• Bulutli modellar havfsizligi.
  • Texnologiyalarni




    Download 4,46 Mb.
    bet26/34
    Sana15.05.2024
    Hajmi4,46 Mb.
    #236274
    1   ...   22   23   24   25   26   27   28   29   ...   34
    Bog'liq
    BULUTLI TEXNOLOGIYALAR

    Himoya texnologiyasi. AT soxasida bulut himoya strategiyasi juda yuqori darajada ta’minlashning imkonini beradi shu bilan birga shaxsiy ma’lumotlarni muxofaza qilish eng yuqori standartlariga ega. Cloud computing da har doim ishtrokchilarni maydoning belgilash, har bir tarkibiy darajasi uchun talablarini aniqlash imkoni beradi. Bunday talablarni amalga oshirish imkoni bugungi kunda chora topilmoqda. E’tibor ishonchli tarqatilish va amaliyot dasturi foydalanish bo‘yicha bo‘lishi kerak. Ilya Trifalenkov, axborot xavfsizligi “R- Style” markazi direktori - aynan prikladnoy dasturiy ta’minoti darajasi ma’lumotlarga kirish imkoniyatini beradi. Faqatgina shu prikladnoy dasturiy ta’minot darajasi maksimal xavf old liniyasida turadi.
    Bulut muxitlarida eng ko‘p tarqalgan xatarlar virtual mashinalarini ishlab turgan holatidan o‘girlash, faqat dastur parametrlaridan foydalanib AT - infratuzilmasi tarmoq topologiyasida o‘zgartirishlar, AT bo‘yicha hujumlar tarmoq himoya mexanizmlaridan to‘g‘ridan to‘g‘ri o‘tish. Ushbu xavf virtual muxitni qurilishining barcha bosqichlarida himoya qilinishi tufayli kamayadi, yani ular: cirtual infratuzilma, tizim boshqaruvi va saqlash tizimi doirasida, apparat, tizim dasturiy ta’minot grafigi (hypervisor).
    Bulutli modellar havfsizligi. Uchta bulutli modellarda xavf darajasi juda farq qiladi va xavfsizlik muammolarini hal qilish usullari o‘zaro ta’sir darajasiga qarab ham farq qiladi. Xavfsizlik talablari bir xil bo‘lib qolmoqda, ammo SaaS, PaaS yoki IaaS turli xil modellarda xavfsizlikni boshqarish darajasi turlicha. Mantiqiy nuqtai nazardan, hech narsa o‘zgarmaydi, ammo jismoniy amalga oshirish imkoniyatlari tubdan farq qiladi.
    SaaS modelida dastur bulut infratuzilmasida ishlaydi va veb-brauzer orqali kirish mumkin. Mijoz tarmoq, serverlar, operatsion tizimlar, ma’lumotlarni saqlash va hatto ba’zi amaliy xususiyatlarni boshqarmaydi. Shu sababli, SaaS modelida xavfsizlikning asosiy majburiyati deyarli etkazib beruvchilar zimmasiga yuklangan.
    Birinchi muammo - bu parolni boshqarish. SaaS modelida dasturlar bulutdadir, shuning uchun asosiy xavf dasturlarga kirish uchun bir nechta hisoblardan foydalanish hisoblanadi. Tashkilotlar bulutli va mahalliy tizimlar uchun hisoblarni birlashtirish orqali ushbu muammoni hal qilishi mumkin. Yagona kirish tizimidan foydalanganda foydalanuvchilar bitta hisob qaydnomasi yordamida ish stantsiyalari va bulutli xizmatlarga kirish huquqiga ega bo‘ladilar. Ushbu yondashuv xodimlarning ishdan bo‘shatilishidan keyin ruxsatsiz foydalanish holatlarida "osilgan" hisoblarning paydo bo‘lish ehtimolini kamaytiradi.
