Artık Google'ın başkanı olan Eric Schmitt, "bulut" terimini web'deki dağıtılmış bir bilgi işlem sistemiyle ilgili olarak ilk kez kullandığında, bunun efsanelerde sıklıkla bulunan kelimelerden biri olduğunu pek tahmin etmemişti. Dünya halklarının neredeyse tüm mitlerinde, ilahi varlıklar gökyüzüne çok yakın - bulutların üzerinde - yaşarlar. Sonuç olarak, "bulut bilişim" terimi, yaratıcılığa yer verdiği için pazarlamacılar arasında çok popüler hale geldi. Ayrıca bu mitleri sözlü olarak ifade etmeye ve onların BT ile organik olarak nasıl birleştiğini anlamaya çalışacağız.

Merlin'in ölümü

Kral Arthur ve Yuvarlak Masası hakkındaki efsaneler döngüsündeki karakterlerden biri, Arthur'a saltanatında yardım eden sihirbaz ve büyücü Merlin'dir. Merlin'in bulutlara hapsedilmesi önemli. Genç büyücüye övünmek ve büyülü gücünü göstermek isteyen bulutlardan bir kale inşa etti ve tutkusunu incelemeye davet etti. Ancak, büyücünün kurnaz olduğu ortaya çıktı ve sihirbazı kendi bulutlu kalesine hapsetti. Ondan sonra kimse Merlin'i görmedi, bu yüzden orada bir yerde öldüğüne inanılıyor - kendisi tarafından inşa edilen bulut kalesinde.

Şimdi "BT sihirbazları" da dağıtık bilgi işlem etrafında tam bir mitoloji inşa ettiler, bu yüzden bu "kalelere" hapsolmamak için önce bu bulutların ne olduğunu bulmalısınız, yani pazarlamayı köfteden ayırmalısınız.

Başlangıçta yalnızca bir bulut vardı - geleneksel olarak İnternet'i ifade eden bu semboldü. Bu bulut, IP protokolü ile birleştirilmiş ve kendi IP adresine sahip tüm bilgisayarların toplanmasını ifade ediyordu. Zamanla, sağlayıcılar tarafından kurulan ve web projelerinin dayandığı sunucu çiftlikleri İnternet'e tahsis edilmeye başlandı. Aynı zamanda, yüksek yük ve hata toleransı sağlamak için en büyük web sistemleri çok seviyeli ve dağıtılmış hale geldi.

Bu tür tipik bir sistemde, aşağıdaki seviyeler ayırt edilebilir: aynı zamanda bir yük dengeleyici ve SSL şifre çözücü olarak da işlev gören bir ters proxy, web sunucusunun kendisi, ardından uygulama sunucusu, DBMS ve depolama sistemi. Aynı zamanda, her düzeyde aynı işlevleri yerine getiren birkaç öğe olabilir ve bu nedenle kullanıcı isteklerini işlemek için hangi bileşenlerin kullanıldığı her zaman net değildi. Ve net olmadığında, bunlar bulutlardır. Bu nedenle, kullanıcı isteklerinin çok sayıda sunucudan "bulutta" bir yerde gerçekleştirildiğini söylemeye başladılar. "Bulut bilişim" terimi böyle doğdu.

Başlangıçta bulut bilişim, genel web projeleri - portallar ile ilişkilendirilse de, dağıtılmış hataya dayanıklı web sistemleri geliştikçe, şirket içi sorunları çözmek için kullanılmaya başlandı. Kamu sistemlerinde geliştirilen web teknolojilerine dayanan kurumsal portallar için bir patlama zamanıydı. Aynı zamanda, kurumsal sistemler, bakımı daha kolay ve daha ucuz olan veri merkezlerinde konsolide edilmeye başlandı.

Ancak, bulutun her bir unsuru için ayrı bir sunucu tahsis etmek verimsiz olacaktır - bulutun tüm unsurları eşit olarak yüklenmez, bu nedenle sanallaştırma endüstrisi paralel olarak gelişmeye başladı. Genel bulutlarda, erişim haklarının sınırlandırılmasına izin verdiği ve dağıtılmış bir sistem öğesinin başka bir donanım ortamına hızlı bir şekilde aktarılmasını sağladığı için oldukça popüler olduğu ortaya çıktı. Sanallaştırma olmadan, bulut bilişim daha az dinamik ve ölçeklenebilir olurdu, bu nedenle bulutlar artık sanal makinelerden oluşma eğiliminde.

Bulut bilişim temel olarak uygulama kiralama ile ilişkilidir ve bu tür hizmetlerin üç türünü tanımlar: IaaS - hizmet olarak altyapı, PaaS - hizmet olarak platform ve SaaS - hizmet olarak yazılım. Bazen "hizmet olarak güvenlik" hizmetleri de SaaS olarak kısaltılır, ancak bulut güvenlik hizmetlerini yazılım kiralama ile karıştırmamak için ISaaC - Bulut Olarak Bilgi Güvenliği olarak adlandırmak daha iyidir. Bu tür hizmetler de verilmeye başlandı. Bununla birlikte, bulutlar kurum içi, genel veya hibrit olabileceğinden, uygulama dış kaynak kullanımı bulut bilişim ile karıştırılmamalıdır. Bu tür bulutların her biri, bir koruma sistemi düzenlerken kendine has özelliklere sahiptir.

Vishnu'nun üç adımı

Hindu mitolojisinde Tanrı Vishnu, insan yaşamı için alanı üç adımla fetheden kişi olduğu gerçeğiyle bilinir: ilki yeryüzünde, ikincisi bulutlarda ve üçüncüsü en yüksek meskende. Rig Veda'ya göre, Vishnu bu eylemiyle insanlar için tüm bu alanları kazandı.

Modern BT de benzer bir "ikinci adım" atıyor - yerden bulutlara. Ancak hala yerdeyken bu bulutlardan düşmemek için güvenliğe dikkat etmekte fayda var. İlk bölümde, bulut bilişim için hangi tehditlerin mevcut olduğunu netleştirmek için bulutun yapısını bu kadar ayrıntılı bir şekilde analiz ettim. Yukarıdakilerden, aşağıdaki tehdit sınıfları ayırt edilmelidir:

Geleneksel yazılım saldırıları. Ağ protokollerinin, işletim sistemlerinin, modüler bileşenlerin ve diğerlerinin güvenlik açığı ile ilgilidir. Bunlar, bir antivirüs, bir güvenlik duvarı, IPS ve tartışılan diğer bileşenleri kurmanın yeterli olduğu koruma için geleneksel tehditlerdir. Yalnızca bu korumaların bulut altyapısına uyarlanması ve sanallaştırılmış bir ortamda etkin bir şekilde çalışması önemlidir.

Bulut öğelerine işlevsel saldırılar. Bu saldırı türü, genel sistem korumasının en zayıf halkayı korumaya eşit olduğu genel bir güvenlik ilkesi olan bulut katmanlama ile ilgilidir. Bu nedenle, bulutun önüne kurulan bir ters proxy'ye başarılı bir DoS saldırısı, bulut içindeki tüm iletişimlerin parazit olmadan çalışmasına rağmen tüm buluta erişimi engelleyecektir. Benzer şekilde, uygulama sunucusundan geçirilen bir SQL enjeksiyonu, veri depolama katmanındaki erişim kurallarından bağımsız olarak sistem verilerine erişim sağlayacaktır. Bulutun her katmanı için işlevsel saldırılara karşı koruma sağlamak için, ona özel korumalar kullanmanız gerekir: bir proxy için - DoS saldırılarına karşı koruma, bir web sunucusu için - sayfa bütünlüğü kontrolü, bir uygulama sunucusu için - bir uygulama katmanı ekranı, için bir DBMS katmanı - depolama sistemi için SQL enjeksiyonlarına karşı koruma - yedekleme ve erişim kontrolü. Ayrı ayrı, bu koruyucu mekanizmaların her biri zaten oluşturulmuştur, ancak bulutun kapsamlı bir şekilde korunması için bir araya getirilmemiştir, bu nedenle bunları tek bir sisteme entegre etme görevi, bulutun oluşturulması sırasında çözülmelidir.

İstemciye yapılan saldırılar. Bu tür saldırılar web ortamında gerçekleştirilmiştir, ancak istemciler genellikle bir tarayıcı kullanarak buluta bağlandığından bulut için de geçerlidir. Siteler Arası Komut Dosyası Çalıştırma (XSS), web oturumu ele geçirme, parola hırsızlığı, "ortadaki adam" ve diğerleri gibi saldırıları içerir. Bu saldırılara karşı koruma, geleneksel olarak güçlü kimlik doğrulama ve karşılıklı kimlik doğrulama ile şifreli bir bağlantının kullanılması olmuştur, ancak tüm bulut yaratıcıları bu kadar savurgan ve kural olarak çok uygun olmayan koruma araçlarını karşılayamaz. Bu nedenle, bilgi güvenliğinin bu dalında hala çözülmemiş sorunlar ve yeni koruma araçları yaratmak için alan bulunmaktadır.

Sanallaştırma Tehditleri. Bulut bileşenleri platformu geleneksel olarak sanal ortamlar olduğundan, sanallaştırma sistemine yapılan saldırılar da bir bütün olarak tüm bulutu tehdit eder. Bu tür tehdit bulut bilişime özgüdür, bu nedenle aşağıda daha yakından inceleyeceğiz. Sanallaştırmaya yönelik bazı tehditlere yönelik çözümler ortaya çıkmaya başlıyor, ancak sektör nispeten yeni, dolayısıyla henüz yerleşik bir çözüm yok. Yakın gelecekte bilgi güvenliği piyasasının bu tür tehditlere karşı koruma araçları geliştirmesi oldukça olasıdır.

"Bulutlara" yönelik karmaşık tehditler. Bulut kontrolü ve yönetimi de bir güvenlik sorunudur. Tüm bulut kaynaklarının sayıldığından ve içinde kontrolsüz sanal makine olmadığından, gereksiz iş süreçlerinin çalışmadığından ve bulutun katmanlarının ve öğelerinin karşılıklı yapılandırmasının bozulmadığından nasıl emin olunur. Bu tür bir tehdit, bulutun tek bir bilgi sistemi olarak yönetilebilirliği ve bulutun işleyişinde kötüye kullanım veya diğer ihlallerin aranmasıyla ilişkilidir ve bu da bilgi sisteminin sağlığını korumak için gereksiz maliyetlere yol açabilir. Örneğin, gönderilen dosyayı kullanarak içinde bir virüs tespit etmenize izin veren bir bulut varsa, bu tür tespitlerin çalınması nasıl önlenir? Bu tür bir tehdit en üst düzeydedir ve bunun için evrensel bir çözümün imkansız olduğundan şüpheleniyorum - her bulut için genel koruması ayrı ayrı oluşturulmalıdır. En genel risk yönetimi modeli, yine de bulut altyapılarına doğru bir şekilde uygulanması gereken bu konuda yardımcı olabilir.

İlk iki tür tehdit zaten yeterince incelendi ve onlar için koruma geliştirildi, ancak yine de bulutta kullanım için uyarlanmaları gerekiyor. Örneğin, güvenlik duvarları çevreyi korumak için tasarlanmıştır, ancak bulutta bireysel bir istemci için bir çevre tahsis etmek kolay değildir ve bu da korumayı çok daha zor hale getirir. Bu nedenle güvenlik duvarı teknolojisinin bulut altyapısına uyarlanması gerekiyor. Bu yöndeki çalışmalar, örneğin Check Point tarafından aktif olarak sürdürülmektedir.

Bulut bilişim için yeni bir tehdit türü sanallaştırma sorunudur. Gerçek şu ki, bu teknolojiyi kullanırken, sistemde saldırıya uğrayabilecek ek unsurlar ortaya çıkıyor. Bunlara bir hiper yönetici, sanal makineleri bir ana bilgisayardan diğerine taşımak için bir sistem ve bir sanal makine yönetim sistemi dahildir. Listelenen öğelerin ne tür saldırılara maruz kalabileceğini daha ayrıntılı olarak ele alalım.

Hiper yöneticiye yapılan saldırılar. Aslında sanal sistemin temel unsuru, fiziksel bilgisayar kaynaklarının sanal makineler arasında paylaşımını sağlayan hipervizördür. Hiper yöneticiye müdahale, bir sanal makinenin diğerinin belleğine ve kaynaklarına erişmesine, ağ trafiğine müdahale etmesine, fiziksel kaynaklarını elinden almasına ve hatta sanal makineyi sunucudan tamamen çıkarmasına neden olabilir. Şimdiye kadar, çok az bilgisayar korsanı hipervizörün nasıl çalıştığını tam olarak anlıyor, bu nedenle pratikte bu tür saldırılar yok, ancak bu, gelecekte görünmeyeceklerini garanti etmiyor.

Sanal makinelerin taşınması. Sanal makinenin, bulutun farklı düğümlerinde yürütülmek üzere başlatılabilen bir dosya olduğuna dikkat edilmelidir. Sanal makine yönetim sistemleri, sanal makineleri bir ana bilgisayardan diğerine taşımak için mekanizmalar sağlar. Ancak, sanal makine dosyası tamamen çalınabilir ve onu bulutun dışında çalıştırmayı deneyebilir. Fiziksel bir sunucuyu veri merkezinden çıkarmak imkansızdır, ancak sunuculara fiziksel erişim olmadan ağ üzerinden sanal bir makine çalınabilir. Doğru, bulut dışında ayrı bir sanal makinenin pratik bir değeri yoktur - benzer bir bulutu geri yüklemek için her katmandan en az bir sanal makinenin yanı sıra depolama sisteminden verileri çalmanız gerekir, ancak sanallaştırma parçaların çalınmasına tamamen izin verir veya tüm bulut. Yani sanal makinelerin aktarım mekanizmalarına müdahale, bilgi sistemi için yeni riskler yaratır.

Kontrol sistemlerine yönelik saldırılar. Bulutlarda, özellikle genel bulutlarda kullanılan çok sayıda sanal makine, sanal makinelerin oluşturulmasını, aktarılmasını ve elden çıkarılmasını güvenilir bir şekilde kontrol edebilen yönetim sistemleri gerektirir. Kontrol sistemlerine müdahale, görünmez sanal makinelerin ortaya çıkmasına, bazı makinelerin bloke edilmesine ve bulut katmanlarına yetkisiz unsurların yerleştirilmesine yol açabilir. Tüm bunlar, saldırganların buluttan bilgi almasına veya bulutun bir kısmını veya tüm bulutu ele geçirmesine olanak tanır.

Bu tür gerçek saldırılar hakkında pratikte hiçbir bilgi bulunmadığından, şimdiye kadar yukarıda listelenen tüm tehditlerin tamamen varsayımsal olduğu belirtilmelidir. Aynı zamanda, sanallaştırma ve bulutlar yeterince popüler hale geldiğinde, tüm bu tür saldırılar oldukça gerçek olabilir. Bu nedenle bulut sistemlerinin tasarım aşamasında akılda tutulmalıdır.

yedinci göğün ötesinde

Elçi Pavlus, yedinci göğe yakalanmış bir adam tanıdığını iddia etti. O zamandan beri, "yedinci cennet" ifadesi, cenneti belirtmek için sağlam bir şekilde yerleşmiştir. Ancak, tüm Hıristiyan azizleri birinci cenneti ziyaret etmeye bile layık değildi, yine de yedinci cennete bakmak için en az bir göz hayal etmeyecek böyle bir insan yok.

Trend Micro'nun yaratıcılarına bulut koruma projelerinden birine dokuzuncu bulut adını vermelerinde ilham veren belki de bu efsaneydi. Açıkça yedinciden daha yüksek. Bununla birlikte, şimdi çok çeşitli şeyler bu isimle adlandırılıyor: şarkılar, dedektif hikayeleri, bilgisayar oyunları, ancak bu ismin Pavlus'un Hıristiyan efsanesinden esinlenmiş olması oldukça olasıdır.

Ancak Trend Micro, şu ana kadar yalnızca Cloud Nine'ın buluttaki veri şifreleme ile ilişkilendirileceği bilgisini yayınladı. Kendinizi genel buluttaki çoğu veri tehdidinden korumanıza izin veren veri şifrelemedir, bu nedenle bu tür projeler artık aktif olarak geliştirilecektir. Yukarıda açıklanan riskleri azaltmak için başka hangi koruma araçlarının hala yararlı olabileceğini hayal edelim.

Her şeyden önce, hem bulut kullanıcıları hem de bileşenleri için güvenilir kimlik doğrulaması sağlamak gerekir. Bunu yapmak için, büyük olasılıkla Kerberos ve karşılıklı donanım kimlik doğrulaması protokolünü temel alan hazır tekli kimlik doğrulama sistemlerini (SSO) kullanabilirsiniz. Ardından, rol tabanlı yönetimi kullanarak çeşitli sistemlere kullanıcı erişim haklarını yapılandırmanıza izin veren kimlik yönetim sistemlerine ihtiyacınız olacak. Tabii ki, her rol için rol tanımları ve minimum haklar ile uğraşmak zorunda kalacaksınız, ancak sistemi bir kez kurduktan sonra uzun süre kullanabilirsiniz.

Süreçteki tüm katılımcılar ve hakları tanımlandığında, bu haklara uyumu izlemeniz ve yönetimsel hataları tespit etmeniz gerekir. Bu, bulut öğesi koruma araçlarından olay işleme sistemleri ve güvenlik duvarları, antivirüsler, IPS ve diğerleri gibi ek koruyucu mekanizmalar gerektirir. Doğru, sanallaştırma ortamında çalışabilecek bu seçenekleri kullanmaya değer - bu daha verimli olacaktır.

Ayrıca, bulut kullanımında dolandırıcılığı tespit etmenizi sağlayacak, yani iş süreçlerinde en zor müdahale riskini azaltacak bir tür dolandırıcılık makinesi de kullanmalısınız. Doğru, şimdi piyasada, büyük olasılıkla, bulutlarla çalışmanıza izin veren bir dolandırıcılık makinesi yok, ancak dolandırıcılık ve kötüye kullanım durumlarını tespit etme teknolojileri telefon için zaten geliştirilmiştir. Bulutta bir faturalandırma sistemi kurmanız gerekeceğinden, buna bir dolandırıcılık makinesi de eklemelisiniz. Böylece bulut iş süreçlerine yönelik tehditlerin en azından kontrol altına alınması mümkün olacaktır.

Bulutları korumak için başka hangi savunma mekanizmaları kullanılabilir? Soru hala açık.

Kurumsal bir BT altyapısı oluşturmak için çeşitli yöntemler vardır. Tüm kaynakları ve hizmetleri bir bulut platformuna dayalı olarak dağıtmak bunlardan sadece bir tanesidir. Ancak, bulut çözümlerinin güvenliğine ilişkin önyargılar genellikle bu yolda bir engel haline gelir. Bu yazıda, güvenlik sisteminin en ünlü Rus sağlayıcılarından biri olan Yandex'in bulutunda nasıl çalıştığını anlayacağız.

