Mavzu: Bulutli saqlah tizmlarida maxfiylikni va xavfsizlikni ta`minlash usullari
Download 21.33 Kb.
|
NB Lektsiya
Mavzu: Bulutli saqlah tizmlarida maxfiylikni va xavfsizlikni ta`minlash usullari Bulutli hisoblash xavfsizligiga tahdidlar. Bulutli hisoblash zaifliklarini kamaytirishga o'z yondashuvlari. Bulutli hisoblash xavfsizligi muammolari va xavfni tahlil qilish qobiliyatlari. Bulutli xavfsizlikning kelajagi bulutli hisoblash zaifliklarini hal qilish bo'yicha yondashuvlarimi Bulutli hisoblash birlashtirilib, osonlikcha ishlatiladigan va tezkor ravishda virtualizatsiya qilingan resurslarning katta hajmini (masalan, apparat tizimlari, xizmatlar va hk) anglatadi. Ushbu resurslar dinamik ravishda o'zgaruvchan yukga moslashish uchun dinamik ravishda qayta taqsimlanishi (miqyosi) bo'lishi mumkin, bu resurslardan maqbul foydalanishni ta'minlaydi. Ushbu resurs jamg'armasi, odatda, "ishdan bo'shatish" sharti bilan taqdim etiladi. Shu bilan birga, bulut egasi foydalanuvchi bilan muayyan kelishuvlar asosida xizmat ko'rsatish sifatini kafolatlaydi. Yuqorida aytib o'tilganlarning barchasiga muvofiq bulutli hisoblashning quyidagi asosiy xususiyatlarini ajratish mumkin: 1) bulutli hisoblash - bu hisoblash resurslarini ta'minlash uchun yangi paradigma; 2) asosiy infratuzilma resurslari (apparat resurslari, saqlash tizimlari, tizim dasturlari) va ilovalar xizmat sifatida taqdim etiladi; 3) ushbu xizmatlar mustaqil foydalanuvchilar tomonidan tashqi foydalanuvchilar uchun "ishdan bo'shatish" shartida taqdim etilishi mumkin, bulutli hisoblashning asosiy xususiyatlari virtualizatsiya va dinamik miqyoslash; 4) bulutli xizmatlar oxirgi foydalanuvchiga veb-brauzer orqali yoki ma'lum bir API (Application Programming Interface) orqali taqdim etilishi mumkin. Umumiy bulutli hisoblash modeli tashqi va ichki qismdan iborat. Ushbu ikkita element tarmoq orqali, aksariyat hollarda Internet orqali ulanadi. Tashqi qism orqali foydalanuvchi tizim bilan o'zaro aloqada bo'ladi; ichki qismi aslida bulutning o'zi. Old qismi mijoz kompyuteridan yoki korporativ kompyuterlar tarmog'idan va bulutga kirish uchun ishlatiladigan dasturlardan iborat. Ichki qismi virtualizatsiya orqali xizmatlar bulutini yaratadigan dasturlar, kompyuterlar, serverlar va ma'lumotlar do'konlari bilan ifodalanadi (1-rasm). Mavjud jismoniy virtual mashinalar (VM) ma'lumotlar markazidan (shahar) tashqi bulutlarga ko'chirilganda yoki shaxsiy bulutlarda xavfsiz perimetrdan tashqarida IT xizmatlarini taqdim qilganda, tarmoq perimetri umuman ma'nosiz bo'lib qoladi va umumiy xavfsizlik darajasi ancha past bo'ladi. An'anaviy ma'lumotlar markazlarida muhandislarning serverlarga kirishi jismoniy darajada qat'iy nazorat qilinadi, bulutli hisoblashda esa muhandislarning kirishi Internet orqali sodir bo'ladi, bu esa tegishli tahdidlarning paydo bo'lishiga olib keladi. Shunga ko'ra, ma'murlar uchun kirishning qattiq nazorati, shuningdek tizim darajasidagi o'zgarishlarning nazorati va shaffofligini ta'minlash juda muhimdir. Virtual mashinalar dinamikdir. VMlarning o'zgaruvchanligi izchil xavfsizlik tizimini yaratish va saqlashni juda qiyinlashtiradi. Zaifliklar va konfiguratsiya xatolari nazoratdan tashqariga chiqishi mumkin. Bunga qo'shimcha ravishda, keyingi tekshiruvlar uchun har qanday muayyan vaqtda himoya holatini qayd etish juda qiyin. Bulutli hisoblash serverlari mahalliy virtual va jismoniy serverlar bilan bir xil OS va bir xil veb-dasturlardan