    PaaS CSA ma’lumotlariga ko‘ra, PaaS mijozlar dasturiy ta’minot tillari va sotuvchi tomonidan qo‘llab-quvvatlanadigan vositalardan foydalangan holda dasturlarni yaratadilar va keyin ularni bulut infratuzilmasiga joylashtiradilar. SaaS modelida bo‘lgani kabi, mijoz infratuzilmani - tarmoqlarni, serverlarni, operatsion tizimlarni yoki saqlash tizimlarini boshqara olmaydi yoki nazorat qila olmaydi, lekin dasturlarning joylashtirilishini nazorat qiladi. PaaS modelida foydalanuvchilar dastur xavfsizligiga, shuningdek, avtorizatsiya, avtorizatsiya va tekshirish kabi API-ni boshqarish bilan bog‘liq masalalarga e’tibor berishlari kerak.
    Birinchi muammo - bu ma’lumotlarni shifrlash. PaaS modeli tabiiy ravishda xavfsizdir, ammo tizimning yomon ishlashi xavfi mavjud. Buning sababi shundaki, PaaS provayderlari bilan ma’lumot almashishda shifrlashdan foydalanish tavsiya etiladi va bu qo‘shimcha protsessor quvvatini talab qiladi. Shunga qaramay, har qanday echimda, maxfiy foydalanuvchi ma’lumotlarini uzatish shifrlangan kanal orqali amalga oshirilishi kerak.
    Iaas Garchi bu erdagi mijozlar bulut infratuzilmasini boshqarmasalar-da, ular operatsion tizimlar, ma’lumotlarni saqlash va dasturlarning joylashuvi ustidan nazorat qilishadi va ehtimol tarmoq tarkibiy qismlarini tanlash ustidan cheklangan nazoratga ega.
    Ushbu model infratuzilmani o‘zi himoya qilmasdan bir nechta ichki xavfsizlik xususiyatlariga ega. Bu shuni anglatadiki, foydalanuvchilar operatsion tizimlarni, ilovalarni va tarkibni odatda API orqali boshqarishi va xavfsizligini ta’minlashi kerak.
    Agar bu himoya usullari tiliga tarjima qilingan bo‘lsa, provayder quyidagilarni ta’minlashi kerak:
    Infratuzilmaning o‘zi foydalanishni ishonchli boshqarish; Infratuzilma nosozliklariga chidamlilik.
    Shu bilan birga, bulutli iste’molchi ko‘proq himoya funktsiyalarini oladi: Infratuzilma doirasida xavfsizlik devori;
    Tarmoq ichkarisidan himoya qilish;
    Operatsion tizimlar va ma’lumotlar bazalarini himoya qilish (kirishni boshqarish, zaifliklardan himoya qilish, xavfsizlik sozlamalarini boshqarish);
    Oxirgi dasturlarni himoya qilish (antivirus himoyasi, kirishni boshqarish). Shunday qilib, himoya choralarining aksariyati iste’molchining elkasiga tushadi.
    Provayder odatiy himoya tavsiyalarini yoki tayyor echimlarni taqdim qilishi mumkin va shu bilan oxirgi foydalanuvchilar uchun vazifani soddalashtiradi.
    Bulutli voqealarni tekshirish va sud ekspertizasi
    Axborot xavfsizligi choralari profilaktik (masalan, shifrlash va foydalanishni boshqarishning boshqa mexanizmlari) va reaktiv (tergov) bo‘linishi mumkin. Bulutli havfsizlikning faol yo‘nalishi - faol ilmiy tadqiqotlar sohasi, bulut xavfsizligining reaktiv tomoni esa kam ahamiyat olgan.