Bir peri masalı bir yalandır, ama içinde bir ipucu var

Bu hikayenin başlangıcı iyi bilinen bir peri masalı gibi anlatılabilir. Şirkette üç yönetici vardı: büyüğü zekiydi, ortadaki şurada ve şuradaydı, en küçüğü de... Bir Enikey stajyeriydi. Kullanıcıları Active Directory'de başlattı ve tsiska'nın kuyruklarını büktü. Şirketin genişleme zamanı geldi ve kral, yani patron, admin ordusunu çağırdı. Müşterilerimiz için yeni web hizmetleri, kendi dosya depolama, yönetilen veritabanları ve yazılım testi için sanal makineler diliyorum.

En küçüğü hemen sıfırdan kendi altyapısını oluşturmayı teklif etti: sunucu satın alın, yazılım kurun ve yapılandırın, ana İnternet kanalını genişletin ve ona bir yedek ekleyin - güvenilirlik için. Ve şirket daha sakin: donanım her zaman elinizin altında, her an bir şeyi değiştirebilir veya yeniden yapılandırabilirsiniz ve kendisinin yönetici becerilerini yükseltmek için harika bir fırsatı olacaktır. Hesapladılar ve gözyaşı döktüler: şirket bu tür maliyetleri çekmeyecek. Büyük işletmeler bunu yapabilir, ancak orta ve küçük işletmeler için çok pahalıdır. Eh, bu sadece ekipman edinmek, bir sunucu odasını donatmak, klimaları kurmak ve yangın alarmları kurmakla ilgili değil, aynı zamanda gece gündüz düzeni sağlamak ve insanları İnternet'ten atmaya yönelik ağ saldırılarını püskürtmek için vardiya görevini organize etmeniz gerekiyor. Ve nedense adminler geceleri ve hafta sonları çalışmak istemiyorlardı. Sadece çift ödeme için.

Üst düzey yönetici, terminal penceresine düşünceli bir şekilde baktı ve tüm hizmetleri buluta yerleştirmeyi önerdi. Ancak daha sonra meslektaşları korku hikayeleriyle birbirlerini korkutmaya başladılar: bulut altyapısının güvenli olmayan arayüzlere ve API'lere sahip olduğunu, farklı istemcilerin yükünü zayıf bir şekilde dengelediğini, bu da kendi kaynaklarınıza zarar verebileceğini ve ayrıca veri hırsızlığına ve dış saldırılara karşı kararsız olduğunu söylüyorlar. . Ve genel olarak, kritik veriler ve yazılımlar üzerindeki kontrolü, birlikte bir kilo tuz yemediğiniz ve bir kova bira içmediğiniz yetkisiz kişilere devretmek korkutucu.

Vasat adam, tüm BT sistemini sağlayıcının veri merkezine, kanallarına yerleştirme fikrini buldu. İşte buna karar verdiler. Bununla birlikte, burada üçlememiz birkaç sürprizle karşı karşıyaydı, bunların hepsi hoş değildi.

İlk olarak, herhangi bir ağ altyapısı, elbette dağıtılmış, yapılandırılmış ve başlatılmış olan koruma ve güvenlik araçlarının zorunlu olarak kullanılabilirliğini gerektirir. Sadece burada, kullandıkları donanım kaynaklarının maliyeti, ortaya çıktığı gibi, müşterinin kendisi tarafından ödenmelidir. Ve modern bilgi güvenliği sistemi önemli miktarda kaynak tüketir.

İkincisi, iş büyümeye devam etti ve başlangıçta oluşturulan altyapı hızla ölçeklenebilirlik tavanına ulaştı. Üstelik, onu genişletmek için basit bir tarife değişikliği yeterli değildi: bu durumda, birçok hizmetin diğer sunuculara aktarılması, yeniden yapılandırılması ve bir şeyin tamamen yeniden tasarlanması gerekecekti.

Sonunda, bir gün, uygulamalardan birindeki kritik bir güvenlik açığı nedeniyle tüm sistem çöktü. Yöneticiler onu yedeklerden çabucak aldılar, ancak olanların nedenlerini çabucak bulmak mümkün olmadı çünkü loglama servisleri için yedeklemeyi kurmayı unuttular. Değerli zaman boşa gitti ve halk bilgeliğinin dediği gibi zaman paradır.

Giderlerin hesaplanması ve sonuçların özetlenmesi, şirket yönetimini hayal kırıklığı yaratan sonuçlara götürdü: en başından beri IaaS bulut modelini kullanmayı öneren yönetici - "hizmet olarak altyapı" haklıydı. Bu tür platformların güvenliğine gelince, bu ayrıca tartışılmalıdır. Bunu, bu hizmetlerin en popüler örneğini kullanarak yapacağız - Yandex.Cloud.

Yandex.Cloud'da Güvenlik

Cheshire Kedisi'nin Alice adlı kıza en başından tavsiye ettiği gibi başlayalım. Yani, sorumluluk paylaşımı sorunu. Yandex.Cloud'da, diğer benzer platformlarda olduğu gibi, kullanıcılara sağlanan hizmetlerin güvenliğinden sağlayıcı sorumluyken, geliştirdiği uygulamaların doğru çalışmasını sağlamaktan, tahsis edilenlere uzaktan erişimi organize etmekten ve sınırlandırmaktan müşterinin kendisi sorumludur. kaynaklar, veritabanlarını ve sanal makineleri yapılandırma, günlük kaydı üzerinde kontrol. Ancak bunun için gerekli tüm araçlar sağlanır.

Yandex bulut altyapısının güvenliği, her biri kendi koruma ilkelerini uygulayan ve ayrı bir teknoloji cephanesi kullanan birkaç seviyeye sahiptir.

Fiziksel katman

Yandex'in kendi güvenlik departmanlarına hizmet eden kendi veri merkezlerine sahip olduğu bir sır değil. Sadece dışarıdan gelenlerin sunucu odalarına girmesini önlemek için tasarlanmış video gözetim ve erişim kontrol hizmetlerinden değil, aynı zamanda iklim kontrol sistemlerinden, yangın söndürme ve kesintisiz güç kaynağından da bahsediyoruz. Sunucularınızın bulunduğu raf bir gün yangın sprinklerlerinden gelen suyla dolarsa veya klima arızalandıktan sonra aşırı ısınırsa, ciddi güvenlik görevlilerinin pek faydası olmaz. Yandex veri merkezlerinde bu kesinlikle onların başına gelmeyecek.

Ek olarak, Bulutun donanımı fiziksel olarak “büyük Yandex” den ayrılmıştır: farklı raflarda bulunurlar, ancak düzenli olarak rutin bakım ve bileşenlerin değiştirilmesi tamamen aynı şekilde yapılır. Bu iki altyapının sınırında donanımsal güvenlik duvarları, Bulut içinde ise yazılımsal Host Tabanlı Güvenlik Duvarı kullanılmaktadır. Ek olarak, raf üstü anahtarlar, tüm altyapının güvenliğini büyük ölçüde artıran Erişim Kontrol Listesi (ACL) sistemini kullanır. Yandex, açık portları ve yapılandırma hatalarını aramak için Bulut'u sürekli olarak dışarıdan tarar, böylece olası güvenlik açıkları önceden tespit edilip ortadan kaldırılabilir. Bulut kaynaklarıyla çalışan çalışanlar için, rol tabanlı erişim modeline sahip merkezi bir SSH anahtar kimlik doğrulama sistemi uygulanır ve tüm yönetici oturumları günlüğe kaydedilir. Bu yaklaşım, Yandex tarafından yaygın olarak kullanılan Varsayılan olarak güvenli modelinin bir parçasıdır: güvenlik, BT altyapısına tasarım ve geliştirme aşamasında yerleştirilmiştir ve daha sonra, her şey zaten devreye girdiğinde eklenmez.

altyapı seviyesi

Donanım-yazılım mantığı düzeyinde, Yandex.Cloud üç altyapı hizmeti kullanır: Hesaplama Bulutu, Sanal Özel Bulut ve Yandex Yönetilen Hizmetler. Ve şimdi her biri hakkında biraz daha.

Hesaplama Bulutu

Bu hizmet, web projeleri ve yüksek yük hizmetleri barındırma, test etme ve prototip oluşturma veya kendi ekipmanının onarım veya değiştirme süresi için BT altyapısının geçici olarak taşınması gibi çeşitli görevler için ölçeklenebilir bilgi işlem gücü sağlar. Hizmeti konsol, komut satırı (CLI), SDK veya API aracılığıyla yönetebilirsiniz.

Hesaplama Bulutu güvenliği, tüm istemci sanal makinelerinin en az iki çekirdek kullanması ve bellek tahsis edilirken fazla taahhüt uygulanmaması gerçeğine dayanır. Bu durumda çekirdek üzerinde yalnızca istemci kodu çalıştığından, sistem L1TF, Spectre ve Meltdown gibi güvenlik açıklarına veya yan kanal saldırılarına maruz kalmaz.

Ek olarak Yandex, gereksiz her şeyin devre dışı bırakıldığı kendi Qemu / KVM derlemesini kullanır ve yalnızca hipervizörlerin çalışması için gerekli minimum kod ve kitaplık kümesini bırakır. Aynı zamanda süreçler, güvenlik ilkelerini kullanarak bir uygulamanın hangi sistem kaynaklarına ve hangi ayrıcalıklarla erişebileceğini belirleyen AppArmor tabanlı araç setinin kontrolü altında başlatılır. Her sanal makinenin üzerinde çalışan AppArmor, bir istemci uygulamasının sanal makineden hiper yöneticiye erişme riskini azaltır. Günlükleri almak ve işlemek için Yandex, AppArmor'dan ve sanal alanlardan kendi Splunk'ına veri sağlamak için bir süreç oluşturmuştur.

Sanal Özel Bulut

Sanal Özel Bulut hizmeti, çeşitli kaynaklar ve bunların İnternet bağlantısı arasında bilgi aktarmak için kullanılan bulut ağları oluşturmanıza olanak tanır. Fiziksel olarak bu hizmet üç bağımsız veri merkezi tarafından desteklenmektedir. Bu ortamda, çok protokollü birlikte çalışma - MPLS düzeyinde mantıksal yalıtım uygulanır. Aynı zamanda, Yandex sürekli olarak SDN ve hipervizörün birleşimini bulanıklaştırır, yani sanal makineler tarafından, SDN'den bir yanıt almak, analiz etmek ve analiz etmek için sürekli olarak dış ortama bir hatalı biçimlendirilmiş paket akışı gönderilir. konfigürasyondaki olası boşlukları kapatın. Sanal makineler oluşturulurken DDoS koruması otomatik olarak etkinleştirilir.

Yandex Yönetilen Hizmetler

Yandex Yönetilen Hizmetler, çeşitli hizmetleri yönetmek için bir yazılım ortamıdır: DBMS, Kubernetes kümeleri, Yandex.Cloud altyapısındaki sanal sunucular. Burada hizmet, güvenlik çalışmalarının çoğunu üstlenir. Tüm yedeklemeler, yedekleme şifrelemesi, Güvenlik Açığı yönetimi vb. Yandex.Cloud yazılımı tarafından otomatik olarak sağlanır.

Olay müdahale araçları

Bilgi güvenliği olaylarına zamanında müdahale edebilmek için sorunun kaynağının zamanında tespit edilmesi gerekmektedir. Neden günün her saati ve hatasız çalışması gereken güvenilir izleme araçlarını kullanmanız gerekiyor? Bu tür sistemler kaçınılmaz olarak kaynakları tüketecektir, ancak Yandex.Cloud, güvenlik araçlarının bilgi işlem gücünün maliyetini platform kullanıcılarına kaydırmaz.

Araçları seçerken Yandex'e başka bir önemli gereksinim rehberlik etti: Uygulamalardan birinde 0 günlük bir güvenlik açığından başarıyla yararlanılırsa, saldırgan uygulama ana bilgisayarından ayrılmamalı, güvenlik ekibi ise olayı hemen öğrenmeli ve uygun şekilde yanıt vermelidir.

Son fakat en az değil, dilek tüm araçların açık kaynak olmasıydı. Yandex.Cloud'da kullanılmasına karar verilen AppArmor + Osquery paketi bu kriterleri tam olarak karşılıyor.

Uygulama Zırhı

AppArmor yukarıda bahsedilmiştir: özelleştirilebilir güvenlik profillerine dayanan proaktif bir koruma yazılımı aracıdır. Profiller, 2.6 sürümünden başlayarak doğrudan Linux çekirdeğinde LSM kullanılarak uygulanan, gizlilik etiketlerine dayalı Zorunlu Erişim Denetimi (MAC) erişim denetimi teknolojisini kullanır. Yandex geliştiricileri, aşağıdaki nedenlerle AppArmor'u seçti:

• araç Linux çekirdeğinin bir kısmına dayandığından kolaylık ve hız;
• açık kaynaklı bir çözümdür;
• AppArmor, herhangi bir kod yazmak zorunda kalmadan Linux üzerinde çok hızlı bir şekilde dağıtılabilir;
• konfigürasyon dosyaları yardımıyla esnek konfigürasyon mümkündür.

osquery

Osquery, Facebook tarafından geliştirilen bir sistem güvenliği izleme aracıdır ve şu anda birçok BT endüstrisinde başarıyla kullanılmaktadır. Araç, platformlar arası ve açık kaynaklıdır.

Osquery'yi kullanarak, işletim sisteminin çeşitli bileşenlerinin durumu hakkında bilgi toplayabilir, biriktirebilir, standart bir JSON formatına dönüştürebilir ve seçilen alıcıya gönderebilirsiniz. Bu araç, rocksdb veritabanında depolanan standart SQL sorgularını uygulamanıza yazmanıza ve göndermenize olanak tanır. Bu istekleri yürütmek veya işlemek için sıklığı ve koşulları yapılandırabilirsiniz.

Birçok özellik standart tablolarda zaten uygulanmaktadır, örneğin sistemde çalışan işlemlerin, kurulu paketlerin, geçerli iptables kuralları kümesinin, crontab varlıklarının vb. bir listesini alabilirsiniz. Kullanıma hazır olarak, çekirdek denetim sisteminden (Yandex.Cloud'da AppArmor olaylarını işlemek için kullanılan) olay alma ve ayrıştırma desteği uygulandı.

Osquery'nin kendisi C ++ ile yazılmıştır ve açık kaynaklarla dağıtılır, bunları değiştirebilir ve ana kod tabanına nasıl yeni tablolar ekleyeceğinizi veya C, Go veya Python'da kendi uzantılarınızı nasıl oluşturabilirsiniz.

Osquery'nin kullanışlı bir özelliği, ağdaki tüm sanal makineleri gerçek zamanlı olarak sorgulayabileceğiniz dağıtılmış bir sorgulama sisteminin varlığıdır. Bu, örneğin bir pakette bir güvenlik açığı bulunursa yararlı olabilir: tek bir istekle, bu paketin kurulu olduğu makinelerin bir listesini alabilirsiniz. Bu özellik, karmaşık altyapıya sahip büyük dağıtık sistemlerin yönetiminde yaygın olarak kullanılmaktadır.

sonuçlar

Bu makalenin en başında anlatılan hikayeye dönersek, kahramanlarımızı bir bulut platformuna altyapı kurmayı reddetmelerine neden olan korkuların temelsiz olduğunu göreceğiz. En azından Yandex.Cloud söz konusu olduğunda. Yandex tarafından oluşturulan bulut altyapısının güvenliği, çok seviyeli katmanlı bir mimariye sahiptir ve bu nedenle bugün bilinen tehditlerin çoğuna karşı yüksek düzeyde koruma sağlar.

Aynı zamanda, Yandex'in devraldığı izleme ve olay önleme sistemleri tarafından tüketilen donanımların rutin bakımlarından ve tüketilen kaynaklar için ödeme yaparak, Yandex.Cloud'u kullanmak, küçük ve orta ölçekli işletmeler için önemli ölçüde tasarruf sağlar. Tabii ki BT departmanını veya bilgi güvenliğinden sorumlu departmanı tamamen terk etmek (özellikle bu rollerin her ikisi tek bir ekipte birleştirilirse) işe yaramaz. Ancak Yandex.Cloud, işçilik maliyetlerini ve genel giderleri önemli ölçüde azaltacaktır.

Yandex.Cloud, müşterilerine gerekli tüm güvenlik araçlarıyla güvenli bir altyapı sağladığından, hizmet bakım ve donanım izleme görevlerini sağlayıcıya bırakarak iş süreçlerine odaklanabilirler. Bu, sanal makinelerin, veritabanlarının ve uygulamaların devam eden yönetimi ihtiyacını ortadan kaldırmaz, ancak bu tür bir dizi görevin yine de çözülmesi gerekir. Genel olarak Yandex.Cloud'un sadece paradan değil zamandan da tasarruf sağladığını söyleyebiliriz. İkincisi, birincisinden farklı olarak yeri doldurulamaz bir kaynaktır.

GRIGORIEV1 Vitaly Robertovich, Teknik Bilimler Adayı, Doçent KUZNETSOV2 Vladimir Sergeevich

BULUT BİLGİSAYAR MODELİNDE ZAFER BELİRLEME SORUNLARI

Makale, kavramsal bir bulut bilişim modeli oluşturmaya yönelik yaklaşımlara genel bir bakışın yanı sıra, bu model temelinde oluşturulan sistemlerde bulunan güvenlik açıklarının belirlenmesine ilişkin mevcut görüşlerin bir karşılaştırmasını sağlar. Anahtar Kelimeler: bulut bilişim, güvenlik açığı, tehdit çekirdeği, sanallaştırma.

Bu makalenin amacı, NIST Bulut Bilişim Referans Mimarisi belgesinde özetlenen bulut bilişim çerçevesini oluşturmaya yönelik yaklaşımları gözden geçirmek ve bu bilgi işlem modelindeki güvenlik açıkları konusunda alanında önde gelen kuruluşların ve ayrıca bulut bilişimdeki önemli oyuncuların görüşlerini karşılaştırmaktır. Market.

Bulut bilişim, servis sağlayıcıyı yönetmek ve onunla etkileşim kurmak için minimum çabayla hızlı bir şekilde sağlanan, paylaşılan yapılandırılabilir bilgi işlem kaynaklarına (ağlar, sunucular, veri depolama, uygulamalar ve hizmetler) uygun, isteğe bağlı ağ erişimi sağlayan bir modeldir. Bu Ulusal Standartlar Enstitüsü (NIST) tanımı, endüstri genelinde yaygın olarak kabul edilmektedir. Bulut bilişimin tanımı, beş temel özelliği, üç hizmet modelini ve dört dağıtım modelini içerir.