foydalanadi. Shunga ko'ra, bulutli tizimlar uchun masofadan turib buzish yoki zararli dasturlarni yuqtirish xavfi shunchalik katta. Boshqa tahdid - ma'lumotlar yaxlitligiga tahdid: murosaga kelish va ma'lumotlarni o'g'irlash. Operatsion tizim va dastur fayllarining yaxlitligi hamda ichki faoliyatni nazorat qilish kerak. Ko'p xonadonli bulutli xizmatlardan foydalanish standartlar va qonunlar talablariga, shu jumladan kriptografik vositalardan foydalanish talablariga rioya qilishni qiyinlashtiradi, masalan, kredit karta egasi haqidagi ma'lumot va shaxsiy ma'lumotni aniqlaydigan ma'lumotlar kabi maxfiy ma'lumotlarni himoya qiladi. shaxs. Bu, o'z navbatida, ishonchli ma'lumotlarni himoya qilish va maxfiy ma'lumotlarga xavfsiz kirishni ta'minlash vazifasini yuklaydi. Bulutli hisoblashda yuzaga kelishi mumkin bo'lgan tahdidlarni tahlil qilish asosida 5 ta texnologiyani o'z ichiga olgan bulutli hisoblash uchun mumkin bo'lgan apparat va dasturiy ta'minot kompleks xavfsizligi taklif etiladi: xavfsizlik devori, kirishni aniqlash va oldini olish, yaxlitlikni boshqarish, jurnalni tahlil qilish va zararli dasturlardan himoya qilish. Bulutli hisoblash provayderlari o'z mijozlariga arzon narxlardagi hisoblash resurslaridan foydalanish imkoniyatini ta'minlash uchun virtualizatsiyadan foydalanadilar. Shu bilan birga, mijozning VM-lari eng katta iqtisodiy samaradorlikka erishish uchun zarur bo'lgan bir xil apparat resurslarini baham ko'radi. O'zlarining ichki AT infratuzilmasini kengaytirish uchun bulutli hisoblashdan manfaatdor bo'lgan korxona mijozlari bunday harakatni keltirib chiqaradigan tahdidlarni hisobga olishlari kerak. Ma'lumotlarni qayta ishlash markazlarini tarmoqni himoya qilishning an'anaviy mexanizmlaridan tashqari, xavfsizlik yondashuvlari, masalan, chekka xavfsizlik devori, demilitarizatsiya qilingan zonalar, tarmoq segmentatsiyasi, tarmoqni monitoring qilish vositalari, kirishni aniqlash va oldini olish tizimlari, ma'lumotlarni himoya qilishning dasturiy mexanizmlari, shuningdek, virtualizatsiya serverlarida yoki VM, chunki VMlarning umumiy bulutli xizmatlarga o'tishi bilan korporativ tarmoq perimetri asta-sekin o'z ma'nosini yo'qotadi va eng kam himoyalangan tugunlar xavfsizlikning umumiy darajasiga sezilarli ta'sir ko'rsatishni boshlaydi. VMlar orasidagi hujumlarni qaytarish uchun jismoniy ajratish va xavfsizlik vositalaridan foydalanishning iloji yo'qligi, bu himoya mexanizmini virtualizatsiya serverida yoki VMlarning o'zida joylashtirish zarurligiga olib keladi. Virtual mashinaning o'zida keng qamrovli himoya qilish usulini amalga oshirish, shu jumladan xavfsizlik devorini dasturiy ta'minot bilan ta'minlash, kirishni aniqlash va oldini olish, butunlikni boshqarish, jurnalni tahlil qilish va zararli kodlardan himoya qilish - bu butunlikni himoya qilish, me'yoriy talablarga rioya qilish va ularga rioya qilishning eng samarali usuli. virtual resurslarni intranetdan bulutga ko'chirishda xavfsizlik siyosati. TOP-12 ni ko'rib chiqib, bulut xavfsizligiga tahdidlar haqida gaplashamiz. Ma'lumki, bulutli migratsiya soni har yili o'sib bormoqda va xavfsizlik masalasi hali ham jiddiy mavzu bo'lib qolmoqda. asosiy tahdidlarni o'z vaqtida aniqlashdir. Joriy yilning mart oyida bo'lib o'tgan RSA konferentsiyasida CSA (Cloud Security Alliance) tashkilotlarga duch keladigan 12 ta bulut xavfsizligi tahdidlari ro'yxatini taqdim etdi. Keling, ularni batafsil ko'rib chiqaylik.
