Seguridad en la Nube. Estudiamos la seguridad de los servicios en la nube utilizando el ejemplo de la infraestructura de Yandex.

Entrevista a Alexey Berdnik, responsable de proyectos del departamento de trabajo con clientes estratégicos en Digital Design

La aparición de la virtualización se ha convertido en una razón urgente para la migración a gran escala de la mayoría de los sistemas a máquinas virtuales. Sin embargo, no hay garantía de que se cuenten todos los recursos de la nube, y no hay máquinas virtuales no supervisadas, se ejecutan procesos innecesarios o no se infringe la configuración mutua de los elementos de la nube. ¿Cuáles son las amenazas a la computación en la nube y cómo se pueden prevenir?

- Este es un tipo de amenaza de alto nivel ya que se relaciona con la capacidad de administración de la nube como un sistema de informacion, y la protección general para él debe construirse individualmente. Para hacer esto, necesita utilizar un modelo de gestión de riesgos para las infraestructuras en la nube.

V computación en la nube el papel más importante de la plataforma lo desempeña la tecnología de virtualización. Las amenazas conocidas para la computación en la nube incluyen la dificultad de trasladar los servidores en la nube a la nube informática. En la mayoría de los centros de datos tradicionales, el acceso de los ingenieros a los servidores se controla a nivel físico; en entornos de nube, operan a través de Internet. Por tanto, la diferenciación del control de acceso y asegurar la transparencia de los cambios a nivel del sistema son uno de los principales criterios de protección.

La amenaza puede estar relacionada con el dinamismo de las máquinas virtuales. Las máquinas virtuales se clonan y se pueden mover entre servidores físicos. Esta variabilidad influye en el diseño de un sistema de seguridad holístico. Al mismo tiempo, las vulnerabilidades sistema operativo o las aplicaciones en un entorno virtual se distribuyen de forma incontrolable y, a menudo, aparecen después de un período de tiempo arbitrario, por ejemplo, al restaurar desde una copia de seguridad. Por lo tanto, en un entorno de computación en la nube, es importante registrar de manera confiable el estado de protección del sistema, independientemente de su ubicación. Para los sistemas virtuales y en la nube, el riesgo de piratería e infección de malware es bastante alto. Por lo tanto, un sistema de detección y prevención de intrusiones debe poder detectar actividad maliciosa a nivel de máquinas virtuales, independientemente de su ubicación en la nube.

Una máquina virtual que está apagada también está en riesgo de infección, ya que el acceso a la red es suficiente para acceder a su almacenamiento de imágenes. Al mismo tiempo, es imposible habilitar el software de seguridad en una máquina virtual apagada. Es por eso que se debe implementar la protección a nivel de hipervisor. También debe tenerse en cuenta que cuando se utiliza la computación en la nube, el perímetro de la red se difumina o incluso desaparece, lo que conduce a una definición completamente diferente del nivel general de seguridad de la red. Corresponde a la parte menos protegida del mismo. Para delimitar segmentos con niveles diferentes de confianza en la nube, las máquinas virtuales deben protegerse moviendo el perímetro de la red a la propia máquina virtual.

¿Cuáles más son los riesgos de pasar a la nube?

- Vulnerabilidades en sistemas operativos, componentes modulares, protocolos de red- amenazas tradicionales, para la protección contra las cuales basta con instalar un firewall, firewall, antivirus, IPS y otros componentes que resuelven este problema... Al mismo tiempo, es importante que estas protecciones funcionen de forma eficaz en un entorno de virtualización.

También hay ataques funcionales a elementos de la nube. Para protegerlos, para cada parte de la nube es necesario utilizar los siguientes medios de protección: para un proxy - protección efectiva contra ataques DoS, para un servidor web - control de la integridad de la página, para un servidor de aplicaciones - una pantalla de nivel de aplicación, para un DBMS - protección contra inyección SQL, para sistemas de almacenamiento - copias de seguridad correctas (respaldo), control de acceso. Por separado, ya se ha creado cada uno de estos mecanismos de defensa, pero no se recopilan juntos para la protección integral de la nube, por lo que la tarea de integrarlos en sistema unificado debe abordarse durante la creación de la nube.