Beş ana özellik

Talep üzerine self servis

Kullanıcılar, sistem yöneticilerinin yardımı olmadan bilgi işlem kaynaklarını elde edebilir, kontrol edebilir ve yönetebilir. Geniş ağ erişimi - bilgi işlem hizmetleri, standart ağlar ve heterojen cihazlar aracılığıyla sağlanır.

Operasyonel esneklik - 1T-

kaynaklar gerektiği gibi herhangi bir yönde hızlı bir şekilde ölçeklenebilir.

Kaynak havuzu - BT kaynakları, farklı uygulamalar ve kullanıcılar arasında ilgisiz bir şekilde paylaşılır.

Hizmet maliyeti - BT kaynak kullanımı, genellikle genel bulut faturalandırması ve özel bulut kullanımı için dahili faturalandırma sağlamak için uygulama başına ve kullanıcı bazında izlenir.

Üç Hizmet Modeli

Hizmet Olarak Yazılım (SaaS) - Uygulamalar genellikle bir web tarayıcısı aracılığıyla son kullanıcılara bir hizmet olarak sağlanır. Bugün kurumsal yatay uygulamalardan sektöre özel tekliflere ve e-posta gibi tüketici uygulamalarına kadar yüzlerce SaaS teklifi var.

Hizmet Olarak Platform (PaaS) - Geliştiricilere SaaS uygulamalarını oluşturmaları, dağıtmaları ve yönetmeleri için bir hizmet olarak bir uygulama geliştirme ve dağıtım platformu sağlanır. Platform tipik olarak tümü İnternet üzerinden bir hizmet olarak sağlanan veritabanlarını, ara katman yazılımlarını ve geliştirme araçlarını içerir. PaaS genellikle Java veya Python gibi bir programlama diline veya API'ye odaklanır. Dağıtılmış bilgi işlemin sanallaştırılmış küme mimarisi, genellikle sistemlerin temeli olarak hizmet eder.

1 - Moskova Devlet Teknik Üniversitesi MIREA, Bilgi Güvenliği Bölümü Doçenti;

2 - Moskova Devlet Radyo Elektronik ve Otomasyon Üniversitesi (MSTU MIREA), öğrenci.

RaaYa, ağ kaynağının ızgara yapısı, gerekli esnek ölçeklenebilirliği ve kaynakların havuzlanmasını sağladığından. Hizmet Olarak Altyapı (IaaS) - Sunucular, depolama ve ağ donanımı bir hizmet olarak sağlanır. Bu altyapı donanımı genellikle sanallaştırılır, bu nedenle sanallaştırma, yönetim ve işletim sistemi yazılımı da IAA'nın unsurlarıdır.

Dört Dağıtım Modeli

Özel bulutlar, tek bir kuruluşun özel kullanımı içindir ve genellikle özel veri merkezleri tarafından kontrol edilir, yönetilir ve barındırılır. Özel bulutların barındırılması ve yönetimi, harici bir hizmet sağlayıcıya yaptırılabilir, ancak çoğu zaman

Yeni bulut, tek bir kuruluşun münhasır kullanımında kalır. Genel bulutlar - birçok kuruluş (kullanıcı) tarafından paylaşılır, dış hizmet sağlayıcılar tarafından korunur ve yönetilir.

Grup bulutları - paylaşılan bir bulut bilişim ortamından yararlanmak isteyen bir grup ilgili kuruluş tarafından kullanılır. Örneğin, bir grup silahlı kuvvetlerin çeşitli kollarından, belirli bir bölgedeki tüm üniversitelerden veya büyük bir üreticinin tüm tedarikçilerinden oluşabilir.

Hibrit bulutlar - bir kuruluş aynı uygulama için her ikisinden de yararlanmak için hem özel hem de genel bulut kullandığında ortaya çıkar. Örneğin, "sağan" senaryosunda, uygulamada standart bir yük olması durumunda kullanıcı organizasyonu

özel bulutu kullanır ve örneğin çeyreğin sonunda veya tatil sezonunda yük zirveye ulaştığında, genel bulutun potansiyelini kullanır ve ardından bu kaynakları ihtiyaç duyulmadığında genel havuza geri döndürür.

Şek. 1, NIST Bulut Bilişim Referans Mimarisi belgesine göre kavramsal bir bulut bilişim modelidir. Şekilde gösterilene göre. Standarttaki modelin 1'inde, bulut sistemindeki ana katılımcılar ayırt edilir: bulut tüketicisi, bulut sağlayıcısı, bulut denetçisi, bulut komisyoncusu, bulut aracısı. Her katılımcı, bulut bilişimin uygulanmasında veya sağlanmasında işlevlerini yerine getiren bir kişi veya kuruluştur. Bulut tüketicisi, diğer şirketlerle iş etkileşimlerini sürdüren bir kişi veya kuruluştur.

bulut tüketicisi

Bulut Denetçisi

C Denetim L I Güvenlik J

I Gizlilik denetimi I Gizlilik J

(Sağlanan hizmetlerin denetimi J

bulut sağlayıcı

seviyelerin kompleksi

Kullanıcı seviyesi

^ Hizmet Olarak Hizmet ^ ^ Hizmet Olarak Platform ^ Hizmet Olarak Altyapı)

soyutlama katmanı

Fiziksel katman

Bulut hizmeti

^J Desteği ^J Özelleştirme

taşınabilirlik

Bulut Aracısı

bulut aracısı

Pirinç. 1. NIST uzmanları tarafından geliştirilen kavramsal model

ağlar ve bulut sağlayıcılarının hizmetlerini kullanır. Bulut sağlayıcı - ilgili tüketicilere sağlanan hizmetlerin kullanılabilirliğinden sorumlu bir kişi, kuruluş veya herhangi biri. Bulut denetçisi - bulut hizmetleri, hizmetleri ve bulut uygulamasının güvenliği hakkında bağımsız değerlendirmeler yapabilen bir katılımcı. Bulut komisyoncusu, kullanımı, performansı ve bir bulut hizmeti tüketicisine teslimatı yöneten ve bulut sağlayıcıları ile bulut tüketicileri arasındaki etkileşimleri müzakere eden bir katılımcıdır. Bulut aracısı - bulut sağlayıcıları ve bulut tüketicileri arasında bulut hizmetlerinin iletişimini ve dağıtımını sağlayan bir aracı.

Bulut bilişimin avantajları ve sorunları

BT uzmanlarının son anketleri, bulut bilişimin dağıtılmış hizmetleri organize etmede iki ana avantaj sunduğunu gösteriyor - hız ve maliyet. Bir bilgi işlem kaynakları havuzuna çevrimdışı erişim ile kullanıcılar, ilgilendikleri süreçlere daha önce olduğu gibi haftalar veya aylar içinde değil, birkaç dakika içinde dahil olabilirler. Bilgi işlem ortamının esnek olarak ölçeklenebilir ızgara mimarisi sayesinde bilgi işlem kapasitesindeki değişiklik de hızlı bir şekilde yapılır. Bulut bilişimde kullanıcılar sadece kullandıkları kadar ödediğinden, ölçeklenebilirlik ve otomasyon yüksek seviyeye ulaştığından, verilen hizmetlerin maliyet ve verimlilik oranı da değişim süreçlerindeki tüm katılımcılar için çok çekici bir faktördür.

Aynı anketler, bazı şirketleri buluta geçmekten alıkoyan bir dizi güçlü düşünce olduğunu gösteriyor. Bu düşünceler arasında, bulut bilişim güvenliği sorunları geniş bir farkla önde gelmektedir.

Bulut sistemlerinde güvenliğin yeterli bir değerlendirmesi için, ana pazar oyuncularının bu alandaki tehditler hakkındaki görüşlerini araştırmak mantıklıdır. NIST Bulut Bilişim Standartları Yol Haritası'nda sunulan mevcut bulut tehdidi yaklaşımlarını IBM, Oracle ve VmWare'den gelen yaklaşımlarla karşılaştırıyoruz.

Ulusal Standartlar Enstitüsü ^ VD USA tarafından benimsenen bulut bilişim güvenlik standardı

NIST Bulut Bilişim Standartları Yol Haritası (NIST Bulut Bilişim Standartları Yol Haritası), bulut bilişim hizmetlerine yönelik olası olası saldırı türlerini kapsar:

♦ bulut sağlayıcıları tarafından iletilen verilerin gizliliğinden ve kullanılabilirliğinden ödün vermek;

♦ Saldırılardan kaynaklanan hasarı iyileştirmek ve artırmak için bulut bilişim ortamının yapısal özelliklerinden ve yeteneklerinden gelen saldırılar;

♦ Yetkili bir bulut hizmeti tüketicisi tarafından kullanılan yazılım, veri ve kaynaklara yetkisiz tüketici erişimi (yanlış kimlik doğrulama veya yetkilendirme veya periyodik bakım yoluyla ortaya çıkan güvenlik açıkları yoluyla);

♦ Dağıtılmış İnternet kaynakları için tehdit modelini dikkate almayan yazılımları kullanan DoS gibi ağ saldırılarının seviyesindeki artış ve özel ağlardan erişilebilen kaynaklardaki güvenlik açıkları;

♦ Çok sayıda katılımcının olduğu bir ortamda veri şifreleme için sınırlı fırsatlar;

♦ Bir bulut tüketicisinin kullanılabilirlik gereksinimleri karşılanmadığında yeni bir bulut sağlayıcısına geçişini zorlaştıran standart dışı API'lerin kullanımından kaynaklanan taşınabilirlik;

♦ Bulut kaynaklarının fiziksel soyutlamasından yararlanan ve kayıtlardaki ve denetim prosedürlerindeki zayıflıklardan yararlanan saldırılar;

♦ Düzgün güncellenmemiş sanal makinelere yapılan saldırılar;

♦ Küresel ve özel güvenlik politikalarındaki tutarsızlıklardan yararlanan saldırılar.

Standart ayrıca bulut bilişim için ana güvenlik görevlerini de vurgular:

♦ kullanıcı verilerinin yetkisiz erişim, ifşa, değişiklik veya görüntülemeye karşı korunması; kimlik hizmetinin, tüketicinin bulut hizmetlerine erişimi olan yetkili kullanıcılar üzerinde tanımlama ve erişim denetimi ilkelerini gerçekleştirme yeteneğine sahip olacağı şekilde desteklenmesini ifade eder; bu yaklaşım, tüketicinin kendi verilerine seçici olarak diğer kullanıcılara erişim sağlama yeteneğini ifade eder;

♦ tedarik zinciri tehditlerine karşı koruma; kullanılan yazılım ve donanımın güven derecesi ile aynı ölçüde hizmet sağlayıcının güven ve güvenilirlik derecesinin teyidini içerir;

♦ Bulut bilişim kaynaklarına yetkisiz erişimin önlenmesi; kaynaklardan mantıksal olarak ayrılmış güvenli etki alanları oluşturmayı (örneğin, çok kiracılı bir ortamda bir hiper yönetici aracılığıyla aynı fiziksel sunucuda çalışan iş yüklerini mantıksal olarak ayırma) ve güvenli varsayılan yapılandırmaları kullanmayı içerir;

♦ dağıtılmış İnternet kaynaklarının tehdit modeli için bulutta devreye alınan web uygulamalarının geliştirilmesi ve yazılım geliştirme sürecine güvenlik özelliklerinin dahil edilmesi;

♦ Son kullanıcı güvenlik zayıflıklarını azaltmak için İnternet tarayıcılarını saldırılardan korumak; güvenli yazılımlar, güvenlik duvarları (güvenlik duvarları) ve güncellemelerin periyodik olarak yüklenmesi yoluyla kişisel bilgisayarların İnternet bağlantısını korumak için önlemler almayı içerir;

♦ erişim kontrolü ve izinsiz giriş tespit teknolojilerinin devreye alınması

bulut sağlayıcısı ve kullanılabilirliğini doğrulamak için bağımsız bir değerlendirme yürütmek; bir etki alanı güvenlik modeliyle birleştirilmiş geleneksel çevre güvenlik önlemlerini içerir (ancak bunlarla sınırlı değildir); geleneksel çevre güvenliği, ağa ve cihazlara fiziksel erişimi kısıtlamayı, güncellemeleri dağıtarak ayrı bileşenleri istismardan korumayı, çoğu güvenlik ayarını varsayılan olarak ayarlamayı, kullanılmayan tüm bağlantı noktalarını ve hizmetleri devre dışı bırakmayı, rol tabanlı erişim kontrolünü kullanmayı, denetim kayıtlarını izlemeyi, kullanılan ayrıcalıkları en aza indirmeyi içerir. , anti-virüs paketleri ve bağlantıların şifrelenmesi;

♦ güvenliği sağlamak için yetkili sorumluluğun açık olduğundan emin olmak için hizmet sağlayıcı(lar) ve tüketiciler arasında güven sınırları oluşturmak;

♦ Tüketicinin bütünlük, kullanılabilirlik, gizlilik gereksinimlerini karşılaması gerektiğinde bulut sağlayıcısını değiştirme fırsatına sahip olması için gerçekleştirilen taşınabilirlik desteği; buna şu anda bir hesabı kapatma ve bir servis sağlayıcıdan diğerine veri kopyalama yeteneği de dahildir.

Bu nedenle, NIST tarafından benimsenen NIST Bulut Bilişim Standartları Yol Haritası, bulut sistemlerine yönelik temel bir saldırı listesi ve yapılması gereken ana görevlerin bir listesini tanımlar.

kullanım yoluyla çözüldü

ilgili önlemler.

Bulut sisteminin bilgi güvenliğine yönelik tehditleri formüle edelim:

♦ Y1 - verilere yönelik tehdit (uzlaşma, erişilebilirlik vb.);

♦ U2 - dağıtılmış bilgi işlemin uygulanması için mimarinin yapısının ve yeteneklerinin özelliklerinden kaynaklanan tehditler;

♦ P4 - yanlış bir tehdit modeliyle ilişkili tehditler;

♦ P5 - yanlış şifreleme kullanımıyla ilişkili tehditler (birkaç veri akışının olduğu bir ortamda şifreleme kullanılması gerekir);

♦ Y6 - geliştirmede standart dışı API'lerin kullanımıyla ilişkili tehditler;

♦ V7 - sanallaştırma tehditleri;

♦ P8 - küresel güvenlik politikalarındaki tutarsızlıklardan yararlanan tehditler.

Bulut bilişim güvenliğine bir IBM bakış açısı

Bulut Güvenliği Kılavuzu Bulut Güvenliğinin Uygulanması için IBM Önerileri belgesi, IBM uzmanları tarafından oluşturulan güvenlik görüşleriyle ilgili sonuçlar çıkarmamıza olanak tanır. Bu belgeye dayanarak, daha önce önerilen tehditler listesini genişletebiliriz, yani:

♦ У9 - üçüncü şahısların fiziksel kaynaklara/sistemlere erişimiyle ilgili tehditler;

♦ P10 - kişisel bilgilerin hatalı şekilde elden çıkarılması (yaşam döngüsü) ile ilgili tehditler;

♦ U11 - işlenen bilgilerle ilgili bölgesel, ulusal ve uluslararası yasaların ihlaliyle bağlantılı tehditler.

Bulut Bilişim Güvenliğine IBM, Oracle ve VmWare Yaklaşımları

Bu şirketler tarafından sağlanan ve sistemlerindeki güvenlikle ilgili görüşleri açıklayan belgeler, yukarıdakilerden temelde farklı tehditler oluşturmamaktadır.

Masada. Tablo 1, şirketler tarafından ürünlerinde formüle edilen ana güvenlik açıkları sınıflarını listeler. Sekme. 1, incelenen şirketlerdeki tehditlerin tam kapsamının olmadığını görmenize ve şirketlerin bulut sistemlerinde oluşturduğu “tehdit çekirdeğini” formüle etmenize olanak tanır:

♦ veri tehdidi;

♦ dağıtılmış bilgi işlemin yapısına/yeteneklerine dayalı tehditler;

♦ Yanlış bir tehdit modeliyle ilişkili tehditler;

♦ sanallaştırma tehditleri.

Çözüm

Bulut platformunun ana güvenlik açıkları sınıflarının gözden geçirilmesi, bu güvenlik açıklarını kullanan saldırıların çeşitliliği nedeniyle, şu anda bulutun tam olarak korunması için hazır çözümler bulunmadığı sonucuna varmamızı sağlar.

Önde gelenlerin yaklaşımlarını bütünleştiren, oluşturulmuş güvenlik açığı sınıfları tablosunun (Tablo 1) olduğu belirtilmelidir.

Tablo 1. Güvenlik açığı sınıfları

Kaynak Bildirilen Tehditler

U1 U2 U3 U4 U5 U6 U7 U8 U9 U10 U11

NIST + + + + + + + - - -

IBM + + + + + - + - + + +

Güneş/Oracle + + + + - - + - - + -

VmWare + + + + - - + - - - -

Bu oyuncu endüstrisi, içinde sunulan tehditlerle sınırlı değildir. Bu nedenle, örneğin, farklı veri gizliliği seviyelerine sahip ortamlar arasındaki sınırların bulanıklaşması ve hizmet tüketicisi ile bulut sağlayıcısı arasındaki bilgi güvenliği sorumluluğunun sınırlarının bulanıklaştırılmasıyla ilişkili tehditleri yansıtmaz.

Karmaşık bir bulut sistemi uygulamak için belirli bir uygulama için korumanın geliştirilmesi gerektiği açıktır. Sanal ortamlarda güvenli bilgi işlemin uygulanması için ayrıca önemli olan, bulut sistemleri için FSTEC ve FSB standartlarının olmamasıdır. Çalışmada tanımlanan “tehdit çekirdeği” çalışmada kullanılması mantıklıdır.

birleşik bir güvenlik açığı sınıfları modeli oluşturma sorununu çözme. Bu makale genel bakış niteliğindedir, gelecekte sanallaştırma ile ilişkili tehdit sınıflarını ayrıntılı olarak analiz etmek, bu tehditlerin uygulanmasını potansiyel olarak önleyen bir koruma sistemi oluşturmaya yönelik yaklaşımlar geliştirmek planlanmaktadır.

Edebiyat

1. Cloud Security Guidance IBM Recommendations for the Implementation of Cloud Security, ibm.com/redbooks, 2 Kasım 2009.

2. http://www.vmware.com/technical-resources/security/index.html.

3. NIST Bulutu. Bilgi İşlem Referans Mimarisi, Ulusal Standartlar Enstitüsü ve. Teknoloji, Özel Yayın. 500-292, Eylül 2011.

4. NIST Bulutu. Bilgi İşlem Standartları Yol Haritası, Ulusal Standartlar Enstitüsü ve. Teknoloji, Özel Yayın. 500-291, Temmuz 2011.

5. http://www.oracle.com/technetwork/indexes/documentation/index.html.