    Hodisalarni tergov qilish (shu jumladan, axborot sohasidagi jinoyatlar bo‘yicha tergov) - bu axborot xavfsizligi sohasidagi taniqli bo‘lim. Odatda bunday tekshiruvlarning maqsadlari quyidagilardan iborat:
    Axborot ma’lumotlari choralarini profilaktika qilish (muammoni o‘zgartirish, foydalanishni boshqarish va boshqa mexanizmlarni boshqarish) va reaktiv (tergov) o‘tkazish mumkin. Bulutli havfsizlikning faol yo‘nalishi - faol ilmiy aloqalar sohasi, bulutli bilimlarni reaktiv tomoni va kam ahamiyatli bo‘lganligi. Xodisalarni tergov qilish (shu haqida ma’lumot, axborot sohasidagi aloqalarni rivojlantirish bo‘yicha tergov) - bu axborot ma’lumot sohasidagi tanish bo‘lim. Stil tipidagi takliflarning maqsadlari bo‘yicha tavsiyalardan iborat bo‘lgan qism:
    O‘chirilgan bo‘lishi mumkin bo‘lgan ma’lumotlarni qayta tiklang
    Voqea bilan bog‘liq raqamli tizimlar ichida va tashqarisida sodir bo‘lgan voqealarni tiklash
    Raqamli tizim foydalanuvchisini aniqlash
    Viruslar va boshqa zararli dasturlarning mavjudligini aniqlash Noqonuniy materiallar va dasturlarning mavjudligini aniqlash Parollarni, shifrlash kalitlarini va parollarni buzish
    Ideal holda, kompyuter-texnik ekspertiza - bu tergovchi uchun vaqt mashinasi bo‘lib, u istalgan vaqtda raqamli qurilmaning o‘tmishiga o‘tishi va tadqiqotchiga quyidagi ma’lumotlarni taqdim qilishi mumkin:
    Biron bir vaqtda qurilmani ishlatadigan odamlar foydalanuvchi harakatlari (masalan, hujjatlarni ochish, veb-saytga kirish, matn protsessorida ma’lumotlarni bosib chiqarish va boshqalar) ma’lum bir vaqtda qurilma tomonidan saqlanadigan, yaratilgan va ishlov berilgan ma’lumotlar.
    Mustaqil raqamli qurilmalarni almashtiradigan bulutli xizmatlar sud-tibbiyot ekspertizasining shunga o‘xshash darajasini ta’minlashi kerak. Biroq, bu resurslarni birlashtirish, bulutli hisoblash infratuzilmasining ko‘p yillik va egiluvchanligi bilan bog‘liq muammolarni bartaraf etishni talab qiladi. Hodisalarni tekshirishda asosiy vosita audit varag‘i hisoblanadi.
    Audit jurnallari - tizimda foydalanuvchilarni ro‘yxatga olish tarixini, ma’muriy vazifalarni va ma’lumotlarni o‘zgartirishni boshqarish uchun mo‘ljallangan- xavfsizlik tizimining ajralmas qismidir. Bulutli texnologiyalarda auditorlik izining o‘zi nafaqat tergov o‘tkazish uchun vosita, balki serverlardan foydalanish xarajatlarini hisoblash vositasidir. Audit izi himoya tizimidagi bo‘shliqlarni bartaraf etmasa ham, bu sizga nima bo‘layotganiga tanqidiy qarashga va vaziyatni tuzatish bo‘yicha takliflarni shakllantirishga imkon beradi.
    Arxivlar va zaxira nusxalarini yaratish katta ahamiyatga ega, ammo kim, qachon va nima qilganligini qayd qiluvchi rasmiy jurnal jurnalini almashtira olmaydi. Audit izi xavfsizlik auditorining asosiy vositalaridan biridir.
    Xizmat shartnomasida odatda qaysi audit jurnallari saqlanishi va foydalanuvchiga taqdim etilishi haqida yozilgan.