Bulut an'anaviy infratuzilmalar bilan bir xil tahdidlarga duchor bo'ladi. Bugungi kunda bulutlarga tez-tez uzatiladigan ma'lumotlarning katta miqdori tufayli bulutli xosting provayderlari saytlari kiberjinoyatchilar uchun jozibali maqsadga aylanmoqda. Shu bilan birga, yuzaga kelishi mumkin bo'lgan tahdidlarning zo'ravonligi bevosita saqlanadigan ma'lumotlarning ahamiyati va ahamiyatiga bog'liq. Foydalanuvchilarning shaxsiy ma'lumotlarini oshkor qilish, qoida tariqasida, tibbiy kompaniyalarning obro'siga katta zarar etkazadigan tibbiy hisobotlar, tijorat sirlari, intellektual mulk ma'lumotlarini oshkor qilishdan ko'ra kamroq reklama qiladi. Ma'lumotlar buzilgan taqdirda, tashkilot jarimalar, sud da'volari yoki jinoiy javobgarliklar bilan, shuningdek tovar belgisiga zarar etkazish va biznesga zarar etkazish shaklida bilvosita tarkibiy qismlarga duch keladi, bu esa qaytarib bo'lmaydigan oqibatlarga olib keladi va kompaniyaning imidjini tiklash bo'yicha uzoq muddatli protseduralarga olib keladi. . Shuning uchun bulutli provayderlar bulutli muhitda tegishli boshqaruv va ma'lumotlarni himoya qilishni ta'minlashga intilishadi. Ma'lumotlar tarqalishi xavfi va tahdidlarini minimallashtirish uchun CSA ko'p faktorli autentifikatsiya va shifrlashdan foydalanishni tavsiya qiladi.
Ma'lumotlarning tarqalishi ko'pincha parollar zaif bo'lgan va shifrlash kalitlari va sertifikatlari noto'g'ri boshqariladigan autentifikatsiya mexanizmlariga e'tiborsizlik natijasida yuzaga keladi. Bundan tashqari, tashkilotlarda huquqlar va ruxsatnomalarni boshqarish muammolari yuzaga keladi, bu erda oxirgi foydalanuvchilarga ko'proq tayinlanadi haqidaaslida zarur bo'lganidan ko'proq vakolat. Muammo foydalanuvchi boshqa lavozimga o'tkazilganda yoki ishdan bo'shatilganda ham yuzaga keladi. Kam sonli odamlar yangi foydalanuvchi rollariga ko'ra ruxsatlarni yangilashga shoshilishmoqda. Natijada, hisobda yana ko'p narsalar mavjud haqidatalab qilinganidan ko'proq variant. Va bu xavfsizlik nuqsoni. CSA bir martalik parollar, tokenlar, smart-kartalar, USB kalitlarni o'z ichiga olgan ko'p faktorli autentifikatsiya mexanizmlaridan foydalanishni tavsiya qiladi. Bu bulutli xizmatlarni himoya qilishga yordam beradi, chunki ovozli usullardan foydalanish parollarni buzish jarayonini murakkablashtiradi.
Bugungi kunda bulutli xizmatlar va dasturlarni foydalanuvchilarga qulay interfeyssiz tasavvur etib bo'lmaydi. Bulutli xizmatlarning xavfsizligi va mavjudligi API-da kirishni boshqarish mexanizmlari va shifrlash qanchalik yaxshi ishlab chiqilganiga bog'liq. Xususiy API-lardan foydalangan holda uchinchi tomon bilan o'zaro aloqada bo'lganida, xatarlar sezilarli darajada oshadi. Nima uchun? Chunki foydalanuvchi nomi va paroligacha qo'shimcha ma'lumotlarni taqdim etish talab etiladi. Xavfsizligi zaif interfeyslar mavjudligi, maxfiyligi, yaxlitligi va xavfsizligi nuqtai nazaridan to'siq bo'lib qoladi. CSA sizga kirishni etarli darajada boshqarish, himoya vositalaridan foydalanish va tahdidlarni erta aniqlashni tashkil etishingizni tavsiya qiladi. Tahdidlarni simulyatsiya qilish va ularni qaytarish uchun echimlarni topish qobiliyati buzilishning oldini olishga loyiqdir. Bundan tashqari, CSA kod xavfsizligini tekshirishni va penetratsion testlarni o'tkazishni tavsiya qiladi. Tahdid 4: ishlatilgan tizimlarning zaifligi Amaldagi tizimlarning zaifligi multitenant bulutli muhitda duch keladigan muammo. Yaxshiyamki, bu ITni boshqarish bo'yicha to'g'ri amaliyot bilan minimallashtirilgan, deb ta'kidlaydi CSA. Eng yaxshi amaliyotlar orasida zaifliklarni muntazam ravishda skanerlash, so'nggi tuzatishlarni qo'llash va xavfsizlik tahdidlari to'g'risidagi xabarlarga tezkor javob berish kiradi. CSA hisobotlariga ko'ra, tizimning zaifliklarini kamaytirishga sarflanadigan xarajatlar boshqa AT xarajatlariga nisbatan pastroq. IaaS modelida bulutli echimlardan foydalanganda, kompaniyalar bulutli provayderning xavfsiz infratuzilmasida joylashgan dasturlarining xavfsizligiga etarlicha e'tibor bermasliklari odatiy xato. Ilovalarning zaifligi esa korporativ infratuzilmaning xavfsizligi uchun to'siq bo'lib qoladi.