Toplu olarak bulut bilişim, kolay kullanılan ve kolayca erişilebilen sanallaştırılmış kaynaklardan (donanım sistemleri, hizmetler vb.) oluşan geniş bir havuz anlamına gelir. Bu kaynaklar, dinamik olarak değişen iş yüklerine uyum sağlamak için dinamik olarak yeniden tahsis edilebilir (ölçeklendirilebilir), böylece optimum kaynak kullanımı sağlanır. Bu kaynak havuzu genellikle kullandıkça öde esasına göre sağlanır. Aynı zamanda bulut sahibi, kullanıcı ile belirli anlaşmalara dayalı olarak hizmet kalitesini garanti eder.

Yukarıdakilerin tümüne uygun olarak, bulut bilişimin aşağıdaki ana özellikleri ayırt edilebilir:

1) bulut bilişim, bilgi işlem kaynakları sağlamak için yeni bir paradigmadır;

2) temel altyapı kaynakları (donanım kaynakları, veri depolama sistemleri, sistem yazılımları) ve uygulamalar hizmet olarak sunulur;

3) bu hizmetler bağımsız bir sağlayıcı tarafından harici kullanıcılar için kullandıkça öde esasına göre sağlanabilir, bulut bilişimin temel özellikleri sanallaştırma ve dinamik ölçeklenebilirliktir;

4) Bulut hizmetleri, son kullanıcıya bir web tarayıcısı veya belirli bir API (Uygulama Programlama Arayüzü) aracılığıyla sağlanabilir.

Bulut bilişimin genel modeli, harici ve dahili bölümlerden oluşur. Bu iki öğe, çoğu durumda İnternet aracılığıyla bir ağ üzerinden bağlanır. Dış kısım aracılığıyla kullanıcı sistemle etkileşime girer; iç kısım aslında bulutun kendisidir. Dış kısım, bir istemci bilgisayardan veya buluta erişmek için kullanılan kurumsal bilgisayarlar ve uygulamalar ağından oluşur. Arka uç, sanallaştırma yoluyla bir hizmet bulutu oluşturan uygulamalar, bilgisayarlar, sunucular ve veri depolarından oluşur (Şekil 1).

Mevcut fiziksel sanal makineleri (VM'ler) veri merkezinden (DPC) harici bulutlara taşırken veya özel bulutlarda güvenli çevre dışında BT hizmetleri sunarken, ağ çevresi tamamen anlamsız hale gelir ve genel güvenlik seviyesi oldukça düşük olur.

Geleneksel veri merkezlerinde, mühendislerin sunuculara erişimi fiziksel düzeyde sıkı bir şekilde kontrol ediliyorsa, o zaman bulut bilişimde mühendisler İnternet üzerinden erişim sağlar ve bu da ilgili tehditlerin ortaya çıkmasına neden olur. Buna göre, sistem düzeyinde değişikliklerin kontrolünü ve şeffaflığını sağlamanın yanı sıra yöneticiler için sıkı erişim kontrolü de kritik öneme sahiptir.

Sanal makineler dinamiktir. VM'lerin değişkenliği, tutarlı bir güvenlik sisteminin oluşturulmasını ve bakımını büyük ölçüde karmaşıklaştırır. Ayarlardaki güvenlik açıkları ve hatalar kontrolsüz bir şekilde yayılabilir. Ayrıca, sonraki denetim için belirli bir zamanda koruma durumunu yakalamak çok zordur.

Bulut bilgi işlem sunucuları, yerel sanal ve fiziksel sunucularla aynı işletim sistemini ve aynı web uygulamalarını kullanır. Buna göre, bulut sistemleri için uzaktan bilgisayar korsanlığı veya kötü amaçlı kod bulaşma tehdidi de aynı derecede yüksektir.

Diğer bir tehdit, veri bütünlüğüne yönelik tehdittir: veri güvenliği ve hırsızlık. İşletim sistemi ve uygulama dosyalarının bütünlüğü ile dahili aktivite kontrol edilmelidir.

Çok kiracılı bulut hizmetlerinin kullanımı, kredi kartı bilgileri ve kişisel olarak tanımlanabilir bilgiler gibi hassas bilgileri korumak için şifreleme araçlarının kullanımına ilişkin gereksinimleri içeren standartlara ve yasalara uymayı zorlaştırır. Bu da, önemli verilere güvenilir koruma ve güvenli erişim sağlama gibi zor bir göreve yol açar.

Bulut bilişimdeki olası tehditlerin analizine dayanarak, 5 teknolojiyi içeren bulut bilişim güvenliğinin olası bir donanım ve yazılım kompleksi koruması önerilmiştir: güvenlik duvarı, izinsiz giriş algılama ve önleme, bütünlük kontrolü, günlük analizi ve kötü amaçlı yazılımlara karşı koruma.

Bulut bilişim sağlayıcıları, müşterilerine düşük maliyetli bilgi işlem kaynaklarına erişim sağlamak için sanallaştırmayı kullanır. Aynı zamanda, istemci VM'leri, en yüksek ekonomik verimliliği elde etmek için gerekli olan aynı donanım kaynaklarını paylaşır. Dahili BT altyapılarını genişletmek için bulut bilişimle ilgilenen kurumsal müşteriler, böyle bir hareketin oluşturduğu tehditlerin farkında olmalıdır. Edge güvenlik duvarı, DMZ'ler, ağ segmentasyonu, ağ sağlığı izleme, saldırı tespit ve önleme sistemleri gibi güvenlik yaklaşımlarını kullanan geleneksel veri merkezi ağ koruma mekanizmalarına ek olarak, sanallaştırma sunucularında veya sanallaştırma sunucularında yazılım veri koruma mekanizmaları da kullanılmalıdır. VM, VM'lerin genel bulut hizmetlerine aktarılmasıyla birlikte kurumsal ağın çevresi giderek anlamını kaybeder ve en az korunan düğümler genel güvenlik seviyesini önemli ölçüde etkilemeye başlar. Sanallaştırma sunucusuna veya VM'lerin kendilerine bir koruma mekanizması yerleştirme ihtiyacına yol açan, VM'ler arasındaki saldırıları püskürtmek için fiziksel ayırmanın ve donanım güvenliğinin kullanılmasının imkansızlığıdır. Bir güvenlik duvarının yazılım uygulaması, izinsiz giriş algılama ve önleme, bütünlük kontrolü, günlük analizi ve kötü amaçlı kodlara karşı koruma dahil olmak üzere, sanal makinenin kendisinde kapsamlı bir koruma yönteminin uygulanması, bütünlüğü korumanın ve yasal gerekliliklere uymanın en etkili yoludur. ve sanal kaynakları dahili ağdan bulut ortamlarına taşırken güvenlik ilkelerine uyun.

Edebiyat:

1. Radchenko G.I. Dağıtılmış Bilgi İşlem Sistemleri // Ders Kitabı. - 2012. - S. 146-149.

2. Kondrashin M. Bulut bilişim güvenliği // Depolama Haberleri. - 2010. - Hayır. 1.

Disipline göre ders çalışması

Bilgi güvenliği için yazılım ve donanım

"Bulut bilişimde bilgi güvenliği: güvenlik açıkları, korunma yöntemleri ve araçları, olayları denetleme ve soruşturma araçları."

Tanıtım

1. Tarihçe ve temel gelişim faktörleri

2. Bulut bilişimin tanımı

3. Referans mimarisi

4. Hizmet Seviyesi Sözleşmesi

5. Bulut bilişimde koruma yöntemleri ve araçları

6. Bulut modellerinin güvenliği

7. Güvenlik Denetimi

8. Bulut Bilişimde Olay Araştırması ve Adli Tıp

9. Tehdit modeli

10. Uluslararası ve yerel standartlar

11. Verilerin bölgesel bağlantısı

12. Devlet standartları

13. Buluttaki güvenlik araçları

14. Pratik kısım

Çözüm

Edebiyat

Tanıtım

Bulut bilişimin artan hızı, genel olarak küçük bir para için, müşterinin pahalı bilgisayarları satın almaya, kurmaya ve bakımını yapmaya gerek kalmadan gerekli performansla en güvenilir altyapıya erişmesi gerçeğiyle açıklanmaktadır.Sistem 99.9'a ulaşıyor. %, bu da bilgi işlem kaynaklarından tasarruf sağlar. Ve daha da önemlisi - neredeyse sınırsız ölçeklenebilirlik. Normal bir barındırma satın alırken ve başınızın üzerinden atlamaya çalışırken (yükte keskin bir artışla), birkaç saatliğine düşen bir hizmet alma riski vardır. Bulutta, istek üzerine ek kaynaklar sağlanır.

Bulut bilişimin ana sorunu, işlenen bilgilerin garanti edilmeyen güvenlik düzeyi, kaynakların güvenlik derecesi ve çoğu zaman tamamen eksik olan düzenleyici ve yasal çerçevedir.

Çalışmanın amacı, mevcut bulut bilişim pazarını ve bu pazarlarda güvenliği sağlamanın yollarını incelemek olacaktır.

bulut bilişim güvenlik bilgileri

1. Tarihçe ve temel gelişim faktörleri

Şimdi bulut bilişim dediğimiz fikir ilk olarak 1970 yılında J. C. R. Licklider tarafından önerildi. Bu yıllarda ARPANET'in (İleri Araştırma Projeleri Ajans Ağı) oluşturulmasından sorumluydu. Onun fikri, dünyadaki her insanın sadece veri değil aynı zamanda programları da alacağı bir ağa bağlanacağıydı. Bir diğer bilim insanı John McCarthy, bilgi işlem gücünün kullanıcılara bir hizmet (hizmet) olarak sağlanacağı fikrini dile getirdi. Bu noktada bulut teknolojilerinin gelişimi 90'lı yıllara kadar askıya alınmış, ardından bir takım faktörlerin gelişmesine katkıda bulunmuştur.

90'lı yıllarda İnternet bant genişliğinin genişlemesi, bulut teknolojisinin geliştirilmesinde önemli bir sıçramaya izin vermedi, çünkü o zamanın neredeyse hiçbir şirketi ve teknolojisi buna hazır değildi. Bununla birlikte, İnternet'in hızlanması gerçeği, bulut bilişimin hızlı gelişimine ivme kazandırdı.

2. Bu alandaki en önemli gelişmelerden biri 1999 yılında Salesforce.com'un ortaya çıkmasıydı. Bu şirket, uygulamasına site üzerinden erişim sağlayan ilk şirket oldu. Aslında bu şirket, yazılımını bir hizmet olarak yazılım (SaaS) temelinde sağlayan ilk şirket oldu.

Bir sonraki adım, 2002'de Amazon tarafından bulut tabanlı bir web hizmetinin geliştirilmesiydi. Bu hizmet, bilgilerin saklanmasına ve hesaplamaların yapılmasına izin verdi.

2006 yılında Amazon, kullanıcılarının kendi uygulamalarını çalıştırmalarına izin veren bir web hizmeti olarak Elastic Compute cloud (EC2) adlı bir hizmet başlattı. Amazon EC2 ve Amazon S3 hizmetleri, mevcut ilk bulut bilişim hizmetleriydi.

Bulut bilişimin geliştirilmesinde bir başka dönüm noktası, iş sektöründe web uygulamaları için Google Apps platformu olan Google tarafından oluşturulduktan sonra gerçekleşti.

Bulut teknolojilerinin geliştirilmesinde önemli bir rol, sanallaştırma teknolojileri, özellikle sanal bir altyapı oluşturmanıza izin veren yazılımlar tarafından oynandı.

Donanımın geliştirilmesi, bulut teknolojilerinin hızlı büyümesine değil, bu teknolojinin küçük işletmeler ve bireyler için kullanılabilirliğine katkıda bulunmuştur. Teknik ilerleme ile ilgili olarak, çok çekirdekli işlemcilerin oluşturulması ve bilgi depolama cihazlarının kapasitesinin artması bunda önemli bir rol oynadı.

2. Bulut bilişimin tanımı

ABD Ulusal Standartlar ve Teknoloji Enstitüsü tarafından tanımlandığı gibi:

Bulut bilişim (Bulut bilişim) (ingilizceBulut- Bulut; bilgi işlem Bilgi işlem, minimum yönetim çabasıyla hızlı bir şekilde sağlanabilen ve yayınlanabilen, paylaşılan bir yapılandırılabilir bilgi işlem kaynakları havuzuna (örneğin ağlar, sunucular, depolama, uygulamalar ve hizmetler) gerektiği gibi her yerde ve uygun ağ erişimi sağlamak için bir modeldir. ve hizmet sağlayıcı (servis sağlayıcı) ile etkileşim ihtiyacı.

Bulut modeli, hizmetlerin yüksek düzeyde kullanılabilirliğini destekler ve beş temel özellik (temel özellikler), üç hizmet modeli/hizmet modeli (hizmet modelleri) ve dört dağıtım modeli (dağıtım modelleri) ile tanımlanır.

Programlar, çalışmalarının sonuçlarını yerel bir PC'deki standart bir web tarayıcısının penceresinde çalıştırır ve görüntülerken, tüm uygulamalar ve çalışma için gerekli olan veriler İnternet'teki uzak bir sunucuda bulunur. Bulut bilişim gerçekleştiren bilgisayarlara "bulut bilişim" denir. Bu durumda, "bilgi işlem bulutuna" dahil olan bilgisayarlar arasındaki yük otomatik olarak dağıtılır. Bulut bilişimin en basit örneği p2p ağlarıdır.

Bulut bilişimi uygulamak için özel teknolojiler kullanılarak oluşturulan ara yazılım ürünleri kullanılır. Ekipman ve kullanıcı arasında bir ara bağlantı görevi görürler ve ekipman ve programların durumunun izlenmesini, hatta yükün dağılımını ve kaynakların ortak havuzdan zamanında tahsis edilmesini sağlarlar. Böyle bir teknoloji, bilgi işlemde sanallaştırmadır.

Bilişimde Sanallaştırma- orijinal konfigürasyona göre herhangi bir avantaj sağlayan bir dizi bilgi işlem kaynağı veya bunların mantıksal kombinasyonunu temsil etme süreci. Bu, uygulama, fiziksel yapılandırma veya coğrafi konumla sınırlı olmayan bileşen parçalarının kaynaklarının yeni bir sanal görünümüdür. Tipik olarak, sanallaştırılmış kaynaklar, bilgi işlem gücü ve veri depolamayı içerir. Bilimsel olarak sanallaştırma, bilgi işlem süreçlerinin ve kaynaklarının birbirinden yalıtılmasıdır.

Sanallaştırmaya bir örnek, birden fazla işlemci kullanan simetrik çok işlemcili bilgisayar mimarileridir. İşletim sistemleri genellikle birden çok işlemcinin tek bir işlemci modülü olarak görünmesi için yapılandırılır. Bu nedenle yazılım uygulamaları tek bir mantıksal ( gerçek) çok sayıda farklı işlemci yapılandırmasıyla çalışmaktan çok daha kolay olan bir bilgi işlem modülünün.

Grid hesaplama, özellikle büyük ve kaynak yoğun hesaplamalar için kullanılır.

Izgara Hesaplama (Kafes-ızgara, ağ), çok sayıda görevi (işlemler, işler) gerçekleştirmek için birlikte çalışan, ağa bağlı, gevşek bağlı, heterojen bilgisayar kümeleri olarak bir "sanal süper bilgisayarın" temsil edildiği bir dağıtılmış bilgi işlem biçimidir.

Bu teknoloji, önemli bilgi işlem kaynakları gerektiren bilimsel, matematiksel problemleri çözmek için kullanılır. Grid hesaplama, ekonomik tahmin, sismik analiz ve yeni ilaçların özelliklerinin geliştirilmesi ve incelenmesi gibi emek yoğun görevleri çözmek için ticari altyapıda da kullanılır.

Ağ organizasyonu açısından grid, tek bir sanal organizasyon içinde bu ortamın parçası olan bilgi işlem ve bilgi depolama kaynaklarının esnek, güvenli, koordineli bir şekilde ayrılmasını sağlayan tutarlı, açık ve standartlaştırılmış bir ortamdır.

paravirtualization sanal makinelere temel donanıma benzer, ancak aynı olmayan bir yazılım arabirimi sağlayan bir sanallaştırma tekniğidir. Bu değiştirilmiş arabirimin amacı, konuk işletim sisteminin sanallaştırılmış bir ortamda gerçekleştirilmesi sanallaştırılmamış bir ortama göre çok daha zor olan işlemleri gerçekleştirmek için harcadığı süreyi azaltmaktır.

Konuk ve ana bilgisayar sistemlerinin, sanal bir ortamda ancak çok daha yavaş gerçekleştirilebilen bu karmaşık görevlerin yürütülmesini istemesine ve onaylamasına izin veren özel "kancalar" (kancalar) vardır.

hiper yönetici ( veya Sanal Makine Monitörü) - bilgisayarlarda, aynı ana bilgisayar üzerinde birkaç veya hatta birçok işletim sisteminin eşzamanlı, paralel yürütülmesini sağlayan veya izin veren bir program veya donanım devresi. Hiper yönetici ayrıca işletim sistemlerinin birbirinden izolasyonunu, koruma ve güvenliği, çalışan farklı işletim sistemleri arasında kaynakların paylaşımını ve kaynak yönetimini sağlar.

Hiper yönetici aynı zamanda, aynı ana bilgisayarda kendi altında çalışan işletim sistemlerine, bu işletim sistemleri farklı sistemlerde çalışıyormuş gibi iletişim ve etkileşim (örneğin, dosya paylaşımı veya ağ bağlantıları aracılığıyla) araçları da sağlayabilir (ancak zorunlu değildir). fiziksel bilgisayarlar.

Hiper yöneticinin kendisi bir şekilde minimal bir işletim sistemidir (mikro çekirdek veya nano çekirdek). Kendi kontrolü altında çalışan işletim sistemlerine bir sanal makine hizmeti ile belirli bir makinenin gerçek (fiziksel) donanımını sanallaştırarak veya taklit ederek sağlar ve bu sanal makineleri yönetir, bunlar için kaynakların tahsisini ve serbest bırakılmasını sağlar. Hiper yönetici, belirli bir işletim sistemine sahip sanal makinelerin herhangi birinin bağımsız olarak "açılmasına", yeniden başlatılmasına, "kapatılmasına" izin verir. Bu durumda, bir hiper yönetici çalıştıran sanal bir makinede çalışan işletim sistemi, gerçek donanımda değil, sanal bir makinede çalıştığını "bilmesi" gerekli değildir, ancak gerekli değildir.

Bulut Hizmeti Modelleri

Bilgi işlem gücü sağlama seçenekleri çok farklıdır. Bulut Bilişim ile ilgili her şeye genellikle "aaS" kelimesi denir - basitçe "Hizmet olarak", yani "hizmet olarak" veya "hizmet şeklinde" anlamına gelir.

Hizmet Olarak Yazılım (SaaS) - sağlayıcı, istemciye kullanıma hazır bir uygulama sağlar. Uygulamalara çeşitli istemci aygıtlarından veya web tarayıcısı (web postası gibi) gibi ince istemci arabirimleri veya program arabirimleri aracılığıyla erişilebilir. Tüketici, ağlar, sunucular, işletim sistemleri, depolama sistemleri ve hatta bazı kullanıcı uygulama yapılandırma ayarları dışında bireysel uygulama ayarları dahil olmak üzere bulutun temel altyapısını yönetmez.