Podemos distinguir los llamados ataques al cliente. Dado que la mayoría de los usuarios se conectan a la nube mediante un navegador, existe el riesgo de secuestro de contraseñas, secuestro de sesiones web y una serie de otros ataques similares. La única defensa contra ellos es la autenticación correcta y el uso de una conexión cifrada (SSL) con autenticación mutua. Sin embargo, estas protecciones no son muy convenientes y son un desperdicio para los creadores de nubes. En esta industria seguridad de información todavía quedan muchos problemas sin resolver.

Uno de los elementos clave de un sistema virtual es el hipervisor. Su función principal es compartir recursos entre maquinas virtuales... Un ataque a un hipervisor puede hacer que una máquina virtual pueda acceder a la memoria y los recursos de otra. También podrá interceptar el tráfico de red, quitar recursos físicos e incluso desplazar una máquina virtual del servidor. Como métodos de protección estándar, se recomienda el uso de productos especializados para entornos virtuales, la integración de servidores host con el servicio de directorio de Active Directory, el uso de políticas de complejidad y antigüedad de contraseñas, así como la estandarización de procedimientos para acceder a las herramientas de administración del servidor host. y el uso del firewall integrado del host de virtualización. También es posible deshabilitar servicios que no se utilizan con frecuencia como, por ejemplo, el acceso web al servidor de virtualización.

La gran cantidad de máquinas virtuales utilizadas en la nube requiere sistemas de administración que puedan controlar de manera confiable la creación, migración y eliminación de máquinas virtuales. La intervención en el sistema de control puede conducir a la aparición de máquinas virtuales, invisibles, capaces de bloquear algunas máquinas virtuales y sustituir otras.

Las amenazas a la seguridad siempre generan soluciones que pueden prevenirlas. ¿Cuáles son los más efectivos?

- Una de las formas más efectivas de proteger los datos es el cifrado. El proveedor que proporciona acceso a los datos debe cifrar la información del cliente almacenada en el centro de datos y, si no es necesario, eliminarla de forma irrevocable. Durante la transmisión, incluso los datos cifrados solo deberían ser accesibles después de la autenticación. Además, el acceso a los datos debe realizarse solo a través de protocolos confiables AES, TLS, IPsec. Además, se logrará una mayor confiabilidad mediante el uso de tokens y certificados para la autenticación. Al autorizar, también se recomienda utilizar LDAP (Lightweight Directory Access Protocol) y SAML (Security Assertion Markup Language) para una comunicación transparente entre el proveedor y el sistema de identidad. Además, las redes virtuales deben implementarse utilizando tecnologías como VPN (Red privada virtual), VLAN (Red de área local virtual) VPLS (Servicio de LAN privada virtual).

La remuneración del trabajo es un factor de motivación solo si está directamente relacionada con los resultados del trabajo. Los empleados deben estar convencidos de una relación estable entre la retribución material recibida y la productividad laboral. Debe haber un componente en los salarios que dependa de los resultados obtenidos. La mentalidad rusa se caracteriza por el deseo de trabajo colectivo, el reconocimiento y el respeto de los compañeros, etc.

Hoy, cuando los salarios altos son difíciles debido a la difícil situación económica, se debe prestar especial atención a los incentivos no materiales, creando un sistema flexible de beneficios para los empleados, humanizando el trabajo, incluyendo:

1.Reconocer el valor del empleado para la organización, brindarle libertad creativa;

2. aplicar programas de enriquecimiento de mano de obra y rotación de personal;

3. utilizar un horario variable, una semana de trabajo a tiempo parcial, la capacidad de trabajar tanto en el lugar de trabajo como en el hogar;

4. establecer descuentos para los empleados en los productos fabricados por la empresa en la que trabajan;

5. Proporcionar fondos para recreación y esparcimiento, proporcionar boletos de viaje gratuitos, otorgar préstamos para la compra de vivienda, un terreno de jardín, automóviles, etc.