    Tahdid modeli
    2010 yilda CSA bulutdagi asosiy xavfsizlik tahdidlarini tahlil qildi. Ushbu hujjat SaaS, PaaS va IaaS xizmatlarining uchta modeli uchun tajovuzkorlarni ta’riflaydi. Hujumning 7 asosiy yo‘nalishi aniqlandi. Ko‘pincha, hujumning barcha turlari oddiy, "bulutsiz" serverlarga xos bo‘lgan hujumlardir. Bulutli infratuzilma ularga ma’lum xususiyatlarni yuklaydi. Shunday qilib, masalan, serverlarning dasturiy qismidagi zaifliklarga qilingan hujumlar gipervisorga qilingan hujumlar bilan to‘ldiriladi, bu ham ularning dasturiy qismi.
    Xavfsizlik tahdidi №1
    Bulutli texnologiyalardan noto‘g‘ri va noo‘rin foydalanish.
    Ta’rif: IaaS bulut provayderidan manbalarni olish uchun foydalanuvchi faqat kredit kartasiga ega bo‘lishi kerak. Ro‘yxatdan o‘tish va resurslarni taqsimlash qulayligi spamerlarga, virus mualliflariga va boshqalarga imkon beradi. bulut xizmatidan ularning jinoiy maqsadlari uchun foydalaning. Ilgari bunday hujumlar faqat PaaS-da kuzatilgan, ammo so‘nggi tadqiqotlar IaaS-ni DDOS hujumlarida ishlatish, zararli kodni joylashtirish, botnet tarmoqlarini yaratish va boshqa imkoniyatlarni ko‘rsatdi.
    Misollar
    IaaS xizmatlari Zeus troyaniga asoslangan botnet tarmog‘ini yaratish, InfoStealer troyan ot kodini saqlash va MS Office va AdobePDF-dagi turli xil zaifliklar haqida ma’lumotlarni joylashtirish uchun ishlatilgan.
    Bundan tashqari, botnet tarmoqlari o‘z tengdoshlarini boshqarish va spam yuborish uchun IaaS-dan foydalanadi. Shu sababli, ba’zi IaaS xizmatlari qora ro‘yxatga kiritilgan va ularning foydalanuvchilari pochta serverlari tomonidan butunlay e’tiborsiz qoldirilgan.
    Chorasi:
    Foydalanuvchilarni ro‘yxatdan o‘tkazish tartibini takomillashtirish
    Kredit kartalarni tekshirish tartibini takomillashtirish va to‘lov vositalaridan foydalanishni nazorat qilish
    Xizmatdan foydalanuvchilarning tarmoq faoliyatini har tomonlama o‘rganish
    U yerda provayder tarmog‘ining paydo bo‘lishi uchun asosiy qora varaqlarni kuzatish.
    Xavfsizlik tahdidi №2
    Xavfsiz dasturlash interfeysi (API) Ta’rif: Bulutli infratuzilma provayderlari foydalanuvchilarga resurslarni, virtual mashinalarni yoki xizmatlarni boshqarish uchun dasturiy interfeyslarni taqdim etadi. Butun tizimning xavfsizligi ushbu interfeyslarning xavfsizligiga bog‘liq. Autentifikatsiya qilish va avtorizatsiya qilish protsedurasidan boshlab va shifrlash bilan yakunlangan holda dastur interfeysi zararli foydalanuvchilar tomonidan har xil hujumlardan maksimal darajada himoya qilishni ta’minlashi kerak.
    Misollar:
    Xavfsiz dasturiy interfeyslarning asosiy belgilari interfeysga anonim kirish va aniq ma’lumotlarning ishonchli ma’lumotlarini uzatishdir. APIdan foydalanishning cheklangan monitoringi, jurnallar tizimining yo‘qligi, shuningdek turli xizmatlar o‘rtasidagi noma’lum munosabatlar faqatgina xakerlik xavfini oshiradi.
    Chorasi:
    Bulut provayderi xavfsizlik modeli tahlilini o‘tkazing
    Shifrlash algoritmlari ishonchli ekanligiga ishonch hosil qiling.
    Haqiqiy autentifikatsiya va avtorizatsiya usullaridan foydalanganingizga ishonch hosil qiling.
