Парадигма безопасности облачных вычислений



бет1/3
Дата14.09.2022
өлшемі28.56 Kb.
#290231
  1   2   3
Байланысты:
облоко выч парадигмы
АСЫЛХАН ОЧЕТ 5, 1. Елбасы – Қазақстан көшбасшысы,21,09,2021, макала

ПАРАДИГМА БЕЗОПАСНОСТИ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ
Термин «Облачные вычисления» появился в информационной терминологии относительно недавно. Согласно результатам анализа поисковой системы Google, термин «Облачные вычисления» («Cloud Computing») начал применяться с конца 2007 - начала 2008 года, постепенно вытесняя словосочетание «Грид-вычисления» («Grid Computing»). Одной из первых компаний, давших миру данный термин, стала компания IBM, развернувшая в начале 2008 года проект «Blue Cloud» и спонсировавшая Европейский проект «Joint Research Initiative for Cloud Computing». Метафорический образ «облако» уже давно используется специалистами в области сетевых технологий для изображения на сетевых диаграммах сложной вычислительной инфраструктуры (или же Интернета как такового), скрывающей свою внутреннюю организацию за определенным интерфейсом. Не задерживаясь на множестве определений, отражающих различные точки зрения и акценты авторов на эту информационную технологию (ИТ), остановимся на двух, которые отражают национальную стандартизацию данного понятия в общем контексте семантических отношений ИТ.
Национальный институт стандартов и технологий (НИСТ) США, 2011: Облачные вычисления – информационно-технологическая концепция, подразумевающая обеспечение повсеместного и удобного сетевого доступа по требованию к общему пулу конфигурируемых вычислительных ресурсов (например, сетям передачи данных, серверам, устройствам хранения данных, приложениям и сервисам как вместе, так и по отдельности), которые могут быть оперативно предоставлены и освобождены с минимальными эксплуатационными затратами или обращениями к провайдеру.
Минкомсвязи РФ (опубликовано на Федеральном портале нормативных правовых актов), 2016: Облачные вычисления – информационные технологии, включающие в том числе государственную инфраструктуру облачных вычислений, обеспечивающие дистанционную обработку данных более чем одной информационной системой.
Отметим сразу, что это определение, достаточно радикальное и на наш взгляд вполне адекватное по сути, принципиальным образом отличается от общепринятого понимания облачных вычислений, под которыми подразумеваются не технологии, а модель взаимоотношений между поставщиком и потребителем ИТ. Например, как раскрывается этот термин на сайте IBM: «Облачные вычисления, часто именуемые просто "облаками" - это модель предоставления вычислительных ресурсов (от отдельных приложений до центра обработки данных – ЦОД) через Интернет с оплатой по факту использовании».
Облачные вычисления обеспечивают практически неограниченную мощность, устраняя проблемы масштабируемости. Облачные вычисления открывают разработчикам доступ к программным и аппаратным активам, которые большинство пользователей малого и среднего бизнеса не могли бы себе позволить. В том числе, разработчики приложений, используя управляемые через Интернет облачные вычисления и активы, являющиеся результатом такой конфигурации, имеют доступ к ресурсам, позволяющим разрабатывать продукты ИТ, которые им не были доступны ранее.
Контроль и управление облаками – является проблемой безопасности. Гарантий, что все ресурсы облака идентифицируемы и в нем нет неконтролируемых виртуальных машин, не запущено лишних процессов и не нарушена взаимная конфигурация элементов облака, нет. Это высокоуровневый тип угроз, т.к. он связан с управляемостью облаком, как единой информационной системой и для него общую защиту нужно строить индивидуально. Для этого необходимо использовать модель управления рисками для облачных инфраструктур.
В основе обеспечения физической безопасности лежит строгий контроль физического доступа к серверам и сетевой инфраструктуре. При переходе от физической инфраструктуры к виртуальной возникает множество новых угроз. При расширении виртуализации до облака их список расширяется, а возможный ущерб от их эксплуатации многократно возрастает. В отличии от физической безопасности, сетевая безопасность в первую очередь представляет собой построение надежной модели угроз, включающей в себя защиту от вторжений и межсетевой экран (МЭ). Использование МЭ подразумевает работу фильтра, с целью разграничить внутренние сети ЦОД на подсети с разным уровнем доверия. Это могут быть отдельно серверы, доступные из Интернета или серверы из внутренних сетей. В облачных вычислениях важнейшую роль платформы выполняет технология виртуализации. Для сохранения целостности данных и обеспечения защиты рассмотрим основные известные угрозы для облачных вычислений.
Проблемы при перемещении обычных (физических) серверов в вычислительное облако.
Требования к безопасности облачных вычислений не отличаются от требований безопасности к центрам обработки данных. Однако, виртуализация ЦОД и переход к облачным средам приводят к появлению новых угроз. Доступ через Интернет к управлению вычислительной мощностью один из ключевых характеристик облачных вычислений. В большинстве традиционных ЦОД доступ персонала к серверам контролируется на физическом уровне, в облачных же средах, они работают через Интернет. Разграничение контроля доступа и обеспечение прозрачности изменений на системном уровне является одним из главных критериев защиты.
