|
Bulutli texnologiyalardagi mavjud tahdidlar va ularga qarshi kurashish mexanizmlarini tahlili
|
| bet | 23/45 | | Sana | 04.10.2024 | | Hajmi | 2,44 Mb. | | #273577 |
Bog'liq BULITLI TEXNOLOGIYALAR.Delov Bulutli texnologiyalardagi mavjud tahdidlar va ularga qarshi kurashish mexanizmlarini tahlili
Bulutni boshqarish va nazorat qilish – xavfsizlikning asosiy muomolaridan biri xisoblanadi. Bulut texnologiyalarida barcha resurslar xisoblangan bo‘ladi va ular virtual mashinalar tomonidan doimiy nazoratda bo‘libgina qolmay, qo‘shimcha jarayonlar ishga tushurilmagan va bulut elementlari buzilmagan holat hali ko‘rilmagandir. Bu yuqori pog’onali tahdid xisoblanib, u bulut boshqaruvi bilan bog’liq, yagona informatik tizim sifatida xizmat qiladi va uni umumiy ximoyasini yuqori darajada qurish kerak bo‘ladi.
Buning uchun albata xavf extimoligni boshqarish modellarini bulutli infratuzilmada qo‘llash kerak bo‘ladi. Fizik xavfsizlikni taminlash asosida server va tarmoq infratuzilmasiga fizik xavf kira olishni qattiq nazorat qilish kerak bo‘ladi. Fizik xavsizlikka qaraganda tarmoq xavfsizligi birinchi o‘rinda model tahdidlariga qarshi xavfsizlikni o‘zida namoyon qiladi va tarmoqlararo ekran orqali ularni bartaraf etadi. Tarmoqlararo ekran filtr vazifasini bajarib, malumotlarga ishlov berish markaz tarmog’idan (MIBM) foydalanishda cheklashlarni olib boradi. Bunda aloxida serverlar, ya’ni internet tarmog’idagi foydalanishga ruxsat etilganlaridan yoki tarmoq ichidagi serverlar. Bulutlii xisoblashlardda asosiy rolni platforma sifatida virtualizatsiya o‘ynaydi.
Bulutli xisoblashlarda malumotlarni butunligini va xavfsizligini taminlashda, eng ko‘p tarqalgan va asosiy tahdidlar.
Bulutli serverlarni, bulutli xisoblashlashlarga joylashtirishdagi qiyinchiliklar.
Bulutli xisoblashlar xavfsizligiga talab, malumotlarga ishlov berish markazi (MIBM) xavfsizligi talabidan farq qilmaydi. Lekin malumotlarga ishlov berish markazini (MIBM) virtualizatsiya qilish va bulutli muxitga o‘tish yangi taxdidlarni yuzaga kelishiga sabab bo‘ladi. Internet orqali xisoblash kuchlarini boshqarish, bulutli hisoblashning kalit xarakteristikalaridan biri xisoblanadi. Ko‘plab ananaviy malumotlarga ishlov berish markazida (MIBM) injinerlarni serverdan foydalanishi,
fizik pog’onada nazoratga olinadi va bulutli muxitda ular internet orqali ishlaydi. Kirishni nazorat qilayotgandagi cheklashlar va shaffof o‘zgartirishlarni tizim darajasida taminlash asosiy kriterik ximoya xisoblanadi.
Virtual mashinalarni dinamikligi. Virtual mashinalarni dinamikligi. Yangi mashina yaratishni, ish to‘xtatish va boshqatdan ishga tushirishni qisqa vaqt ichida amalga oshirish jarayonidir. Ular fizik serverlar bilan chalkashib ketishlari mumkin. Bunday o‘zgarishlar tizim xavfsizlik butunligini qayta ishlab chiqarishda qiyinchiliklar tug’diradi. Biroq operatsion tizim yoki ilovalarni zayifligi virtual muxitda nazoratsiz tarqaladi va qanchadir vaqt oralig’ida tez tarqala boshlaydi (misol uchun, zaxira nusxadan qaytarilishda). Bulutli xisoblash muxitida eng avalo tizim xavfsizligi xolatini tuzatish, shuni xisobga olish kerakki, uning xolati va nazorat joyiga bog’liq bo‘lishi kerak emas.
