Amaliy
mаshg‘ulоti № 1
5
Mаvzu: Cloud Computing texnologiyasida ma’lumotlar xavfsizligini ta’minlash
usullari.
Ishdаn mаqsаd:
Ushbu amaliy ish Cloud Computing texnologiyasida ma‟lumotlar
xavfsizligini ta‟minlash usullarini o„rganishdan iborat.
Tеxnik vа dаsturiу vоsitаlаr:
Windоws ОT, Vidеорrоеktоr, kоmруutеr, Cloud
computing texnologiyasi.
Nаzаriу qism:
Bu texnologiya o„zi bilan birga, hisoblashda xarajatlarni kamaytirish, ilovalar hosti,
ma‟lumot saqlovchilar va ma‟lumot uzatishda katta imkoniyatlarni olib keladi.
Cloud Computing tizimi xususiyatlari
Cloud computinghisoblash modeli hisoblanib, ma‟lumot, fayl saqlovchilar, ilovalar
uchun dinamik infratuzilmani ta‟minlash uchun lokal yoki global tarmoqda ulangan ko„p
sondagi tizimlardan tashkil topgan. Bu texnologiya o„zi bilan birga, hisoblashda
xarajatlarni kamaytirish, ilovalar hosti, ma‟lumot saqlovchilar va ma‟lumot uzatishda
katta imkoniyatlarni olib keladi.
Cloud computingtermini Internetni ifodalashda foydalanilgan belgidan kelib
chiqqan. Odatda, tarmoq diagrammasida Internet bulut (ing., cloud) shaklidagi belgi bilan
ifodalanadi (1-rasm). Ushbu tarmoq diagrammasida bulut belgisi “qolgan barcha
qismlarni” ifodalashda foydalanildi yoki “va h.k” qolgan tarmoq xaritasini ifodalashda
foydalanildi. Shuning uchun, buni “Cloud compting” konsepsiyasiga tadbiq qilsa bo„ladi.
1-rasm. Tarmoq diagrammasida bulutdan Internetni ifodalashda
foydalanilishi.
Cloud Computing ko„plab masofaviy serverlardagi hisoblashlar bo„lib, bunda
markazlashgan ma‟lumot saqlagichlar, onlayn boshqariluvchi xizmatlar yoki resurslardan
foydalanishga ruxsat beriladi (2-rasm).
2-rasm. Cloud Computing
Bundan tashqari “clouds” yoki “cloud computing” terminlari turli adabiyotlarda
turlicha ifodalananadi.
Cloud terminini yuzaga kelishi natijasida tashkilotlarda foydalanilgan CAPEX
(ma‟lum vaqtda fizik qurilmalardan foydalanish uchun ularni sotib olish) modelidan,
OPEX (taqsimlangan cloud infratuzilmasidan foydalanish va foydalangan vaqt uchun pul
to„lash) modeliga o„tilyapti.
Cloud tizimini umumiy holda tushunish uchun quyida keltirilgan 3-rasmni olish mumkin.
Ushbu rasmda Cloud tizimi tashkil etuvchilari, uning xususiyatlari, turlari va boshqa
ma‟lumotlar keltirilgan bo„lib, bu ma‟lumotlar bir qarashda Cloud tizimi haqida dastlabki
ma‟lumotlarni olishga yordam beradi.
3-rasm. Cloud tizimlarning asosiy ko„rinishining no to„liq shakli
4-rasm. Cloud computing arxitekturasi.
Cloud Computing texnologiyasi 3 ta katta turga ajratilib, bular quyidagilar:
Infratuzulma xizmati (Infrastructure-as-a-Service, IaaS);
Platforma xizmati (Platform-as-a-Service, PaaS);
Ilova xizmati (Software-as-a-Service, SaaS).
Ilova xizmati (SaaS)
Platforma xizmati (PaaS)
Infratuzilma xizmati (IaaS)
Vertual satx
Fizik satx
Ushbu 3 ta xizmat tuzilishi bo„yicha 15.4-rasmda keltirilgan arxitekturaga
asoslanadi.
