• Jadvallardagi teglar
  • Qisqartmalar / atamalar Tariflar
  • Security Recommendations for Cloud Computing Providers




    Download 0,66 Mb.
    bet23/24
    Sana13.09.2024
    Hajmi0,66 Mb.
    #271001
    1   ...   16   17   18   19   20   21   22   23   24
    Bog'liq
    Tar SecurityRecommendationsCloudComputingProviders

    Private Ф | Pu B I C+ I A+ 1 B

    blic &
    1 r+ 1 Д+















    II III






    Ma'lumotlarni himoya qilish va muvofiqlik
    Shaxsiy ma'lumotlar yuqorida ko'rsatilgan shartlarda qayta ishlanishiga kafolat bera olmaydigan subpudratchining ishtiroki yo'q
    Boshqalar nomidan ma'lumotlarni qayta ishlashda mijozlar o'zlarining shaxsiy ma'lumotlari ma'lumotlar xavfsizligi qonunchiligiga muvofiq qayta ishlanayotganini nazorat qilish huquqiga ega.

    • Saytda tekshiruvlar yoki

    • Mustaqil ekspertning hisobotlari

    Boshqalar nomidan ma'lumotlarni qayta ishlashda: ­bulut foydalanuvchisi uchun mas'ul bo'lgan nazorat organi monitoring huquqiga ega
    Boshqalar nomidan ma'lumotlarni qayta ishlashda: bulut foydalanuvchisi bulut provayderiga ko'rsatmalar berish huquqiga ega
    Provayder bulut foydalanuvchisi tegishli deb hisoblagan har qanday qonunlarga rioya qilishi kerak




    1. Istiqbollar

    joriy talablarga qarab missionerlik resurslarini zaxiralash, ulardan foydalanish va o'chirishda katta moslashuvchanlikni va'da qiladi . ­Aks holda mahalliy darajada zahiraga olinishi, saqlanishi va yangilanishi kerak bo'lgan AT tizimlari sohasida ham yuqori darajadagi tejamkorlik kutilmoqda. ­Agar va'da qilingan moslashuvchanlik ­haqiqatga aylansa, Cloud Computing va tegishli interfeyslarni taqdim etayotgan xizmatlarni standartlashtirishga katta ehtiyoj bor. Bu mijozlarga doimo eng yangi texnologiyalarni sotib olish imkonini beradi. Cloud Computing-ning yana bir afzalligi ­- bu xodimlarning mobilligini oshirishning asosiy muammosi bo'lgan biznes ilovalarining (bulut modeliga qarab) hamma joyda mavjudligi.
    Ushbu potentsial imtiyozlarga duch kelish biznes ma'lumotlari yoki ilovalarni ommaviy bulutga topshirishdan oldin hal qilinishi kerak bo'lgan bir qator muammolardir. Buning sababi ommaviy bulutli hisoblashda ma'lumotlar va ilovalarning ­binolardan tashqarida joylashganligi, muassasaning o'zi esa ­ularni to'g'ridan-to'g'ri nazorat qilishni yo'qotadi. Agar biznes uchun muhim yoki shaxsiy ma'lumotlar, masalan, ommaviy bulutga topshirilishi kerak bo'lsa, ma'lumotlarni himoya qilish talablari kabi ko'plab huquqiy va shartnomaviy ko'rsatmalar va qoidalarni ham hisobga olish kerak . ­Ommaviy bulutli hisoblash bilan, bundan tashqari, noma'lum foydalanuvchilar umumiy infratuzilmaga ega. Bu axborot xavfsizligining asosiy parametrlari buzilishi xavfini oshiradi. Bundan tashqari, ma'lumotlar va ilovalar Internet orqali foydalanilmoqda, shuning uchun Internetga ulanishdagi har qanday nosozliklar kirishni imkonsiz qiladi.
    saqlab qolgan holda bulutli hisoblashning potentsial afzalliklaridan foydalanish uchun ­ko'plab foydalanuvchilar xizmatlarni taqdim etish uchun o'zlarining virtual ­ma'lumotlar markazlariga (xususiy bulutlar) murojaat qilishadi. Ammo shaxsiy bulutlar ham himoya qilinishi kerak bo'lgan bir qator tahdidlarni o'z ichiga oladi. Shaxsiy bulut ham amalga oshirilishiga qarab juda murakkab bo'lishi mumkin. Konfiguratsiya sozlamalari va o'zaro ta'sir qiluvchi parametrlar soni tufayli bu erda ko'plab xavfsizlik muammolari ham paydo bo'lishi mumkin, masalan, ma'lumotlarning yo'qolishi, mualliflik huquqisiz


