poate fi compus din diferite ramuri ale forțelor armate, toate universitățile dintr-o anumită regiune sau toți furnizorii unui producător important.
Nori hibrizi - apar atunci când o organizație folosește atât un nor privat, cât și un nor public pentru aceeași aplicație pentru a profita de ambele. De exemplu, într-un scenariu „furtună”, o organizație-utilizator în cazul unei încărcări standard pe aplicație
folosește un nor privat și, atunci când încărcătura este maximă, de exemplu, la sfârșitul unui sfert sau în timpul sezonului de vacanță, folosește potențialul norului public, returnând ulterior aceste resurse în grupul general atunci când nu sunt necesare.
În fig. 1 prezintă modelul conceptual de cloud computing conform documentului "NIST Cloud Computing Reference Architecture". Așa cum se arată în Fig. Un model din standard evidențiază principalii participanți ai sistemului cloud: consumator cloud, furnizor cloud, auditor cloud, broker cloud, intermediar cloud. Fiecare participant este o persoană sau o organizație care își îndeplinește propriile funcții de implementare sau furnizare de cloud computing. Consumator cloud - o persoană sau organizație care menține interacțiunile comerciale cu alte persoane
Consumator cloud
Auditor cloud
C Audit de securitate L I J
I Audit de confidențialitate I J
(Auditul serviciilor furnizate | J
Furnizor de cloud
Complex de niveluri
Nivel personalizat
^ Serviciu ca serviciu ^ ^ Platformă ca serviciu ^ Infrastructură ca serviciu)
Nivelul de abstractizare
Strat fizic
Serviciu cloud
^ J suport ^ J personalizare
Portabilitate
Broker cloud
Intermediar cloud
Orez. 1. Model conceptual dezvoltat de specialiștii NIST
tori rețea și utilizează servicii de la furnizorii de cloud. Furnizor de cloud - o persoană, organizație sau oricine este responsabil pentru disponibilitatea serviciilor furnizate consumatorilor interesați. Auditor cloud - un participant care poate efectua evaluări independente ale serviciilor cloud, serviciilor și securității unei implementări cloud. Un broker cloud este un participant care gestionează utilizarea, performanța și livrarea de servicii cloud către consumator și negociază interacțiunile dintre furnizorii cloud și consumatorii cloud. Intermediar cloud - Un intermediar care asigură comunicarea și furnizarea de servicii cloud între furnizorii de cloud și consumatorii de cloud.
Avantajele și provocările Cloud Computing
Studiile recente efectuate de specialiștii IT arată că cloud computingul oferă două avantaje principale atunci când organizează servicii distribuite - viteza și costul. Datorită accesului offline la o serie de resurse de calcul, utilizatorii pot fi incluși în procesele care le interesează în câteva minute, și nu în săptămâni sau luni, așa cum se întâmpla în trecut. De asemenea, capacitatea de calcul se schimbă rapid datorită mediului de calcul Grid scalabil elastic. Deoarece în cloud computing, utilizatorii plătesc doar pentru ceea ce folosesc, iar scalabilitatea și automatizarea ating un nivel ridicat, raportul dintre cost și eficiența serviciilor furnizate este, de asemenea, un factor foarte atractiv pentru toți participanții la procesele de schimb.
Aceleași sondaje arată că există o serie de considerații serioase care împiedică unele companii să se mute în cloud. Printre aceste considerații, securitatea cloud computing este de departe lider.
Pentru o evaluare adecvată a securității în sistemele cloud, este logic să explorăm punctele de vedere ale amenințărilor din această zonă a principalilor jucători de pe piață. Vom compara abordările actuale de amenințare în cloud prezentate în Foaia de parcurs a standardelor de calcul în cloud NIST cu cele oferite de IBM, Oracle și VmWare.
US National Standards Institute Cloud Computing Security Standard
Foaia de parcurs pentru standardele de calcul în cloud NIST, adoptată de NIST, acoperă posibilele tipuri potențiale de atacuri asupra serviciilor de cloud computing:
♦ compromiterea confidențialității și disponibilității datelor transmise de furnizorii de cloud;
♦ atacuri care provin din caracteristicile structurale și capacitățile mediului de cloud computing pentru a amplifica și a crește daunele cauzate de atacuri;
♦ acces neautorizat al consumatorului (prin autentificare sau autorizare incorectă sau vulnerabilități introduse prin întreținere periodică) la software, date și resurse utilizate de un consumator autorizat de servicii cloud;
♦ o creștere a nivelului de atacuri de rețea, cum ar fi DoS, exploatarea software-ului, a cărui dezvoltare nu a luat în considerare modelul de amenințare pentru resursele distribuite de Internet, precum și vulnerabilitățile în resursele care erau accesibile din rețelele private;
♦ posibilități limitate de criptare a datelor într-un mediu cu un număr mare de participanți;
♦ portabilitatea rezultată din utilizarea API-urilor nestandardizate care fac dificilă migrația consumatorului de cloud către un nou furnizor de cloud atunci când nu sunt îndeplinite cerințele de disponibilitate;
♦ atacuri care exploatează abstractizarea fizică a resurselor cloud și exploatează defectele din înregistrările și procedurile de audit;
♦ atacuri asupra mașinilor virtuale care nu au fost actualizate corespunzător;
♦ atacuri care exploatează neconcordanțe în politicile de securitate globale și private.
Standardul evidențiază, de asemenea, principalele obiective de securitate pentru cloud computing:
♦ protecția datelor utilizatorilor împotriva accesului, divulgării, modificării sau vizualizării neautorizate; implică sprijinul serviciului de identificare în așa fel încât consumatorul să aibă capacitatea de a efectua politici de identificare și control al accesului asupra utilizatorilor autorizați care au acces la servicii cloud; această abordare implică capacitatea consumatorului de a oferi acces la datele sale selectiv altor utilizatori;
♦ protecție împotriva amenințărilor lanțului de aprovizionare; include confirmarea gradului de încredere și fiabilitate al furnizorului de servicii în aceeași măsură cu gradul de încredere în software-ul și hardware-ul utilizat;
♦ prevenirea accesului neautorizat la resursele de cloud computing; include crearea de domenii sigure care sunt separate logic de resurse (de exemplu, separarea logică a încărcărilor de lucru care rulează pe același server fizic printr-un hipervizor într-un mediu multitenant) și utilizarea configurațiilor implicite securizate;
♦ dezvoltarea de aplicații web desfășurate în cloud pentru modelul de amenințare a resurselor distribuite de Internet și integrarea funcțiilor de securitate în procesul de dezvoltare software;
♦ protecția browserelor de Internet împotriva atacurilor pentru a atenua punctele slabe ale securității utilizatorilor finali; include luarea de măsuri pentru protejarea conexiunii la internet a computerelor personale pe baza utilizării de software securizat, firewall-uri (firewall-uri) și instalarea periodică a actualizărilor;
♦ implementarea tehnologiilor de control al accesului și de detectare a intruziunilor
de la un furnizor de cloud și efectuarea unei evaluări independente pentru a verifica disponibilitatea acestora; include (dar nu se limitează la) măsuri tradiționale de securitate perimetrale combinate cu un model de securitate a domeniului; securitatea perimetrului tradițional include limitarea accesului fizic la rețea și dispozitive, protejarea componentelor individuale de exploatare prin implementarea actualizărilor, setarea implicită a majorității setărilor de securitate, dezactivarea tuturor porturilor și serviciilor neutilizate, utilizarea controlului accesului pe rol, monitorizarea înregistrărilor de audit, minimizarea privilegiilor utilizate , folosind pachete antivirus și conexiuni criptate;
♦ definirea granițelor de încredere între furnizorul (furnizorii) de servicii și consumatori pentru a se asigura că responsabilitatea autorizată pentru furnizarea securității este clară;
♦ suport pentru portabilitate, realizat astfel încât consumatorul să aibă posibilitatea de a schimba furnizorul de cloud în cazurile în care trebuie să îndeplinească cerințele de integritate, disponibilitate, confidențialitate; aceasta include posibilitatea de a închide contul în acest moment și de a copia date de la un furnizor de servicii la altul.
Astfel, NIST Cloud Computing Standards Roadmap, adoptat de NIST, definește o listă de bază a atacurilor asupra sistemelor cloud și o listă de sarcini de bază care ar trebui
abordat prin aplicarea
măsuri adecvate.
Să formulăm amenințările la adresa securității informațiilor din sistemul cloud:
♦ U1 - amenințare (compromis, disponibilitate, etc ...) pentru date;
♦ U2 - amenințări generate de caracteristicile structurale și capacitățile arhitecturii pentru implementarea calculelor distribuite;
♦ U4 - amenințări asociate cu un model incorect de amenințări;
♦ U5 - amenințări legate de utilizarea incorectă a criptării (este necesară utilizarea criptării într-un mediu în care există mai multe fluxuri de date);
♦ U6 - amenințări asociate cu utilizarea API-urilor nestandardizate în timpul dezvoltării;
♦ U7 - amenințări de virtualizare;
♦ U8 - amenințări care exploatează neconcordanțe în politicile globale de securitate.
Perspectiva IBM asupra securității cloud computing
Ghid de securitate în cloud Recomandările IBM pentru implementarea securității în cloud ne permite să tragem concluzii despre viziunea de securitate IBM. Pe baza acestui document, putem extinde lista de amenințări propusă anterior, și anume:
♦ U9 - amenințări asociate cu accesul terților la resurse fizice \ sisteme;
♦ U10 - amenințări asociate cu eliminarea incorectă (ciclul de viață) a informațiilor personale;
♦ U11 - amenințări legate de încălcarea legilor regionale, naționale și internaționale privind informațiile procesate.
Abordări IBM, Oracle și VmWare ale securității în cloud computing
Documentația furnizată de aceste companii care descrie opiniile lor privind securitatea în sistemele lor nu diferă în mod fundamental de amenințările de mai sus.
Masa 1 enumeră principalele clase de vulnerabilități formulate de companii în produsele lor. Tab. 1 vă permite să vedeți lipsa acoperirii complete a amenințărilor în companiile studiate și să formulați „nucleul amenințărilor” create de companii în sistemele lor cloud:
♦ amenințare la adresa datelor;
♦ amenințări bazate pe structura \ capabilitățile computerului distribuit;
♦ amenințări asociate cu un model incorect de amenințare;
♦ amenințări de virtualizare.
Concluzie
O prezentare generală a principalelor clase de vulnerabilități din platforma cloud ne permite să concluzionăm că în prezent nu există soluții gata făcute pentru a proteja complet cloud-ul din cauza varietății de atacuri care utilizează aceste vulnerabilități.
Trebuie remarcat faptul că tabelul construit al claselor de vulnerabilitate (Tabelul 1), care integrează abordările liderilor
Tabelul 1. Clase de vulnerabilitate
Sursă amenințări declarate
U1 U2 U3 U4 U5 U6 U7 U8 U9 U10 U11
NIST + + + + + + + + - - -
IBM + + + + + - + - + + +
Sun / Oracle + + + + - - + - - + -
VmWare + + + + - - + - - - -
această industrie a jucătorilor nu se limitează la amenințările prezentate în ea. De exemplu, nu reflectă amenințările asociate cu estomparea granițelor dintre medii cu niveluri diferite de confidențialitate a datelor, precum și estomparea granițelor de responsabilitate pentru securitatea informațiilor între consumatorul de servicii și furnizorul de cloud.