 Динамичность виртуальных машин. Виртуальные машины динамичны. Создать новую машину, остановить ее работу, запустить заново, все это можно сделать за короткое время. Они клонируются и могут быть перемещены между физическими серверами. Данная изменчивость трудно влияет на разработку целостности системы безопасности. Однако, уязвимости операционной системы или приложений в виртуальной среде распространяются бесконтрольно и часто проявляются после произвольного промежутка времени (например, при восстановлении из резервной копии). В средах облачных вычислениях важно надежно зафиксировать состояние защиты системы, при этом это не должно зависеть от ее состояния и местоположения.
Уязвимости внутри виртуальной среды. Серверы облачных вычислений и локальные серверы используют одни и те же операционные системы и приложения. Для облачных систем угроза удаленного взлома или заражения вредоносным ПО высока. Риск для виртуальных систем также высок. Параллельные виртуальные машины увеличивает «атакуемую поверхность». Система обнаружения и предотвращения вторжений должна быть способна обнаруживать вредоносную активность на уровне виртуальных машин, вне зависимости от их расположения в облачной среде.
Защита бездействующих виртуальных машин. Когда виртуальная машина выключена, она подвергается опасности заражения. Доступа к хранилищу образов виртуальных машин через сеть достаточно. На выключенной виртуальной машине абсолютно невозможно запустить защитное программное обеспечение. В данном случаи должна быть реализована защита не только внутри каждой виртуальной машины, но и на уровне гипервизора.
Защита периметра и разграничение сети.При использовании облачных вычислений периметр сети размывается или исчезает. Это приводит к тому, что защита менее защищенной части сети определяет общий уровень защищенности. Для разграничения сегментов с разными уровнями доверия в облаке виртуальные машины должны сами обеспечивать себя защитой, перемещая сетевой периметр к самой виртуальной машине. Корпоративный МЭ – основной компонент для внедрения политики безопасности и разграничения сегментов сети, не в состоянии повлиять на серверы, размещенные в облачных средах.
Решения по защите от угроз безопасности
1. Шифрование – один из самых эффективных способов защиты данных. Провайдер, предоставляющий доступ к данным должен шифровать информацию клиента, хранящуюся в ЦОД, а также в случаи отсутствия необходимости, безвозвратно удалять.
2. Защита данных при передаче. Зашифрованные данные при передаче должны быть доступны только после аутентификации. Данные не получится прочитать или сделать изменения, даже в случаи доступа через ненадежные узлы. Такие технологии достаточно известны, алгоритмы и надежные протоколы AES, TLS, IPsec давно используются провайдерами.
3. Аутентификация – защита паролем. Для обеспечения более высокой надежности, часто прибегают к таким средствам, как токены и сертификаты. Для прозрачного взаимодействия провайдера с системой идентификации при авторизации, также рекомендуется использовать LDAP (Lightweight Directory Access Protocol) и SAML (Security Assertion Markup Language).
4. Изоляция пользователей. Использование индивидуальной виртуальной машины и виртуальную сеть. Виртуальные сети должны быть развернуты с применением таких технологий, как VPN (Virtual Private Network), VLAN (Virtual Local Area Network) и VPLS (Virtual Private LAN Service). Часто провайдеры изолируют данные пользователей друг от друга за счет изменения данных кода в единой программной среде. Данный подход имеет риски, связанные с опасностью найти дыру в нестандартном коде, позволяющему получить доступ к данным. В случае возможной ошибки в коде пользователь может получить данные другого клиента.
По части предоставления услуг в «облаке» выделяют следующие основные сервисы:
– программное обеспечение как сервис (SaaS) – обеспечивает аренду приложений. Потребители этих сервисов – конечные пользователи, они работают с приложениями в «облаке». Модель предоставления программного обеспечения как сервиса – модель обеспечения доступа к приложениям через Интернет с оплатой по факту их использования;
– платформа как сервис (PaaS) – предоставляет возможность аренды платформы. Потребители – сами компании, разработавшие приложения. Платформа обеспечивает среду для выполнения приложений, сервисы по хранению данных и ряд дополнительных сервисов, например, интеграционные или коммуникационные;
– инфраструктура как сервис (IaaS) – имеет возможность аренды серверов, устройства хранения данных и сетевого оборудования. Потребители – владельцы приложений, ИТ-специалисты, подготавливающие образы ОС для их запуска в сервисной инфраструктуре. В этой модели могут быть запущены практически любые приложения, установленные на стандартные образы.
Теперь, исходя из выше изложенного, сформулируем некую исходную концептуальную схему, то есть парадигму, под влиянием которой была сформирована действующая в стране, отрасли или корпорации нормативная база по информационной безопасности облачных вычислений. Она в свою очередь формирует модель злоумышленника и далее политику безопасности, отраженную в нормативных документах. Предлагаемую парадигму изложим в виде некоторых постулатов, базирующихся на опыте реализации задач по созданию и обеспечению успешного функционирования конкретных систем информационной безопасности облачных вычислений, на анализе трудностей, о которых сказано ранее, на устранении противоречий, имеющихся в действующем подходе к решению этой весьма сложной проблемы, а главное, в получении эффекта, заметного для организации и экономически ощутимого.