Fishing, firibgarlik va ekspluatatsiyani bulutli muhitda ham topish mumkin. Bu operatsiyalarni manipulyatsiya qilish va ma'lumotlarni o'zgartirishga urinishlar ko'rinishidagi tahdidlarni qo'shadi. Bulutli saytlar kiberjinoyatchilar tomonidan hujumlar maydoni sifatida qaralmoqda. Hatto mudofaa chuqur strategiyasiga rioya qilish ham etarli bo'lmasligi mumkin. Foydalanuvchilarning akkauntlari va xizmatlarini bir-birlari bilan "bo'lishishini" taqiqlash, shuningdek ko'p faktorli autentifikatsiya mexanizmlariga e'tibor qaratish zarur. Amalga oshirilayotgan tafsilotlarni kuzatish orqali xizmat va foydalanuvchi hisoblarini nazorat qilish kerak. Asosiysi, hisoblaringizni o'g'irlikdan himoya qilish, CSA tavsiya qiladi.
Insayder tahdidlari hozirgi yoki sobiq xodimlar, tizim ma'murlari, pudratchilar yoki biznes sheriklaridan kelib chiqishi mumkin. Zararli insayderlar turli xil maqsadlarni ko'zlaydilar, ma'lumotlar o'g'irlanishidan tortib, shunchaki qasos olishga qadar. Bulut holatida infratuzilmani to'liq yoki qisman yo'q qilish, ma'lumotlarga kirish huquqi va boshqalar maqsad bo'lishi mumkin. To'g'ridan-to'g'ri bulutli provayder xavfsizligiga ishonadigan tizimlar katta xavf tug'diradi. CSA shifrlash mexanizmlariga g'amxo'rlik qilishni va shifrlash kalitlarini boshqarishni nazorat qilishni tavsiya qiladi. Shaxsiy hisob qaydnomalarini ro'yxatdan o'tkazish, monitoring qilish va tekshirishni unutmang. Xavf 7: aniq kiberhujumlar Rivojlangan barqaror tahdid yoki maqsadli kiberhujum bugungi kunda kamdan kam emas. Etarli bilim va tegishli vositalar to'plami bilan siz natijaga erishishingiz mumkin. Maqsadli infratuzilmada o'z ishtirokini o'rnatish va mustahkamlashga intilgan tajovuzkorni aniqlash juda oson emas. Bulutli xizmat ko'rsatuvchi provayderlar xatarlarni minimallashtirish va bunday tahdidlarning oldini olish uchun zamonaviy xavfsizlik vositalaridan foydalanadilar. Ammo zamonaviy echimlardan tashqari, ushbu turdagi hujumning mohiyati va mohiyatini tushunish talab etiladi. CSA xodimlarga tajovuzkorlarning texnikasini tan olish, xavfsizlikning ilg'or vositalaridan foydalanish, jarayonlarni to'g'ri boshqarishi, hodisalarni rejalashtirilgan ta'siridan xabardor bo'lish va infratuzilma xavfsizligi darajasini oshiradigan profilaktika usullarini qo'llash bo'yicha maxsus treninglarni o'tkazishni tavsiya qiladi.
Bulutlar etarlicha pishganligi sababli, xizmat ko'rsatuvchi provayder tufayli ma'lumotlar tiklanishdan tashqari yo'qolishi juda kam uchraydi. Shu bilan birga, tajovuzkorlar ma'lumotlarni doimiy ravishda yo'q qilish oqibatlari to'g'risida bilib, bunday halokatli harakatlarni amalga oshirishni maqsad qilishmoqda. Xavfsizlik choralariga rioya qilish uchun bulutli xosting provayderlari foydalanuvchi ma'lumotlarini dastur ma'lumotlaridan ajratishni, ularni turli joylarda saqlashni tavsiya qiladi. Zaxira qilishning samarali usullari haqida unutmang. Kundalik zaxira va zaxira nusxalarini tashqi muqobil xavfsiz saytlarda saqlash, bulutli muhit uchun juda muhimdir. Bundan tashqari, agar mijoz ma'lumotni bulutga joylashtirishdan oldin uni shifrlasa, shifrlash kalitlarini oldindan saqlash xavfsizligini ta'minlashga arziydi. Ular tajovuzkorning qo'liga tushishi bilanoq, ma'lumotlarning o'zi ular bilan mavjud bo'lib, ularni yo'qotish jiddiy oqibatlarga olib kelishi mumkin.