A continuación se formularán los factores motivadores de la organización del trabajo, que conducen a la satisfacción de las necesidades de los más altos niveles.
En su lugar de trabajo, todos quieren mostrar de lo que son capaces y lo que significan para los demás, por lo que es necesario reconocer los resultados de la actividad de un empleado en particular, para brindar la oportunidad de tomar decisiones sobre temas relacionados con su competencia, para asesorar a otros empleados. En los lugares de trabajo, se debe formular la cosmovisión de un solo equipo: es imposible destruir los grupos informales emergentes si no causan un daño real a los objetivos de la organización.

Casi todo el mundo tiene su propio punto de vista sobre cómo mejorar su trabajo. Contando con el apoyo interesado de la gerencia, sin temor a sanciones, el trabajo debe organizarse para que el empleado no pierda las ganas de implementar sus planes. Por lo tanto, de qué forma, a qué velocidad y de qué manera los empleados reciben información, evalúan su significado real a los ojos de la gerencia, por lo que es imposible tomar decisiones sobre cambios en el trabajo de los empleados sin su conocimiento, incluso si los cambios son positivos, además de dificultar el acceso a la información necesaria.

La información sobre la calidad del trabajo de un empleado debe ser rápida, a gran escala y oportuna. Se le debe dar al empleado el mayor grado posible de autocontrol. La mayoría de la gente se esfuerza por adquirir nuevos conocimientos en el proceso de trabajo. Por lo tanto, es muy importante brindar a los subordinados la oportunidad de aprender, alentar y desarrollar su creatividad.

Todas las personas se esfuerzan por alcanzar el éxito. El éxito son metas cumplidas, para cuya consecución el empleado ha hecho todo lo posible. El éxito sin reconocimiento conduce a la decepción, mata la iniciativa. Esto no sucederá si los subordinados, que han logrado el éxito, delegan derechos y poderes adicionales, los promueven en la escala profesional.

CONCLUSIÓN

La efectividad de tal o cual sistema motivacional en la práctica depende en gran medida de los órganos de dirección, aunque en los últimos años se han tomado ciertas medidas para aumentar el papel de las propias empresas en el desarrollo. propios sistemas motivaciones, que en un período específico de tiempo permiten la implementación de las metas y objetivos de las empresas en las condiciones de las relaciones de mercado.

Ahora casi no es necesario convencer a nadie de que la motivación es el factor fundamental para motivar a los trabajadores a trabajar de forma altamente productiva. A su vez, el funcionamiento de los sistemas de motivación, su desarrollo dependen principalmente de los empleados del aparato de gestión, de sus calificaciones, cualidades comerciales y otras características cualitativas. Al mismo tiempo, tanto en el período anterior a la transición de Rusia a las relaciones de mercado como en la actualidad, el problema de la motivación sigue siendo el problema más urgente y, lamentablemente, el más irresuelto en términos prácticos. La solución a este problema depende principalmente de nosotros mismos. Nosotros mismos somos responsables de nuestra vida y motivación para trabajar. Sin embargo, parece que muchos de nosotros pasamos demasiado tiempo antes de atrevernos a asumir la responsabilidad principal por el contenido de nuestras vidas y el deseo de trabajar. Estamos acostumbrados a buscar las causas de los problemas de nuestra vida y del trabajo al principio fuera de nosotros.

Las razones se encuentran rápidamente: colegas cercanos en el trabajo, jefes, subordinados, división del trabajo, ambiente, método de gestión, condiciones económicas, política gubernamental irrazonable y muchos otros factores que se encuentran incluso fuera de nuestro país. Muchos de nosotros pasamos tanto tiempo explicando cuán efectivo es nuestro trabajo o no queremos trabajar, que durante este tiempo, uso correcto sería posible lograr una motivación significativamente mayor, tanto propia como del entorno inmediato.