SaaS modelinde müşteriler, yazılıma sahip oldukları için değil, kiraladıkları (yani, bir web arayüzü aracılığıyla kullandıkları) için ödeme yaparlar. Böylece, klasik yazılım lisanslama şemasının aksine, müşteri nispeten küçük yinelenen maliyetlere maruz kalır ve yazılım satın almak ve onu desteklemek için önemli miktarda fon yatırımına ihtiyaç duymaz. Periyodik ödeme planı, yazılım ihtiyacının geçici olarak olmaması durumunda müşterinin kullanımını askıya alabileceğini ve geliştiriciye yapılan ödemeleri dondurabileceğini varsayar.

Geliştiricinin bakış açısından, SaaS modeli, yazılımın kendisi son müşterilere ulaşmadığından, lisanssız yazılım kullanımı (korsanlık) ile etkili bir şekilde başa çıkmanıza olanak tanır. Ek olarak, SaaS kavramı genellikle bilgi sistemlerini devreye alma ve uygulama maliyetini düşürür.

Pirinç. 1 Tipik SaaS şeması

Hizmet Olarak Platform (PaaS) - sağlayıcı, müşteriye kullanıcı uygulamalarını tasarlamak, geliştirmek, test etmek ve dağıtmak için bir yazılım platformu ve araçları sunar. Tüketici, ağlar, sunucular, işletim sistemleri ve depolama sistemleri dahil olmak üzere temel bulut altyapısını kontrol etmez, ancak konuşlandırılmış uygulamalar ve muhtemelen barındırma ortamı için bazı yapılandırma ayarları üzerinde kontrole sahiptir.

Pirinç. 2 Tipik PaaS şeması

Hizmet Olarak Altyapı (IaaS). - sağlayıcı, istemciye kiralık bilgi işlem kaynakları sunar: sunucular, depolama sistemleri, ağ ekipmanı, işletim sistemleri ve sistem yazılımı, sanallaştırma sistemleri, kaynak yönetim sistemleri. Tüketici, bulutun temel altyapısını kontrol etmez, ancak işletim sistemleri, depolama sistemleri, konuşlandırılmış uygulamalar üzerinde kontrole ve ağ bileşenlerinin seçimi (örneğin, güvenlik duvarlarına sahip bir ana bilgisayar) üzerinde muhtemelen sınırlı kontrole sahiptir.

Pirinç. 3 Tipik IaaS şeması

bunlara ek olarak gibi hizmetler sağlamak:

Hizmet Olarak İletişim (Com-aaS) - iletişim hizmetlerinin hizmet olarak verildiği anlaşılır; genellikle IP telefonu, posta ve anlık iletişimdir (sohbetler, IM).

Bulut depolama- kullanıcıya bilgi depolaması için belirli bir miktar alan verilir. Bilgiler dağıtılmış ve çoğaltılmış olarak depolandığından, bu tür depolar yerel sunuculardan çok daha yüksek düzeyde veri güvenliği sağlar.

Hizmet Olarak İşyeri (WaaS) - Yeterince güçlü olmayan bir bilgisayara sahip olan kullanıcı, tedarikçiden bilgi işlem kaynakları satın alabilir ve hizmete erişmek için bilgisayarını bir terminal olarak kullanabilir.

antivirüs bulutu- önceden bilinmeyen yeni tehditleri zamanında tanımak için kullanıcılardan alınan bilgileri işlemek için kullanılan bir altyapı. Bulut antivirüs, kullanıcıdan herhangi bir ek işlem gerektirmez - yalnızca şüpheli bir program veya bağlantı hakkında bir istek gönderir. Bir tehlike onaylandığında, gerekli tüm eylemler otomatik olarak gerçekleştirilir.

Dağıtım Modelleri

Dağıtım modelleri arasında 4 ana altyapı türü vardır.

Özel bulut -Çeşitli tüketiciler (örneğin, bir kuruluşun bölümleri) dahil olmak üzere bir kuruluş tarafından, muhtemelen bu kuruluşun müşterileri ve yüklenicileri tarafından da kullanılması amaçlanan altyapı. Özel bir bulut, kuruluşun kendisi veya bir üçüncü taraf (veya her ikisinin bir kombinasyonu) tarafından sahiplenilebilir, yönetilebilir ve işletilebilir ve hem sahibinin yetki alanı içinde hem de dışında fiziksel olarak var olabilir.

Pirinç. 4 Özel bulut.

Genel bulut - genel halkın ücretsiz kullanımına yönelik altyapı. Genel bulut, ticari, bilimsel ve resmi kuruluşlara (veya bunların herhangi bir kombinasyonuna) ait olabilir, yönetilebilir ve işletilebilir. Genel bulut fiziksel olarak sahibinin - hizmet sağlayıcının - yetki alanında bulunur.

Pirinç. 5 Genel bulut.

Hibrit bulut - benzersiz varlıklar olarak kalan ancak standartlaştırılmış veya tescilli veri ve uygulama teknolojileri ile birbirine bağlı olan (örneğin, bulutlar arasında yük dengeleme için genel bulut kaynaklarının kısa süreli kullanımı) iki veya daha fazla farklı bulut altyapısının (özel, genel veya genel) birleşimidir. ).

Pirinç. 6 Hibrit bulut.

Topluluk bulutu - ortak hedeflere (örneğin, misyonlar, güvenlik gereksinimleri, politikalar ve çeşitli gereksinimlere uygunluk) sahip kuruluşlardan belirli bir müşteri topluluğu tarafından kullanılmak üzere tasarlanmış bir altyapı türü. Bir genel bulut, bir veya daha fazla topluluk kuruluşu veya bir üçüncü taraf (veya bunların bir kombinasyonu) tarafından ortaklaşa sahip olunabilir, yönetilebilir ve işletilebilir ve hem sahibinin yetki alanı içinde hem de dışında fiziksel olarak var olabilir.

Pirinç. 7 Bulut özelliklerinin açıklaması

Temel özellikler

NIST, "The NIST Definition of Cloud Computing" belgesinde bulutların aşağıdaki özelliklerini tanımlar:

Talep üzerine self servis (İsteğe bağlı self servis). Tüketici, sağlanan bilgi işlem kaynaklarına, her bir hizmet sağlayıcının çalışanları ile etkileşime girmeye gerek kalmadan, otomatik olarak, tek taraflı olarak erişme olanağına sahiptir.

Geniş ağ erişimi. Sağlanan bilgi işlem kaynakları, çeşitli platformlar, ince ve kalın istemciler (cep telefonları, tabletler, dizüstü bilgisayarlar, iş istasyonları vb.) için standart mekanizmalar aracılığıyla ağ üzerinden kullanılabilir.

Kaynakları havuzlarda birleştirme (Kaynak havuzu). Sağlayıcının bilgi işlem kaynakları, çok kiracılı (çok kiracılı) bir modelde birçok tüketiciye hizmet vermek için havuzlarda birleştirilir. Havuzlar, tüketici isteklerine göre dinamik olarak atanabilen ve yeniden atanabilen çeşitli fiziksel ve sanal kaynakları içerir. Tüketicinin kaynakların tam konumunu bilmesi gerekmez, ancak konumlarını daha yüksek bir soyutlama düzeyinde (örneğin ülke, bölge veya veri merkezi) belirtmek mümkündür. Bu tür kaynaklara örnek olarak depolama sistemleri, bilgi işlem gücü, bellek, ağ bant genişliği verilebilir.

Anında esneklik (Hızlı esneklik). Kaynaklar esnek olarak sağlanabilir ve bazı durumlarda talep doğrultusunda hızla ölçeklenmek üzere otomatik olarak serbest bırakılabilir. Tüketici için kaynak sağlama olanakları sınırsız olarak görülmektedir, yani herhangi bir miktarda ve herhangi bir zamanda sahiplenilebilirler.

Ölçülü hizmet. Bulut sistemleri, hem sağlayıcı hem de hizmeti kullanan tüketici için farklı hizmet türleri (örn. harici bellek yönetimi, işleme, bant genişliği veya aktif kullanıcı oturumları) için soyutlama katmanı ölçümlerini kullanarak kaynakları otomatik olarak yönetir ve optimize eder.

Pirinç. 8 Bulut sunucusunun blok şeması

Bulut bilişimin avantajları ve dezavantajları

Avantajlar

PC bilgi işlem gücü için azaltılmış gereksinimler (yalnızca İnternet erişimi vazgeçilmez bir koşuldur);

· hata toleransı;

· Emniyet;

yüksek veri işleme hızı;

· donanım ve yazılım, bakım ve elektrik maliyetlerinin azaltılması;

Disk alanından tasarruf (hem veriler hem de programlar İnternette saklanır).

· Canlı geçiş - sanal makinenin çalışmasını ve hizmetleri durdurmadan bir sanal makinenin bir fiziksel sunucudan diğerine aktarılması.

· 2010 yılı sonunda, WikiLeaks'e kaynak sağlamayı reddeden şirketlere yönelik DDoS saldırılarıyla bağlantılı olarak, bulut bilişim teknolojisinin bir başka avantajı daha ortaya çıktı. WikiLeaks'e karşı çıkan tüm şirketler saldırıya uğradı, ancak yalnızca Amazon bulut bilişim araçlarını kullandığı için bu etkilere duyarsız kaldı. ("Anonim: ciddi tehdit veya sadece sıkıntı", Network Security, N1, 2011).

Kusurlar

· Kullanıcı verilerinin güvenliğinin bulut bilişim hizmetleri sağlayan şirketlere bağımlılığı;

· ağa kalıcı bir bağlantı - "bulut" hizmetlerine erişmek için İnternet'e kalıcı bir bağlantıya ihtiyacınız var. Ancak zamanımızda, özellikle 3G ve 4G hücresel iletişim teknolojilerinin ortaya çıkmasıyla bu çok büyük bir dezavantaj değil.

· yazılım ve değişikliği - "bulutlar" üzerine kurulabilecek ve kullanıcıya sağlanabilecek yazılım üzerinde kısıtlamalar vardır. Yazılımın kullanıcısı, kullanılan yazılımda sınırlamalara sahiptir ve bazen kendi amaçları için özelleştirme olanağına sahip değildir.

gizlilik - genel bulutlarda depolanan verilerin gizliliği şu anda tartışmalıdır, ancak çoğu durumda uzmanlar, bir şirket için en değerli belgelerin genel bir bulutta saklanmasının tavsiye edilmediği konusunda hemfikirdir, çünkü şu anda %100 garanti edecek hiçbir teknoloji yoktur. saklanan verilerin gizliliği, bu nedenle bulutta şifreleme kullanılması bir zorunluluktur.

Güvenilirlik - saklanan bilgilerin güvenilirliği ile ilgili olarak, "bulutta" saklanan bilgileri kaybettiyseniz, sonsuza kadar kaybettiğinizi güvenle söyleyebiliriz.

güvenlik - "bulut"un kendisi oldukça güvenilir bir sistemdir, ancak bir saldırgan ona girdiğinde büyük bir veri ambarına erişim sağlar.Diğer bir dezavantaj, Linux, Windows gibi standart işletim sistemi çekirdeklerinin kullanıldığı sanallaştırma sistemlerinin kullanılmasıdır. virüslerin kullanımına izin veren bir hipervizör ve diğerleri olarak.

Yüksek ekipman maliyeti - bir şirketin kendi bulutunu oluşturmak için, yeni oluşturulan ve küçük şirketler için faydalı olmayan önemli malzeme kaynakları tahsis etmek gerekir.

3. Referans mimarisi

NIST Bulut Bilişim Referans Mimarisi beş ana aktör içerir. Her aktör bir rol oynar ve eylemleri ve işlevleri yerine getirir. Referans mimarisi, artan detay seviyelerine sahip sıralı diyagramlar olarak sunulur.

Pirinç. 9 Referans mimarisinin kavramsal diyagramı

Bulut Tüketicisi- bir iş ilişkisini sürdüren ve Bulut Sağlayıcılarının hizmetlerini kullanan bir kişi veya kuruluş.

Bulut Tüketicileri 3 gruba ayrılır:

· SaaS - iş süreçlerini otomatikleştirmek için uygulamaları kullanır.

· PaaS - bir bulut ortamında devreye alınan uygulamaları geliştirir, test eder, devreye alır ve yönetir.

· IaaS - BT altyapı hizmetlerini oluşturur, yönetir.

Bulut Sağlayıcı- Bulut Hizmetini Bulut Tüketicilerine sunmaktan sorumlu kişi, kuruluş veya kuruluş.

· SaaS - bulut altyapısında dağıtılan yazılımları kurar, yönetir, bakımını yapar ve sağlar.

· PaaS - bulut altyapısı ve ara yazılım sağlar ve yönetir. Geliştirme ve yönetim araçları sağlar.

· IaaS - sunucular, veritabanları, bilgi işlem kaynakları sağlar ve bakımını yapar. Tüketiciye bir bulut çerçevesi sağlar.

Bulut Sağlayıcılarının faaliyetleri, ana 5 tipik eyleme ayrılmıştır:

Hizmet Dağıtımı:

o Özel bulut - bir kuruluşa hizmet eder. Altyapı, hem kuruluşun kendisi hem de üçüncü bir taraf tarafından yönetilir ve hem Sağlayıcıda (tesis dışı) hem de kuruluşta (şirket içi) konuşlandırılabilir.

o Paylaşılan bulut - altyapı, benzer gereksinimlere (güvenlik, WP ile uyumluluk) sahip birkaç kuruluş tarafından paylaşılır.

o Genel bulut - altyapı, farklı gereksinimlere sahip çok sayıda kuruluş tarafından kullanılmaktadır. Sadece premium.

o Hibrit bulut - altyapı, farklı altyapıları benzer teknolojiler ilkesiyle birleştirir.

Servis Yönetimi

o Hizmet seviyesi - Sağlayıcı tarafından sağlanan temel hizmetleri tanımlar.

§ SaaS - Tüketici tarafından buluta özel programlardan erişilerek kullanılan bir uygulama.

§ PaaS - tüketici uygulamaları, geliştirme ve yönetim araçları için kapsayıcılar.

§ IaaS - bilgi işlem gücü, veritabanları, Tüketicinin altyapısını dağıttığı temel kaynaklar.

o Soyutlama katmanı ve kaynak kontrolü

§ Altyapıyı uygulamak için gereken hipervizör ve sanal bileşenlerin yönetimi.

o Fiziksel kaynakların seviyesi

§ Bilgisayar donanımı

§ Mühendislik altyapısı

o Erişilebilirlik

o Gizlilik

o Tanımlama

o Güvenlik izleme ve olay işleme

o Güvenlik Politikaları

mahremiyet

o Kişisel verilerin işlenmesi, saklanması ve aktarılmasının korunması.

Bulut Denetçisi- bulut hizmetleri, bilgi sistemleri bakımı, bulut uygulamasının performansı ve güvenliği hakkında bağımsız bir değerlendirme yapabilen bir katılımcı.

Onaylanmış belgelere göre güvenlik, gizlilik, performans ve diğer şeyler hakkında kendi değerlendirmesini yapabilir.

Pirinç. 10 Sağlayıcı faaliyetleri

Bulut Aracısı- Bulut hizmetlerinin kullanımını, performansını ve sağlanmasını yöneten ve ayrıca Sağlayıcılar ve Tüketiciler arasında ilişkiler kuran bir varlık.

Bulut bilişimin gelişmesiyle birlikte, bulut hizmetlerinin entegrasyonu Tüketici için çok zor olabilir.

o Hizmet arabuluculuğu - belirli bir hizmetin genişletilmesi ve yeni fırsatların sağlanması

o Toplama - Tüketiciye sunmak için çeşitli hizmetlerin birleştirilmesi

Bulut Taşıyıcı- Bulut hizmetlerinin Sağlayıcılardan Tüketicilere ulaştırılması için bağlantı hizmetleri ve ulaşım (iletişim hizmetleri) sağlayan bir aracı.

İletişim cihazları üzerinden erişim sağlar

SLA'ya göre bağlantı seviyesi sağlar.

Sunulan beş aktör arasında bir bulut komisyoncusu isteğe bağlıdır, çünkü bulut tüketicileri, hizmetleri doğrudan bulut sağlayıcısından alabilir.

Aktörlerin tanıtılması, özneler arasındaki ilişkiyi çözme ihtiyacından kaynaklanmaktadır.

4. Hizmet Seviyesi Sözleşmesi

Hizmet Düzeyi Sözleşmesi - Bir müşterinin bir tedarikçiden beklediği hizmet düzeyini, o hizmet için geçerli olan ölçütlere dayalı olarak tanımlayan ve üzerinde anlaşılan ölçütlere ulaşılamaması durumunda tedarikçinin sorumluluğunu belirleyen bir belge.

Operatör belgelerinde şu veya bu biçimde bulunan bazı göstergeler şunlardır:

ASR (Yanıt Nöbet Oranı) - belirli bir yönde telefon bağlantısının kalitesini belirleyen bir parametre. ASR, aramalar sonucunda kurulan telefon bağlantılarının, belirli bir yönde yapılan toplam arama sayısına yüzdesi olarak hesaplanır.

PDD (Arama Sonrası Gecikme) - arama anından telefon bağlantısının kurulduğu ana kadar geçen süreyi (saniye cinsinden) tanımlayan parametre.

Hizmet Kullanılabilirlik Oranı- hizmetlerin sağlanmasındaki kesinti süresinin hizmetin sağlanması gereken toplam süreye oranı.

Paket Kaybı Oranı- doğru olarak alınan veri paketlerinin, belirli bir süre içinde ağ üzerinden iletilen toplam paket sayısına oranı.

Bilgi paketlerinin iletiminde zaman gecikmeleri- iki ağ cihazı arasında bir bilgi paketini aktarmak için gereken süre.

Bilgi aktarımının güvenilirliği- hatalı olarak iletilen veri paketlerinin sayısının, iletilen toplam veri paketlerinin sayısına oranı.

Çalışma süreleri, abonelerin bildirim zamanı ve hizmetlerin geri alınma zamanı.

Diğer bir deyişle, hizmet kullanılabilirliği %99,99, operatörün ayda 4,3 dakikadan fazla boşta iletişim kurmayacağını, %99,9'unun - hizmetin 43,2 dakika sağlanamayacağını ve %99 - kesintinin daha uzun sürebileceğini garanti ettiğini gösterir. 7 saat. Bazı uygulamalarda, ağ kullanılabilirliği sınırlıdır ve çalışma saatleri dışında daha küçük bir parametre değeri varsayılır. Farklı hizmet türleri (trafik sınıfları) da farklı gösterge değerlerine sahiptir. Örneğin, bir ses için gecikme göstergesi çok önemlidir - minimum olmalıdır. Ve düşük bir hıza ihtiyaç duyar, ayrıca bazı paketler kalite kaybı olmaksızın kaybolabilir (kodek bileşenine bağlı olarak yaklaşık %1'e kadar). Veri aktarımı için hız önce gelir ve paket kaybı sıfıra yönelmelidir.