Devine evident că, pentru a implementa un sistem cloud complex, trebuie dezvoltată protecție pentru o implementare specifică. De asemenea, un rol important pentru implementarea calculelor securizate în medii virtuale îl are lipsa standardelor FSTEC și FSB pentru sistemele cloud. Este logic să folosiți „nucleul amenințărilor” evidențiat în lucrarea din studiu
sarcina de a construi un model unificat de clase de vulnerabilitate. Acest articol este de natură generală, în viitor este planificat să analizăm în detaliu clasele de amenințări asociate virtualizării, să dezvoltăm abordări pentru crearea unui sistem de protecție care să împiedice implementarea acestor amenințări.
Literatură
1. Ghid de securitate în cloud Recomandări IBM pentru implementarea securității în cloud, ibm.com/redbooks, 2 noiembrie 2009.
2. http://www.vmware.com/technical-resources/security/index.html.
3. Norul NIST. Arhitectură de referință de calcul, Institutul Național de Standarde și. Tehnologie, publicație specială. 500-292, septembrie 2011.
4. Norul NIST. Foaia de parcurs pentru standarde de calcul, Institutul Național de Standarde și. Tehnologie, publicație specială. 500-291, iulie 2011.
5. http://www.oracle.com/technetwork/indexes/documentation/index.html.
Computarea în cloud se referă în mod colectiv la un grup mare de resurse virtualizate ușor de utilizat și ușor disponibile (cum ar fi sisteme hardware, servicii etc.). Aceste resurse pot fi realocate dinamic (scalate) pentru a se adapta la sarcina care se schimbă dinamic, asigurând utilizarea optimă a resurselor. Acest pool de resurse este de obicei furnizat pe bază de plată. În același timp, proprietarul cloud garantează calitatea serviciului pe baza anumitor acorduri cu utilizatorul.
În conformitate cu toate cele de mai sus, se pot distinge următoarele caracteristici principale ale cloud computing:
1) cloud computing este o nouă paradigmă pentru furnizarea de resurse de calcul;
2) resursele de bază ale infrastructurii (resurse hardware, sisteme de stocare, software de sistem) și aplicațiile sunt furnizate ca servicii;
3) aceste servicii pot fi furnizate de un furnizor independent pentru utilizatorii externi, pe bază de plată, funcțiile principale ale cloud computingului sunt virtualizarea și scalabilitatea dinamică;
4) serviciile cloud pot fi furnizate utilizatorului final printr-un browser web sau printr-un anumit API (Application Programming Interface).
Modelul general de cloud computing este format dintr-o parte externă și una internă. Aceste două elemente sunt conectate printr-o rețea, în majoritatea cazurilor prin Internet. Prin partea externă, utilizatorul interacționează cu sistemul; partea interioară este de fapt norul în sine. Front-end-ul constă dintr-un computer client sau o rețea de computere și aplicații utilizate pentru a accesa cloud-ul. Partea interioară este reprezentată de aplicații, computere, servere și magazine de date care creează un nor de servicii prin virtualizare (Fig. 1).
Când mașinile virtuale fizice (VM) existente sunt mutate din centrul de date (DC) în nori externi sau furnizarea de servicii IT în afara perimetrului securizat în nori privați, perimetrul rețelei devine complet lipsit de sens și nivelul general de securitate devine destul de scăzut.
În timp ce în centrele de date tradiționale, accesul inginerilor la servere este strict controlat la nivel fizic, în timp ce în cloud computing, accesul inginerilor are loc prin Internet, ceea ce duce la apariția amenințărilor corespunzătoare. În consecință, controlul strict al accesului pentru administratori este esențial, precum și asigurarea controlului și transparenței modificărilor la nivel de sistem.
Mașinile virtuale sunt dinamice. Volatilitatea VM-urilor face foarte dificilă crearea și menținerea unui sistem de securitate coerent. Vulnerabilitățile și erorile de configurare se pot extinde de sub control. În plus, este foarte dificil să se înregistreze starea de protecție în orice moment special pentru audit ulterior.
Serverele de cloud computing folosesc același sistem de operare și aceleași aplicații web ca și serverele virtuale și fizice locale. În consecință, pentru sistemele cloud, amenințarea hackingului la distanță sau a infecției cu malware este la fel de mare.
O altă amenințare este amenințarea integrității datelor: compromisul și furtul de date. Integritatea sistemului de operare și a fișierelor aplicației, precum și activitatea internă trebuie monitorizate.
Utilizarea serviciilor cloud multi-chiriași face dificilă respectarea cerințelor standardelor și legilor, inclusiv cerințele privind utilizarea instrumentelor criptografice, pentru a proteja informațiile sensibile, cum ar fi informațiile despre proprietarul unui card de credit și informații care identifică o persoana. La rândul său, aceasta reprezintă sarcina descurajantă de a oferi protecție fiabilă și acces securizat la date sensibile.
Pe baza analizei posibilelor amenințări în cloud computing, se propune o posibilă protecție hardware și software cuprinzătoare a securității cloud computing, care include 5 tehnologii: firewall, detectarea și prevenirea intruziunilor, controlul integrității, analiza jurnalelor și protecția împotriva software-ului rău intenționat.
Furnizorii de cloud computing folosesc virtualizarea pentru a oferi clienților lor acces la resurse de calcul ieftine. În același timp, VM-urile client au aceleași resurse hardware, care sunt necesare pentru a obține cea mai mare eficiență economică. Clienții Enterprise care sunt interesați de cloud computing pentru a-și extinde infrastructura IT internă trebuie să ia în considerare amenințările pe care le reprezintă o astfel de mișcare. În plus față de mecanismele tradiționale de protecție a rețelei centrelor de procesare a datelor, utilizând abordări de securitate precum: firewall de margine, zone demilitarizate, segmentare a rețelei, monitorizarea stării rețelei, sisteme de detectare și prevenire a intruziunilor, mecanismele software de protecție a datelor ar trebui utilizate și pe serverele de virtualizare sau VM, deoarece odată cu transferul VM către serviciile cloud publice, perimetrul rețelei corporative își pierde treptat semnificația și nodurile cel mai puțin protejate încep să afecteze semnificativ nivelul general de securitate. Imposibilitatea separării fizice și a utilizării hardware-ului de securitate pentru a respinge atacurile între VM-uri duce la necesitatea plasării mecanismului de protecție pe serverul de virtualizare sau pe VM-urile în sine. Implementarea unei metode de protecție cuprinzătoare pe mașina virtuală în sine, inclusiv implementarea software-ului de firewall, detectarea și prevenirea intruziunilor, controlul integrității, analiza jurnalelor și protecția împotriva codului rău intenționat, este cel mai eficient mod de a proteja integritatea, de a respecta cerințele de reglementare și de a respecta politici de securitate la mutarea resurselor virtuale de pe intranet în cloud.
Literatură:
1. Radchenko G.I. Sisteme de calcul distribuite // Tutorial. - 2012 .-- S. 146-149.
2. Kondrashin M. Securitatea cloud computing // Stiri de stocare. - 2010. - Nr. 1.
Cursuri pe discipline
Software și hardware de securitate a informațiilor
„Securitatea informațiilor în cloud computing: vulnerabilități, metode și mijloace de protecție, instrumente pentru audit și investigarea incidentelor.”
Introducere
1. Istorie și factori cheie de dezvoltare
2. Definiția cloud computing
3. Arhitectura de referință
4. Acord de nivel de serviciu
5. Metode și mijloace de protecție în cloud computing
6. Securitatea modelelor cloud
7. Auditul de securitate
8. Investigarea incidentelor și criminalisticii în cloud computing
9. Model de amenințare
10. Standarde internaționale și interne
11. Identitatea teritorială a datelor
12. Standarde de stat
13. Mijloace de securitate în cloud
14. Partea practică
Ieșire
Literatură
Introducere
Viteza în creștere a cloud computingului se explică prin faptul că, pentru bani puțini, în general, clientul are acces la cea mai fiabilă infrastructură cu performanțele necesare, fără a fi nevoie să cumpere, să instaleze și să întrețină computere scumpe. Sistemul ajunge la 99,9% , care economisește și resurse de calcul .... Și ce este mai important - scalabilitate aproape nelimitată. Achiziționând o găzduire regulată și încercând să săriți peste cap (cu o creștere accentuată a sarcinii), există riscul de a primi un serviciu care a căzut de câteva ore. În cloud, resurse suplimentare sunt disponibile la cerere.
Principala problemă a cloud computing-ului este nivelul de securitate ne-garantat al informațiilor procesate, gradul de protecție a resurselor și, adesea, un cadru de reglementare complet absent.
Scopul studiului va fi de a oferi o imagine de ansamblu asupra pieței de cloud computing existente și a mijloacelor de asigurare a securității în acestea.
informatii de securitate cloud computing
1. Istorie și factori cheie de dezvoltare
Ideea a ceea ce numim azi cloud computing a fost exprimată pentru prima dată de J. C. R. Licklider în 1970. În acești ani a fost responsabil pentru crearea ARPANET (Advanced Research Projects Agency Network). Ideea lui era că fiecare persoană de pe pământ va fi conectată la o rețea de la care va primi nu numai date, ci și programe. Un alt om de știință John McCarthy a prezentat ideea că puterea de calcul va fi furnizată utilizatorilor ca serviciu (serviciu). În această privință, dezvoltarea tehnologiilor cloud a fost suspendată până în anii 90, după care o serie de factori au contribuit la dezvoltarea sa.
Extinderea lățimii de bandă a Internetului în anii 90 nu a permis un salt semnificativ în dezvoltarea tehnologiei cloud, deoarece aproape nici o companie și tehnologie din acea vreme nu era pregătită pentru acest lucru. Cu toate acestea, însăși faptul accelerării internetului a dat un impuls dezvoltării timpurii a cloud computingului.
2. Una dintre cele mai semnificative evoluții în acest domeniu a fost introducerea Salesforce.com în 1999. Această companie a devenit prima companie care a oferit acces la aplicația sa prin intermediul site-ului. De fapt, această companie a devenit prima companie care și-a furnizat software-ul pe baza software-ului ca serviciu (SaaS).
Următorul pas a fost dezvoltarea unui serviciu web cloud de către Amazon în 2002. Acest serviciu a făcut posibilă stocarea informațiilor și efectuarea calculelor.
În 2006, Amazon a lansat un serviciu numit cloud Elastic Compute (EC2) ca serviciu web care le-a permis utilizatorilor să își ruleze propriile aplicații. Amazon EC2 și Amazon S3 au fost primele servicii de cloud computing disponibile.
O altă etapă importantă în dezvoltarea cloud computing a venit odată cu crearea de către Google a platformei Google Apps pentru aplicații web din sectorul afacerilor.
Tehnologiile de virtualizare au jucat un rol semnificativ în dezvoltarea tehnologiilor cloud, în special a software-ului care vă permite să creați o infrastructură virtuală.
Dezvoltarea hardware-ului a contribuit nu atât la creșterea rapidă a tehnologiilor cloud, cât la disponibilitatea acestei tehnologii pentru întreprinderi mici și persoane fizice. În ceea ce privește progresul tehnologic, crearea de procesoare multi-core și creșterea capacității de stocare a informațiilor au jucat un rol semnificativ în acest sens.
2. Definiția cloud computing
După cum este definit de Institutul Național de Standarde și Tehnologie al SUA:
Cloud computing (Cloud computing) (EnglezăCloud - nor; tehnica de calcul- calcul) este un model pentru furnizarea accesului la rețea omniprezent și convenabil, după cum este necesar, la un pool partajat de resurse de calcul configurabile (de exemplu, rețele, servere, sisteme de stocare, aplicații și servicii) care pot fi rapid furnizate și lansate cu un efort minim de gestionare și care necesită interacțiune cu un furnizor de servicii (furnizor de servicii).
Modelul cloud acceptă disponibilitatea ridicată a serviciilor și este descris de cinci caracteristici esențiale, trei modele de servicii / servicii și patru modele de implementare.