1.Software as Service (SaaS) modeli
Ushbu modelda foydalanuvchiga tugallangan dasturiy ta‟minot taklif etilib, cloud
tizimida bitta xizmat asosida ko„plab foydalanuvchilarga xizmat ko„rsatiladi. Cloudning
ushbu xizmat modelida foydalanuvchi kichik foydalanuvchi ilovasi (thin
client)yordamida brauzer orqali tizimni boshqaradi. SaaStizimi o„zida ko„plab ilovalarni
qamrab olib, ular, ofis ilovalari, turli messenjerlar, to„lovni amalga oshiruvchi maxsus
ilovalar, ma‟lumotlarni boshqaruvchi tizim ilovalari, boshqaruvchi ilovalar va ko„plab
turdagi ilovalarni o„z ichiga oladi.
SaaS modeli asosiy imkoniyati bu, sarf xarajatlarni kamaytirish bo„lib, bunda
foydalanuvchi dasturiy vositani to„liq sotib olmasdan, undan kerak bo„lgan vaqtdagina
foydalanadi. Bu albatta ortiqcha sarf-xarajatlarni oldini oladi. Quyida esa uning yana
quyidagi imkoniyatlari keltirilgan:
2.Platform as Service (PaaS) modeli
PaaS xizmatida istemolchi IaaS xizmatidan foydalanib qurilgan tizim ustida,
o„zining istagan dasturiy vositani yaratish imkoniniga ega bo„ladi. Ushbu imkoniyatlar
dasturlarlash tillari, maxsus dasturlar yoki boshqa qo„shimcha ilovalar ko„rinishida
bo„ladi. Qisqa qilib aytganda PaaS xizmati IaaS tizimida ixtiyoriy dasturlash tillaridan
foydalangan holda yangi dasturlarni yaratish imkoniyatini beradi.
Shulardan kelib chiqib shuni aytish mumkinki, PaaS xizmati orqali quyidagi
imkoniyatlarga ega bo„linadi:
Kam xarajat.Ushbu xizmatdan foydalangan holda istemolchi o„z sarf xarajatlarini
kamida ikki marta kamaytirishi mumkin.
Qisqa tayyorlov vaqti.PaaS xizmati maxsus ilovalar yoki umumiy funksiyalarni
boshqarish tizimi asosida dasturiy vositani tayyorlanish vaqtini kamaytiradi.
Kam xatarlilik. PaaS xizmati yaratilayotgan dasturiy vositalarda xatarlilik darajasini
kamaytiradi. Sababi, ushbu tizimda foydalanilayotgan ko„plab funksiyalar allaqachon
testlangan va sinovlardan o„tgan.
Yuqori xavfsizlik darajasi. Ushbu xizmat asosida yaratilayotgan dasturiy vositalar
yaratilish muhiti xavfsiz bo„lganligi sababli ana‟naviy usulda yaratilgan dasturiy
vositalarga qaraganda xavfsizdir.
3.Infrastructure as Service (IaaS) modeli
Ma‟lumotlar infratuzilmasi boshqa tizimlar, telefon tizimlari, yo„l tizimlari kabi
samarali model tomon harakatlanyapti. Infratuzulma xizmati tashkilotlarni internet
tarmog„i orqali ma‟lumot saqlash tizimlari va hisoblash tizimlari bilan ta‟minlab,
istemolchi o„zi uchun kerakli infratuzulmani qurishda IaaS xizmati ta‟minlagan,
serverlar, ma‟lumotlarni saqlash tizimlari, ma‟lumot markazlari, tarmoq jixozlari va hak.
aoydalanishi mumkin. Keng tarqalgan IaaS ga misol, Amazon Elastic Compute Cloud,
GoGrid, 3 Tera.
SaaS, PaaS va IaaS xizmatlarida xavfsizlik
Cloud tizimida xavfsizlikni ta‟minlash ana‟naviy tizimlardagiga qaraganda farq
qilib, bu farq cloud tizimining tuzulishi va ishlash jarayonidani amallar orqali
belgilanadi.
Umumiy holda Cloud tizimi arxitekturasi quyidagicha (5-rasm):
Bundan oldingi bo„limlarda keltirilgan zaifliklar va tahdidlarni cloud tizimining
uchta modeliga tegishli bo„lganlarini ajratib chiqilsa, ushbu muammolarning ba‟zilari
cloud provayderlariga tegishli bo„lsa, qolganlari Sloud istemolchilari tegishlidir.
5-jadval Cloud tizimining xavfsizlik arxitekturasi.