5. Bulut bilişimde koruma yöntemleri ve araçları

"Bulut" çözümünün sağlayıcısı, tüketici ve bunları birbirine bağlayan iletişimler de dahil olmak üzere zincir boyunca gizlilik korunmalıdır.

Sağlayıcının görevi, üçüncü şahıslar tarafından izinsiz girişlere karşı verilerin hem fiziksel hem de yazılım bütünlüğünü sağlamaktır. Tüketici, bilgilere erişim haklarının üçüncü şahıslara devredilmesini hariç tutan "kendi topraklarında" uygun politika ve prosedürleri uygulamaya koymalıdır.

Modern veritabanı mimarileri, yedekleme sistemleri, bütünlük kontrol algoritmaları ve diğer endüstriyel çözümler sayesinde, bireysel "bulut" uygulamalarının kullanılması durumunda bilgilerin bütünlüğünü sağlama görevleri çözülebilir. Ama hepsi bu değil. Farklı satıcılardan birden çok bulut uygulamasını entegre etme söz konusu olduğunda yeni sorunlar ortaya çıkabilir.

Yakın gelecekte güvenli bir sanal ortama ihtiyaç duyan şirketler için tek çıkış yolu özel bir bulut sistemi oluşturmak olacaktır. Gerçek şu ki, özel bulutlar, genel veya hibrit sistemlerden farklı olarak, büyük şirketlerin BT departmanlarının zaten uygulamayı öğrendiği ve üzerinde tam kontrol sağlayabilecekleri sanallaştırılmış altyapılara çok benzer. Genel bulut sistemlerinde bilgi güvenliğinin olmaması ciddi bir sorundur. Çoğu bilgisayar korsanlığı olayı, genel bulutlarda gerçekleşir.

6. Bulut modellerinin güvenliği

Üç bulut modelindeki risk düzeyi çok farklıdır ve güvenlik sorunlarının ele alınma şekli de etkileşim düzeyine bağlı olarak farklılık gösterir. Güvenlik gereksinimleri aynı kalır, ancak farklı modellerde, SaaS, PaaS veya IaaS, güvenlik denetimi düzeyi değişir. Mantıksal bir bakış açısından, hiçbir şey değişmez, ancak fiziksel uygulama olasılıkları kökten farklıdır.

Pirinç. 11. En alakalı siber güvenlik tehditleri

SaaS modelinde, uygulama bir bulut altyapısı üzerinde çalışır ve bir web tarayıcısı aracılığıyla kullanılabilir. İstemci ağı, sunucuları, işletim sistemlerini, veri depolamayı ve hatta bazı uygulama özelliklerini kontrol etmez. Bu nedenle, SaaS modelinde, güvenliğin ana sorumluluğu neredeyse tamamen sağlayıcılara düşmektedir.

1 numaralı sorun şifre yönetimidir. Bir SaaS modelinde uygulamalar bulutta bulunur, bu nedenle ana risk, uygulamalara erişmek için birden fazla hesabın kullanılmasıdır. Kuruluşlar, bulut ve şirket içi sistemler için hesapları birleştirerek bu sorunu çözebilir. Çoklu oturum açma sistemini kullanırken, kullanıcılar tek bir hesap kullanarak iş istasyonlarına ve bulut hizmetlerine erişebilir. Bu yaklaşım, çalışanlar ayrıldıktan sonra yetkisiz kullanıma maruz kalan "sıkışmış" hesaplara sahip olma şansını azaltır.

CSA tarafından açıklandığı üzere PaaS, müşterilerin satıcı tarafından desteklenen programlama dillerini ve araçları kullanarak uygulamalar oluşturduğunu ve ardından bunları bulut altyapısında dağıttığını varsayar. SaaS modelinde olduğu gibi, müşteri altyapıyı (ağlar, sunucular, işletim sistemleri veya depolama sistemleri) yönetemez veya denetleyemez, ancak uygulama dağıtımı üzerinde denetime sahiptir.

Bir PaaS modelinde, kullanıcıların erişim kontrolü, yetkilendirme ve doğrulama gibi API yönetimi sorunlarının yanı sıra uygulama güvenliğine de dikkat etmesi gerekir.

1 numaralı sorun veri şifrelemedir. PaaS modeli doğası gereği güvenlidir, ancak risk yetersiz sistem performansında yatmaktadır. Bunun nedeni, PaaS sağlayıcıları ile iletişim kurarken şifreleme kullanılmasının tavsiye edilmesi ve bunun için ek işlemci gücü gerektirmesidir. Ancak herhangi bir çözümde hassas kullanıcı verilerinin aktarımı şifreli bir kanal üzerinden gerçekleştirilmelidir.

Müşteriler burada temel bulut altyapısı üzerinde kontrole sahip olmasa da, işletim sistemleri, veri depolama ve uygulama dağıtımı üzerinde kontrole ve belki de ağ bileşenleri seçimi üzerinde sınırlı kontrole sahiptirler.

Bu model, altyapının kendisini korumadan birkaç yerleşik güvenlik özelliğine sahiptir. Bu, kullanıcıların tipik olarak API'ler aracılığıyla işletim sistemlerini, uygulamaları ve içeriği yönetmesi ve güvenliğini sağlaması gerektiği anlamına gelir.

Bu, koruma yöntemleri diline çevrilmişse, sağlayıcı şunları sağlamalıdır:

Altyapının kendisine güvenilir erişim kontrolü;

Altyapı esnekliği.

Aynı zamanda, bulut tüketicisi daha birçok koruma işlevini üstlenir:

· altyapı içinde güvenlik duvarı;

Ağa izinsiz giriş koruması

işletim sistemlerinin ve veritabanlarının korunması (erişim kontrolü, güvenlik açıklarına karşı koruma, güvenlik ayarlarının kontrolü);

son uygulamaların korunması (anti-virüs koruması, erişim kontrolü).

Bu nedenle, koruma önlemlerinin çoğu tüketicinin omuzlarına düşmektedir. Sağlayıcı, son kullanıcılar için görevi basitleştirecek koruma veya hazır çözümler için standart öneriler sağlayabilir.

Tablo 1. Müşteri ve hizmet sağlayıcı arasındaki güvenliğin sağlanmasına ilişkin sorumluluğun sınırlandırılması. (P - tedarikçi, K - müşteri)

	Kurumsal sunucu
ek
Veri
Çalışma süresi
ara katman yazılımı
İşletim sistemi
sanallaştırma
sunucular
Veri depoları
ağ donanımı

7. Güvenlik Denetimi

Bulut Denetçisinin görevleri, esasen geleneksel sistemlerin denetçisinin görevlerinden farklı değildir. Bulut güvenliği denetimi, Sağlayıcı denetimi ve Kullanıcı denetimi olarak ikiye ayrılır. Kullanıcının denetimi Kullanıcının talebi üzerine gerçekleştirilirken, Tedarikçinin denetimi iş yapmanın en önemli koşullarından biridir.

Bu oluşmaktadır:

Denetim prosedürünün başlatılması;

denetim bilgilerinin toplanması;

denetim verilerinin analizi;

denetim raporunun hazırlanması.

Denetim prosedürünün başlatılması aşamasında denetçinin yetkisi ve denetimin zamanlaması sorunları çözülmelidir. Denetçiye çalışanların zorunlu yardımı da şart koşulmalıdır.

Genel olarak denetçi, güvenilirliği belirlemek için bir denetim yapar.

sanallaştırma sistemleri, hiper yönetici;

· sunucular;

veri depoları;

ağ ekipmanı.

Kontrol edilen sunucudaki Sağlayıcı IaaS modelini kullanıyorsa, bu kontrol güvenlik açıklarını belirlemek için yeterli olacaktır.

PaaS modelini kullanırken ek kontroller yapılmalıdır

· işletim sistemi,

bağlantı yazılımı

çalışma zamanı ortamı.

SaaS modelini kullanırken, güvenlik açıkları da kontrol edilir

veri depolama ve işleme sistemleri,

uygulamalar.

Güvenlik denetimi, normal sunucu denetimiyle aynı yöntemler ve araçlar kullanılarak gerçekleştirilir. Ancak bulut teknolojilerindeki normal bir sunucudan farklı olarak, hiper yönetici ayrıca kararlılık açısından kontrol edilir. Bulut teknolojilerinde hipervizör ana teknolojilerden biridir ve bu nedenle denetimine özel önem verilmelidir.

8. Bulut Bilişimde Olay Araştırması ve Adli Tıp

Bilgi güvenliği önlemleri, önleyici (örneğin şifreleme ve diğer erişim kontrol mekanizmaları) ve reaktif (soruşturmalar) olarak ikiye ayrılabilir. Bulut güvenliğinin proaktif yönü, aktif bir araştırma alanı iken, bulut güvenliğinin reaktif yönü çok daha az ilgi görmüştür.

Olay soruşturması (bilgi alanındaki suçların soruşturulması dahil) bilgi güvenliğinin iyi bilinen bir dalıdır. Bu tür araştırmaların amaçları genellikle şunlardır:

Suçun/olanın gerçekleştiğine dair kanıt

Olayı çevreleyen olayların kurtarılması

Suçluların belirlenmesi

Suçluların katılımı ve sorumluluğunun kanıtı

Suçluların dürüst olmayan niyetinin kanıtı.

Dijital sistemlerin adli analizine duyulan ihtiyaç göz önüne alındığında, yeni bir disiplin - bilgisayar-teknik adli tıp (veya adli tıp) ortaya çıkmıştır. Adli bilişimin amaçları genel olarak aşağıdaki gibidir:

Silinmiş olabilecek verileri geri yükleme

Olayla ilişkili dijital sistemlerin içinde ve dışında meydana gelen olayların kurtarılması

Dijital sistem kullanıcılarının belirlenmesi

Virüslerin ve diğer kötü amaçlı yazılımların varlığının tespiti

Yasadışı materyal ve programların varlığının tespiti

Şifreleri, şifreleme anahtarlarını ve erişim kodlarını kırma

İdeal olarak, adli bilişim, araştırmacı için herhangi bir zamanda dijital bir cihazın geçmişine hareket edebilen ve araştırmacıya aşağıdakiler hakkında bilgi sağlayabilen bir tür zaman makinesidir:

cihazı belirli bir anda kullanan kişiler

kullanıcı eylemleri (örneğin, belgeleri açma, bir web sitesine erişme, bir kelime işlemciye veri yazma vb.)

Cihaz tarafından belirli bir zamanda depolanan, oluşturulan ve işlenen veriler.

Çevrimdışı dijital cihazların yerini alan bulut hizmetleri, benzer bir adli tıp hazırlığı düzeyi sağlamalıdır. Ancak bu, kaynak havuzu, çoklu kiracılık ve bulut bilişim altyapısının esnekliği gibi zorlukların üstesinden gelmeyi gerektirir. Olay araştırmasında birincil araç denetim izidir.

Sistemdeki kullanıcı kaydı geçmişini, idari görevlerin performansını ve veri değişikliklerini kontrol etmek için tasarlanmış denetim günlükleri, güvenlik sisteminin önemli bir parçasıdır. Bulut bilişimde, denetim izinin kendisi yalnızca soruşturmalar için bir araç değil, aynı zamanda sunucuların kullanım maliyetini hesaplamak için bir araçtır. Denetim izi, güvenlik açıklarını ortadan kaldırmasa da, neler olup bittiğine eleştirel bir gözle bakmanıza ve durumu düzeltmek için öneriler formüle etmenize olanak tanır.

Arşivler ve yedekler oluşturmak önemlidir, ancak kimin neyi, ne zaman ve ne zaman yaptığını kaydeden resmi bir denetim izinin yerini alamaz. Denetim izi, bir güvenlik denetçisinin ana araçlarından biridir.

Hizmet sözleşmesi genellikle hangi denetim günlüklerinin tutulacağını ve Kullanıcıya sağlanacağını belirtir.

9. Tehdit modeli

2010 yılında CSA, buluttaki ana güvenlik tehditlerinin bir analizini yaptı. Çalışmalarının sonucu, tehdit modelinin ve saldırgan modelinin şu anda en eksiksiz şekilde tanımlandığı "Bulut Bilişim v 1.0'ın en büyük tehditleri" belgesiydi. Bu belgenin daha eksiksiz, ikinci bir versiyonu şu anda geliştirilmektedir.

Mevcut belge, üç SaaS hizmet modeli olan PaaS ve IaaS için saldırganları açıklamaktadır. 7 ana saldırı vektörü tespit edildi. Çoğunlukla, ele alınan tüm saldırı türleri, geleneksel, "bulut olmayan" sunucuların doğasında bulunan saldırılardır. Bulut altyapısı onlara belirli özellikler yükler. Bu nedenle, örneğin, sunucuların yazılım kısmındaki güvenlik açıklarına yönelik saldırılar, aynı zamanda yazılım kısmı olan hiper yöneticiye yapılan saldırılarla tamamlanır.

Güvenlik Tehdidi #1

Bulut teknolojilerinin yasa dışı ve dürüst olmayan kullanımı.

Açıklama:

Bir IaaS bulut sağlayıcısından kaynak almak için kullanıcının yalnızca bir kredi kartına sahip olması gerekir. Kayıt kolaylığı ve kaynakların sağlanması, spam göndericilere, virüs yazarlarına vb. bulut hizmetini suç amaçları için kullanmak. Daha önce, bu tür saldırılar yalnızca PaaS'de gözlemleniyordu, ancak son araştırmalar, DDOS saldırıları için IaaS kullanma, kötü amaçlı kod barındırma, botnet ağları oluşturma ve daha fazlası için olasılığını göstermiştir.

Hizmet örnekleri, "Zeus" Truva Atı'na dayalı bir botnet ağı oluşturmak, "InfoStealer" Truva atının kodunu depolamak ve MS Office ve AdobePDF'de çeşitli güvenlik açıkları hakkında bilgi göndermek için kullanıldı.

Ayrıca botnet ağları, eşlerini yönetmek ve spam göndermek için IaaS kullanır. Bu nedenle, bazı IaaS hizmetleri kara listeye alındı ​​ve kullanıcıları posta sunucuları tarafından tamamen göz ardı edildi.

Kullanıcı kayıt prosedürlerinin iyileştirilmesi

Kredi kartı doğrulama prosedürlerinin iyileştirilmesi ve ödeme araçlarının kullanımının izlenmesi

Hizmet kullanıcılarının ağ etkinliğinin kapsamlı çalışması

· Orada bir bulut sağlayıcı ağının görünümü için ana kara listelerin izlenmesi.

Etkilenen hizmet modelleri:

Güvenlik Tehdidi #2

Güvenli Olmayan Programlama Arayüzleri (API'ler)

Açıklama:

Bulut altyapısı sağlayıcıları, kullanıcılara kaynakları, sanal makineleri veya hizmetleri yönetmek için bir dizi API sağlar. Tüm sistemin güvenliği bu arayüzlerin güvenliğine bağlıdır.

Arayüze anonim erişim ve açık metin olarak kimlik bilgilerinin iletilmesi, güvensiz programlama arayüzlerinin ana ayırt edici özellikleridir. API kullanımını izleme yeteneğinin sınırlı olması, günlük kaydı sistemlerinin olmaması ve farklı hizmetler arasındaki bilinmeyen ilişkiler yalnızca saldırıya uğrama riskini artırır.

Bulut sağlayıcısının güvenlik modelinin analizini gerçekleştirin

Güçlü şifreleme algoritmalarının kullanıldığından emin olun

Güçlü kimlik doğrulama ve yetkilendirme yöntemlerinin kullanıldığından emin olun

· Farklı hizmetler arasındaki tüm bağımlılık zincirini anlayın.

Etkilenen hizmet modelleri:

Güvenlik Tehdidi #3

içeridekiler

Açıklama:

İçeriden bilgiye yasa dışı erişim sorunu son derece tehlikelidir. Çoğu zaman, sağlayıcı tarafında, çalışanların faaliyetlerini izlemek için bir sistem uygulanmamıştır; bu, bir saldırganın resmi konumunu kullanarak müşteri bilgilerine erişebileceği anlamına gelir. Sağlayıcı işe alım politikasını açıklamadığından, tehdit hem amatör bir bilgisayar korsanından hem de sağlayıcının çalışanlarının saflarına sızmış organize bir suç yapısından gelebilir.

Şu anda bu tür bir istismar örneği yok.

Sıkı ekipman tedarik kurallarını uygulayın ve uygun izinsiz giriş tespit sistemlerini kullanın

Kullanıcılarla yapılan kamu sözleşmelerinde çalışan işe alma kurallarının düzenlenmesi

Sağlayıcının iç sistemlerinin güvenlik denetimine ilişkin raporların yayınlanmasıyla birlikte şeffaf bir güvenlik sisteminin oluşturulması

Etkilenen hizmet modelleri:

Pirinç. 12 İçeriden biri örneği

Güvenlik Tehdidi #4

Bulut teknolojilerindeki güvenlik açıkları

Açıklama:

IaaS hizmet sağlayıcıları, sanallaştırma sistemleri aracılığıyla donanım kaynaklarının soyutlamasını kullanır. Ancak donanım, paylaşılan kaynaklarla başa çıkmak için tasarlanmayabilir. Bu faktörün etkisini en aza indirmek için, hiper yönetici sanal makinenin donanım kaynaklarına erişimini kontrol eder, ancak hiper yöneticiler bile ayrıcalık yükselmesine veya fiziksel donanıma yetkisiz erişime yol açabilecek ciddi güvenlik açıklarına sahip olabilir.

Sistemleri bu tür sorunlardan korumak için sanal ortam izolasyon mekanizmalarının ve arıza tespit sistemlerinin uygulanması gerekmektedir. Sanal makinenin kullanıcıları, paylaşılan kaynaklara erişememelidir.

Sanal ortamlarda yalıtımı atlamaya yönelik teorik yöntemlerin yanı sıra olası güvenlik açıklarına ilişkin örnekler de vardır.

Sanal ortamları kurmak, yapılandırmak ve korumak için en gelişmiş yöntemlerin uygulanması

Saldırı tespit sistemlerinin kullanımı

İdari işler için kimlik doğrulama ve yetkilendirme için güçlü kuralların uygulanması

Yamaların ve güncellemelerin uygulama zamanı için daha katı gereksinimler

· Güvenlik açıklarının taranması ve tespit edilmesi için zamanında prosedürlerin gerçekleştirilmesi.