    ajratilgan ma'lumotlarga kirish, mavjudlikning qisqarishi va hatto xizmatlarning ishlamay qolishi. Bulutli provayderlar o'z xizmatlariga kirish uchun bir qator interfeyslarni taqdim etadilar. Agar ushbu interfeyslar ­xavfsiz dasturlashtirilgan bo'lsa, tajovuzkor ma'lumotlarga ruxsatsiz kirish uchun zaifliklardan foydalanishi mumkin. Bulutli platformalarni boshqarish, shuningdek, asosiy jarayonlarning murakkabligi va dinamikligi tufayli ham ommaviy, ham xususiy bulutlar uchun katta muammo tug'diradi.
    Biroq, taqdim etilayotgan xizmatlarni himoya qilish uchun tegishli infratuzilmaviy, tashkiliy, kadrlar va texnik chora-tadbirlar amalga oshirilsa, bu qiyinchiliklarni bartaraf etish mumkin. Xususan, an'anaviy AT xavfsizligi choralari bilan bir qatorda bulutdagi mijozlarni xavfsiz va ishonchli tarzda ajratish choralarini ham amalga oshirish kerak.
    Bulutli hisoblash bo'yicha ushbu BSI oq qog'ozi, shuningdek, Cloud Security Alliance [4], ENISA [3] va NIST [2] kabi ishlar bunga erishish uchun muhim asoslar beradi.
    Kutilayotgan texnik va moliyaviy salohiyat tufayli, Cloud Computing ­bozorda yaxshi natijalarga erishishi mumkin, ammo provayderlar mijozlarning axborot xavfsizligi va ma'lumotlarni himoya qilish bo'yicha so'rovlarini aniqlay olsalargina. Biroq, Cloud Computing takliflari ommalashgani sayin, ular ­markaziy ma'lumotlar markazlarida biznes uchun muhim bo'lgan ko'plab resurslarning to'planishi va komponentlar va interfeyslarni talab qilinadigan standartlashtirish tufayli tajovuzkorlar uchun yanada jozibador bo'ladi . ­Shunday qilib, uzoq muddatda Cloud Computing platformalarini sinovdan o'tkazish va sertifikatlash uchun asos sifatida foydalanish mumkin bo'lgan xalqaro ma'lumotlar xavfsizligi standartlarini ishlab chiqish va o'rnatish zarurati paydo bo'ladi. Shu sababli, kelgusi yillardagi asosiy vazifa ­bulutli hisoblash sohasida ma'lumotlar xavfsizligini ta'minlash bo'yicha xalqaro standartlarni ishlab chiqish va o'rnatishdan iborat bo'lib, ular "Cloud Computing" provayderlarining xavfsizligini sertifikatlash uchun asos sifatida ishlatilishi mumkin. Faqatgina Cloud Computing provayderlari va ularning xizmatlari uchun xalqaro miqyosda tan olingan sertifikatga ega bo'lish orqali mijozning ishonch darajasi etarli bo'ladi ­.



    1. Lug'at

    Jadvallardagi teglar:
    Jadvallarda ko'rsatilgan xavfsizlik bo'yicha tavsiyalar uch toifaga bo'lingan.
    B Asosiy talab, ushbu toifadagi xavfsizlik tavsiyalari
    barcha bulutli xizmat ko'rsatuvchi provayderlarga qaratilgan
    A+ Mavjudligi yuqori, xavfsizlik bo'yicha tavsiyalar, jumladan, yuqori darajadagi mavjudlik talabi bo'lgan hududlar uchun qo'shimcha ­talablar
    C+ konfidensialligi yuqori, xavfsizlik bo'yicha tavsiyalar, shu jumladan ­maxfiylikni yuqori darajada himoya qilish talabi bo'lgan hududlar uchun qo'shimcha talablar
    Ushbu xavfsizlik tavsiyalariga olib kelgan tahdid darajasi ham ko'rsatilgan ­:
    ^ O'rtacha tahdid darajasi
    Qisqartmalar / atamalar Ta'riflar
    Masofadan boshqariladigan hisoblash tarmoqlarini (botnetlar) ishlab chiqish uchun foydalaniladigan mijozdagi bot zararli dasturi
    BSI Federal axborot xavfsizligi boshqarmasi
    Axborot va tegishli texnologiyalar uchun COBIT nazorati maqsadlari, biznes ­bilan bog'liq ish oqimlarini qo'llab-quvvatlash uchun IT-dan foydalanish natijasida yuzaga kelishi mumkin bo'lgan xavflarni nazorat qilish usullari­
    CSA Cloud Security Alliance
    CSP Cloud xizmati provayderi


