|
Bulutli hisoblashlarga tahdidlar va ulardan himoyalanish usullari
|
| bet | 4/5 | | Sana | 04.06.2024 | | Hajmi | 22,54 Kb. | | #260056 |
Bog'liq 15-Mavzu.Bulutli husoblash tizimlarida axborot xavfsizligi.Bulutli hisoblashlarga tahdidlar va ulardan himoyalanish usullari
Bulutli hisoblashlar xavfsizligiga qo’yiladigan talablar ma’lumotlarni ishlash markazlariga qo’yiladigan talablardan farqlanmaydi. Ammo, ma’lumotlarni ishlash markazining virtuallanishi va bulutli muhitga o’tish yangi tahdidlarning paydo bo’lishiga olib keladi.
Quyida bulutli hisoblashlarga asosiy tahdidlar keltirilgan:
- oddiy serverlarning bulutli hisoblashga ko’chishidagi qiyinchiliklar. Aksariyat an’anaviy ma’lumotlarni ishlash markazlarida injenerlarning serverlardan foydalanishi fizik sathda nazoratlanadi, bulutli muhitda ular Internet orqali ishlaydilar;
- virtual mashinalarning dinamikligi. Yangi mashinani yaratish, uning ishlashini to’xtatish, qaytadan ishga tushirish qisqa vaqt mobaynida amalga oshirilishi mumkin. Ular klonlashtiriladi va fizik serverlar orasida ko’chirilishi mumkin. Bunday o’zgaruvchanlik xavfsizlik tizimining yaxlitligiga ta’sir qiladi. Ammo, virtual muhitda operatsion tizim yoki ilovalarning zaifligi nazoratsiz tarqaladi va ko’pincha vaqtning ixtiyoriy oralig’idan so’ng (masalan, rezerv nusxadan tiklashda) namoyon bo’ladi. Bulutli hisoblashlar muhitida tizim himoyasi uning holatiga va o’rnashgan joyiga bog’liq bo’lmasligi lozim;
- virtual muhit ichidagi zaifliklar. Bulutli hisoblash serverlari va lokal serverlar bir xil operatsion tizimlardan va ilovalardan foydalanadi. Bulutli tizimlar uchun masofaviy yorib kirish yoki zararli dasturiy ta’minot bilan zararlanish tahdidi yuqori. Virtual tizimlar uchun risk ham yuqori. Parallel virtual mashinalar "hujumlanuvchi yuzani" kattalashtiradi. Yorib kirishlarni aniqlash va bartaraf etish tizimi virtual mashinalar sathida, ularning bulutli muhitdagi o’rniga bog’liq bo’lmagan holda, zararli aktivlikni aniqlashga qodir bo’lishi shart;
- ishlamayotgan virtual mashinalar himoyasi. Virtual mashina o’chirilganida zararlanish xavfiga duchor bo’ladi. Virtual mashinalar obrazlarini saqlagichidan tarmoq orqali foydalanish yetarli bo’ladi. O’chirilgan virtual mashinada himoyalovchi dasturiy ta’minotni ishga tushirish mutlaqo mumkin emas. Bu holda himoya nafaqat har bir virtual mashina ichida, balki gipervizor sathida amalga oshirilishi lozim;
- tarmoq perimetri himoyasi va tarmoqni chegaralash. Bulutli hisoblashlardan foydalanilganda tarmoq perimetri yo’qoladi. Natijada tarmoqning kamroq himoyalangan qismi himoyalanishning umumiy darajasini belgilashi mumkin. Bulutdagi turli ishonch darajasiga ega foydalanishlarni chegaralash uchun virtual mashinalar, tarmoq perimetrini virtual mashinaning o’ziga ko’chirish orqali, o’zlariga himoyani ta’minlashlari lozim. Korporativ brandmauer bulutli muhitlarda joylashgan serverlarga ta’sir etishga qodir emas.
Hozirda bulutli hisoblashlarda axborotni himoyalashning quyidagi to’rtta usuli keng tarqalgan:
- shifrlash;
- uzatishda ma’lumotlarni himoyalash;
- autentifikatsiya;
- foydalanuvchilarni izolyasiyalash.
Shifrlash - ma’lumotlarni himoyalashning eng samarali usullaridan biri. Ma’lumotlardan foydalanishni taqdim etuvchi provayder mijozning ma’lumotlarni ishlash markazida saqlanuvchi axborotini shifrlashi hamda zaruriyat bo’lmasa qaytmaydigan qilib yo’q qilishi lozim.
Ma’lumotlarni shifrlashda doimo kalitlar xususida masala paydo bo’ladi. Ularni bulutli serverda saqlash maqsadga muvofiq hisoblanmaydi, chunki bulutli serverlardan yoki shablonlardan foydalanish huquqiga ega sub’ekt kalitdan, demak deshifrlangan ma’lumotlardan foydalanishi mumkin. Kalitni fizik kiritish so’rov bilan almashtiriladi. So’rovni bulutli server tashqi manbaga - kalitlarni boshqarish serveriga (Key Management Server, KMS) jo’natadi.
Bunday yechimning xavfsizligini ta’minlashda hal qiluvchi omil sifatida bulutli serverning va boshqarish serverining, agar ikkalasi bulutli serverlarning bitta provayderida saqlangan bo’lsa, alohida ekspluatatsiyasini ko’rsatish mumkin .
Uzatishda ma’lumotlarni himoyalash. Ma’lumotlarni xavfsiz ishlashda ularni shifrlangan holda uzatish majburiy shart hisoblanadi. Ommaviy bulutda ma’lumotlarni himoyalash maqsadida virtual xususiy tarmoq (VPN) tunneli ishlatiladi. Ommaviy bulutli xizmatlarni olish uchun tunnel mijoz bilan serverni ulaydi. VPN-tunnel xavfsiz ulanishni ta’minlaydi va turli bulutli resurslardan foydalanish uchun yagona ism va parolni ishlatishga imkon beradi. Ommaviy bulutlarda VPN-ulanishlar ma’lumotlarni uzatish vositasi sifatida Internet kabi umumfoydalanuvchi resurslarni ishlatadi. Jarayon Secure Sockets Laer (SSL) protokoli bazasida ikkita kalit yordamida shifrlashli foydalanish rejimiga asoslangan. SSL va VPN protokollarining aksariyati opsiyalar sifatida autentifikatsiya uchun raqamli sertifikatlarni ishlatishni madadlaydi. Raqamli sertifikatlar yordamida ma’lumotlarni uzatmasdan oldin, ikkinchi tomonning identifikatsiya axboroti tekshiriladi. Bunday raqamli sertifikatlar shifrlangan ko’rinishda virtual qat’iy disklarda saqlanishi mumkin va ular faqat kalitlarni boshqaruvchi server identifikatsiya axboroti va tizim yaxlitligini tekshirganidan so’ng, ishlatiladi. Demak, bunday o’zaro bog’liqlik zanjiri ma’lumotlarni faqat dastlabki ko’rikdan o’tgan bulutli serverlarga uzatishga imkon beradi. Uzatishda shifrlangan ma’lumotlardan faqat autentifikatsiyadan so’ng foydalanish mumkin.
|
| |