Enviar tu buen trabajo en la base de conocimientos es sencillo. Utilice el siguiente formulario

Los estudiantes, estudiantes de posgrado, jóvenes científicos que utilizan la base de conocimientos en sus estudios y trabajos le estarán muy agradecidos.

Documentos similares

Esencia, formas, principios y sistemas de retribución. Análisis del fondo de salarios en el ejemplo de NKMZ JSC. Los métodos de remuneración de los empleados utilizados en la empresa. Orientaciones para mejorar el sistema de retribución y motivación laboral en condiciones de mercado.

Análisis de las actividades de OOO UMTS "Splav", características del sistema de organización de la contabilidad de salarios. El sistema de salarios como elemento necesario de la organización de la remuneración. Características de los métodos de motivación de los trabajadores, la estructura del fondo salarial.

trabajo de término agregado 01/09/2012


La esencia y contenido de la categoría "motivación laboral". Teorías de la motivación, su esencia y significado. Análisis del estado actual del sistema de motivación laboral de los empleados de Svetlana LLC. Reforzar los factores motivacionales en el ámbito de la retribución, la eficacia de las medidas.

trabajo de término, agregado 18/05/2010


Consideración de formas, fuentes de formación de fondos salariales, sistemas de bonificaciones e incentivos para los empleados. Características de las actividades productivas y económicas de PA "Baker": análisis del costo de producción, rentabilidad, organización y remuneración.

tesis, agregada el 25/05/2010


El problema de estimular la mano de obra en la economía. Característica sistema tradicional salarios en la empresa. Diagnóstico de motivación laboral, orientación a valores y satisfacción laboral del personal de la empresa. Desarrollo de un sistema de retribución empresarial.

tesis, agregada el 08/09/2010


El sistema de retribución: tipos, formas y procedimiento para su cálculo. El procedimiento de remuneración de los trabajadores en las instituciones médicas. Contabilidad de financiación en organizaciones presupuestarias, análisis de indicadores clave. Proyecto de medidas para mejorar el sistema retributivo.

tesis, agregada 22/12/2012


La esencia y los principios de la remuneración en una economía de mercado. Formas y sistemas de remuneración modernos. Análisis de la remuneración en OOO Sigma, Kostroma. Análisis del sistema de retribución de los trabajadores. Mejora del sistema retributivo de la empresa estudiada.

tesis, agregada el 04/11/2012

Toda motivación material se basa en la recompensa material de una persona por su trabajo. Se puede realizar en forma de pago de salario, así como en forma programas sociales estipulado por la ley rusa y las reglas adoptadas en esta organización.

El salario es la forma principal de motivación material del personal. Expresa en términos monetarios el esfuerzo y el tiempo que dedica una persona al proceso laboral.

Los salarios son el factor básico que impulsa la necesidad de trabajo de la mayoría de las personas.

Pero el mero hecho de obtenerlo no siempre asegura un trabajo concienzudo y productivo. Por tanto, si hablamos del salario como factor que potencia la motivación de los trabajadores, es necesario establecer la dependencia de su tamaño del resultado final del trabajo. En este caso, los empleados que realizan sus funciones de manera responsable y que muestran un alto rendimiento, recibirán más remuneración que todos los demás. Esto trae una sensación de satisfacción con los resultados de su trabajo a los "trabajadores más destacados" y sirve como un incentivo para mejor trabajo todo el equipo.

Para entender cómo se puede implementar prácticamente esta tarea, primero analizaremos los conceptos básicos de la construcción. sistemas salariales en la organización.

La remuneración de los empleados en la organización se basa en la legislación de la Federación de Rusia y está regulada por el estado. La regulación estatal se extiende al establecimiento del salario mínimo, la tributación de los fondos asignados por la organización para los salarios, el establecimiento de garantías estatales de salarios.

Las normas que confirman las funciones enumeradas anteriormente están contenidas en el Código de Trabajo de la Federación de Rusia y, por regla general, se fijan en los convenios laborales y colectivos que la organización concluye con sus empleados.