Bulut imkoniyatlarini tushunmasdan bulutga o'tadigan tashkilotlar xavf-xatarlarga duch kelishadi. Agar, masalan, mijozlar tomonidan ishlab chiqilgan guruh bulut texnologiyalarining o'ziga xos xususiyatlari va bulutli dasturlarni joylashtirish printsiplari bilan etarli darajada tanish bo'lmasa, operatsion va me'moriy muammolar yuzaga keladi. CSA xizmat ko'rsatuvchi provayder tomonidan taqdim etiladigan bulutli xizmatlarning ishlashini tushunish kerakligini eslaydi. Bu xosting provayderi bilan shartnoma tuzish orqali kompaniyaning qanday xatarlarni o'z zimmasiga olishiga oid savolga javob berishga yordam beradi. Tahdid 10: bulutli xizmatlardan suiiste'mol qilish Bulutlardan qonuniy va noqonuniy tashkilotlar foydalanishi mumkin. Ikkinchisining maqsadi - zararli xatti-harakatlarni amalga oshirish uchun bulutli manbalardan foydalanish: DDoS hujumlarini boshlash, spam yuborish, zararli tarkibni tarqatish va hk. Xizmat ko'rsatuvchi provayderlar uchun bunday ishtirokchilarni tanib olish juda muhimdir, ular uchun o'rganish tavsiya etiladi. trafikni batafsil va bulutli monitoring vositalaridan foydalaning. Xavf 11: DDoS hujumlari DoS hujumlari uzoq tarixga ega bo'lsa-da, bulutli texnologiyalarning rivojlanishi ularni keng tarqalishiga olib keldi. DoS hujumlari natijasida kompaniya faoliyati uchun muhim bo'lgan xizmatlar juda sekinlashishi yoki hatto ishlamay qolishi mumkin. DoS hujumlari mijozning foydalanishi uchun to'laydigan katta miqdordagi hisoblash quvvatini iste'mol qilishi ma'lum. DoS hujumlari tamoyillari, birinchi qarashda, sodda bo'lishiga qaramay, ularning xususiyatlarini dastur darajasida tushunish kerak: ular veb-serverlar va ma'lumotlar bazalaridagi zaifliklarga qaratilgan. Bulut provayderlari DoS hujumlarini boshqarishda individual mijozlarga qaraganda yaxshiroqdir. Eng muhimi, hujum sodir bo'lishidan oldin uni kamaytirish rejasini tuzishdir. Tahdid 12: umumiy texnologiyalar, umumiy xavflar Amaldagi texnologiyalardagi zaifliklar bulutga etarlicha xavf tug'diradi. Bulutli xizmat ko'rsatuvchi provayderlar virtual infratuzilmani, bulutli dasturlarni taqdim etadilar, ammo zaiflik darajalardan birida yuzaga kelsa, bu butun atrof-muhitga ta'sir qiladi. CSA xavfsizlikni chuqurlashtiradigan strategiyadan foydalanishni, ko'p faktorli autentifikatsiya mexanizmlarini, tajovuzni aniqlash tizimlarini amalga oshirishni, tarmoq segmentatsiyasi kontseptsiyasiga va eng kam imtiyozlar berish printsipiga amal qilishni tavsiya qiladi. Hozir Google rahbari bo'lgan Erik Shmitt birinchi marta "bulut" atamasini Internetdagi tarqatilgan hisoblash tizimini nazarda tutganda, bu afsonalarda tez-tez uchraydigan so'zlardan biri ekanligini deyarli bilmagan. Dunyo xalqlarining deyarli barcha afsonalarida ilohiy mavjudotlar osmonga juda yaqin - bulutlarda yashaydilar. Natijada, "bulutli hisoblash" atamasi marketologlar orasida juda mashhur, chunki u ijod uchun joy beradi. Shuningdek, biz ushbu afsonalarni og'zaki ravishda bayon qilishga va ularning IT bilan qanday organik tarzda birlashtirilganligini tushunishga harakat qilamiz. Download 21.33 Kb. Do'stlaringiz bilan baham: |
ma'muriyatiga murojaat qiling