Güvenlik Tehdidi #5

Veri kaybı veya sızıntısı

Açıklama:

Binlerce nedenden dolayı veri kaybı yaşanabilir. Örneğin, şifreleme anahtarının kasıtlı olarak imha edilmesi, şifrelenmiş bilgilerin kurtarılamaz olmasına neden olacaktır. Verilerin veya verilerin bölümlerinin silinmesi, önemli bilgilere yetkisiz erişim, kayıtların değiştirilmesi veya depolama ortamının arızalanması da bu tür durumlara örnektir. Karmaşık bir bulut altyapısında, bileşenlerin yakın etkileşimi nedeniyle olayların her birinin olasılığı artar.

Kimlik doğrulama, yetkilendirme ve denetleme kurallarının yanlış uygulanması, şifreleme kurallarının ve yöntemlerinin yanlış kullanımı ve ekipman arızası veri kaybına veya sızıntıya neden olabilir.

Güvenilir ve güvenli bir API kullanımı

İletilen verilerin şifrelenmesi ve korunması

Sistem operasyonunun tüm aşamalarında veri koruma modelinin analizi

Güvenli bir şifreleme anahtarı yönetim sisteminin uygulanması

Yalnızca en güvenilir medyanın seçimi ve edinimi

Verilerin zamanında yedeklenmesini sağlayın

Etkilenen hizmet modelleri:

Güvenlik Tehdidi #6

Kimlik hırsızlığı ve hizmete yetkisiz erişim

Açıklama:

Bu tür bir tehdit yeni değil. Her gün milyonlarca kullanıcı bununla uğraşıyor. Saldırganların asıl amacı kullanıcı adı (login) ve şifresidir. Bulut sistemleri bağlamında, parola ve kullanıcı adı hırsızlığı, sağlayıcının bulut altyapısında depolanan verileri kullanma riskini artırır. Böylece saldırgan, faaliyetleri için kurbanın itibarını kullanma fırsatına sahip olur.

・Hesap aktarma yasağı

İki faktörlü kimlik doğrulama yönteminin kullanımı

Yetkisiz erişimin proaktif izlenmesinin uygulanması

· Bulut sağlayıcının güvenlik modelinin açıklaması.

Etkilenen hizmet modelleri:

Güvenlik Tehdidi #7

Diğer güvenlik açıkları

Açıklama:

Bulut teknolojilerinin iş yapmak için kullanılması, şirketin BT altyapısı ve hizmetlerinin bakımını bulut sağlayıcısına bırakarak işine odaklanmasını sağlar. Bir bulut sağlayıcı, hizmetinin reklamını yaparken, uygulamanın ayrıntılarını ortaya çıkarırken tüm olasılıkları göstermeye çalışır. Bu ciddi bir tehdit olabilir, çünkü dahili altyapı bilgisi bir saldırgana yama uygulanmamış bir güvenlik açığı bulma ve sisteme saldırma fırsatı verir. Bu gibi durumlardan kaçınmak için bulut sağlayıcılar bulutun iç yapısı hakkında bilgi vermeyebilir, ancak potansiyel kullanıcıların veri güvenliğinin derecesini değerlendirme fırsatı olmadığından bu yaklaşım güvenin artmasına da katkıda bulunmaz. Ek olarak, bu yaklaşım, güvenlik açıklarını zamanında bulma ve ortadan kaldırma yeteneğini sınırlar.

· Amazon'un EC2 bulut güvenliği denetimi yapmayı reddetmesi

Hearthland veri merkezinin güvenlik sisteminin hacklenmesine yol açan işleme yazılımındaki güvenlik açığı

Günlük verilerinin açıklanması

Sistem mimarisinin ve kurulu yazılımın detaylarının tam veya kısmi ifşası

· Zafiyet izleme sistemlerinin kullanılması.

Etkilenen hizmet modelleri:

1. Yasal dayanak

Uzmanlara göre, hizmetlerin sağlanması için bir sözleşmeyi doğru bir şekilde hazırlarsanız, buluttaki güvenlik sorunlarının %70'inden kaçınılabilir.

Bulut Haklar Bildirgesi, böyle bir anlaşmanın temeli olabilir.

Bulut Haklar Bildirgesi, 2008 yılında James Urquhart tarafından geliştirildi. O kadar çok ilgi ve tartışma uyandıran bu materyali blogunda yayınladı ki, yazar "el yazmasını" gerçeklere uygun olarak periyodik olarak güncelliyor.

Madde 1 (kısmi): Müşterilerin verilerinin sahibi

· Hiçbir üretici (veya tedarikçi), herhangi bir tür müşteriyle etkileşim sırasında, yüklenen, oluşturulan, oluşturulan, değiştirilen veya başka bir şekilde müşterinin sahip olduğu herhangi bir verinin haklarını tartışmayacaktır.

· Üreticiler, çözüm ve hizmet geliştirme aşamasında öncelikle müşteri verilerine minimum erişim olanağı sağlamalıdır.

· Müşteriler, verilerinin sahibidir, yani verilerin yasal düzenlemelere ve yasalara uygunluğunu sağlamaktan sorumludur.

· Veri kullanımı uyumluluğu, güvenlik ve uyumluluk sorunları çok önemli olduğundan, müşterinin kendi verilerinin coğrafi konumunu belirlemesi gerekir. Aksi takdirde, üreticiler, verilerinin tüm kural ve düzenlemelere uygun olarak saklanacağına dair kullanıcılara her türlü garantiyi vermelidir.

Madde 2: Üreticiler ve Müşteriler, sistemdeki hizmet seviyelerini müştereken sahiplenir ve yönetir

· Üreticiler, her müşteri için ayrı ayrı hizmet düzeyini karşılamak için her şeyi yaparlar ve yapmalıdırlar. Müşterilerle çalışırken uygun hizmet düzeyine ulaşmak için gerekli tüm kaynaklar ve çabalar müşteri için ücretsiz olmalıdır, yani hizmetin maliyetine dahil edilmemelidir.

· Müşteriler, sırayla, kendi iç ve dış müşterilerine sağlanan hizmetin düzeyinden sorumludur ve bu hizmetin düzeyine sahiptir. Kendi hizmetlerini sağlamak için üreticinin çözümlerini kullanırken, müşterinin sorumluluğu ve bu hizmetin düzeyi tamamen üreticiye bağlı olmamalıdır.

· Üretici ve müşteri sistemleri arasında entegrasyonun gerekli olduğu durumlarda, üreticiler müşterilere entegrasyon sürecini izleme olanağı sunmalıdır. Müşterinin bilgi sistemlerinin entegrasyonu için kurumsal standartları varsa, üreticinin bu standartlara uyması gerekir.

· Üreticiler, belirli mevzuata aykırı olmadıkça, nefret ifadesi olmadığı sürece, hiçbir koşulda siyasi açıklamalar, uygunsuz konuşmalar, dini yorumlar nedeniyle müşteri hesaplarını kapatmamalıdır.

Madde 3: Üreticiler kendi arayüzlerinin sahibidir

· Üreticilerin, müşteri sözleşmelerinde aksi belirtilmedikçe, standart veya açık kaynaklı arayüzler sağlamaları zorunlu değildir. Üreticiler, arayüzler üzerinde kendi haklarına sahiptir. Üretici, müşteriye arayüzü tanıdık bir programlama dilinde değiştirme fırsatı sağlamayı mümkün görmüyorsa, müşteri, arayüzleri kendi gereksinimlerine göre sonlandırmak için üreticiden veya üçüncü taraf geliştiricilerden hizmetler satın alabilir.

· Ancak müşteri, satın alınan hizmeti kendi amaçları için kullanma ve ayrıca yeteneklerini genişletme, çoğaltma ve iyileştirme hakkına sahiptir. Bu paragraf, müşterileri patent yasası ve fikri mülkiyet haklarının sorumluluğundan kurtarmaz.

Yukarıdaki üç makale, buluttaki müşteriler ve üreticiler için temel bilgilerdir. Tam metinlerini İnternet'te kamuya açık alanda okuyabilirsiniz. Tabii ki, bu yasa tasarısı tam bir yasal belge değil, resmi bir belge değil. Tasarıya yeni maddeler eklenebileceği gibi, maddeleri her zaman değiştirilebilir ve genişletilebilir. Bu, özgürlüğü seven bu bilgi ve teknoloji alanını bir şekilde standartlaştırmak için bulutta "sahipliği" resmileştirme girişimidir.

Taraflar arasındaki ilişki

Bulut güvenliği alanında bugüne kadarki en iyi uzman Bulut Güvenlik İttifakıdır (CSA). Kuruluş, bulut bilişimde riski değerlendirirken göz önünde bulundurulması gereken yüzlerce nüansı ve en iyi uygulamayı içeren bir kılavuzu yayınladı ve yakın zamanda güncelledi.

Faaliyetleri buluttaki güvenlik unsurlarını etkileyen başka bir kuruluş da Güvenilir Bilgi İşlem Grubu'dur (TCG). Bugün yaygın olarak kullanılan Güvenilir Depolama, Güvenilir Ağ Bağlantısı (TNC) ve Güvenilir Platform Modülü (TPM) dahil olmak üzere bu ve diğer alanlarda çeşitli standartların yazarıdır.

Bu kuruluşlar, müşterinin ve sağlayıcının bir sözleşme imzalarken çözmesi gereken bir dizi sorunu ortaklaşa geliştirmiştir. Bu sorular, bulut kullanımı, mücbir sebepler, bulut hizmeti sağlayıcılarının değiştirilmesi ve diğer durumlardaki sorunların çoğunu çözecektir.

1. Saklanan verilerin güvenliği. Hizmet sağlayıcı, saklanan verilerin güvenliğini nasıl sağlıyor?

Depoda bulunan verileri korumanın en iyi önlemi şifreleme teknolojilerinin kullanılmasıdır. Sağlayıcı, yetkisiz erişimi önlemek için sunucularında depolanan müşteri bilgilerini her zaman şifrelemelidir. Sağlayıcı ayrıca, artık ihtiyaç duyulmadığında ve gelecekte gerekmeyecek olduğunda verileri kalıcı olarak silmelidir.

2. İletim sırasında veri koruması. Sağlayıcı, aktarımı sırasında (bulut içinde ve buluttan / buluta giderken) verilerin güvenliğini nasıl sağlıyor?

İletilen veriler her zaman şifrelenmeli ve yalnızca kimlik doğrulamasından sonra kullanıcıya sunulmalıdır. Bu yaklaşım, ağdaki güvenilmeyen düğümler aracılığıyla erişim sağlasa bile, bu verilerin herhangi bir kişi tarafından değiştirilmemesini veya okunmamasını sağlar. Bu teknolojiler "binlerce insan yılı" boyunca geliştirilmiş ve sağlam protokoller ve algoritmalar (örneğin TLS, IPsec ve AES) ile sonuçlanmıştır. Sağlayıcılar bu protokolleri kullanmalı, kendilerininkini icat etmemelidir.

3. Kimlik doğrulama. Sağlayıcı müşterinin kimliğini nasıl biliyor?

En yaygın kimlik doğrulama yöntemi parola korumasıdır. Ancak müşterilerine daha fazla güvenlik sunmak isteyen sağlayıcılar, sertifikalar ve jetonlar gibi daha güçlü araçlara yöneliyor. Daha hacklenebilir kimlik doğrulama araçlarının kullanılmasının yanı sıra, sağlayıcıların LDAP ve SAML gibi standartlarla çalışabilmesi gerekir. Bu, kullanıcıya verilen yetkileri yetkilendirirken ve belirlerken sağlayıcının müşterinin kullanıcı tanımlama sistemi ile etkileşimini sağlamak için gereklidir. Bu sayede sağlayıcı, yetkili kullanıcılar hakkında her zaman güncel bilgilere sahip olacaktır. En kötü seçenek, istemcinin ISP'ye belirli bir yetkili kullanıcı listesi sağlamasıdır. Kural olarak, bu durumda, bir çalışan işten çıkarıldığında veya başka bir pozisyona taşındığında zorluklar ortaya çıkabilir.

4. Kullanıcıların izolasyonu. Bir müşterinin verileri ve uygulamaları, diğer müşterilerin verilerinden ve uygulamalarından nasıl ayrılır?

En iyi seçenek: İstemcilerin her biri ayrı bir sanal makine (Sanal Makine - VM) ve bir sanal ağ kullandığında. VM'ler ve dolayısıyla kullanıcılar arasındaki ayrım, hiper yönetici tarafından sağlanır. Sanal ağlar ise VLAN (Sanal Yerel Alan Ağı), VPLS (Sanal Özel LAN Hizmeti) ve VPN (Sanal Özel Ağ) gibi standart teknolojiler kullanılarak dağıtılır.

Bazı sağlayıcılar, tüm müşterilerin verilerini tek bir yazılım ortamına yerleştirir ve kodundaki değişiklikler nedeniyle müşteri verilerini birbirinden ayırmaya çalışır. Böyle bir yaklaşım pervasız ve güvenilmezdir. İlk olarak, bir saldırgan standart olmayan kodda, görmemesi gereken verilere erişmesine izin veren bir delik bulabilir. İkincisi, koddaki bir hata, bir müşterinin yanlışlıkla başka bir müşterinin verilerini "görmesine" neden olabilir. Son zamanlarda her iki vaka da oldu. Bu nedenle kullanıcı verilerini farklılaştırmak için farklı sanal makinelerin ve sanal ağların kullanılması daha mantıklı bir adımdır.

5. Düzenleyici konular. Sağlayıcı, bulut bilişim sektörü için geçerli olan yasa ve yönetmeliklere ne ölçüde uyuyor?

Yargı yetkisine bağlı olarak, yasalar, yönetmelikler ve özel hükümler farklılık gösterebilir. Örneğin, verilerin dışa aktarılmasını yasaklayabilir, iyi tanımlanmış güvenlik önlemlerinin kullanılmasını, belirli standartlara uygunluk ve denetim yeteneği gerektirebilir. Nihayetinde, gerekirse devlet dairelerinin ve yargının bilgiye erişmesini talep edebilirler. Sağlayıcının bu noktalara dikkatsiz tutumu, yasal sonuçlar nedeniyle müşterilerini önemli maliyetlere götürebilir.

Sağlayıcı, katı kurallara uymak ve yasal ve düzenleyici alanlarda birleşik bir stratejiye uymakla yükümlüdür. Bu, kullanıcı verilerinin güvenliği, dışa aktarılması, standartlara uygunluk, denetim, veri depolama ve silme ile bilgilerin ifşa edilmesi için geçerlidir (ikincisi, özellikle birkaç istemcinin bilgileri tek bir fiziksel sunucuda depolanabildiğinde geçerlidir). Bunu öğrenmek için, müşterilerin bu konuyu kapsamlı bir şekilde inceleyecek uzmanlardan yardım almaları şiddetle tavsiye edilir.

6. Olaylara müdahale. Sağlayıcı olaylara nasıl yanıt veriyor ve müşterileri olaya ne ölçüde dahil olabilir?

Bazen her şey plana göre gitmez. Bu nedenle, hizmet sağlayıcı, öngörülemeyen durumlarda belirli davranış kurallarına uymakla yükümlüdür. Bu kurallar belgelenmelidir. Sağlayıcılar, olayları tespit etmek ve sonuçlarını en aza indirmek, kullanıcıları mevcut durum hakkında bilgilendirmekle meşgul olmalıdır. İdeal olarak, müşterilere sorun hakkında mümkün olduğunca ayrıntılı bilgi sağlamalıdırlar. Ayrıca, müşterilerin güvenlik sorunları olasılığını değerlendirmeleri ve gerekli önlemleri almaları gerekir.

10. Uluslararası ve yerel standartlar

Bulut bilişimin evrimi, birçoğu uzun yıllardır güncellenmemiş olan gerekli endüstri standartlarının oluşturulması ve değiştirilmesinin önündedir. Bu nedenle bulut teknolojileri alanında kanun koyuculuk, güvenliğin sağlanması için en önemli adımlardan biridir.

En büyük standart geliştirme kuruluşlarından biri olan IEEE, bulut bilişim Bulut Bilişim Girişimi alanında özel bir proje başlattığını duyurdu. Bu, ilk uluslararası bulut standardizasyon girişimidir - şimdiye kadar, bulut bilişim standartları büyük ölçüde endüstri konsorsiyumları tarafından yönetiliyordu. Girişim şu anda 2 projeyi içeriyor: IEEE P2301 (tm), "Bulut Taşınabilirliği ve Birlikte Çalışabilirlik Profilleri için Taslak Yönergeler" ve IEEE P2302 (tm) - "Bulut Birlikte Çalışabilirlik ve Federasyon için Taslak Standardı".

IEEE Standards Development Association çerçevesinde sırasıyla IEEE P2301 ve IEEE P2302 projeleri üzerinde çalışmak üzere 2 yeni çalışma grubu oluşturulmuştur. IEEE P2301, uygulamalar, taşınabilirlik, yönetim ve birlikte çalışabilirlik arabirimlerinin yanı sıra dosya biçimleri ve operasyonel sözleşmeler alanlarında mevcut ve geliştirme standartlarının profillerini içerecektir. Belgedeki bilgiler, farklı hedef kitle gruplarına göre mantıksal olarak yapılandırılacaktır: satıcılar, hizmet sağlayıcılar ve diğer ilgili piyasa katılımcıları. Standardın tamamlandığında, standart teknolojilere dayalı bulut ürün ve hizmetlerinin tedarikinde, geliştirilmesinde, yapımında ve kullanımında kullanılabilmesi beklenmektedir.

IEEE P2302 standardı, farklı bulut yapıları arasında (örneğin, özel bir bulut ile EC2 gibi genel bir bulut arasında) birlikte çalışmak için gereken temel topolojiyi, protokolleri, işlevleri ve yönetim tekniklerini tanımlayacaktır. Bu standart, bulut ürün ve hizmet sağlayıcılarının hizmet ve uygulama kullanıcılarına şeffaflık sağlarken ölçek ekonomilerinden yararlanmalarını sağlayacaktır.

ISO, bulut bilişimin güvenliğine adanmış özel bir standart hazırlıyor. Yeni standardın ana odak noktası, bulutlarla ilgili organizasyonel sorunların çözümüdür. Ancak, ISO onay prosedürlerinin karmaşıklığı nedeniyle, belgenin son halinin yalnızca 2013'te yayınlanması gerekmektedir.

Belgenin değeri, hazırlanmasında yalnızca hükümet kuruluşlarının (NIST, ENISA) yer alması değil, aynı zamanda ISACA ve CSA gibi uzman toplulukların ve derneklerin temsilcilerinin de yer almasıdır. Ayrıca, bir belge hem bulut hizmeti sağlayıcıları hem de tüketicileri - müşteri kuruluşları için öneriler içerir.