Programele sunt lansate și afișează rezultatele muncii într-o fereastră standard a browserului web pe un computer local, în timp ce toate aplicațiile și datele lor necesare pentru lucru sunt localizate pe un server la distanță de pe Internet. Cloud computing se numește „cloud computing”. În acest caz, încărcarea între calculatoare incluse în „cloud de calcul” este distribuită automat. Cel mai simplu exemplu de cloud computing este rețelele p2p.
Pentru a implementa cloud computing, sunt utilizate produse software intermediare create folosind tehnologii speciale. Acestea servesc ca o legătură intermediară între echipamente și utilizator și asigură monitorizarea stării echipamentelor și a programelor, distribuția egală a sarcinii și furnizarea în timp util a resurselor dintr-un fond comun. Una dintre aceste tehnologii este virtualizarea în calcul.
Virtualizare în calcul- procesul de reprezentare a unui set de resurse de calcul sau combinația lor logică, care oferă orice avantaje față de configurația originală. Aceasta este o nouă vizualizare virtuală a resurselor părților constitutive, nelimitată de implementare, configurație fizică sau locație geografică. De obicei, resursele virtualizate includ puterea de calcul și stocarea datelor. Științific, virtualizarea este izolarea proceselor de calcul și a resurselor una de cealaltă.
Un exemplu de virtualizare este arhitecturile de calculatoare simetrice multiprocesor care utilizează mai mult de un procesor. Sistemele de operare sunt de obicei configurate astfel încât mai multe procesoare să apară ca o singură unitate de procesor. Acesta este motivul pentru care aplicațiile software pot fi scrise pentru o logică ( virtual) modul de calcul, care este mult mai ușor decât lucrul cu un număr mare de configurații diferite de procesor.
Pentru calcule deosebit de mari și cu resurse mari, se utilizează calcule de grilă.
Procesare in retea (grilă - rețea) este o formă de calcul distribuit în care un „supercomputer virtual” este reprezentat ca grupuri de computere eterogene, cuplate slab, în rețea, care lucrează împreună pentru a efectua un număr mare de sarcini (operații, joburi).
Această tehnologie este utilizată pentru a rezolva probleme științifice și matematice care necesită resurse de calcul semnificative. Calculul rețelei este, de asemenea, utilizat în infrastructura comercială pentru a rezolva sarcini care necesită mult timp, cum ar fi prognoza economică, analiza seismică și dezvoltarea și studiul proprietăților noilor medicamente.
Din perspectiva unei organizații în rețea, grila este un mediu consistent, deschis și standardizat, care asigură o separare flexibilă, sigură, coordonată a resurselor de calcul și stocare care fac parte din acest mediu într-o singură organizație virtuală.
Paravirtualizarea Este o tehnică de virtualizare care oferă mașinilor virtuale o interfață de programare similară, dar nu identică cu hardware-ul de bază. Scopul acestei interfețe modificate este de a reduce timpul petrecut de sistemul de operare invitat pentru a efectua operațiuni care sunt mult mai dificile într-un mediu virtual decât într-unul ne-virtualizat.
Există cârlige speciale care permit oaspeților și gazdei să solicite și să recunoască aceste sarcini complexe, care ar putea fi realizate într-un mediu virtual, dar într-un ritm mult mai lent.
Hipervizor ( sau Monitorul mașinii virtuale) - în computere, un program sau schemă hardware care asigură sau permite executarea simultană, în paralel, a mai multor sau chiar a mai multor sisteme de operare pe același computer gazdă. Hipervizorul oferă, de asemenea, izolarea sistemului de operare unul de celălalt, protecție și securitate, partajarea resurselor între diferite sisteme de operare în funcțiune și gestionarea resurselor.
Un hipervizor poate, de asemenea, (dar nu trebuie) să furnizeze sistemului de operare care rulează pe același computer gazdă mijloacele de comunicare și interacțiune între ele (de exemplu, prin schimb de fișiere sau conexiuni de rețea) ca și cum aceste sisteme de operare ar rula pe diferite calculatoare.
Hipervizorul în sine este într-un fel un sistem de operare minim (microkernel sau nanokernel). Oferă sistemelor de operare care rulează sub controlul său un serviciu de mașină virtuală, virtualizând sau emulând hardware-ul real (fizic) al unei anumite mașini și gestionează aceste mașini virtuale, alocând și eliberând resurse pentru acestea. Hipervizorul permite „pornirea” independentă, repornirea, „oprirea” oricăreia dintre mașinile virtuale cu un anumit sistem de operare. Cu toate acestea, un sistem de operare care rulează într-o mașină virtuală sub controlul unui hipervizor poate, dar nu trebuie să „știe” că rulează într-o mașină virtuală și nu pe hardware real.
Modele de servicii cloud
Opțiunile pentru furnizarea puterii de calcul sunt foarte diferite. Tot ceea ce este legat de Cloud Computing se numește de obicei aaS - înseamnă pur și simplu „ca serviciu”, adică „ca serviciu” sau „sub forma unui serviciu”.
Software ca serviciu (SaaS) - furnizorul pune la dispoziția clientului o aplicație gata de utilizare. Aplicațiile sunt accesibile de la o varietate de dispozitive client sau prin interfețe client subțiri, cum ar fi un browser web (cum ar fi webmail) sau interfețe de program. În același timp, consumatorul nu controlează infrastructura cloud subiacentă, inclusiv rețelele, serverele, sistemele de operare, sistemele de stocare și chiar setările individuale ale aplicației, cu excepția unor setări de configurare a aplicației utilizatorului.
În modelul SaaS, clienții plătesc nu pentru a deține software-ul ca atare, ci pentru a-l închiria (adică să-l folosească printr-o interfață web). Astfel, spre deosebire de schema clasică de licențiere a software-ului, clientul suportă costuri recurente relativ mici și nu are nevoie să investească fonduri semnificative pentru achiziționarea de software și suportul acestuia. Schema de plăți periodice presupune că, dacă nevoia de software este temporar absentă, clientul își poate suspenda utilizarea și poate îngheța plățile către dezvoltator.
Din punctul de vedere al dezvoltatorului, modelul SaaS vă permite să combateți în mod eficient utilizarea fără licență a software-ului (piraterie), deoarece software-ul în sine nu ajunge la clienții finali. În plus, conceptul SaaS poate reduce adesea costurile de implementare și implementare a sistemelor informatice.
Orez. 1 Aspect SaaS tipic
Platform as a Service (PaaS) - furnizorul oferă clientului o platformă software și instrumente pentru proiectarea, dezvoltarea, testarea și implementarea aplicațiilor utilizator. În același timp, consumatorul nu controlează infrastructura cloud subiacentă, inclusiv rețele, servere, sisteme de operare și sisteme de stocare, dar are control asupra aplicațiilor implementate și, eventual, asupra unor parametri de configurare a mediului de găzduire.
Orez. 2 Aspect tipic PaaS
Infrastructura ca serviciu (IaaS). - furnizorul oferă clientului resurse de calcul pentru închiriere: servere, sisteme de stocare, echipamente de rețea, sisteme de operare și software de sistem, sisteme de virtualizare, sisteme de gestionare a resurselor. În același timp, consumatorul nu controlează infrastructura cloud subiacentă, dar are control asupra sistemelor de operare, a sistemelor de stocare, a aplicațiilor implementate și, eventual, a controlului limitat asupra alegerii componentelor de rețea (de exemplu, o gazdă cu firewall-uri).
Orez. 3 Aspect tipic IaaS
În plus distinge servicii precum:
Comunicații ca serviciu (Com-aaS) - se înțelege că serviciile de comunicații sunt furnizate ca servicii; de obicei este vorba de telefonie IP, poștă și comunicații instantanee (chat-uri, chat).
Stocare de date în cloud- utilizatorul are la dispoziție o anumită cantitate de spațiu pentru stocarea informațiilor. Deoarece informațiile sunt stocate distribuite și duplicate, astfel de stocări oferă un grad mult mai mare de siguranță a datelor decât serverele locale.
Locul de muncă ca serviciu (WaaS) - utilizatorul, având la dispoziție un computer insuficient de puternic, poate cumpăra resurse de calcul de la furnizor și își poate folosi PC-ul ca terminal pentru a accesa serviciul.
Cloud antivirus- infrastructura utilizată pentru procesarea informațiilor provenite de la utilizatori pentru a recunoaște în timp util noi amenințări necunoscute anterior. Antivirusul cloud nu necesită acțiuni inutile din partea utilizatorului - trimite pur și simplu o cerere pentru un program sau un link suspect. Când pericolul este confirmat, toate acțiunile necesare sunt efectuate automat.
Modele de implementare
Printre modelele de implementare, există 4 tipuri principale de infrastructură.
Cloud privat - infrastructură destinată utilizării de către o organizație, incluzând mai mulți consumatori (de exemplu, diviziile unei organizații), posibil și de către clienții și contractanții acestei organizații. Un cloud privat poate fi deținut, gestionat și operat chiar de organizație sau de o terță parte (sau o combinație a acestora) și poate exista fizic atât în interiorul, cât și în afara jurisdicției proprietarului.
Orez. 4 Cloud privat.
Cloud public - infrastructură destinată utilizării gratuite de către publicul larg. Cloudul public poate fi deținut, operat și operat de organizații comerciale, academice și guvernamentale (sau orice combinație a acestora). Cloudul public există fizic în jurisdicția proprietarului - furnizorul de servicii.
Orez. 5 Cloud public.
Nor hibrid - este o combinație de două sau mai multe infrastructuri cloud diferite (private, publice sau publice) care rămân obiecte unice, dar sunt interconectate prin tehnologii standardizate sau private pentru transferul de date și aplicații (de exemplu, utilizarea pe termen scurt a resurselor cloud publice pentru a echilibra sarcina dintre nori).
Orez. 6 Nor hibrid.
Cloud public (cloud comunitar) - un tip de infrastructură destinat utilizării de către o comunitate specifică de consumatori din organizații cu obiective comune (de exemplu, misiune, cerințe de securitate, politici și respectarea diferitelor cerințe). Un cloud public poate fi co-deținut, operat și operat de una sau mai multe organizații comunitare sau de o terță parte (sau orice combinație a acestora) și poate exista fizic atât în interiorul, cât și în afara jurisdicției proprietarului.
Orez. 7 Descrierea proprietăților cloud
Proprietăți de bază
NIST în documentul său „The NIST Definition of Cloud Computing” definește următoarele caracteristici ale norilor:
Autoservire la cerere. Consumatorul are capacitatea de a accesa resursele de calcul furnizate unilateral, după cum este necesar, automat, fără a fi nevoie să interacționeze cu angajații fiecărui furnizor de servicii.
Acces larg la rețea. Resursele de calcul furnizate sunt disponibile prin rețea prin mecanisme standard pentru diverse platforme, clienți subțiri și groși (telefoane mobile, tablete, laptopuri, stații de lucru etc.).
Punerea în comun a resurselor (Resorce pooling). Resursele de calcul ale furnizorului sunt reunite pentru a servi mulți consumatori într-un model multi-chiriaș. Pool-urile includ o varietate de resurse fizice și virtuale care pot fi alocate dinamic și realocate pentru a satisface nevoile clienților. Consumatorul nu trebuie să cunoască locația exactă a resurselor, dar este posibil să le localizeze la un nivel mai ridicat de abstractizare (de exemplu, țară, regiune sau centru de date). Exemple de acest tip de resurse includ sistemele de stocare, puterea de calcul, memoria, lățimea de bandă a rețelei.