IaaS muammolari. Cloud tizimining ushbu modelida istemolchi tizimni xavfsizlik
yuzasidan boshqaruv darajasi kam bo„lib, ushbu model asosida qurilgan operatsion tizim
xavfsizligini ta‟minlash esa to„liq istemolchi nazoratida bo„ladi. Quyida IaaS tizimida
bo„lishi mumkin bo„lgan xavfsizlik muammolari keltirilgan:
Vertual mashina xavfsizligi-deganda vertual mashinada o„rnatilgan sistemani va
ishchi maydonni tahdidlardan himoya qilish tushunilib, Cloud tizimi provayderidan
tizimni to„g„ri vertuallashtirish talab etiladi. Shuning uchun ushbu Cloud tizimi modelida
asosiy muammolardan biri vertuallashtirish muammosidir. Xavfsizlik vertuallashgan IaaS
tizimida qurilgan operatsion tizim xavfsizligiga esa istemolchi javobgardir.
Vertuallashtirishda foydalanilgan dasturiy vosita muammosi. Ushbu muammo cloud
provayderiga tegishli bo„lib, foydalanilgan vertuallashtirish dasturiy vositasi buzg„unchi
kodlar bor-yo„qligi bilan belgilanadi. Ushbu holatda faqat ishonchli bo„lgan dasturiy
vositalardan foydalanish talab etiladi.
Vertual tarmoq xavfsizligi muammosi. Bu muammo bir ijarachi fizik serverda
bo„lgan yoki bir nechta fizik serverlarda joylashgan vertual serverni hosil qilishda
foydalanilgan vertual tarmoqda mavjud bo„lib, tarmoqni vertullashtirishda asosan
switchdan foydalaniladi.
Vertual mashina xavfsizlik to„siqlari muammolari. Ushbu muammo odatiy tizimda
mavjud bo„lmasdan, bir fizik serverda mavjud vertual mashinalarning shu server CPU,
xotira, I/O va boshqa resurslardan foydalanishda yuzaga keladi. Bir fizik server
resurslaridan foydalanilgani, ularni fizik ajratish mumkin emasligi va buning natijasida
vertual serser orasida ma‟lumot chiqib ketishi bilan belgilanadi. Ushbu muammo Cloud
tizimi provayderi muammosi sanaladi.
Ushbu
modelda
xavfsizlik
masalasini
taqsimlanishi
Amazon
Elastic
ComputeCloud(EC2) misolida olinsa, cloud provayder tomonidan fizik xavfsizlikni
ta‟minlash, muhit xavfsizligi va vertualllashtirishdagi xavfsizlik ta‟minlansa, cloud
istemolchi tomonidan esa qurilgan operatsion tizim xavfsizligi, ilova va ma‟lumot
xavfsizligini ta‟minlash amalga oshiriladi.
PaaS muammolari. Cloud tiziminingushbu modelida cloud provayderi tomonidan
istemolchiga platforma ustida ilova yaratish imkonini berib, quyi qism sanalgan host va
tarmoq tuzilmasidagi xavfsizlik provayder zimmasida bo„ladi.
Ushbu model istemolchilarga tanlangan platformada o„zlarining ilovalarini yaratish
imkonini beradi. Ushbu modelda asosan WebService(WS) Security protokolidan
foylalanilib, shuning uchun aksariyat xavfsizlik muammolari ushbu ilovalar bilan bog„liq
bo„ladi. Bundan tashqari ushbu model Service-Oriented Architecture(SOA)
asoslanganligi sababli, ko„plab ushbu arxitekturada DOS hujumi, o„rtaga turgan odam
hujumi, XML-bog„liq bo„lgan hujumlar, takrorlash hujumi, lug„atga asoslangan hujum,
ineksiya hujumlari va kiruvchi ma‟lumotga asoslangan hujumlar mavjud.Ushbu modelda
ikki tomonlama autentifikatsiyalash, avtorizasiyalash va WSSecuritystandarti muhim
sanaladi.
Bundan tashqari ushbu modelda ilova xavfsizligi muhim masalalardan biri sanalib,
modelda foydalanilgan funksional boshqaruv ilovalaridagi xavfsizlik sanalib, ushbu
ilovalarni xavfsizligi cloud provayderlari zimmasiga bo„ladi.
SaaS muammolari. Ushbu model arxitekturasi yuqoridagi ikki model ustida qurilgan
bo„lib, yuqoridagi ikki modelda tegishli bo„lgan xavfsizlik muammolari ushbu modelga
ham tegishlidir (6-rasm).
Umumiy holda ushbu modelda quyidagi xavfsizlik elementlariga etibor berish shart.
