|
I Xususiy davlat 1 1——I 1 1
|
| bet | 12/24 | | Sana | 13.09.2024 | | Hajmi | 0,66 Mb. | | #271001 |
Bog'liq Tar SecurityRecommendationsCloudComputingProvidersI Xususiy davlat 1 1——I 1 1
B C+ A+ B C+ A+
Asosiy boshqaruvning eng yaxshi amaliyotlarini joriy qilish J '
mijozlarga kriptografik ko'rinishga kirishni ta'minlash J J
ID and rights management
ID va huquqlarni boshqarish
Identifikatsiya va avtorizatsiyalarni boshqarish kirishni boshqarishning asosiy qismidir . CSP tegishli tashkiliy, xodimlar va texnik choralarni qo'llash orqali ularni himoya qilishi kerak. Shuning uchun barcha Cloud Computing platformalari identifikatsiyani boshqarishni qo'llab-quvvatlashi kerak. Ushbu qo'llab-quvvatlashning asosi xizmat ko'rsatuvchi provayder mijozga ID boshqaruv tizimini o'zi taqdim etishi yoki tashqi identifikatsiya provayderlariga interfeyslarni taqdim etishi bo'lishi mumkin . Ikkala model uchun ham, yaxlit identifikatorni boshqarish tizimiga ega yoki bo'lmagan xizmat ko'rsatuvchi provayderlar uchun Cloud Computing platformalarida xaritada ko'rsatilishi kerak bo'lgan autentifikatsiya va avtorizatsiya masalalari quyida batafsilroq ko'rib chiqiladi.
Autentifikatsiya
Bulutli hisoblashda apparat, dasturiy ta'minot va xizmatlar ko'p foydalanuvchilar tomonidan qo'llaniladi. Identifikatsiya va avtorizatsiya boshqaruvining roli AT resurslaridan faqat vakolatli shaxslar foydalanishini ta'minlashdan iborat. Barcha AT tizimlari yoki xizmatlariga kirish ruxsat izlayotgan foydalanuvchilar yoki AT tizimlarini aniqlash va autentifikatsiya qilish orqali xavfsiz bo'lishi kerak. Xavfsizlik nuqtai nazaridan muhim bo'lgan ilovalar uchun kuchli autentifikatsiyadan, ya'ni odatdagidek ikki faktorli autentifikatsiyadan foydalanish kerak, masalan, onlayn-bankingda. Har qanday tarmoqqa kirish, printsipial jihatdan , kuchli autentifikatsiya orqali xavfsiz bo'lishi kerak. Ushbu qat'iy talablar, ayniqsa, CSP xodimlariga nisbatan qo'llaniladi. Ular ham faqat kuchli autentifikatsiya orqali boshqariladigan AT resurslariga kirishlari kerak, masalan, chip kartalari yoki USB flesh-disklar yordamida apparatga asoslangan autentifikatsiya tizimi yoki apparat qurilmalari tomonidan ham yaratilishi mumkin bo'lgan bir martalik parollar orqali. Bu Internet orqali kirish uchun mutlaqo ajralmas. Agar CSP ma'muri tratori CSP tizimlariga himoyalangan kompaniya tarmog'idan VPN orqali kirsa, buning uchun ular allaqachon ikkita faktor bilan o'zlarini autentifikatsiya qilishlari kerak bo'lsa , bu holda ikkinchi ikki faktorli autentifikatsiyadan voz kechish mumkin.
ID and rights management
Taqdim etilayotgan xizmatlar uchun xavfsizlik talablari yuqori bo'lgan hollarda, xizmat ko'rsatuvchi foydalanuvchilarga xizmatlardan foydalanish faqat kuchli (masalan, ikki faktorli) autentifikatsiyadan so'ng , agar foydalaniladigan xizmatga kirish to'g'ridan-to'g'ri Internet orqali amalga oshirilsa, berilishi mumkin. Agar mijoz himoyalangan kompaniya tarmog‘idan VPN orqali ikki omil bilan o‘zini autentifikatsiya qilishi kerak bo‘lgan bulut xizmatlariga kirsa, bulut xizmatlaridan foydalanish uchun qo‘shimcha ikki faktorli autentifikatsiya talab qilinmaydi.
CSP va xizmat iste'molchilari o'rtasida shifrlangan aloqa mavjud bo'lsa, xavfsizlikni oshirish uchun xizmatlarga kirish muayyan IP manzillar yoki domenlar bilan cheklanishi mumkin .
provayder va identifikatsiya provayderlari o'rtasida identifikatsiya atributlarini almashishda identifikatsiya federatsiyasi . Korporativ muhitda SAML yoki WS federatsiyasi keng qo'llaniladi, SAML esa ancha mashhur. SAML va WS federatsiyasiga xos boʻlgan oʻzgartirish xavfsiz VPN tunneli orqali oʻrnatiladigan SSO yechimidir . Keng qo'llaniladigan SAML standarti ko'pincha 1.1 va 2.0 versiyalarida qo'llaniladi. Iloji bo'lsa, SAML 2.0 qo'llab-quvvatlanishi kerak, chunki ushbu standartga turli xil xususiy yangilanishlar integratsiya qilingan, bu esa joylashtirish stsenariylarining keng bazasini hal qilishga imkon beradi.
Ruxsat
Huquqlarni boshqarish tizimi har bir rol faqat vazifani bajarish uchun zarur bo'lgan ma'lumotlarni (shu jumladan meta-ma'lumotlarni) ko'rishini ta'minlashi kerak. Kirish nazorati rolga asoslangan bo'lishi kerak va o'rnatilgan rollar va ruxsatnomalar muntazam ravishda ko'rib chiqilishi kerak. Umuman olganda, eng kam imtiyozli modeldan foydalanish kerak, biz va CSP ma'murlari faqat o'z vazifalariga erishish uchun talab qilinadigan huquqlarga ega. Bu erda imtiyozli foydalanuvchilarga alohida e'tibor qaratish lozim . Agar rol CSP ma'murining roli bo'lsa, ko'rilgan yagona ma'lumotlar vazifa uchun zarur bo'lgan ma'lumot ekanligini ko'rsatish mumkin bo'lishi kerak.
ID and rights management
, ma'lumotlarning eksporti va CSPdan import qilinishini to'liq hujjatlashtirish va monitoring qilish imkoniyatiga ega bo'lishi kerak . Nihoyat, yamoqlarni o'rnatish kabi har qanday muhim boshqaruv faoliyati faqat to'rt ko'z printsipi bo'yicha bajarilishi kerak.
|
| |