Elasticitate rapidă. Resursele pot fi alocate și eliberate rezilient, în unele cazuri automat, pentru a scala rapid în conformitate cu cererea. Pentru consumator, posibilitățile de furnizare a resurselor sunt văzute ca nelimitate, adică pot fi alocate în orice cantitate și în orice moment.
Serviciu măsurat. Sistemele cloud gestionează și optimizează automat resursele folosind instrumente de măsurare implementate la nivel de abstractizare pentru diferite tipuri de servicii (de exemplu, gestionarea memoriei externe, procesare, lățime de bandă sau sesiuni de utilizator active). Resursele utilizate pot fi urmărite și controlate, ceea ce oferă transparență furnizorului și pentru consumatorul care utilizează serviciul.
Orez. 8 Schema structurală a unui server cloud
Pro și contra de cloud computing
Demnitate
· Cerințele pentru puterea de calcul a computerului sunt reduse (o condiție indispensabilă este doar disponibilitatea accesului la Internet);
· Toleranță la erori;
· Securitate;
· Viteză mare de procesare a datelor;
· Costuri reduse pentru hardware și software, întreținere și electricitate;
· Economisirea spațiului pe disc (atât datele, cât și programele sunt stocate pe Internet).
· Migrare live - transferul unei mașini virtuale de la un server fizic la altul fără a întrerupe mașina virtuală și a opri serviciile.
· La sfârșitul anului 2010, din cauza atacurilor DDoS împotriva companiilor care au refuzat să furnizeze resurse WikiLeaks, a fost dezvăluit un alt avantaj al tehnologiei cloud computing. Toate companiile care s-au opus WikiLeaks au fost atacate, dar numai Amazon s-a dovedit a fi insensibil la aceste influențe, deoarece a folosit mijloace de cloud computing. („Anonim: amenințare gravă sau simplă supărare”, Network Security, N1, 2011).
dezavantaje
· Dependența siguranței datelor utilizatorilor de companiile care furnizează servicii de cloud computing;
· Conexiune permanentă la rețea - pentru a avea acces la serviciile „cloud” aveți nevoie de o conexiune permanentă la internet. Cu toate acestea, în timpul nostru, acest lucru nu este un dezavantaj atât de mare, mai ales odată cu apariția tehnologiilor celulare 3G și 4G.
· Software și modificarea acestuia - există restricții cu privire la software-ul care poate fi implementat pe „cloud” și furnizat utilizatorului. Utilizatorul software-ului are limitări în software-ul utilizat și uneori nu are capacitatea de a-l personaliza în scopuri proprii.
· Confidențialitate - confidențialitatea datelor stocate pe „nori” publici este în prezent o chestiune de multă controversă, dar în majoritatea cazurilor experții sunt de acord că nu se recomandă stocarea documentelor cele mai valoroase pentru companie pe „norul” public, deoarece în prezent nu există nicio tehnologie care să garanteze confidențialitatea 100% a datelor stocate, motiv pentru care utilizarea criptării în cloud este o necesitate.
· Fiabilitate - în ceea ce privește fiabilitatea informațiilor stocate, putem spune cu încredere că, dacă ați pierdut informații stocate în „nor”, atunci le-ați pierdut pentru totdeauna.
· Securitate - „cloud-ul” în sine este un sistem destul de fiabil, dar atunci când îl pătrunde, un atacator are acces la o stocare imensă de date. Un alt dezavantaj este utilizarea sistemelor de virtualizare, care utilizează nucleele de sistem de operare standard ca hipervizor, cum ar fi Linux , Windows și altele, care permite utilizarea virușilor.
· Costul ridicat al echipamentelor - pentru a construi propriul cloud al unei companii, este necesar să alocați resurse materiale semnificative, ceea ce nu este benefic pentru companiile nou create și mici.
3. Arhitectura de referință
NIST Cloud Computing Reference Architecture conține cinci actori principali - actorii. Fiecare actor joacă un rol și îndeplinește acțiuni și funcții. Arhitectura de referință este prezentată ca diagrame secvențiale cu niveluri crescute de detaliu.
Orez. 9 Schema conceptuală a unei arhitecturi de referință
Cloud Consumer- o persoană sau organizație care menține o relație de afaceri și care utilizează serviciile furnizorilor de cloud.
Consumatorii Cloud sunt împărțiți în 3 grupuri:
· SaaS - utilizează aplicații pentru automatizarea proceselor de afaceri.
PaaS - Dezvoltă, testează, implementează și gestionează aplicațiile implementate în mediul cloud.
· IaaS - creează, administrează servicii de infrastructură IT.
Cloud Provider- persoana, organizația sau entitatea responsabilă de disponibilitatea serviciului cloud pentru consumatorii cloud.
SaaS - Instalează, gestionează, întreține și livrează software implementat pe o infrastructură cloud.
PaaS - Furnizează și administrează infrastructura cloud și middleware. Oferă instrumente de dezvoltare și administrare.
· IaaS - furnizează și întreține servere, baze de date, resurse de calcul. Oferă o structură cloud consumatorului.
Activitățile furnizorilor de cloud sunt împărțite în 5 acțiuni tipice principale:
Implementarea serviciului:
o Cloud privat - Servit de o singură organizație. Infrastructura este gestionată atât de organizația în sine, cât și de o terță parte și poate fi desfășurată atât de către furnizor (în afara sediului), cât și de către organizație (la sediu).
o Cloud partajat - infrastructura este partajată de mai multe organizații cu cerințe similare (securitate, conformitate cu RD).
o Cloud public - infrastructura este utilizată de un număr mare de organizații cu cerințe diferite. Numai în afara premiselor.
o Cloud hibrid - infrastructura combină diferite infrastructuri bazate pe tehnologii similare.
Managementul serviciului
o Nivelul serviciului - definește serviciile de bază furnizate de Furnizor.
§ SaaS este o aplicație utilizată de consumator prin accesarea cloud-ului din programe speciale.
PaaS - containere pentru aplicații pentru consumatori, instrumente de dezvoltare și administrare.
§ IaaS - putere de calcul, baze de date, resurse fundamentale, pe care Consumatorul își desfășoară infrastructura.
o Nivelul de abstractizare și controlul resurselor
§ Gestionarea hipervizorului și a componentelor virtuale necesare implementării infrastructurii.
o Nivelul resurselor fizice
§ Echipamente informatice
§ Infrastructura de inginerie
o Disponibilitate
o Confidențialitate
o Identificare
o Monitorizarea securității și gestionarea incidentelor
o Politici de securitate
Confidențialitate
o Protecția prelucrării, stocării și transferului datelor cu caracter personal.
Auditor Cloud- Un contribuitor care poate evalua independent serviciile cloud, întreținerea sistemelor informaționale, performanța și securitatea unei implementări cloud.
Poate să își evalueze propria securitate, confidențialitate, performanță și alte lucruri în conformitate cu documentele aprobate.
Orez. 10 activități ale furnizorilor
Cloud Broker- entitatea care gestionează utilizarea, performanța și livrarea serviciilor cloud și stabilește relația dintre furnizori și consumatori.
Odată cu dezvoltarea cloud computing, integrarea serviciilor cloud poate fi prea dificilă pentru consumator.
o Mediere de servicii - extinderea serviciului specificat și oferirea de noi oportunități
o Agregare - combinând diverse servicii pentru a oferi consumatorului
Operator de comunicare în cloud- un intermediar care oferă servicii de conexiune și transport (servicii de comunicații) pentru furnizarea de servicii cloud de la furnizori către consumatori.
Oferă acces prin dispozitive de comunicații
Oferă un nivel de conexiune, conform SLA.
Dintre cei cinci actori prezentați, un broker cloud este opțional, deoarece consumatorii de cloud pot primi servicii direct de la furnizorul de cloud.
Introducerea actorilor se datorează necesității de a stabili relațiile dintre subiecți.
4. Acord de nivel de serviciu
Un acord de nivel de serviciu este un document care descrie nivelul de prestare a serviciului așteptat de un client de la un furnizor, pe baza valorilor aplicabile unui serviciu dat și care stabilește responsabilitatea furnizorului dacă valorile convenite nu sunt îndeplinite.
Iată câțiva indicatori, într-o formă sau alta, găsiți în documentele operatorului:
ASR (Răspunsul Sechestrul raport) - un parametru care determină calitatea unei conexiuni telefonice într-o direcție dată. ASR se calculează ca procent din numărul de conexiuni telefonice stabilite ca urmare a apelurilor către numărul total de apeluri efectuate într-o direcție dată.
PDD (Post Dial Delay) - parametru care definește perioada de timp (în secunde) scurs de la momentul apelului până la momentul stabilirii conexiunii telefonice.
Raportul disponibilității serviciului- raportul dintre timpul de întrerupere a prestării serviciilor și timpul total în care urmează să fie furnizat serviciul.
Raport de pierdere a pachetelor- raportul dintre pachetele de date recepționate corect și numărul total de pachete care au fost transmise prin rețea pentru o anumită perioadă de timp.
Întârzieri în transmiterea pachetelor de informații- intervalul de timp necesar pentru transmiterea unui pachet de informații între două dispozitive de rețea.
Fiabilitatea transferului de informații- raportul dintre numărul de pachete de date transmise eronat și numărul total de pachete de date transmise.
Perioadele de lucru, timpul de notificare a abonaților și timpul de restaurare a serviciilor.
Cu alte cuvinte, disponibilitatea serviciului de 99,99% indică faptul că operatorul garantează cel mult 4,3 minute de întrerupere a comunicării pe lună, 99,9% - că serviciul nu poate fi furnizat timp de 43,2 minute și 99% - că pauza poate dura mai mult mai mult de 7 ore. În unele practici, există o diferențiere a disponibilității rețelei și se presupune o valoare mai mică a parametrului - în timpul orelor de oprire. Diferite valori ale indicatorilor sunt, de asemenea, furnizate pentru diferite tipuri de servicii (clase de trafic). De exemplu, cel mai important lucru pentru voce este rata de latență - ar trebui să fie minimă. Și viteza pentru aceasta are nevoie de scăzut, plus unele pachete pot fi pierdute fără pierderi de calitate (până la aproximativ 1%, în funcție de codec). Pentru transmiterea datelor, viteza este pe primul loc, iar pierderea de pachete ar trebui să tindă la zero.
5. Metode și mijloace de protecție în cloud computing
Confidențialitatea trebuie asigurată pe întregul lanț, inclusiv furnizorul de cloud, consumatorul și comunicațiile care îi leagă.
Sarcina furnizorului este de a asigura atât integritatea fizică, cât și integritatea software a datelor provenite din atacurile terților. Consumatorul trebuie să pună în aplicare politici și proceduri adecvate „pe teritoriul lor” pentru a exclude transferul drepturilor de acces la informații către terți.
Sarcinile de asigurare a integrității informațiilor în cazul utilizării aplicațiilor individuale „cloud” pot fi rezolvate - datorită arhitecturilor moderne de baze de date, sistemelor de backup, algoritmilor de verificare a integrității și altor soluții industriale. Dar asta nu este tot. Pot apărea noi provocări atunci când vine vorba de integrarea mai multor aplicații cloud de la diferiți furnizori.
În viitorul apropiat, pentru companiile care caută un mediu virtual sigur, singura opțiune este crearea unui sistem cloud privat. Faptul este că cloud-urile private, spre deosebire de sistemele publice sau hibride, sunt cele mai asemănătoare cu infrastructurile virtualizate pe care departamentele IT ale marilor corporații au învățat deja să le implementeze și asupra cărora pot menține controlul complet. Defectele de securitate a informațiilor din sistemele publice de cloud reprezintă o provocare semnificativă. Majoritatea incidentelor de spargere au loc în nori publici.