El cumplimiento de las normas legales es la base para que una organización construya un sistema de remuneración para sus empleados, pero, además de las normas legales, se deben tener en cuenta una serie de factores.

La forma de remuneración. Hay dos formas principales de remuneración: por tiempo y por destajo. El pago basado en el tiempo implica el cálculo de los salarios en función del costo de una hora de trabajo o el salario por las horas reales trabajadas. Esta forma de salario se utiliza para remunerar a los especialistas y gerentes, ya que no producen productos específicos, contados en piezas, metros y kilogramos. Su trabajo se mide por el tiempo dedicado a su trabajo.

Los salarios del trabajo a destajo dependen de la cantidad de productos producidos y calculado en base al costo unitario del producto producido. Por salario a destajo, se evalúa el trabajo de los trabajadores, cuyos resultados se pueden medir cuantitativamente.

Cobertura de trabajadores. La cobertura de los trabajadores implica una remuneración individual y colectiva. El pago individual es el cálculo de los salarios de cada empleado específico. El salario colectivo se calcula en base a los resultados del trabajo de un grupo y luego se distribuye dentro de este grupo de acuerdo con las reglas establecidas.

Medios de pago. Medios de pago: efectivo y componentes en especie. Como regla general, los salarios se pagan en efectivo, pero de acuerdo con el empleado y de acuerdo con la legislación de la Federación de Rusia, parte del pago en especie es posible: en bienes, valores o servicios.

La duración del período de facturación. La duración del período de facturación es la frecuencia de los pagos. La retribución laboral puede ser diaria, semanal, mensual.

La elaboración y análisis de los factores enumerados permite desarrollar e implementar un sistema de pago que corresponda a las metas y objetivos de la organización, así como a sus capacidades financieras. Pero es necesario no solo crear un sistema de retribución del personal, sino hacer que se convierta en un incentivo laboral.

Para hacer esto, durante el desarrollo, es necesario seguir las reglas que aseguran un aumento en la eficiencia del trabajo de los trabajadores:

■ el sistema salarial debe orientar al empleado para lograr el resultado deseado para la empresa, de modo que el monto del salario esté vinculado a los indicadores de desempeño de toda la organización (ganancias, ventas, cumplimiento del plan);

■ el sistema de pago debe ser un medio de gestión del personal, para ello, el gerente debe ser capaz tanto de incentivos materiales como de castigos;

■ El sistema de remuneración debe cumplir con las expectativas de los empleados y ser acorde con las condiciones de otras organizaciones.

Como ya dijimos, el sistema de pago en cada empresa tiene sus propias características, reflejando los requisitos de producción, el tipo de actividad y la política de personal adoptada.

Recientemente, sin embargo, muchas organizaciones han llegado a utilizar un esquema de remuneración, que implica la división de los pagos al personal en tres partes.

Primera parte es el salario base. Se paga por el desempeño de funciones oficiales y permanece sin cambios (con la excepción de la forma de remuneración a destajo). Todos los empleados de la organización reciben salarios.

Segunda parte- estos son pagos y compensaciones preferenciales - un paquete social que la organización proporciona a sus empleados. Esto incluye pagos por vacaciones, licencias por enfermedad, comidas, capacitación de empleados, seguro de vida y de salud y compensación anual por inflación. La parte de compensación de la remuneración es individual y depende del número de años que el empleado ha trabajado y la disponibilidad de programas sociales adicionales adoptados por la organización. Todos los empleados también reciben la parte de compensación.

La tercera parte- Son pagos adicionales que realiza la organización por logros laborales en el período anterior. Se pueden realizar pagos adicionales en forma de bonificaciones, porcentajes de la venta de productos, pagos adicionales para salir, así como bonificaciones y coeficientes por la complejidad y calidad del trabajo realizado. Esta parte de los pagos es variable. Es diferente para todos los empleados y depende de los indicadores de desempeño individuales. Esta parte no es recibida por todos los empleados, sino solo por aquellos que han logrado ciertos resultados en su trabajo.