Ma‟lumot xavfsizligi. Ananaviy tizimlarda saqlash tizimlari tashkilot ichida
joylashgani sababli xavfsizlikni ta‟minlash fizik himoya, injiner-texnik himoya, ishchi-
xodimlarni boshqarish va kirishni boshqarish siyosati orqali amalga oshiriladi. SaaS
modelida esa tashkilot ma‟lumotlari SaaS provayderi saqlash tizimlarida saqlanishi
natijasida foydalanuvchiga qo„shimcha xavfsizlik choralarini qo„llashni talab etadi. Bu
talab kuchli shifrlash algoritmlari, kuchli avtorizasiyalash tizimlari yordamida amalga
oshiriladi.
Buzg„unchi foydalanuvchi ma‟lumotlarini qo„lga kiritishida ruxsat etilmagan
foydalanishga asoslanib, quyidagi usullardan foydalanadi:
Cross-site scripting[XSS];
Ruxsatlarni nazoratlashdagi zaifliklar;
OS va SQL ineksiya;
Cross-site requestforgery[CSRF];
Cookieni nazoratlash;
Yashirin maydonni nazoratlash;
Xavfsiz bo„lmagan saqlash;
Xavfsiz bo„lmagan sozlanish.
Tarmoq xavfsizligi. SaaS modelida ma‟lumot SaaS istemolchi tomonida bajariladi
va SaaS provayderida saqlanadi va qayta ishlanadi. Bu esa ushbu ikki qism orasida kuchli
himoyalangan tarmoqni talab etadi. Bu tarmoqlarga SecureSocketLayer(SSL) yoki
TransportLayerSecurity(TLS) misol bo„la oladi.
6-jadval SaaS qatlamida xavfsizlik.
Ushbu xususiyatlar asoslangan tahdidlar tashkilotga katta moddiy yo„qotish olib
kelishi mumkin.
Cloud Computing provayderlariga beriladigan xavfsizlik tavsiyalari
Cloud tizimida mavjud tahdidlarni oldini olish uchun, cloud provayderlariga,
foydalanuvchilariga beriladigan tavsiyalar, umumiy holda xavfsizlikni ta‟minlash
bosqichlari kabi ma‟lumotlar berilgan bo„lib, ushbu Cloud Computing provayderlariga
beriladigan xavfsizlik tavsiyalari keltirilgan (7-rasm).
Cloud tizimlarda xavfsizlikni ta‟minlashda asosiy maqsad qilib, ma‟lumotning
konfidensialligi va foydalanuvchanligi olingan. Ma‟lumotning butunligi esa umumiy
talab sifatida aytib o„tilgan.
Shulardan kelib chiqib, xavfsizlik tavsiyalari uchta asosiy kategoriyaga bo„linadi:
B-kategoriya (umumiy talablar). Ushbu kategoriya barcha provayderlar uchun
kerakli bo„lgan umumiy talablarni o„z ichiga oladi.
S+ kategoriya (yuqori konfidensiallik). Ushbu kategoriyaga tegishli bo„lgan
ma‟lumotlarga qo„shimcha ravishda yuqori darajali konfidensiallik talabi qo„yilgan.
A+ kategoriya (yuqori foydalanuvchanlik). Ushbu kategoriyaga tegishli bo„lgan
ma‟lumotlarga qo„shimcha ravishda tizimga yuqori darajali foydalanuvchanlik talabi
qo„yilgan.
7-jadval Cloud computing platformalarida foydalanilgan arxitektura
Ushbu keltirilgan talablar ikki cloud turi: ommaviy va shaxsiy cloud tizimlari uchun
berilgan bo„lib, barcha, IaaS, PaaS va SaaS modellariga tegishlidir. Quyida umumiy
talablar keltirilgan.
Ishni bajarilish uchun topshiriqlar tartibi va qo„yilgan vazifa:
1. Cloud Computing tizimi.
2. Cloud Computing tizimi xususiyatlarini izoxlang.
3. Ilova xizmati (SaaS) ning vazifasi nimadan iborad.
4. Platforma xizmati (PaaS) ning vazifasi nimadan iborad.
5. Infratuzulma xizmati (IaaS) ning vazifasi nimadan iborad.
6. SaaS, PaaS va IaaS xizmatlarida xavfsizlik darjalari.
7. Cloud Computing tizimida ma‟lumot xavfsizligi.
8. Cloud Computing tizimida tarmoq xavfsizligi.
9. Cloud Computing provayderlarida xavfsizlikni ta‟minlash chora-tadbirlari.
|
