Shifrlash - ma’lumotlarni himoyalashning eng samarali usullaridan
biri. Ma’lumotlardan foydalanishni taqdim etuvchi provayder mijozning
ma’lumotlarni ishlash markazida saqlanuvchi axborotini shifrlashi hamda
zaruriyat bo’lmasa qaytmaydigan qilib yo’q qilishi lozim.
Ma’lumotlarni shifrlashda doimo kalitlar xususida masala paydo
bo’ladi. Ularni bulutli serverda saqlash maqsadga muvofiq hisoblanmaydi,
chunki bulutli serverlardan yoki shablonlardan foydalanish huquqiga ega
sub’ekt kalitdan, demak deshifrlangan ma’lumotlardan foydalanishi
mumkin. Kalitni fizik kiritish so’rov bilan almashtiriladi. So’rovni bulutli
server tashqi manbaga - kalitlarni boshqarish serveriga (Key Management
Server, KMS) jo’natadi.
Foydalanishni
chegaralash
qoidalari
Foydalanish
dispetcheri
Foydalanish
sub’ekti
Foydalanish
ob’ekti
Ro‘yxatga olish
jurnali
128
Bunday yechimning xavfsizligini ta’minlashda hal qiluvchi omil
sifatida bulutli serverning va boshqarish serverining, agar ikkalasi bulutli
serverlarning
bitta
provayderida
saqlangan
bo’lsa,
alohida
ekspluatatsiyasini ko’rsatish mumkin (10.5-rasm).
Uzatishda ma’lumotlarni himoyalash. Ma’lumotlarni xavfsiz
ishlashda ularni shifrlangan holda uzatish majburiy shart hisoblanadi.
Ommaviy bulutda ma’lumotlarni himoyalash maqsadida virtual xususiy
tarmoq (VPN) tunneli ishlatiladi. Ommaviy bulutli xizmatlarni olish uchun
tunnel mijoz bilan serverni ulaydi. VPN-tunnel xavfsiz ulanishni
ta’minlaydi va turli bulutli resurslardan foydalanish uchun yagona ism va
parolni ishlatishga imkon beradi. Ommaviy bulutlarda VPN-ulanishlar
ma’lumotlarni uzatish vositasi sifatida Internet kabi umumfoydalanuvchi
resurslarni ishlatadi. Jarayon Secure Sockets Laer (SSL) protokoli
bazasida ikkita kalit yordamida shifrlashli foydalanish rejimiga
asoslangan. SSL va VPN protokollarining aksariyati opsiyalar sifatida
autentifikatsiya uchun raqamli sertifikatlarni ishlatishni madadlaydi.
Raqamli sertifikatlar yordamida ma’lumotlarni uzatmasdan oldin, ikkinchi
tomonning
identifikatsiya
axboroti
tekshiriladi.
Bunday
raqamli
sertifikatlar shifrlangan ko’rinishda virtual qat’iy disklarda saqlanishi
mumkin va ular faqat kalitlarni boshqaruvchi server identifikatsiya
axboroti va tizim yaxlitligini tekshirganidan so’ng, ishlatiladi. Demak,
bunday o’zaro bog’liqlik zanjiri ma’lumotlarni faqat dastlabki ko’rikdan
o’tgan bulutli serverlarga uzatishga imkon beradi. Uzatishda shifrlangan
ma’lumotlardan faqat autentifikatsiyadan so’ng foydalanish mumkin.
Autentifikatsiya. Yuqori ishonchlikni ta’minlash uchun ko’pincha
tokenlardan va sertifikatlardan foydalaniladi. Bir martali parollar
texnologiyasi (One Time password, OTP) autentifikatsiyaning eng sodda
va yetarlicha ishonchli usuli hisoblanadi. Bunday parollar, SMS orqali
foydalanuvchiga jo’natish bilan, maxsus dasturlar yoki qo’shimcha
qurilmalar yoki servislar yordamida generatsiyalanishi mumkin. Bulutli
infrastrukturaning
masshtablanishining
kattaligi
va
geografik
taqsimlanishining kengligi bir martali parollarni olishda birinchi o’ringa,
hozirda har kimda mavjud, gadjetlardan foydalanishning paydo bo’lishiga
sabab bo’ldi. Avtorizatsiyada provayderning identifikatsiya tizimi bilan
o’zaro ta’sirning shaffofligi uchun LDAP (Lightweight Directory Access
Protocol) protokolidan va SAML (Security Assertion Markup Language)
dasturlash tilidan foydalanish tavsiya etiladi.
129
10.5-rasm. Foydalanuvchining, kalitlarni boshqarish serverining
va bulutli serverning o’zaro ta’sir sxemasi. (RDP/SSh - server bilan
Remote Desktop Protocol (RDP) protokoli va SSh shlyuzi orqali ulanish;
LDAP (Lightweight Directory Access Protocol) - kataloglardan
foydalanishning "yengillashtirilgan" protokoli.
Foydalanuvchilarni izolyasiyalash. Ba’zi provayderlar barcha
mijozlarning ma’lumotlarini yagona dasturiy muhitga joylashtiradilar va
undagi kodni o’zgartirish hisobiga buyurtmachilarning ma’lumotlarini bir-
biridan ajratishga urinadilar. Bunday yondashish bemulohaza va
ishonchsiz. Birinchidan, niyati buzuq nostandart koddagi raxnani topishi
mumkin. Ushbu raxna niyati buzuqqa u ko’rishi mumkin bo’lmagan
ma’lumotlardan foydalanishiga imkon beradi. Ikkinchidan, koddagi xatolik
natijasida bir mijoz ikkinchi mijozning ma’lumotlarini tasodifan "ko’rishi"
mumkin. Shu sababli, foydalanuvchilar ma’lumotlarini chegaralashda turli
Xavfsizlikni
boshqarish/ro‘yxatga
olish serveri
SIEM
Bulutli server
B
Bulutli server Bulutli server
Bulutli server
A
Kalitlarni
boshqarish
Foydalanish
vositachisi
AD/LDAP
MST
MST
Bulutli
broker
Aktiv
bulutli
server
Ro‘yxatga
olinadigan
ma’lumotlar/
Xavfsizlik
qoidalari
Ruxsat
Foydalanuvchi/
A xizmat
Foydalanuvchi/
B xizmat
Kalit
so‘rovi/kalit
bilan javob
RDP/SSH
Foydalanuvchi
"Bulutli"
xizmatlar
ta’minot-chisi
(CSP)
Ma’lumotlarni
saqlash tizimi
(MST)
130
virtual mashinalarni va virtual tarmoqlarni ishlatish eng mulohazali qadam
hisoblanadi.
Xulosa sifatida aytish lozimki, xavfsizlik har doim ham faqat himoya
yordamida ta’minlanmaydi. Xavfsizlikka ob’ektlarning ishlashi va o’zaro
xarakatiga mos qoidalari, xodimlarning yuqori kasbiy tayyorligi,
texnikaning buzilmasdan ishlashi, axborot xavfsizligi ob’ektlari ishlashini
ta’minlashning turli hillarining ishonchligi orqali erishish mumkin.
|