    DDoS Taqsimlangan rad etish, IT mavjudligiga muvofiqlashtirilgan hujum, masalan, ko'p sonli hujum tizimlaridan foydalanish
    IaaS infratuzilmasi xizmat sifatida, AT resurslarini ta'minlash, masalan, ishlov berish ­quvvati, ma'lumotlarni saqlash yoki xizmatlar sifatida tarmoqlar
    IDS tajovuzni aniqlash tizimi
    IPS Intrusion oldini olish tizimi
    ISO 27001 Xalqaro norma ISO/IEC 27001 "Axborot texnologiyalari - Xavfsizlik ­texnikasi - Axborot xavfsizligini boshqarish tizimlari - Talablar ­" (ISMS)
    ITIL IT infratuzilma kutubxonasi, IT-xizmat provayderi nuqtai nazaridan IT xizmatlarini boshqarish mavzusidagi ishlar to'plami.
    NAS Network Attached Storage, saqlash arxitekturasi varianti
    OVF Open Virtualization Format, virtual qurilmalarni qadoqlash va tarqatish uchun platformadan mustaqil standart.
    SAN Storage Area Network, saqlash arxitekturasi varianti
    PCI DSS Payment Card Industry Data Security Standard, xavfsiz kredit karta operatsiyalari uchun sinov qoidalari
    PaaS platformasi xizmat sifatida, to'liq ish vaqtini ta'minlash va ishlab chiqish­
    opment muhiti xizmat sifatida
    SaaS Software as a Service, IT ilovalarini xizmat sifatida taqdim etish
    autentifikatsiya maʼlumotlarini almashish uchun XML ramkasi­
    muassasalarga o'z biznes jarayonlarini boshqarishda samarali yordam berish uchun IT dan foydalanish uchun taqsimlangan tizimlarni joriy qilish yondashuvi­
    VM Virtual mashina
    VPN Virtual xususiy tarmoq



    1. Ma'lumotnomalar

    1. Axborot xavfsizligi federal idorasi (BSI), IT-Grundschutz metodikasi ­, BSI standarti 100-2, 2.0 versiyasi, 2008 yil may

    http://www.bsi.bund.de/grundschutz


    1. Ueyn Yansen, Timoti Grens, Xavfsizlik va Maxfiylik bo'yicha ko'rsatmalar

    Public Cloud Computing, NIST, 800-144-sonli maxsus nashr loyihasi, ­2011 yil yanvar
    http://csrc.nist.gov/publications/drafts/800-144/Draft-SP-800-144_cloud- computing.pdf

    1. ENISA, Cloud Computing: foydalar, xavflar va ­shakllanish xavfsizligi uchun tavsiyalar, 2009 yil noyabr

    http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing- risk-assessment/at_download/fullReport

    1. Bulutli xavfsizlik ittifoqi, diqqat markazida bo'lgan muhim sohalar uchun xavfsizlik bo'yicha qo'llanma

    Cloud Computing V2.1, 2009 yil dekabr
    http://www.cloudsecurityalliance.org/csaguide.pdf

    1. Doktor Fang Liu, Jin Tong, doktor JianMa, NIST Cloud Computing Reference

    Arxitektura, 1.0 versiyasi, 2011 yil mart
    http://collaborate.nist.gov/twiki-cloud-computing/pub/CloudComputing/ReferenceArchitectureTaxonomy/NIST_CC_Reference_Architecture_v1_March_30_2011.pdf

    1. Mahesh Dodani: "Arxitekturali" bulutli echimlar, Journal of Object Technology jurnalida, jild. 9, yo'q. 2, 27-36-betlar, 2010 yil mart-aprel

    http://www.jot.fm/issues/issue_2010_03/column3/



    1. Whitepaper Cloud Computing Use Cases Version 3.0, Cloud Computing Use Cases Discussion Group tomonidan 2010 yil fevral, http://opencloudmanifesto.org/cloud_computing_use_cases_ whitepaper-3_0.pdf

    2. 100 000 sayt ma'lumotlarini o'chirib tashlaydi , The Register, 2009 yil iyun http://www.theregister.co.uk/2009/06/08/webhost_attack/

