|
Security Recommendations for Cloud Computing Providers
|
| bet | 8/24 | | Sana | 13.09.2024 | | Hajmi | 0,66 Mb. | | #271001 |
Bog'liq Tar SecurityRecommendationsCloudComputingProvidersServer Security
Private >=>
B C+ A+
A+
Technical measures to protect the host (host firewalls, regular integrity checks, host-based intrusion detection systems)
A secure basic configuration for the host (e.g. deploying hardened operating systems, disabling unnecessary services, etc.)
Customers having the option to use their own images for virtual machines or use the provider's quality-assured images (with IaaS only)
Secure default configuration for the guest operating system using hardened operating systems, disabling unnecessary services, etc. (with PaaS/SaaS only)
II
J
Public &
B
C+
J
J
■ ■ '
Sertifikatlangan gipervizorlarni o'rnatish (kamida EAL 4 umumiy mezonlari)
Tarmoq xavfsizligi
Ilgari, Cloud Computing platformalari ko'pincha spam yuborish uchun ishlatiladigan zararli dasturlarni joylashtirish orqali noto'g'ri foydalanilgan yoki ularning ishlov berish kuchi qo'pol kuch hujumlari yordamida parollarni buzish yoki foydalanilgan buyruq va boshqaruv serverlarini (C&C serverlari) yashirish uchun ishlatilgan. botnetlarni boshqarish uchun. Ushbu va shunga o'xshash hujumlarning oldini olish, shuningdek, resurslardan noto'g'ri foydalanish uchun har bir CSP tarmoqqa asoslangan hujumlardan himoya qilish uchun samarali xavfsizlik choralarini ko'rishi kerak. Antivirus himoyasi, troyanlarni aniqlash, spamdan himoya qilish, xavfsizlik devorlari, amaliy qatlam shlyuzi va IDS/IPS tizimlari kabi odatiy AT xavfsizligi choralari bilan bir qatorda CSP va mijoz o'rtasidagi va mijozlar o'rtasidagi barcha aloqalarni shifrlashga alohida e'tibor qaratish lozim. provayder saytlari. Agar xizmatlarni etkazib berish uchun uchinchi tomon provayderi talab etilsa, ular bilan aloqa ham shifrlangan bo'lishi kerak.
Resurslar markazlashtirilgan maʼlumotlar markazlarida toʻplanganligi sababli, ommaviy bulutli hisoblash platformalari uchun oʻziga xos xavf – bu tarqatilgan xizmat koʻrsatishni rad etish (DDoS) hujumidir. Arbor Net Works hisobotiga ko'ra , xavfsizlik echimlari provayderi DDoS hujumlari (masalan, DNS kuchaytirish/aks ettirish hujumi) endi juda katta bit tezligiga (100 Gbit / s dan ortiq) erishishi mumkin [9]. Standart magistral ma'lumotlar tezligini ancha pastroq qilish uchun mo'ljallangan. Natijada, ko'pgina CSPlar yuqori ma'lumotlar tezligidan foydalangan holda DDoS hujumlaridan deyarli himoyalana olmaydi. Bu jabrlanuvchining o'zi va boshqa bog'langan mijozlar uchun jiddiy oqibatlarga olib kelishi mumkin. Shu nuqtai nazardan, har bir ommaviy CSP DDoS hujumlaridan himoya qilish uchun tegishli choralarni ko'rishi kerak. Ko'pgina CSPlar yuqori ma'lumotlar tezligidan foydalangan holda o'zlarini DDoS hujumlaridan deyarli himoya qila olishmaganligi sababli, ushbu yumshatish xizmatlarini yirik Internet-provayderlardan (ISP) sotib olish va ulardan foydalanishni shartnomalarda tartibga solish imkoniyati mavjud. Boshqa bulutli mijozlarga bulutli mijozlar tomonidan ichki DDoS hujumlarini aniqlash bo'yicha chora-tadbirlar ham amalga oshirilishi kerak.
Tizimning noto'g'ri konfiguratsiyasi ko'pincha muvaffaqiyatli hujumlar uchun sababdir. Bulutli hisoblash platformalari juda ko'p turli komponentlardan iborat bo'lgani uchun,
Security architecture - Network security
umumiy konfiguratsiya juda murakkab. Bitta komponent (masalan, virtualizatsiya serveri) uchun konfiguratsiya parametrini o‘zgartirish, boshqa komponentlar (masalan, tarmoq yoki saqlash) bilan o‘zaro aloqada bo‘lganda, xavfsizlik zaifligiga, noto‘g‘ri funksiyalarga va/yoki nosozliklarga olib kelishi mumkin. Shu sababli, o'rnatilgan komponentlar xavfsiz va ehtiyotkorlik bilan sozlanishi kerak. Barcha CSPlar, shuningdek, har qanday nosozliklarning erkin tarqalishini oldini olish uchun, ularning tarmoqlari mos ravishda segmentlanganligini ta'minlashi kerak. Shu nuqtai nazardan, himoya talabidan kelib chiqib, provayder tarmog'ida turli xil xavfsizlik zonalarini belgilash va o'rnatish imkoniyati mavjud. Misollarga quyidagilar kiradi:
Bulutni boshqarish uchun xavfsizlik zonasi
Agar server virtualizatsiyasi qo'llanilsa, jonli migratsiya uchun xavfsizlik zonasi
Saqlash tarmog'i uchun xavfsizlik zonasi
mashinalar uchun o'z xavfsizlik zonalariga ega bo'ladi
CSP boshqaruv tarmog'i ma'lumotlar tarmog'idan ajratilgan bo'lishi kerak.
Agar bulutli infratuzilma yoki bulut xizmatlari masofadan boshqarilsa , buni xavfsiz aloqa kanali (masalan, SSH, TLS/SSL, IPSec, VPN) orqali amalga oshirish kerak.
Agar xizmat ko'rsatuvchi iste'molchi o'zlari taqdim etayotgan xizmatlarga nisbatan yuqori talablarga ega bo'lsa, CSP saytlari o'zaro ortiqcha asosda tarmoq ishlashi kerak.
|
| |