    Turli xil xizmatlar o‘rtasidagi bog‘liqlikning butun zanjirini tushuning. Xavfsizlik tahdidi №3
    Intruders Ta’rif:
    Ma’lumotni ichki qismdan ruxsatsiz olish muammosi o‘ta xavflidir. Ko‘pincha, provayderning faoliyatini kuzatish tizimi provayder tomonidan amalga oshirilmaydi, bu tajovuzkor o‘z xizmat mavqeidan foydalanib mijoz ma’lumotiga kirish huquqiga ega bo‘lishi mumkin. Ta’minotchi yollash bo‘yicha o‘z siyosatini oshkor qilmagani sababli, tahdid havaskor xakerlar va provayder xodimlari qatoriga kirgan uyushgan jinoiy tuzilmadan kelib chiqishi mumkin.
    Misollar:
    Ushbu turdagi suiiste’molliklar haqida hozircha hech qanday misol yo‘q.
    Chorasi:

    • Uskunalarni xarid qilish va ruxsatsiz kirishni aniqlash uchun tegishli tizimlardan foydalanish qoidalarining qat’iyligi

    • Foydalanuvchilar bilan jamoat shartnomalarida xodimlarni yollash qoidalarini tartibga solish

    • Shaffof xavfsizlik tizimini yaratish, shuningdek, provayderning ichki tizimlarida xavfsizlik auditi hisobotlarini nashr etish

    Xavfsizlik tahdidi №4
    Bulutli zaifliklar Ta’rif: IaaS xizmat ko‘rsatuvchi provayderlari virtualizatsiya tizimlaridan foydalangan holda apparat manbalarini mavhumlashtirishdan foydalanadilar. Ammo, resurslarni baham ko‘rmasdan jihozlarni ishlab chiqish mumkin. Ushbu omil ta’sirini minimallashtirish uchun gipervisor virtual mashinaning apparat vositalariga kirishini nazorat qiladi, ammo, hatto gipervisorlarda ham jiddiy zaifliklar bo‘lishi mumkin, ulardan foydalanish imtiyozlarning kuchayishiga yoki jismoniy uskunalarga noqonuniy kirishga olib kelishi mumkin.
    Tizimni bunday muammolardan himoya qilish uchun virtual muhit va izolyatsiyani buzish tizimlarini izolyatsiya qilish mexanizmlarini joriy etish kerak. Virtual mashinadan foydalanuvchilar umumiy manbalarga kirmasliklari kerak.
    Misollar:
    Potentsial zaifliklarga, shuningdek virtual muhitda izolyatsiyani chetlab o‘tishning nazariy usullariga misollar mavjud.
    Chorasi:
    Virtual muhitlarni o‘rnatish, sozlash va himoya qilish bo‘yicha eng yaxshi amaliyotlarni amalga oshiring
    Ruxsatsiz kirishni aniqlash tizimlaridan foydalanish
    Ma’muriy ish uchun kuchli autentifikatsiya va avtorizatsiya qoidalarini qo‘llash Yamalar va yangilanishlarni qo‘llash uchun vaqt talablari
    O‘z vaqtida skanerlash va zaifliklarni aniqlash protseduralarini o‘tkazish.
    Xavfsizlik tahdidi №5 Ma’lumot yo‘qolishi yoki oqishi
    Ta’rif: Ma’lumotlarning yo‘qolishi minglab sabablarga ko‘ra yuzaga kelishi mumkin. Masalan, shifrlash kalitini qasddan yo‘q qilish, shifrlangan ma’lumotni tiklashga olib kelmaydi. Ma’lumotni yoki ma’lumotlarning bir qismini yo‘q qilish, muhim ma’lumotlarga noqonuniy kirish, yozuvlarni o‘zgartirish yoki ommaviy axborot vositalarining noto‘g‘ri ishlashi ham bunday holatlarga misoldir. Murakkab bulutli infratuzilmada tarkibiy qismlarning yaqin o‘zaro ta’siri tufayli har bir hodisaning ehtimolligi oshadi.