6. Securitatea modelelor cloud
Nivelul de risc în cele trei modele de cloud este foarte diferit, iar modalitățile de abordare a problemelor de securitate diferă, de asemenea, în funcție de nivelul de interacțiune. Cerințele de securitate rămân aceleași, dar nivelul de control al securității se schimbă în diferite modele, SaaS, PaaS sau IaaS. Din punct de vedere logic, nimic nu se schimbă, dar posibilitățile de implementare fizică sunt radical diferite.
Orez. 11. Cele mai presante amenințări la adresa securității informațiilor
în modelul SaaS, aplicația rulează pe infrastructura cloud și este accesibilă printr-un browser web. Clientul nu are control asupra rețelei, serverelor, sistemelor de operare, stocare sau chiar unele capacități ale aplicației. Din acest motiv, în modelul SaaS, responsabilitatea principală pentru securitate revine aproape în totalitate furnizorilor.
Problema numărul 1 este gestionarea parolelor. În modelul SaaS, aplicațiile sunt în cloud, astfel încât riscul principal este utilizarea mai multor conturi pentru a accesa aplicațiile. Organizațiile pot rezolva această problemă prin unificarea conturilor pentru cloud și sistemele locale. Cu conectarea unică, utilizatorii pot accesa stații de lucru și servicii cloud folosind un singur cont. Această abordare reduce probabilitatea unor conturi „blocate” supuse utilizării neautorizate după încetarea angajaților.
Conform explicației CSA, PaaS presupune că clienții construiesc aplicații folosind limbaje și instrumente de programare acceptate de furnizor și apoi le implementează în infrastructura cloud. Ca și în modelul SaaS, clientul nu poate gestiona sau controla infrastructura - rețele, servere, sisteme de operare sau sisteme de stocare - dar are control asupra implementării aplicației.
Într-un model PaaS, utilizatorii trebuie să acorde atenție securității aplicației, precum și problemelor de gestionare a API, cum ar fi validarea, autorizarea și verificarea.
Problema numărul 1 este criptarea datelor. Modelul PaaS este inerent sigur, dar riscul este o performanță inadecvată a sistemului. Acest lucru se datorează faptului că criptarea este recomandată atunci când comunicați cu furnizorii PaaS și acest lucru necesită o putere de procesare suplimentară. Cu toate acestea, în orice soluție, transmiterea datelor confidențiale ale utilizatorului trebuie efectuată pe un canal criptat.
În timp ce clienții de aici nu au control asupra infrastructurii cloud care stau la baza acestora, aceștia au control asupra sistemelor de operare, stocare și implementare a aplicațiilor și, eventual, control limitat asupra alegerii componentelor de rețea.
Acest model are mai multe capabilități de securitate încorporate fără a proteja infrastructura în sine. Aceasta înseamnă că utilizatorii trebuie să gestioneze și să securizeze sistemele de operare, aplicațiile și conținutul, de obicei prin API-uri.
Dacă acest lucru este tradus în limba metodelor de protecție, atunci furnizorul trebuie să furnizeze:
· Control fiabil al accesului la infrastructură;
· Reziliența infrastructurii.
În același timp, consumatorul de cloud are mai multe funcții de protecție:
· Firewalling în cadrul infrastructurii;
· Protecție împotriva intruziunilor în rețea;
· Protecția sistemelor de operare și a bazelor de date (control acces, protecție împotriva vulnerabilităților, control setări de securitate);
· Protecția aplicațiilor finale (protecție antivirus, control acces).
Astfel, majoritatea măsurilor de protecție cad pe umerii consumatorului. Furnizorul poate oferi recomandări tipice pentru protecție sau soluții gata făcute, care vor simplifica sarcina pentru utilizatorii finali.
Tabelul 1. Delimitarea responsabilității pentru securitate între client și furnizorul de servicii. (P - furnizor, K - client)
Server Enterprise Cerere Date Mediu de rulare Middleware Sistem de operare Virtualizare Server Depozite de date hardware de rețea Sarcinile auditorului cloud sunt în esență aceleași cu cele ale auditorului sistemelor convenționale. Auditul securității în cloud este subdivizat în audit furnizor și audit utilizator. Auditul utilizatorului se efectuează la cererea utilizatorului, în timp ce auditul furnizorului este una dintre cele mai importante condiții pentru desfășurarea activității. Se compune din: · Inițierea procedurii de audit; · Colectarea informațiilor de audit; · Analiza datelor de audit; · Pregătirea unui raport de audit. În etapa inițierii procedurii de audit, problemele competențelor auditorului, calendarul auditului trebuie rezolvate. De asemenea, ar trebui stipulată asistența obligatorie a angajaților către auditor. În general, auditorul efectuează un audit pentru a determina fiabilitatea · Sisteme de virtualizare, hipervizor; · Servere; · Depozite de date; · Echipamente de rețea. Dacă Furnizorul folosește modelul IaaS pe serverul verificat, atunci această verificare va fi suficientă pentru a identifica vulnerabilitățile. Când utilizați modelul PaaS, ar trebui efectuate verificări suplimentare · sistem de operare, Middleware, · Mediu de rulare. Când se utilizează modelul SaaS, sunt verificate și vulnerabilitățile Sisteme de stocare și procesare a datelor, · Aplicații. Auditurile de securitate sunt efectuate utilizând aceleași metode și instrumente ca și auditarea serverelor convenționale. Dar, spre deosebire de un server convențional în tehnologiile cloud, hipervizorul este verificat suplimentar pentru stabilitate. În cloud, hipervizorul este una dintre tehnologiile de bază și, prin urmare, ar trebui să i se acorde un accent deosebit pe audit. Măsurile de securitate a informațiilor pot fi împărțite în măsuri preventive (de exemplu, criptare și alte mecanisme de control al accesului) și reactive (investigații). Aspectul proactiv al securității cloud este un domeniu de cercetare activă, în timp ce aspectul reactiv al securității cloud a primit mult mai puțină atenție. Investigația incidentelor (inclusiv investigarea infracțiunilor în sfera informației) este o secțiune bine cunoscută a securității informațiilor. Obiectivele acestor investigații sunt de obicei: Dovada faptului că s-a produs infracțiunea / incidentul Recuperarea evenimentelor din jurul incidentului Identificarea infractorilor Dovada implicării și responsabilității infractorilor Dovada intențiilor necinstite din partea făptașilor. A apărut o nouă disciplină - expertiza computerizată și tehnică (sau criminalistică), având în vedere necesitatea analizei criminalistice a sistemelor digitale. Obiectivele criminalisticii computerizate sunt de obicei următoarele: Recuperarea datelor care ar putea fi șterse Recuperarea evenimentelor care au avut loc în interiorul și în afara sistemelor digitale asociate incidentului Identificarea utilizatorilor de sisteme digitale Detectarea prezenței virușilor și a altor programe malware Detectarea prezenței materialelor și programelor ilegale Cracking parole, chei de criptare și coduri de acces În mod ideal, criminalistica computerizată este un fel de mașină a timpului pentru investigator, care poate călători în orice moment în trecutul dispozitivului digital și poate oferi investigatorului informații despre: persoane care au folosit dispozitivul la un moment dat acțiuni ale utilizatorului (de exemplu, deschiderea documentelor, accesarea unui site web, tipărirea datelor într-un procesor de text etc.) datele stocate, create și procesate de dispozitiv la un anumit moment. Serviciile cloud care înlocuiesc dispozitivele digitale independente ar trebui să ofere un nivel similar de pregătire criminalistică. Cu toate acestea, acest lucru necesită depășirea provocărilor asociate cu punerea în comun a resurselor, multitenancy și rezistența infrastructurii de cloud computing. Instrumentul principal în investigarea incidentelor este pista de audit. Traseele de audit - concepute pentru a monitoriza istoricul conectărilor utilizatorilor, sarcinilor administrative și modificărilor de date - sunt o parte esențială a unui sistem de securitate. În cloud, pista de audit în sine nu este doar un instrument pentru investigații, ci și un instrument pentru calcularea costului utilizării serverelor. În timp ce pista de audit nu abordează găurile de securitate, oferă un ochi critic pentru ceea ce se întâmplă și oferă sugestii pentru corectarea situației. Crearea arhivelor și copiilor de siguranță este importantă, dar nu poate înlocui o pistă de audit formală care înregistrează cine a făcut ce, când și. Pista de audit este unul dintre instrumentele principale ale unui auditor de securitate. Acordul de service menționează de obicei care jurnalele de audit vor fi păstrate și furnizate utilizatorului. În 2010, CSA a efectuat o analiză a principalelor amenințări la adresa securității în tehnologiile cloud. Rezultatul muncii lor a fost documentul „Principalele amenințări ale Cloud Computing v 1.0”, care descrie în prezent modelul amenințărilor și modelul intrusului în modul cel mai complet. În prezent, se dezvoltă o a doua versiune mai completă a acestui document. Documentul actual descrie atacatorii pentru trei modele de servicii SaaS, PaaS și IaaS. Au fost identificați șapte vectori principali de atac. În cea mai mare parte, toate tipurile de atacuri luate în considerare sunt atacuri inerente serverelor convenționale „non-cloud”. Infrastructura cloud le impune anumite caracteristici. Deci, de exemplu, atacurile asupra vulnerabilităților din partea software a serverelor sunt adăugate la atacurile asupra hipervizorului, care este și partea lor software. Amenințare la adresa securității # 1 Utilizarea necorespunzătoare și necinstită a tehnologiilor cloud. Descriere: Pentru a obține resurse de la un furnizor IaaS bazat pe cloud, utilizatorul trebuie doar să aibă un card de credit. Ușurința de înregistrare și alocarea resurselor permite spammerilor, autorilor de viruși etc. utilizați serviciul cloud în scopuri criminale proprii. Anterior, acest tip de atac a fost observat doar în PaaS, dar studii recente au arătat posibilitatea utilizării IaaS pentru atacuri DDOS, plasarea unui cod rău intenționat, crearea de rețele botnet și multe altele. Exemple de servicii au fost folosite pentru a crea o rețea botnet bazată pe programul troian „Zeus”, pentru a stoca codul troian „InfoStealer” și pentru a posta informații despre diferite vulnerabilități MS Office și AdobePDF. În plus, rețelele botnet folosesc IaaS pentru a-și gestiona colegii și a trimite spam. Din această cauză, unele servicii IaaS au fost incluse pe lista neagră, iar utilizatorii lor au fost complet ignorați de serverele de e-mail. Îmbunătățiri ale procedurilor de înregistrare a utilizatorilor Îmbunătățirea procedurilor de verificare a cardului de credit și monitorizarea utilizării mijloacelor de plată Studiu cuprinzător al activității de rețea a utilizatorilor de servicii · Urmărirea principalelor foi negre pentru apariția unei rețele de furnizori de cloud acolo. Modele de servicii afectate: Amenințare la adresa securității # 2 Interfețe de programare nesigure (API) Descriere: Furnizorii de infrastructură cloud oferă utilizatorilor un set de API-uri pentru gestionarea resurselor, mașinilor virtuale sau serviciilor. Securitatea întregului sistem depinde de securitatea acestor interfețe. Accesul anonim la interfață și transmiterea acreditării în text clar sunt principalele semnale distinctive ale API-urilor nesigure. Monitorizarea limitată a utilizării API-ului, lipsa sistemelor de jurnalizare, precum și relațiile necunoscute între diverse servicii nu fac decât să crească riscurile de hacking. Analizați modelul de securitate al furnizorului de cloud Asigurați-vă că sunt utilizați algoritmi de criptare puternici Asigurați-vă că sunt utilizate metode puternice de autentificare și autorizare · Înțelegeți întregul lanț de dependențe între diferite servicii. Modele de servicii afectate: Amenințare la adresa securității # 3 Infractorii interni Descriere: Problema accesului ilegal la informații din interior este extrem de periculoasă. Adesea, din partea furnizorului, nu este implementat un sistem de monitorizare a activității angajaților, ceea ce înseamnă că un atacator poate avea acces la informațiile despre clienți folosind poziția sa oficială. Deoarece furnizorul nu își dezvăluie politica de recrutare, amenințarea poate proveni atât de la un hacker amator, cât și de la o structură criminală organizată care s-a infiltrat în rândul angajaților furnizorului. În acest moment, nu există exemple de acest tip de abuz. Implementarea unor reguli stricte pentru achiziționarea de echipamente și utilizarea sistemelor adecvate pentru detectarea accesului neautorizat Reglementarea regulilor de angajare a angajaților în contracte publice cu utilizatorii Crearea unui sistem de securitate transparent, împreună cu publicarea rapoartelor de audit de securitate pe sistemele interne ale furnizorului Modele de servicii afectate: Orez. 12 Exemplu de insider Amenințare la adresa securității # 4 Vulnerabilități în tehnologiile cloud Descriere: Furnizorii de servicii IaaS folosesc abstractizarea resurselor hardware folosind sisteme de virtualizare. Cu toate acestea, hardware-ul poate fi proiectat fără a lua în considerare resursele partajate. Pentru a minimiza influența acestui factor, hipervizorul controlează accesul mașinii virtuale la resursele hardware, cu toate acestea, chiar și la hipervizori, pot exista vulnerabilități grave, a căror utilizare poate duce la escaladarea privilegiilor sau obținerea accesului ilegal la echipamentele fizice. Pentru a proteja sistemele de astfel de probleme, este necesar să se implementeze mecanisme pentru izolarea mediilor virtuale și sisteme de detectare a defecțiunilor. Utilizatorii mașinilor virtuale nu ar trebui să aibă acces la resursele partajate. Există exemple de vulnerabilități potențiale, precum și metode teoretice de ocolire a izolării în medii virtuale. Implementarea celor mai avansate metode de instalare, configurare și protecție a mediilor virtuale Utilizarea sistemelor de detectare a accesului neautorizat Aplicarea unor reguli puternice de autentificare și autorizare pentru activitatea administrativă Strângerea cerințelor pentru timpul de aplicare a patch-urilor și actualizărilor · Desfășurarea procedurilor în timp util pentru scanarea și detectarea vulnerabilităților. Amenințare la adresa securității # 5 Pierderea sau scurgerea datelor Descriere: Pierderea datelor se poate întâmpla din o mie de motive. De exemplu, distrugerea deliberată a cheii de criptare va duce la nerecuperarea informațiilor criptate. Ștergerea datelor sau o parte a datelor, accesul ilegal la informații importante, modificările înregistrărilor sau eșecul suportului sunt, de asemenea, exemple de astfel de situații. Într-o infrastructură cloud complexă, probabilitatea fiecăruia dintre evenimente crește datorită interacțiunii strânse a componentelor. Aplicarea incorectă a regulilor de autentificare, autorizare și audit, utilizarea incorectă a regulilor și metodelor de criptare și eșecul echipamentului pot duce la pierderea sau scurgerea datelor. Folosind un API sigur și sigur Criptarea și protecția datelor transmise Analiza modelului de protecție a datelor în toate etapele funcționării sistemului Implementarea unui sistem fiabil de gestionare a cheilor de criptare Selectarea și achiziționarea numai a celor mai fiabile suporturi media Asigurarea copiilor de rezervă în timp util Modele de servicii afectate: Amenințare la adresa securității # 6 Furt de identitate și acces ilegal la serviciu Descriere: Acest tip de amenințare nu este nou. În fiecare zi se confruntă cu milioane de utilizatori. Principala țintă a atacatorilor este numele de utilizator (login) și parola acestuia. În contextul sistemelor cloud, furtul parolei și numele de utilizator crește riscul utilizării datelor stocate în infrastructura cloud a furnizorului. Deci atacatorul are posibilitatea de a folosi reputația victimei pentru activitățile sale. Interzicerea transferului de conturi Folosind metode de autentificare cu doi factori Implementarea monitorizării proactive a accesului neautorizat · Descrierea modelului de securitate al furnizorului de cloud. Modele de servicii afectate: Amenințare la adresa securității # 7 Alte vulnerabilități Descriere: Utilizarea tehnologiilor cloud pentru afaceri permite companiei să se concentreze asupra afacerii sale, lăsând îngrijirea infrastructurii și serviciilor IT unui furnizor de cloud. Când își anunță serviciul, un furnizor de cloud încearcă să arate toate posibilitățile, dezvăluind în același timp detaliile implementării. Acest lucru poate reprezenta o amenințare serioasă, deoarece cunoașterea infrastructurii interne oferă atacatorului posibilitatea de a găsi o vulnerabilitate neperfectată și de a lansa un atac asupra sistemului. Pentru a evita astfel de situații, este posibil ca furnizorii de cloud să nu ofere informații despre structura internă a cloud-ului, însă această abordare nu crește încrederea, deoarece potențialii utilizatori nu au capacitatea de a evalua gradul de securitate a datelor. În plus, această abordare limitează capacitatea de a găsi și elimina vulnerabilitățile în timp util. Amazon refuză să efectueze un audit de securitate cloud EC2 Vulnerabilitate în procesarea software-ului, ceea ce duce la o încălcare a sistemului de securitate al centrului de date Hearthland Divulgarea datelor jurnalului Divulgarea completă sau parțială a datelor despre arhitectura sistemului și detalii despre software-ul instalat · Utilizarea sistemelor de monitorizare a vulnerabilităților. Modele de servicii afectate: 1. Baza juridică Potrivit experților, 70% din problemele de securitate din cloud pot fi evitate dacă întocmiți corect un acord de service. Baza unui astfel de acord poate servi ca „Declarație a drepturilor norului” Declarația de drepturi a Cloud a fost dezvoltată în 2008 de James Urquhart. El a publicat acest material pe blogul său, care a provocat atât de mult interes și controverse, încât autorul își actualizează periodic „manuscrisul” în conformitate cu realitățile. Articolul 1 (parțial): clienții dețin datele lor · Niciun producător (sau furnizor) nu ar trebui, în procesul de interacțiune cu clienții unui plan, să discute despre drepturile asupra oricăror date încărcate, create, generate, modificate sau despre orice alte drepturi asupra cărora clientul are drepturi. · Producătorii ar trebui să ofere inițial acces minim la datele clienților în etapa de dezvoltare a soluțiilor și serviciilor. · Clienții dețin datele lor, ceea ce înseamnă că sunt responsabili de asigurarea conformității datelor cu reglementările legale și legile. · Întrucât problemele privind conformitatea datelor, securitatea și respectarea securității sunt esențiale, este imperativ ca clientul să își localizeze propriile date. În caz contrar, producătorii trebuie să ofere utilizatorilor toate garanțiile că datele lor vor fi stocate în conformitate cu toate regulile și reglementările. Clauza 2: Producătorii și clienții dețin și gestionează împreună nivelurile de servicii din sistem · Producătorii dețin și trebuie să facă totul pentru a îndeplini nivelul de servicii pentru fiecare client individual. Toate resursele necesare și eforturile depuse pentru a atinge un nivel adecvat de serviciu în colaborarea cu clienții ar trebui să fie gratuite pentru client, adică să nu fie incluse în costul serviciului. · La rândul său, clienții sunt responsabili și dețin nivelul de servicii furnizat propriilor clienți interni și externi. Atunci când se utilizează soluțiile producătorului pentru a-și furniza propriile servicii, responsabilitatea clientului și nivelul acestui serviciu nu ar trebui să depindă în totalitate de producător. · Dacă este necesară integrarea sistemelor producătorului și clientului, producătorii ar trebui să ofere clienților posibilitatea de a monitoriza procesul de integrare. Dacă clientul are standarde corporative pentru integrarea sistemelor informatice, producătorul trebuie să respecte aceste standarde. · În niciun caz producătorii nu trebuie să închidă conturile clienților pentru declarații politice, discursuri neadecvate, comentarii religioase, cu excepția cazului în care este contrar reglementărilor legale specifice, nu este o expresie a urii etc. Articolul 3: Producătorii dețin interfețele lor · Producătorii nu sunt obligați să furnizeze interfețe standard sau open source, cu excepția cazului în care se specifică altfel în acordurile cu clienții. Producătorii au drepturi la interfețe. Dacă producătorul nu consideră că este posibil să ofere clientului posibilitatea de a rafina interfața într-un limbaj de programare familiar, clientul poate achiziționa de la producător sau de la terți dezvoltatori servicii pentru finalizarea interfețelor în conformitate cu propriile cerințe. · Cu toate acestea, clientul are dreptul de a utiliza serviciul achiziționat în scopurile sale proprii, precum și de a-și extinde capacitățile, de a le reproduce și de a le îmbunătăți. Această clauză nu scutește clienții de brevete și drepturi de proprietate intelectuală. Cele trei articole de mai sus reprezintă baza pentru clienți și furnizori din cloud. Puteți găsi textul integral al acestora în domeniul public pe Internet. Desigur, acest proiect de lege nu este un document legal complet, cu atât mai puțin unul oficial. Articolele sale pot fi modificate și extinse oricând, la fel cum factura poate fi completată cu articole noi. Aceasta este o încercare de a oficializa „proprietatea” în cloud pentru a standardiza cumva această zonă de cunoștințe și tehnologie iubitoare de libertate. Relația dintre părți De departe, cel mai bun expert în securitate în cloud este Cloud Security Alliance (CSA). Organizația a lansat și a actualizat recent un ghid care include sute de nuanțe și cele mai bune practici de luat în considerare la evaluarea riscurilor de cloud computing. O altă organizație care se ocupă de aspecte ale securității cloud este Trusted Computing Group (TCG). Este autorul mai multor standarde în acest domeniu și în alte domenii, inclusiv astăzi Trusted Storage, Trusted Network Connect (TNC) și Trusted Platform Module (TPM). Aceste organizații au elaborat împreună o serie de probleme pe care clientul și furnizorul trebuie să le rezolve la încheierea unui contract. Aceste întrebări vor rezolva majoritatea problemelor atunci când se utilizează cloud-ul, forța majoră, schimbarea furnizorilor de servicii cloud și alte situații. 1. Siguranța datelor stocate. Cum asigură furnizorul de servicii siguranța datelor stocate?
Cea mai bună măsură pentru protejarea datelor stocate într-un depozit de date este utilizarea tehnologiilor de criptare. Furnizorul trebuie să cripteze întotdeauna informațiile despre clienți stocate pe serverele sale pentru a preveni cazurile de acces neautorizat. De asemenea, furnizorul trebuie să șteargă definitiv datele atunci când nu mai sunt necesare și nu vor fi necesare în viitor. 2. Protecția datelor în timpul transmiterii. Cum asigură furnizorul siguranța datelor în timpul transferului (în interiorul norului și pe drumul de la / către nor)?
Datele transmise trebuie să fie întotdeauna criptate și accesibile utilizatorului numai după autentificare. Această abordare asigură faptul că aceste date nu pot fi modificate sau citite de nimeni, chiar dacă au acces la ele prin noduri de încredere din rețea. Aceste tehnologii au fost dezvoltate de-a lungul „mii de ani-om” și au condus la crearea de protocoale și algoritmi fiabili (de exemplu, TLS, IPsec și AES). Furnizorii ar trebui să folosească aceste protocoale, nu să inventeze propriile lor protocoale. 3. Autentificare. Cum știe furnizorul autenticitatea clientului?