El sistema de remuneración presentado incluye todo tipo de pagos al personal fijados por la legislación y permite estimular la eficiencia de los empleados a través de primas adicionales por un trabajo productivo y de alta calidad.

Cabe señalar que, al crear un sistema de remuneración, el jefe de la organización y el departamento de personal deben recordar que el significado de la remuneración monetaria para el empleado no se limita solo a la compensación por los costos de las fuerzas que gasta en el desempeño. de su trabajo. La remuneración monetaria, las formas de su recepción y el tamaño se perciben como evidencia de su valor para la organización, forman la autoestima y hablan de estatus social. Así, el dinero recibido por el empleado es un indicador de autorrealización personal y profesional.

Descripción bibliográfica:

A.K. Nesterov Motivación del trabajo del personal en la organización [ Recurso electrónico] // Sitio de enciclopedia educativa

La gestión de la motivación laboral es un factor clave en el sistema de gestión de personal de la organización, ya que existe una relación directa entre la motivación del empleado y la eficiencia de su trabajo.

El concepto y esencia de la motivación laboral

Motivación Es el proceso de creación de incentivos para lograr las metas establecidas. Las necesidades y los motivos están involucrados en el proceso de motivación. Las necesidades son un impulso interior a la acción. El proceso de motivación termina con el desarrollo de un motivo, además de las necesidades, las orientaciones de valores, creencias y puntos de vista también están involucrados en este proceso. Este es un proceso oculto, no es observable y no se puede determinar empíricamente.

Solo puede ver el resultado de la motivación: el comportamiento humano.

La motivación efectiva afecta no solo el aumento de la actividad social y creativa de un empleado en particular, sino también los resultados finales de la empresa.

Cada una de las teorías de la motivación existentes parte de los resultados de ciertos aspectos teóricos y aplicados, colocándolos en la base de su concepto, sin embargo, no se ha desarrollado un enfoque unificado para la definición del concepto de motivación.

Aproximaciones a la definición del concepto de motivación laboral

En el marco de este artículo, utilizaremos la siguiente tesis que caracteriza la esencia de la motivación laboral.

Motivación laboral del personal Es una combinación de fuerzas impulsoras internas y externas que inducen a una persona a realizar actividades conscientes.

Como elemento del sistema de gestión, la motivación del personal tiene como objetivo animar a las personas a realizar su trabajo de la forma más eficaz en el marco de sus derechos y obligaciones. En este sentido, la motivación afecta directamente: las habilidades del empleado no traerán resultados si no está interesado en él. En la gestión de una organización, se utiliza un conjunto de factores internos y externos para motivar al personal.

Por separado, estos factores son insignificantes para una persona y en las condiciones modernas su impacto no es tan fuerte, pero con una influencia compleja se multiplican entre sí, creando un efecto multiplicador.

Teorías de motivación del personal

La tabla contiene teorías sustantivas y procedimentales de la motivación, en las que se forman complejos de motivos e incentivos, que actúan como elementos de motivación del trabajo del personal en una organización.

Teorías sustanciales y procedimentales de la motivación.