2.25- rasm. Virtual mashina dinamikligi
Ichki virtual muxitdagi zayifliklar. Bulutli xisoblash serverlari va local serverlar bir xil operatsion tizim va ilovalardan foydalanishadilar. Bulutli tizimlar uchun uzoqdan buzish yoki zararli dasturiy taminot tahdidlari ko‘p xisoblanadi. Paralel virtual mashinalar xujum xavfini ko‘paytiradi. Protokolarga asoslangan taxdidlar (Система обнаружения вторжений) va ularni bartaraf etish protokollari zararli xarakatlarni virtual pog’onasida aniqlashi lozim.
Ishga tushmagan virtual mashinalar ximoyasi. Qachonki virtual mashina o‘chig’ligida, zararlanish xavfi ko‘proq bo‘ladi. Virtual mashinalardagi saqlanadigan obrazlarga kirish yetarli bo‘ladi. Ishga tushmagan virtual mashinada dasturiy xavfsizlik taminotini umuman ishga tushirib bo‘lmaydi. Bunday holatda virtual mashinada nafaqat ichki xavfsizlik tadbiq etilgan bo‘lishi balki gipervizor darajasida xam bo‘lishi kerak bo‘ladi.
Hudud xavfsizligi va tarmoqni cheklash. Bulutli xisoblashni qo‘llashda xudud tarmog’i susayadi yoki umuman ko‘zdan yo‘qoladi. Bu shunga olib keladiki, xavfsizlik yuqori darajada emasligi va tarmoq qismi umumiy xavfsizlik pog’onasini aniqlaydi. Bulutda xar– hil ishonchli darajada segmentlarni cheklashda virtual mashinalar o‘z xavfsizliklarini o‘zlari taminlashi kerak bo‘ladi.
Bulutli texnologiyalarda amalga oshiriladigan hujumlar va ularni bartaraf etish. DTda ananviy xujumlar. Operatsion tizim, modul komponentlari, tarmoq protokollari va boshqalarini zaifligi – ananaviy taxdidlarga kiradi, ximoyasini taminlash maqsadida tarmoqlararo ekran, antivirus, IPS va boshqa komponentlar o‘rnatish orqali muommolarni xal etish mumkin. Shuni xisobga olish keraki, bunday
ximoya yo‘li virtualizatsiyada xam samarali ishlashi lozim.
Bulut elementlarida funksional xujumlar. Xujumning bunday turi ko‘pqatlamli bulut bilan umumiy xavfsizlik prinspiga bog’liq. Bulut xavfsizligi to‘g’risida quydagilarni yechim sifatida olish mumkin: funksional xujumlardan ximoyalanishda, xar bir bulut qismiga quyidagi himoya manbaini qo‘yish lozim: proksi uchun – DoS – xujumdan samarali ximoya taminlanishi, web – server uchun – saxifalarni yaxlitligini nazorat qilish, server ilovalari uchun – ekran pog’onasidagi ilovalar, MBBT uchun – SQL – inyeksiyasi ximoyasi, malumotlarni saqlash tizimi uchun – to‘g’ri bekaplar (zaxira nusxalash) berish, foydalanishdan cheklash. Yuqoridagi sanab o‘tilgan ximoya mexanizmlari ishlab chiqarilgan, lekin ular birgalikda bulut kompleks ximoyasi taminlash uchun xali birga yig’ilmagan. Shuning uchun bulut yaratilayotgan vaqtda, ularni yagona tizimga integratsiyalash muommoni xal bo‘lishiga turtki bo‘ladi.
Mijozjlarga xujumlar. Ko‘plab mijozlar bulutga ulanayotganda, bravzerdan foydalanishadi. Xujumlardan biri Cross Site Scripting, parollarni «o‘g’irlash», veb – sesiyalarni ushlab qolish va boshqalar. Bunday xujumdan yagona to‘g’ri va ximoya aniq autetifikatsiya va bog’lanishdagi shifrlash (SSL) bilan o‘zaro autentifikatsiya. Ammo bunday usul ximoyasi bulut yaratuvchilariga juda xam noqulay va ko‘p vaqt talab qiladi.