Cea mai comună metodă de autentificare este protecția prin parolă. Cu toate acestea, furnizorii de servicii Internet care doresc să ofere clienților lor o mai mare fiabilitate utilizează instrumente mai puternice, cum ar fi certificate și jetoane. Furnizorii ar trebui să poată lucra cu standarde precum LDAP și SAML, pe lângă utilizarea unor mijloace de autentificare mai sigure. Acest lucru este necesar pentru a se asigura că furnizorul interacționează cu sistemul de identificare a utilizatorului clientului atunci când autorizează și definește autorizațiile care trebuie acordate utilizatorului. Datorită acestui fapt, furnizorul va avea întotdeauna informații actualizate despre utilizatorii autorizați. Cel mai rău scenariu este atunci când clientul furnizează furnizorului o listă specifică de utilizatori autorizați. De regulă, în acest caz, atunci când un angajat este concediat sau mutat într-o altă funcție, pot apărea dificultăți. 4. Izolarea utilizatorului. Cum sunt separate datele și aplicațiile unui client de datele și aplicațiile altor clienți?
Cea mai bună opțiune: când fiecare dintre clienți folosește o mașină virtuală individuală (Mașină virtuală - VM) și o rețea virtuală. Separarea între VM-uri și, prin urmare, între utilizatori, este asigurată de hipervizor. Rețelele virtuale, la rândul lor, sunt implementate folosind tehnologii standard precum VLAN (Virtual Local Area Network), VPLS (Virtual Private LAN Service) și VPN (Virtual Private Network). Unii furnizori plasează toate datele clienților într-un singur mediu software și încearcă să izoleze datele clienților unul de celălalt prin modificări ale codului său. Această abordare este nesăbuită și nesigură. În primul rând, un atacator poate găsi un defect în codul non-standard care i-ar permite să aibă acces la date pe care nu ar trebui să le vadă. În al doilea rând, o greșeală în cod poate duce la faptul că un client „vede” din greșeală datele altuia. Recent, au existat atât acele cazuri, cât și alte cazuri. Prin urmare, pentru a diferenția datele utilizatorilor, utilizarea diferitelor mașini virtuale și rețele virtuale este un pas mai rezonabil. 5. Probleme de reglementare. Cât de bine se conformează furnizorul cu legile și reglementările aplicabile industriei cloud computing?
În funcție de jurisdicție, legile, reglementările și orice dispoziții speciale pot varia. De exemplu, pot interzice exportul de date, pot necesita garanții strict definite, pot respecta anumite standarde și pot fi auditate. În cele din urmă, ei pot cere ca departamentele guvernamentale și instanțele să poată accesa informațiile atunci când este necesar. Neglijența furnizorului față de aceste momente poate duce clienții săi la costuri semnificative din cauza consecințelor juridice. Furnizorul trebuie să respecte reguli stricte și să respecte o strategie unitară de reglementare și legalitate. Aceasta privește securitatea datelor utilizatorilor, exportul acestora, respectarea standardelor, auditul, siguranța și ștergerea datelor, precum și divulgarea informațiilor (aceasta din urmă este importantă mai ales atunci când informațiile mai multor clienți pot fi stocate pe un singur server fizic). Pentru a afla, clienții sunt puternic încurajați să caute ajutor de la specialiști care vor studia această problemă în detaliu. 6. Reacția la incidente. Cum răspunde furnizorul la incidente și în ce măsură pot fi implicați clienții săi în incident?
Uneori nu totul merge conform planului. Prin urmare, furnizorul de servicii este obligat să respecte reguli de conduită specifice în cazul unor circumstanțe neprevăzute. Aceste reguli ar trebui documentate. Este imperativ ca furnizorii să identifice incidentele și să minimizeze consecințele acestora, informând utilizatorii despre situația actuală. În mod ideal, aceștia ar trebui să furnizeze în mod regulat clienților informații cât mai detaliate cu privire la această problemă. În plus, depinde de clienți să evalueze probabilitatea unei probleme de securitate și să ia măsurile necesare. Evoluția tehnologiei cloud a depășit eforturile de creare și modificare a standardelor industriale necesare, dintre care multe nu au fost actualizate de ani de zile. Prin urmare, legiferarea în domeniul tehnologiilor cloud este unul dintre cei mai importanți pași către asigurarea securității. IEEE, una dintre cele mai mari organizații de dezvoltare a standardelor din lume, a anunțat lansarea unei inițiative dedicate Cloud Computing. Aceasta este prima inițiativă internațională de standardizare în cloud - până în prezent, standardele de cloud computing au fost dominate de consorții din industrie. Inițiativa include în prezent 2 proiecte: IEEE P2301 (tm), „Ghid de proiect pentru portabilitate și interoperabilitate a profilurilor cloud” și IEEE P2302 (tm) - „Proiect de standard pentru interoperabilitate și interoperabilitate distribuită (Federația) sistemelor cloud”. În cadrul Asociației pentru Dezvoltarea Standardelor IEEE, au fost create 2 noi grupuri de lucru pentru a lucra la proiectele IEEE P2301 și, respectiv, IEEE P2302. IEEE P2301 va conține profile ale aplicațiilor existente și în așteptare, portabilitate, gestionare și standarde de interoperabilitate, precum și formate de fișiere și acorduri de operare. Informațiile din document vor fi structurate logic în funcție de diferite grupuri de public țintă: furnizori, furnizori de servicii și alți participanți interesați la piață. La finalizare, se așteaptă ca standardul să fie utilizabil în achiziționarea, dezvoltarea, construcția și utilizarea produselor și serviciilor cloud bazate pe tehnologii standard. Standardul IEEE P2302 va descrie topologia subiacentă, protocoalele, funcționalitatea și metodele de gestionare necesare pentru interacțiunea diferitelor structuri de cloud (de exemplu, pentru interacțiunea dintre un cloud privat și unul public, cum ar fi EC2). Acest standard va permite furnizorilor de produse și servicii cloud să obțină beneficii economice din economiile de scară, oferind în același timp transparență utilizatorilor de servicii și aplicații. ISO pregătește un standard special pentru securitatea cloud computing. Principalul obiectiv al noului standard este abordarea problemelor organizaționale legate de cloud. Cu toate acestea, datorită complexității procedurilor de armonizare ISO, versiunea finală a documentului nu ar trebui să fie lansată până în 2013. Valoarea documentului constă în faptul că nu doar organizațiile guvernamentale (NIST, ENISA) sunt implicate în pregătirea acestuia, ci și reprezentanții comunităților și asociațiilor de experți precum ISACA și CSA. Mai mult, un document conține recomandări atât pentru furnizorii de servicii cloud, cât și pentru consumatorii lor - organizațiile client. Scopul principal al acestui document este de a descrie în detaliu cele mai bune practici asociate cu utilizarea cloud computingului din punct de vedere al securității informațiilor. În același timp, standardul nu se concentrează doar pe aspecte tehnice, ci mai degrabă pe aspecte organizaționale care nu trebuie uitate în tranziția la cloud computing. Aceasta este separarea drepturilor și responsabilităților și semnarea acordurilor cu terțe părți și gestionarea activelor deținute de diferiți participanți la procesul „cloud” și problemele de gestionare a personalului etc. Noul document încorporează în mare măsură materiale dezvoltate anterior în industria IT. Guvernul australian După luni de brainstorming, guvernul australian a lansat o serie de ghiduri de migrație bazate pe cloud pe 15 februarie 2012, pe blogul Australian Government Information Management Office (AGIMO). Pentru a facilita migrația companiilor către cloud, au fost pregătite recomandări privind cele mai bune practici de utilizare a serviciilor cloud pentru a îndeplini cerințele Ghidurilor de mai bune practici din 1997 pentru gestionarea financiară și Legea privind responsabilitatea din 1997. Ghidurile se ocupă cu probleme financiare, juridice și de protecție a datelor în termeni generali. Liniile directoare vorbesc despre necesitatea monitorizării și controlului constant al utilizării serviciilor cloud prin analiza zilnică a facturilor și rapoartelor. Acest lucru va ajuta la evitarea marcajelor ascunse și a dependenței de furnizorii de servicii cloud. Primul ghid este intitulat Privacy and Cloud Computing for Australian Government Agencies (9 pagini). Acest document se concentrează pe probleme de confidențialitate și securitate a datelor. În plus față de acest ghid, Negocierea Cloud - Probleme juridice în acordurile de cloud computing (19 pagini) a fost pregătită și pentru a vă ajuta să înțelegeți clauzele incluse în contract. Ultimul, al treilea manual, Considerații financiare pentru utilizarea guvernamentală a Cloud Computing, 6 pagini, discută problemele financiare pe care ar trebui să le aibă grijă o companie dacă decide să utilizeze cloud computing în afacerea sa. În plus față de cele acoperite în ghiduri, există o serie de alte probleme care trebuie abordate atunci când se utilizează cloud computing, inclusiv probleme legate de guvern, achiziții și politica de gestionare a afacerii. Discuția publică a acestui document politic oferă o oportunitate pentru părțile interesate de a lua în considerare și de a comenta următoarele aspecte de interes: · Acces neautorizat la informații clasificate; · Pierderea accesului la date; Nerespectarea integrității și autenticității datelor și · Înțelegerea aspectelor practice ale furnizării de servicii cloud. Există o serie de reglementări în diferite țări care necesită date sensibile pentru a rămâne în țară. În timp ce stocarea datelor pe un anumit teritoriu poate să nu pară dificilă la prima vedere, furnizorii de servicii cloud de multe ori nu le pot garanta. În sistemele cu un grad ridicat de virtualizare, datele și mașinile virtuale se pot deplasa dintr-o țară în alta în diverse scopuri - echilibrarea sarcinii, toleranță la erori. Unii dintre principalii jucători de pe piața SaaS (cum ar fi Google, Symantec) pot garanta stocarea datelor în țara respectivă. Dar acestea sunt, mai degrabă, excepții, în general, îndeplinirea acestor cerințe este încă destul de rară. Chiar dacă datele rămân în țară, nu există nicio modalitate pentru clienți să le verifice. În plus, nu trebuie să uităm de mobilitatea angajaților companiei. Dacă un specialist care lucrează la Moscova călătorește la New York, atunci este mai bine (sau cel puțin mai rapid) să primească date de la un centru de date din Statele Unite. Furnizarea acestui lucru este deja o sarcină mai dificilă pentru un ordin de mărime. În prezent, nu există un cadru de reglementare serios pentru tehnologiile cloud în țara noastră, deși dezvoltările în acest domeniu sunt deja în curs. Deci, prin ordinul președintelui Federației Ruse nr. 146 din 8.02.2012. s-a stabilit că autoritățile executive federale autorizate în domeniul securității datelor în sistemele informaționale create utilizând tehnologii de supercomputer și rețea sunt FSB din Rusia și FSTEC din Rusia. În legătură cu acest decret, puterile acestor servicii au fost extinse. FSB din Rusia elaborează și aprobă documente de reglementare și metodologice privind asigurarea securității acestor sisteme, organizează și efectuează cercetări în domeniul securității informațiilor. Serviciul efectuează, de asemenea, studii criptografice de specialitate, inginerie-criptografice și studii speciale ale acestor sisteme de informații și pregătește opinii ale experților cu privire la propunerile de lucru pentru crearea acestora. Documentul prevede, de asemenea, că FSTEC din Rusia dezvoltă o strategie și determină domeniile prioritare pentru asigurarea securității informațiilor în sistemele de informații create folosind tehnologii de supercomputer și rețea care procesează date restricționate