    Misollar:
    Autentifikatsiya, avtorizatsiya va audit qoidalarining noto‘g‘ri qo‘llanilishi, shifrlash qoidalari va usullarining noto‘g‘ri ishlatilishi va uskunaning buzilishi ma’lumotlarning yo‘qolishiga yoki oqib ketishiga olib kelishi mumkin.
    Chorasi:
    Mustahkam va xavfsiz API-dan foydalanish Berilgan ma’lumotlarni shifrlash va himoya qilish
    Tizim faoliyatining barcha bosqichlarida ma’lumotlarni himoya qilish modelini tahlil qilish
    Shifrlash kalitlarini boshqarish tizimini mustahkamlang
    Faqat eng ishonchli ommaviy axborot vositalarini tanlash va sotib olish Ma’lumotlarning o‘z vaqtida zaxira qilinishini ta’minlash
    Xavfsizlik tahdidi №6
    Shaxsiy ma’lumotlarni o‘g‘irlash va xizmatga ruxsatsiz kirish Ta’rif:
    Ushbu turdagi tahdid yangi emas. Unga har kuni millionlab foydalanuvchilar duch keladi. Hujum qiluvchilarning asosiy maqsadi - foydalanuvchi nomi (login) va uning paroli. Bulutli tizimlar sharoitida parol va foydalanuvchi nomini o‘g‘irlash provayderning bulut infratuzilmasida saqlanadigan ma’lumotlardan foydalanish xavfini oshiradi. Shunday qilib, tajovuzkor qurbonning obro‘sidan o‘z faoliyati uchun foydalanishi mumkin.
    Misollar:
    Spam yuborish uchun o‘g‘irlangan ma’lumotlardan foydalanish.
    Chorasi:
    Hisobraqamlarni o‘tkazishni taqiqlash Ikki faktorli autentifikatsiya usulidan foydalanish.
    Ruxsatsiz kirishning faol monitoringini amalga oshirish Bulut provayderi xavfsizlik modelining tavsifi Xavfsizlik tahdidi №7
    Boshqa zaifliklar Ta’rif:
    Biznesni yuritish uchun bulutli texnologiyalardan foydalanish kompaniyaga IT- infratuzilmasi va bulut provayderiga xizmat ko‘rsatishni ta’minlab, o‘z biznesiga e’tibor qaratishga imkon beradi. O‘z xizmatlarini reklama qilish bilan, bulutli provayder amalga oshirish tafsilotlarini oshkor qilganda, barcha imkoniyatlarni ko‘rsatishga intiladi. Bu jiddiy xavf tug‘dirishi mumkin, chunki ichki infratuzilma haqida bilish tajovuzkorga ochiq zaiflikni topish va tizimga hujum qilish imkoniyatini beradi.
    Bunday holatlarning oldini olish uchun bulut provayderlari bulutning ichki tuzilishi to‘g‘risida ma’lumot bermasligi mumkin, ammo bu yondashuv ham ishonchni oshirishga yordam bermaydi, chunki potentsial foydalanuvchilar ma’lumotlar xavfsizligi darajasini baholay olmaydilar. Bundan tashqari, bunday yondashuv zaifliklarni o‘z vaqtida topish va yo‘q qilish imkoniyatini cheklaydi.
    Misollar:
    Amazon EC2 bulut xavfsizligi tekshiruvidan bosh tortdi
    Hearthland ma’lumotlar markazida xavfsizlikni buzilishiga olib keladigan dasturiy ta’minotni qayta ishlashda zaiflik
    Chorasi: Jurnalni ochish
    Tizim arxitekturasi ma’lumotlari va o‘rnatilgan dastur tafsilotlarini to‘liq yoki qisman ochish
    Zaiflik monitoringi tizimlaridan foydalanish.



      1. Download 4,46 Mb.
    1   ...   22   23   24   25   26   27   28   29   ...   34




    Download 4,46 Mb.