Gipervizorga xujumlar. Gipervizor virtual tizimlar uchun kalit elementlaridan biri xisoblanadi. Uning asosiy funksiyalaridan biri virtual mashinalarga resurslarni taqsimlashdan iborat. Gipervizorga xujum shu narsani yuzaga kelib chiqarishi mumkinki, virtual mashinalardan biri boshqa virtual mashina xotirasi, resurslaridan foydalana olishi mumkin. Bundan tashqari u tarmoq trafigni qo‘lga kiritishi, fizik resurslarni o‘zlashtirishi va server orqali virtual mashinani ishlashdan to‘xtatishi mumkin. Standart ximoyalash metodlarini joriy etishda virtual muxitda kerakli maxsuslashtirilgan maxsulotlar qo‘llanilishini tavsiya etadilar. Xost – serverlarni katalog xizmatlari Active Directory bilan integratsiyalash, shuningdek xost – server boshqarish vositalaridan foydalana olish tartibotini standartlashtirish. Shu bilan birga ko‘p xollarda ishlatilmaydigan xizmatlardan voz kechish, misol uchun, virtualizatsiya serverga veb – foydalanish.
Boshqarish tizimidagi xujumlar. Bulutda ishlatiladigan ko‘pgina virtual mashinalar aloxida tizim boshqaruvini talab etadi. Boshqarish tizimiga xalaqit berish virtual mashinalarda – nosozlikni kelib chiqaradi va bir virtual mashinani bloklash orqali boshqa virtual mashinani ayibdor qilib qo‘yadi.
Bulut soxasida eng samarali xavfsizlikni taminlash yo‘llaridan birini Cloud Security Alliance (CSA) tashkiloti ommaga xavola etgan xisoblanib unda quyidagi malumotlar taxlil qilingan:
Malumotlarni saqlash. Shifrlash – malumotlarni ximoyalashda eng samarali yo‘llardan biri. Malumotlardan foydalana olishga ruxsat beruvchi provayder, malumotlarga ishlov berish markazi (MIBM) da saqlanayogan mijoz malumotmi
shifrlashi, foydalanishdan chiqqan xolda esa ularni qaytarishsiz o‘chirib tashlashi kerak.
Uzatishdagi malumotlar xavfsizligi. Shifrlangan malumotlarni uzatish faqatgina aytenifikatsiyalangandan so‘nggina amalga oshirilishi mumkin. Malumotlarni o‘qish yoki o‘zgartirish kirgazish, Ulardan foydalana olish ishonchli bog’lamalar orqali amalga oshiriladi. Bunday texnologiyalar juda xam mashxur algaritmlar va ishonchli protokollar AES, TLS, Ipsec amalga oshiriladi.
Autetifikatsiya. Parol ximoyasi. Katta ishonchlilikni taminlashda tokenlar va sertifikatlar etibor qaratiladi. Provayder identifikatsiya tizimi bilan avtorizatsiyadan o‘tishda shaffof tarizda xarakatlanishi lozim. Bunda LDAP (Light Directory Access Protocol) va SAML (Security Assertion Markup Language) protokolari ishlatilinadi.
Istemolchilarni izolatsiyalash. Virtual mashinalar va virtual tarmoqlardan individual foydalanish. Virtual tarmoqlarda quydagi texnologiyalar joriy etilgan bo‘lishi kerak. VPN (Virtual Private Network), VLAN (Virtual Local Area Network) va VPLS (Virtual Private LAN Service). Provayderlar ko‘pincha yagona dastur muxitida kod o‘zgarganligi sababli istemolchilar malumotlarini bir – biridan izolatsiyalaydi. Bunday yondashish xatarli xisoblanib, u standart bo‘lmagan koddan yo‘l topib , istemolchi malumotlaridan foydalana oladi.
Bulutli texnologiyalarda malumot ximoyasini taminlashda asosiy metodlar
2.26 – rasm. Bulutli texnologiyalarda malumot ximoyasini taminlashda asosiy metodlar.
|
| |