și, de asemenea, monitorizează starea de lucru pentru a asigura această securitate. FSTEC a comandat un studiu, care a dus la o versiune beta a „sistemului terminologic în domeniul„ tehnologiilor cloud ” După cum puteți înțelege, acest întreg sistem de terminologie este o traducere adaptată a două documente: „Focus Group on Cloud Computing Technical Report” și „The NIST Definition of Cloud Computing”. Ei bine, faptul că aceste două documente nu sunt foarte consistente între ele este o problemă separată. Dar vizual este încă vizibil: în „Terminosistemul” rus autorii, pentru început, pur și simplu nu au furnizat legături către aceste documente englezești. Faptul este că pentru o astfel de muncă, trebuie mai întâi să discutați conceptul, scopurile și obiectivele, metodele soluției lor. Există multe întrebări și comentarii. Principala notă metodologică: este necesar să se formuleze foarte clar ce problemă rezolvă această cercetare, scopul ei. Aș dori să subliniez imediat că „crearea unui sistem de termeni” nu poate fi un scop, este un mijloc, dar realizarea a ceea ce nu este încă foarte clar. Ca să nu mai vorbim că o cercetare normală ar trebui să includă o secțiune de status quo. Este dificil să discutăm rezultatele unui studiu fără a cunoaște formularea originală a problemei și modul în care autorii au rezolvat-o. Dar o greșeală fundamentală a sistemului de terminologie este clar vizibilă: este imposibil să se discute „subiectul tulbure” izolat de cel „nebulos”. În afara contextului general IT. Dar acest context nu este vizibil în studiu. Iar rezultatul este că, în practică, un astfel de sistem de terminologie va fi imposibil de aplicat. Poate confunda situația doar în continuare. Un sistem de protecție a serverului cloud în configurația sa minimă ar trebui să asigure securitatea echipamentelor de rețea, stocării datelor, serverului și hipervizorului. În plus, este posibil să plasați un antivirus într-un nucleu dedicat pentru a preveni infectarea hipervizorului printr-o mașină virtuală, un sistem de criptare a datelor pentru stocarea informațiilor utilizatorului în formă criptată și mijloace pentru implementarea tunelurilor criptate între serverul virtual și client mașinărie. Pentru aceasta avem nevoie de un server care acceptă virtualizarea. Soluțiile de acest tip sunt oferite de Cisco, Microsoft, VMWare, Xen, KVM. De asemenea, este permisă utilizarea unui server clasic și furnizarea virtualizării pe acesta utilizând un hipervizor. Orice servere cu procesoare compatibile sunt potrivite pentru virtualizarea sistemelor de operare pentru platformele x86-64. O astfel de soluție va simplifica tranziția către virtualizarea computerizată fără a face investiții financiare suplimentare în upgrade-uri hardware. Schema de lucru: Orez. 11. Un exemplu de server „cloud” Orez. 12. Răspunsul serverului la eșecul echipamentului În acest moment, piața instrumentelor de securitate cloud computing este încă destul de goală. Și acest lucru nu este surprinzător. În absența unui cadru de reglementare și a incertitudinii cu privire la standardele viitoare, companiile de dezvoltare nu știu pe ce să își concentreze eforturile. Cu toate acestea, chiar și în astfel de condiții, apar sisteme software și hardware specializate care fac posibilă securizarea structurii cloud de principalele tipuri de amenințări. Încălcarea integrității Spargerea unui hipervizor Insiderii Identificare Autentificare Criptare Acord-B Sistem hardware și software Acord-B. conceput pentru a proteja infrastructura de virtualizare VMware vSphere 4.1, VMware vSphere 4.0 și VMware Infrastructure 3.5. Acord-B. Oferă protecție pentru toate componentele mediului de virtualizare: servere ESX și mașini virtuale în sine, servere de gestionare vCenter și servere suplimentare cu servicii VMware (de exemplu, VMware Consolidated Backup). Următoarele mecanisme de protecție sunt implementate în complexul hardware și software Accord-V: · Control pas cu pas al integrității hipervizorului, mașinilor virtuale, fișierelor din mașinile virtuale și serverelor de administrare a infrastructurii; · Diferențierea accesului pentru administratorii infrastructurii virtuale și administratorii de securitate; · Diferențierea accesului utilizatorilor în mașinile virtuale; · Identificarea hardware a tuturor utilizatorilor și administratorilor infrastructurii de virtualizare. INFORMAȚII DESPRE DISPONIBILITATEA CERTIFICATELOR: Certificatul de conformitate FSTEC al Rusiei nr. 2598 din 20.03.2012 certifică faptul că complexul hardware și software de protecție a informațiilor înseamnă acces neautorizat „Accord-V”. acces la informații. Indicatori de securitate împotriva accesului neautorizat la informații "(Comisia tehnică de stat din Rusia, 1992) - conform 5
clasa de securitate, "Protecția împotriva accesului neautorizat la informații. Partea 1. Software pentru protecția informațiilor. Clasificarea după nivelul de control al absenței capacităților nedeclarate" (Comisia tehnică de stat din Rusia, 1999) - de 4
nivelul de control și condițiile tehnice TU 4012-028-11443195-2010 și poate fi, de asemenea, utilizat pentru a crea sisteme automate până la clasa de securitate 1G inclusiv și pentru a proteja informațiile din sistemele de informații cu date personale până la clasa 1 inclusiv. vGate R2 vGate R2 este un mijloc certificat de protecție a informațiilor împotriva accesului neautorizat și controlului implementării politicilor de securitate a informațiilor pentru infrastructura virtuală bazată pe sistemele VMware vSphere 4 și VMware vSphere 5.S R2 - o versiune a produsului aplicabilă pentru protejarea informațiilor din infrastructurile virtuale a companiilor publice, al căror IP este aplicat cerințe pentru utilizarea sistemelor de securitate a informațiilor cu un nivel ridicat de certificare. Vă permite să automatizați activitatea administratorilor pentru a configura și utiliza sistemul de securitate. Ajută la contracararea erorilor și abuzului în gestionarea infrastructurii virtuale. Vă permite să aduceți infrastructura virtuală în conformitate cu legislația, standardele industriei și cele mai bune practici mondiale. <#"783809.files/image017.gif"> <#"783809.files/image018.gif"> <#"783809.files/image019.gif"> <#"783809.files/image020.gif"> Orez. 13 vGate R2 au anunțat capacități Astfel, pentru a rezuma, iată principalele instrumente pe care vGate R2 le are pentru a proteja centrul de date al furnizorului de servicii de amenințările interne provenite de la propriii săi administratori: Separarea organizațională și tehnică a puterilor pentru administratorii vSphere Alocarea unui rol separat al administratorului IS care va gestiona securitatea resurselor centrului de date pe baza vSphere Împărțirea norului în zone de securitate, în cadrul cărora operează administratorii cu nivelul adecvat de autoritate Controlul integrității mașinilor virtuale Abilitatea de a primi în orice moment un raport privind securitatea infrastructurii vSphere, precum și evenimente de securitate a informațiilor de audit În principiu, acesta este aproape tot ce este necesar pentru a proteja infrastructura unui centru de date virtual de amenințările interne din punctul de vedere al infrastructurii virtuale. Desigur, aveți nevoie și de protecție la nivel de hardware, aplicații și sistem de operare pentru oaspeți, dar aceasta este o altă problemă, care este rezolvată și prin intermediul produselor din Codul de securitate al companiei<#"783809.files/image021.gif"> Orez. 14. Structura serverului. Pentru a asigura siguranța la o astfel de instalație, este necesar să se asigure siguranța, conform tabelului 2. Pentru a face acest lucru, vă sugerez utilizarea produsului software vGate R2. Vă va permite să rezolvați probleme precum: · Autentificare mai puternică pentru administratorii de infrastructură virtuală și administratorii de securitate a informațiilor. · Protejarea instrumentelor de administrare a infrastructurii virtuale împotriva manipulării. · Protecția serverelor ESX împotriva manipulării. · Control obligatoriu al accesului. · Monitorizarea integrității configurației mașinilor virtuale și a pornirii de încredere. · Controlul accesului administratorilor VI la datele mașinilor virtuale. · Înregistrarea evenimentelor legate de securitatea informațiilor. · Monitorizarea integrității și protecției împotriva manipulării componentelor sistemului de securitate a informațiilor. · Management și monitorizare centralizate. Tabelul 2. Cartografierea nevoilor de securitate pentru modelul PaaS
Certificat FSTEC al Rusiei În plus, pentru a vă proteja împotriva persoanelor din interior, va trebui să instalați o alarmă de securitate. Aceste soluții sunt furnizate destul de bogat pe piața protecției serverelor. Prețul unei astfel de soluții cu acces limitat la zona controlată, un sistem de alarmă și supraveghere video variază de la 200.000 de ruble și mai mult De exemplu, să luăm suma de 250.000 de ruble. Pentru a proteja mașinile virtuale de infecțiile cu viruși, un nucleu de server va rula McAfee Total Protection for Virtualization. Costul soluției este de la 42.200 ruble. Symantec Netbackup va fi utilizat pentru a preveni pierderea datelor de pe stocuri. Vă permite să faceți backup în siguranță a informațiilor și a imaginilor de sistem. Costul total al implementării unui astfel de proiect va fi: O implementare Microsoft a unei soluții de proiectare similare poate fi descărcată de aici: http://www.microsoft.com/en-us/download/confirmation. aspx? id = 2494 „Tehnologiile cloud” este una dintre cele mai dezvoltate domenii ale pieței IT în prezent. Dacă rata de creștere a tehnologiilor nu scade, atunci până în 2015 acestea vor contribui la trezoreria țărilor europene cu peste 170 de milioane de euro pe an. În țara noastră, tehnologiile cloud sunt tratate cu prudență. Acest lucru se datorează parțial opiniilor osificate ale conducerii, parțial lipsei de încredere în securitate. Dar acest tip de tehnologie, cu toate avantajele și dezavantajele lor, este o nouă locomotivă a progresului IT. Aplicația „de cealaltă parte a cloud-ului” nu contează deloc dacă vă formați solicitarea pe un computer cu procesor x86 Intel, AMD, VIA sau o compuneți pe un telefon sau smartphone bazat pe procesor ARM Freescale, OMAP, Tegra . Mai mult, în general nu va conta dacă folosiți sisteme de operare Linux Google Chrome, OHA Android, Intel Moblin, Windows CE, Windows Mobile Windows XP / Vista / 7 sau dacă folosiți ceva și mai exotic pentru asta ... Dacă numai cererea a fost compusă corect și de înțeles, iar sistemul dvs. ar putea „stăpâni” răspunsul primit. Problema securității este una dintre problemele principale în cloud computing, iar soluția sa va îmbunătăți calitatea serviciilor din sfera computerului. Cu toate acestea, mai sunt multe de făcut în această direcție. În țara noastră, merită să începeți cu un vocabular unificat de termeni pentru întregul domeniu IT. Elaborați standarde bazate pe experiența internațională. Prezentați cerințele pentru sistemele de securitate. 1. Considerații financiare pentru utilizarea guvernamentală a Cloud Computing - Guvernul australian 2010. 2. Confidențialitate și cloud computing pentru agențiile guvernamentale australiene 2007. Negocierea cloud - probleme legale în acordurile de cloud computing 2009. Revista „Știința modernă: probleme reale de teorie și practică” 2012.
7. Auditul de securitate
8. Investigarea incidentelor și criminalisticii în cloud computing
9. Model de amenințare
10. Standarde internaționale și interne
11. Identitatea teritorială a datelor
12. Standarde de stat
13. Mijloace de securitate în cloud
Ieșire
Literatură
Lucrări similare cu - Securitatea informațiilor în cloud computing: vulnerabilități, metode și mijloace de protecție, instrumente pentru audit și investigarea incidentelor