Bu belgenin temel amacı, bilgi güvenliği açısından bulut bilişim kullanımına ilişkin en iyi uygulamaları ayrıntılı olarak açıklamaktır. Aynı zamanda, standart sadece teknik yönlere değil, daha çok bulut bilişime geçerken unutulmaması gereken organizasyonel yönlere odaklanmaktadır. Bu, hak ve sorumlulukların bölünmesi ve üçüncü taraflarla anlaşmaların imzalanması ve "bulut" sürecinde farklı katılımcıların sahip olduğu varlıkların yönetimi ve personel yönetimi konuları vb.

Yeni belge, BT endüstrisinde daha önce geliştirilen malzemeleri büyük ölçüde içeriyordu.

Avustralya hükümeti

Birkaç ay süren beyin fırtınasının ardından Avustralya Hükümeti, 15 Şubat 2012'de Avustralya Hükümeti Bilgi Yönetim Ofisi (AGIMO) blogunda bir dizi bulut bilişim geçiş kılavuzu yayınladı.

Şirketlerin buluta geçişini kolaylaştırmak için, 1997 Finansal Yönetim ve Hesap Verebilirlik Yasası için 1997 Daha İyi Uygulama Kılavuzlarının gereksinimleri ışığında bulut hizmetlerini kullanmaya yönelik en iyi uygulamalar konusunda önerilerde bulunulmuştur. Kılavuzlar genel olarak finansal, yasal ve veri koruma konularını ele alır.

Yönergeler, faturaların ve raporların günlük analizi yoluyla bulut hizmetlerinin kullanımını sürekli olarak izleme ve kontrol etme ihtiyacından bahseder. Bu, gizli "hilelerden" kaçınmaya ve bulut hizmeti sağlayıcılarına bağımlı hale gelmeye yardımcı olacaktır.

İlk kılavuzun adı Avustralya Devlet Kurumları için Gizlilik ve Bulut Bilişim, 9 sayfadır. Bu belge, gizlilik ve veri güvenliği konularına odaklanmaktadır.

Bu kılavuza ek olarak, 19 sayfalık Bulutta Müzakere - Bulut Bilişim Sözleşmelerinde Hukuki Konular da sözleşmelerde yer alan hükümleri anlamanıza yardımcı olmak için hazırlanmıştır.

Son, üçüncü kılavuz, Bulut Bilişimin Devletin Kullanımına İlişkin Mali Hususlar, sayfa 6, bir şirketin iş faaliyetlerinde bulut bilişimi kullanmaya karar vermesi durumunda göz önünde bulundurması gereken mali konuları tartışır.

Kılavuzlarda ele alınanlara ek olarak, bulut bilişimi kullanırken devlet, satın alma ve işletme yönetimi politikalarıyla ilgili konular da dahil olmak üzere ele alınması gereken bir dizi başka konu vardır.

Bu politika belgesine ilişkin kamuoyu yorumu, paydaşlara aşağıdaki endişe verici konuları değerlendirme ve yorum yapma fırsatı sunar:

· Gizli bilgilere yetkisiz erişim;

Verilere erişim kaybı;

verilerin bütünlüğünün ve gerçekliğinin sağlanamaması ve

· Bulut hizmetlerinin sağlanmasıyla ilgili pratik yönleri anlamak.

11. Verilerin bölgesel bağlantısı

Çeşitli ülkelerde hassas verilerin ülke içinde kalmasını gerektiren bir takım düzenlemeler bulunmaktadır. Ve verileri belirli bir bölgede depolamak ilk bakışta zor bir iş olmasa da, bulut hizmeti sağlayıcıları çoğu zaman bunu garanti edemez. Yüksek derecede sanallaştırmaya sahip sistemlerde, veriler ve sanal makineler çeşitli amaçlarla bir ülkeden diğerine taşınabilir - yük dengeleme, hata toleransı.

SaaS pazarındaki bazı büyük oyuncular (Google, Symantec gibi) ilgili ülkede veri depolama garantisi verebilir. Ancak bunlar oldukça istisnadır; genel olarak, bu gereksinimlerin yerine getirilmesi oldukça nadirdir. Veriler ülkede kalsa bile müşterilerin bunu doğrulamasının bir yolu yok. Ayrıca şirket çalışanlarının hareketliliğini de unutmamalıyız. Moskova'da çalışan bir uzman New York'a gönderilirse, ABD'deki bir veri merkezinden veri alması daha iyidir (veya en azından daha hızlıdır). Bunu sağlamak çok daha zor bir iştir.

12. Devlet standartları

Halihazırda ülkemizde bulut teknolojileri konusunda ciddi bir düzenleyici çerçeve bulunmamakla birlikte bu alandaki gelişmeler devam etmektedir. Bu nedenle, 8 Şubat 2012 tarih ve 146 sayılı Rusya Federasyonu Başkanı'nın emriyle. süper bilgisayar ve şebeke teknolojileri kullanılarak oluşturulan bilgi sistemlerinde veri güvenliğinin sağlanması alanında yetkili federal yürütme makamlarının Rusya'nın FSB'si ve Rusya'nın FSTEC'i olduğu belirlendi.

Bu kararname ile bağlantılı olarak, bu hizmetlerin yetkileri genişletilmiştir. Rusya FSB'si şu anda bu sistemlerin güvenliğini sağlama, bilgi güvenliği alanında araştırma düzenleme ve yürütme konularında düzenleyici ve metodolojik belgeler geliştiriyor ve onaylıyor.

Servis ayrıca bu bilgi sistemlerinin uzman kriptografik, mühendislik-kriptografik ve özel çalışmalarını yapar ve bunların oluşturulmasına yönelik çalışma önerileri konusunda uzman görüşleri hazırlar.

Belge ayrıca, Rusya FSTEC'in bir strateji geliştirdiğini ve sınırlı erişim verilerini işleyen süper bilgisayar ve şebeke teknolojileri kullanılarak oluşturulan bilgi sistemlerinde bilgilerin güvenliğini sağlamak için öncelikli alanları belirlediğini ve ayrıca adı geçen güvenliği sağlamak için işin durumunu izlediğini belirtiyor.

FSTEC, "bulut teknolojileri" alanındaki terminoloji sisteminin beta sürümünün ortaya çıktığı bir çalışma emretti”

Anlayabileceğiniz gibi, bu terminoloji sisteminin tamamı iki belgenin uyarlanmış bir çevirisidir: "Focus Group on Cloud Computing Teknik Raporu" ve "The NIST Definition of Cloud Computing". Peki, bu iki belgenin birbiriyle pek uyumlu olmaması ayrı bir konu. Ve görsel olarak hala açık: Rus "Terminoloji Sisteminde", yazarlar başlangıç ​​için bu İngilizce belgelere bağlantılar sağlamadılar.

Gerçek şu ki, böyle bir çalışma için önce kavramı, amaçları ve hedefleri, çözüm yöntemlerini tartışmalısınız. Birçok soru ve yorum var. Ana metodolojik açıklama: Bu çalışmanın hangi sorunu çözdüğünü, amacını çok net bir şekilde formüle etmek gerekir. Hemen belirtelim ki “bir terminoloji sistemi oluşturmak” bir amaç olamaz, bir araçtır, ancak henüz çok net olmayan bir şeyin başarılmasıdır.

Normal bir çalışmanın "mevcut durumun gözden geçirilmesi" bölümünü içermesi gerektiğinden bahsetmiyorum bile.

Problemin orijinal formülasyonunu ve yazarlarının bunu nasıl çözdüğünü bilmeden çalışmanın sonuçlarını tartışmak zordur.

Ancak Terminoloji Sisteminin temel bir hatası açıkça görülmektedir: "Bulutlu konular", "bulutlu olmayan" konulardan ayrı olarak tartışılamaz. Genel BT bağlamının dışında. Ancak bu bağlam çalışmada görünmez.

Ve bunun sonucu, pratikte böyle bir terminoloji sisteminin uygulanmasının imkansız olmasıdır. Sadece durumu daha da karıştırabilir.

13. Buluttaki güvenlik araçları

Bulut sunucusu güvenlik sistemi, minimum konfigürasyonunda ağ ekipmanı, veri depolama, sunucu ve hiper yöneticinin güvenliğini sağlamalıdır. Ek olarak, sanal bir makine aracılığıyla hipervizörün bulaşmasını önlemek için özel bir çekirdeğe bir antivirüs, kullanıcı bilgilerini şifreli biçimde depolamak için bir veri şifreleme sistemi ve bir sanal sunucu ile bir istemci makine arasında şifreli tünelleme uygulamak için araçlar yerleştirmek mümkündür. .

Bunun için sanallaştırmayı destekleyen bir sunucuya ihtiyacımız var. Bu tür çözümler Cisco, Microsoft, VMWare, Xen, KVM tarafından sunulmaktadır.

Klasik bir sunucu kullanmak ve bir hiper yönetici kullanarak sanallaştırma sağlamak da kabul edilebilir.

Uyumlu işlemcilere sahip herhangi bir sunucu, x86-64 platformları için işletim sistemi sanallaştırması için uygundur.

Böyle bir çözüm, donanım yükseltmelerine ek finansal yatırımlar yapmadan bilgi işlem sanallaştırmasına geçişi basitleştirecektir.

İş şeması:

Pirinç. 11. "Bulut" sunucusuna bir örnek

Pirinç. 12. Ekipman arızasına sunucu tepkisi

Şu anda, bulut bilişim koruması pazarı hala oldukça boş. Ve bu şaşırtıcı değil. Düzenleyici bir çerçevenin yokluğunda ve gelecekteki standartların belirsizliğinde, geliştirme şirketleri çabalarını nereye odaklayacaklarını bilmiyorlar.

Ancak, bu gibi durumlarda bile, bulut yapısını ana tehdit türlerinden korumayı mümkün kılan özel yazılım ve donanım sistemleri ortaya çıkmaktadır.

bütünlük ihlali

Hiper Yönetici Hackleme

içeridekiler

Kimlik

· Kimlik doğrulama

şifreleme

Anlaşma-B

Donanım ve yazılım sistemi Anlaşma-V. VMware vSphere 4.1, VMware vSphere 4.0 ve VMware Infrastructure 3.5'in sanallaştırma altyapısını korumak için tasarlanmıştır.

Anlaşma-V. sanallaştırma ortamının tüm bileşenleri için koruma sağlar: ESX sunucuları ve sanal makinelerin kendileri, vCenter yönetim sunucuları ve VMware hizmetlerine sahip ek sunucular (örneğin, VMware Consolidated Backup).

Akkord-V donanım ve yazılım sisteminde aşağıdaki koruma mekanizmaları uygulanmaktadır:

· Hiper yöneticinin, sanal makinelerin, sanal makinelerin içindeki dosyaların ve altyapı yönetim sunucularının bütünlüğünün adım adım kontrolü;

· Sanal altyapı yöneticileri ve güvenlik yöneticileri için erişim farklılaşması;

· Sanal makinelerde kullanıcı erişiminin farklılaşması;

· Sanallaştırma altyapısının tüm kullanıcıları ve yöneticilerinin donanım tanımlaması.

· SERTİFİKALARIN VARLIĞI İLE İLGİLİ BİLGİ:

03/20/2012 tarih ve 2598 sayılı Rusya FSTEC Uygunluk Sertifikası, Akkord-V.'nin "Bilgisayar tesisleri. Bilgiye yetkisiz erişime karşı koruma. bilgi" (Rusya Devlet Teknik Komisyonu, 1992) - göre 5 güvenlik sınıfı, "Bilgiye yetkisiz erişime karşı koruma. Bölüm 1. Bilgi güvenliği yazılımı. Beyan edilmemiş yeteneklerin yokluğunun kontrol düzeyine göre sınıflandırma" (Rusya Devlet Teknik Komisyonu, 1999) - göre 4 kontrol seviyesi ve teknik özellikler TU 4012-028-11443195-2010 ve ayrıca güvenlik sınıfı 1G'ye kadar otomatik sistemler oluşturmak ve sınıf 1'e kadar olan kişisel veri bilgi sistemlerindeki bilgileri korumak için kullanılabilir.

vKapı R2

vGate R2, bilgileri yetkisiz erişime karşı korumanın ve VMware vSphere 4 ve VMware vSphere 5.S R2 tabanlı sanal altyapı için bilgi güvenliği politikalarının uygulanmasını izlemenin sertifikalı bir yoludur. yüksek düzeyde sertifikasyona sahip bilgi güvenliği tesislerinin kullanımı için IP gereksinimleri talep edilen şirketler.

Güvenlik sistemini yapılandırmak ve çalıştırmak için yöneticilerin çalışmalarını otomatikleştirmenizi sağlar.

Sanal altyapının yönetiminde hatalara ve suistimallere karşı direnmeye yardımcı olur.

Sanal altyapıyı mevzuat, endüstri standartları ve en iyi dünya uygulamalarıyla uyumlu hale getirmenizi sağlar.

<#"783809.files/image017.gif"> <#"783809.files/image018.gif"> <#"783809.files/image019.gif"> <#"783809.files/image020.gif"> Pirinç. 13 vGate R2'nin açıklanan özellikleri Özetle, vGate R2'nin hizmet sağlayıcının veri merkezini kendi yöneticilerinden gelen iç tehditlerden korumak için sahip olduğu temel araçlar şunlardır: vSphere yöneticilerinin yetkilerinin organizasyonel ve teknik olarak ayrılması vSphere tabanlı veri merkezi kaynaklarının güvenliğini yönetecek bilgi güvenliği yöneticisine ayrı bir rol tahsisi Bulutun, içinde uygun yetki düzeyine sahip yöneticilerin çalıştığı güvenlik bölgelerine ayrılması Sanal makinelerin bütünlüğünü izleme vSphere altyapısının güvenliği hakkında herhangi bir zamanda bir rapor alma ve bilgi güvenliği olaylarını denetleme imkanı Prensip olarak, sanal bir veri merkezinin altyapısını, sanal altyapının kendisi açısından iç tehditlerden korumak için gereken hemen hemen budur. Tabii ki, donanım, uygulamalar ve konuk işletim sistemi düzeyinde de korumaya ihtiyacınız olacak, ancak bu, şirketin ürünleri Güvenlik Kodu aracılığıyla da çözülen başka bir sorun.<#"783809.files/image021.gif"> Pirinç. 14. Sunucunun yapısı. Böyle bir nesnede güvenliği sağlamak için Tablo 2'ye göre güvenliği sağlamak gerekir. Bunu yapmak için yazılım ürününü kullanmanızı öneririm vGate R2. Aşağıdaki gibi sorunları çözmenize izin verecektir: · Sanal altyapı yöneticilerinin ve bilgi güvenliği yöneticilerinin daha güçlü kimlik doğrulaması. · Sanal altyapı yönetim araçlarının yetkisiz erişime karşı korunması. · ESX sunucularının yetkisiz erişime karşı korunması. · Zorunlu erişim kontrolü. · Sanal makinelerin ve güvenilir önyüklemenin yapılandırmasının bütünlüğünü izleme. · VI yöneticilerinin sanal makinelerin verilerine erişiminin kontrolü. · Bilgi güvenliği ile ilgili olayların kaydı. · Bütünlük denetimi ve IPS bileşenlerinin yetkisiz erişimine karşı koruma. · Merkezi yönetim ve izleme. Tablo 2. PaaS Modeli için Güvenlik İhtiyacı Eşleşmesi Rusya FSTEC Sertifikası (SVT 5, NDV 4), ürünün 1G sınıfına kadar otomatik güvenlik seviyesindeki sistemlerde ve K1 sınıfına kadar olan kişisel veri bilgi sistemlerinde (ISPD) kullanılmasına izin verir. Bu çözümün maliyeti, korunan ana bilgisayarda 1 fiziksel işlemci başına 24.500 ruble olacaktır. Ek olarak, içeridekilere karşı korunmak için bir hırsız alarmı kurmanız gerekecektir. Bu çözümler, sunucu koruma pazarında zengin bir şekilde sağlanmaktadır. Kontrollü bir alana, alarm sistemine ve video gözetimine sınırlı erişime sahip böyle bir çözümün fiyatı 200.000 ruble ve daha fazlası arasında değişiyor. Örneğin, 250.000 ruble miktarını alalım. Sanal makineleri virüs bulaşmalarından korumak için, McAfee Total Protection for Virtualization tek bir sunucu çekirdeğinde çalışır. Çözümün maliyeti 42.200 ruble. Depolarda veri kaybını önlemek için Symantec Netbackup kullanılacaktır. Bilgileri ve sistem görüntülerini güvenilir bir şekilde yedeklemenizi sağlar. Böyle bir projenin toplam maliyeti: Böyle bir tasarım çözümünün Microsoft tabanlı uygulaması buradan indirilebilir: http://www.microsoft.com/en-us/download/confirmation. aspx? kimlik=2494 Çözüm "Bulut teknolojileri" şu anda BT pazarının en aktif gelişen alanlarından biridir. Teknolojinin büyüme hızı düşmezse, 2015 yılına kadar Avrupa ülkelerinin hazinesine yılda 170 milyon avrodan fazla getirecekler. Ülkemizde bulut teknolojilerine ihtiyatla yaklaşılmaktadır. Bu kısmen liderliğin görüşlerinin katılığından, kısmen de güvenliğe güvensizlikten kaynaklanmaktadır. Ancak tüm avantajları ve dezavantajları ile bu tür bir teknoloji, BT ilerlemesinin yeni bir lokomotifidir. "Bulutun diğer tarafında" uygulama için, talebinizi Intel, AMD, VIA'dan x86 işlemcili bir bilgisayarda veya Freescale, OMAP tabanlı bir telefon veya akıllı telefonda oluşturmanız fark etmez, Tegra ARM işlemci. Üstelik, Google Chrome, OHA Android, Intel Moblin, Windows CE, Windows Mobile Windows XP / Vista / 7 Linux işletim sistemlerini çalıştırıyor olmanız veya bunun için daha egzotik bir şey kullanmanız önemli değil. . Yalnızca istek doğru ve anlaşılır bir şekilde yapılmışsa ve sisteminiz alınan yanıtta "usta olabilir". Güvenlik sorunu, bulut bilişimdeki ana sorunlardan biridir ve çözümü, bilgisayar alanındaki hizmetlerin düzeyini niteliksel olarak iyileştirecektir. Ancak hala bu yönde yapılacak çok şey var. Ülkemizde, tüm BT alanı için tek bir terimler sözlüğü ile başlamaya değer. Uluslararası deneyime dayalı standartlar geliştirin. Koruma sistemleri için gereksinimleri ortaya koyun. Edebiyat 1. Bulut Bilişimin Devlet Kullanımına İlişkin Mali Hususlar - Avustralya Hükümeti 2010. 2. Avustralya Devlet Kurumları için Gizlilik ve Bulut Bilişim 2007. Bulut müzakeresi - bulut bilişim anlaşmalarındaki yasal sorunlar 2009. Dergi "Modern Bilim: Teori ve Uygulamanın Gerçek Sorunları" 2012. Benzer çalışmalar - Bulut bilişimde bilgi güvenliği: güvenlik açıkları, yöntemler ve koruma araçları, olayları denetleme ve soruşturma araçları