    3. Butunjahon infratuzilma xavfsizligi hisoboti, Arbor tarmoqlari, 2010 yil

    http://www.arbornetworks.com/dmdocuments/ISR2010_EN.pdf

    1. OWASP Top 10 - 2010 Veb-ilovalar xavfsizligi bo'yicha eng muhim o'nta xavf

    http://www.owasp.org/images/0/0f/OWASP_T10_-_2010_rc1.pdf
    OWASP ilovalari xavfsizligi tamoyillari
    http://www.owasp.org/index.php/Category:Principle

    1. Axborot xavfsizligi federal idorasi (BSI) Biznes uzluksizligini boshqarish bo'yicha BSI standarti ­100-4 , 2009 yil

    https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ ITGrundschutzstandards/standard_1004.pdf? __ blob=publicationFile

    1. Ochiq Virtualizatsiya formati spetsifikatsiyasi, 2009 yil fevral http://www. dmtf.org/standards/published_documents/DSP0243_1.0.0.pdf

    2. Ochiq bulutli hisoblash interfeysi - asosiy va modellar, 2010 yil yanvar http://www.ggf.org/Public_Comment_Docs/Documents/2010-01/occi-core.pdf

    3. vCloud API dasturlash qo'llanmasi, vCloud API 1.0, 2010

    http://communities.vmware.com/servlet/JiveServlet/download- Body/12463-102-2-14932/vCloud_API_Guide.pdf





    Acknowledgements



    1. Minnatdorchilik

    Bulutli hisoblashda axborot xavfsizligi mavzusini ko'rib chiqish va foydalanuvchilar va provayderlarni qo'llab-quvvatlash maqsadida 2010 yil 28 sentyabrda Axborot xavfsizligi bo'yicha Federal idora (BSI) "Bulutli hisoblash provayderlari uchun minimal talablar" oq qog'ozini muhokama qilish loyihasi sifatida e'lon qildi va taklif qilingan sharhlar. Oq qog'oz ijobiy qabul qilindi va konstruktiv mulohazalar taklif qilindi. Oq qog'ozni yaxshilashga takliflar berish, konstruktiv tanqid qilish va yaxshilashni taklif qilish orqali yordam bergan barchaga rahmat .­
    , ushbu ishni ishlab chiqish va takomillashtirishda o'z hissalari, yordami va foydali bahs-munozaralari bilan yordam bergan quyidagi ekspert va muassasalarga minnatdorchilik bildiramiz :­

    • Bayerische Landesbank, Sven-Torsten Gigler

    • Ma'lumotlarni himoya qilish va axborot erkinligi bo'yicha federal komissari (BfDI), Sven Germershmidt

    • BITKOM eV, BITKOM Xavfsizlik bo'limi a'zolari nomidan, Lutz Neugebauer

    • Cyber-Ark Software Ltd., Jochen Koehler

    • EMC, Klaus Bottcher, Volfgang Reh

    • Eurocloud Deutschland_eco eV, Andreas Vayss

    • Google, Robin Uilyamson, Jon Kollinz, Torsten Koch

    • ITDZ Berlin, Kay Osterhage

    • Microsoft, Gerold Hubner

    • ORACLE Deutschland BV& Co. KG, Lutz Kahlenberg

    • Pironet NDH, doktor Klemens Plieth

    • RSA, Aleksandr Xoffman, Tomas Kohler






    Acknowledgements



    • SAP AG

    • Siemens, doktor Bernd Grobauer, Steffen Fries

    • Symantec, Ilias Chantzos, Zoltan Precsenyi

    • ToolBox Solution GmbH, Tillmann Basien

    • TUV Informationstechnik GmbH (TUViT), Adrian Altrhein

    • VMware, Stefan Bohnengel

    • VZM GmbH, Verner Metterxauzen

    Shuningdek, ushbu hujjatni tayyorlagan BSI a'zolariga o'z minnatdorchiligimizni bildiramiz:
    Aleks Didier Essoh, doktor Klemens Dubrava, Isabel Munch.
    Quyidagi BSI a'zolari ham muhim ma'lumotlarni taqdim etdilar va bahsga hissa qo'shdilar:
    Horst Flatgen, doktor Xartmut Isselhorst, Andreas Konen, Dirk Reinermann, doktor Stefani Fisher-Dieskau, Tomas Kaspers, Oliver Zendel, Xolger Shildt, doktor Dorte Rappe, Tomas Borsh.

    Download 0,66 Mb.
    1   ...   16   17   18   19   20   21   22   23   24




    Download 0,66 Mb.

    Bosh sahifa
    Aloqalar

        Bosh sahifa



    Security Recommendations for Cloud Computing Providers

    Download 0,66 Mb.