Постулаты парадигмы безопасности.


1. B основе парадигмы безопасности лежит противоборство собственника и злоумышленника за контроль над активами «облаков». B случае, если злоумышленник устанавливает контроль над активами, собственнику неминуемо наносится ущерб.
2. Главный источник угроз — это персонал (в технических терминах — авторизованный, то есть официально допущенный к активу; в нашем случае - это пользователи и персонал технической поддержки, допущенные к работе с информацией и с информационными системами). Внешний злоумышленник (субъект несанкционированного доступа), вероятнее всего, имеет сообщника внутри организации или преследует некие другие стратегические цели. Это не означает, что на борьбу с внешними угрозами, например, с вирусными инфекциями, не следует обращать внимания. Имеется в виду другое: угрозы со стороны внешних злоумышленников в значительной степени характерны для более «низких», технических слоев деятельности организации, например эксплуатации аппаратных комплексов, сетевых и почтовых приложений, взаимодействия внутренних и внешних сетей, тогда как угрозы со стороны авторизованных пользователей наиболее характерны для уровня бизнес-процессов организации. Следовательно, ущерб от реализованных угроз, исходящих от внешних и внутренних субъектов угроз, несоизмерим.


Достарыңызбен бөлісу:
  1   2   3




©melimde.com 2022
әкімшілігінің қараңыз

    Басты бет
Сабақтың тақырыбы
бойынша жиынтық
жиынтық бағалау
Сабақ тақырыбы
Сабақтың мақсаты
ғылым министрлігі
тоқсан бойынша
бағдарламасына сәйкес
Сабақ жоспары
бағалауға арналған
Реферат тақырыбы
сәйкес оқыту
жиынтық бағалауға
арналған тапсырмалар
білім беретін
оқыту мақсаттары
Қазақстан республикасы
бағалау тапсырмалары
республикасы білім
Жалпы ережелер
жиынтық бағалаудың
рсетілетін қызмет
бекіту туралы
мерзімді жоспар
Қазақстан тарихы
тоқсанға арналған
Қазақстан республикасының
арналған жиынтық
болып табылады
қызмет стандарты
жалпы білім
нтізбелік тақырыптық
Мектепке дейінгі
арналған әдістемелік
оқыту әдістемесі
бағалаудың тапсырмалары
Қазақ әдебиеті
Зертханалық жұмыс
Инклюзивті білім
пәнінен тоқсанға
білім берудің
Әдістемелік кешені
тақырыптық жоспар
Қысқа мерзімді
республикасының білім
туралы жалпы
атындағы жалпы
Қазақстанның қазіргі
Жұмыс бағдарламасы
пайда болуы
қазақ тілінде