1. Teoría de las necesidades A. Maslow
Necesidades
1.1. Necesidades psicologicas	- comida de calidad; - agua pura; - buenas condiciones de vida; - condiciones favorables para la recreación.	- salario justo; - préstamos para vivienda; - vales de sanatorio; - paquete social.
1.2. Necesidades de seguridad	- protección contra los peligros físicos y morales del medio ambiente; - confianza en que se cubrirán las necesidades fisiológicas.	- buen clima moral y psicológico en el equipo; - estilo de gestión democrática del líder; - seguro de salud; - ayuda en situaciones extremas
1.3. Necesidades sociales	- comunicación; - imitación; - intervención; - solidaridad, apoyo, amistad, ayuda mutua.	- la capacidad de comunicarse; - estilo de liderazgo democrático; - igualdad de oportunidades, "igualdad de oportunidades"; - Salón de la Fama; - gratitud; - reconocimiento de méritos; - equidad en todo (en la distribución del trabajo, presupuestos, remuneración); - programas de actividades culturales y recreativas.
1.4. Necesidades de reconocimiento y respeto	- respeto a ti mismo; - logros personales; - competencia; - respeto de los demás; - reconocimiento.	- salario decente; - expansión de poderes; - beneficios personales; - un aumento en el número de subordinados; - reconocimiento y respeto universal.
1.5. Necesidades de autoexpresión	–Realización de potencial oportunidades; - crecimiento de la personalidad; - vocación; - autoexpresión; - curiosidad; - creación; - invención; - innovación; - haciendo ciencia.	- participación en la gestión y la toma de decisiones; - participación en equipos de proyecto; - amplias oportunidades de formación y desarrollo profesional; - crecimiento profesional activo; - prestación de trabajo según intereses, vocación; - orientación profesional; - aumentar la naturaleza creativa del trabajo; - teniendo en cuenta las cualidades y habilidades personales del empleado; - premios a la innovación, inventos, descubrimientos; - nominación a premios estatales e internacionales.
2. La teoría de la existencia, la conexión y el crecimiento de K. Alderfer
Necesidades
2.1. Necesidades de existencia: fisiológico, seguridad seguridad, salario	- comida, agua, refugio, descanso; - protección contra peligros físicos; - confianza en que se cubrirán las necesidades fisiológicas.	- un salario suficiente; - pago de vivienda; - paquete social; - el sistema de pensiones; - seguro de salud.
2.2. Necesidades de comunicación: establecimiento contactos, respeto, aprecio personalidad	- comunicación; - intervención; - apoyo, amistad, ayuda mutua.	- la capacidad de comunicarse; - un clima psicológico favorable en el equipo; - oportunidades iguales; - gratitud; - reconocimiento de méritos.
2.3. Necesidades de crecimiento: desarrollo creativo potencial, autorrealización	- respeto, reconocimiento; - realización de oportunidades potenciales; - crecimiento de la personalidad; - autoexpresión, creatividad.	- reconocimiento y respeto universales; - el derecho a implementar sus propuestas; - oportunidades de formación y desarrollo profesional; - premios a las invenciones.
3. Teoría de las necesidades adquiridas de D. McClelland
Necesidades
3.1. La necesidad de poder	- el deseo de influir en otras personas, de sentirse útil y significativo	- participación en la gestión y la toma de decisiones; - expansión de poderes; - un aumento en el número de subordinados.
3.2. La necesidad del exito	- participación en obras prometedoras; - Logro de metas; - prestigio; - desarrollo de carrera.	Proporcionar iniciativa, amplios poderes; Recompensa por los resultados; Participación en el éxito; Reconocimiento internacional; Galardonado con el título de "Mejor empleado del año".
3.3. Necesidad de participación	- comunicación; - imitación; - intervención; - solidaridad, apoyo, amistad.	- la capacidad de comunicarse; - microclima social favorable; - participación en la gestión y la toma de decisiones; - celebración de reuniones; - ayudando a otros; - contactos de negocios.
4. La teoría de dos factores F. Herzberg
Necesidades
4.1. Higiénico	- adelanto de la carrera; - reconocimiento y aprobación de los resultados del trabajo; - un alto grado de responsabilidad; - oportunidades para la creatividad y el crecimiento del negocio.	- buen clima moral y psicológico; - condiciones normales de trabajo; - salario justo; - ambiente amistoso; - control moderado sobre el trabajo.
4.2. Motivación		- provisión de iniciativa, amplios poderes; - recompensa por los resultados; - participación en el éxito; - planificación de la carrera; - remuneración justa; - proporcionar un alto grado de responsabilidad; - estudio y desarrollo profesional.
Teorías procedimentales de la motivación
5. Teoría de las expectativas de V. Vroom
Necesidades
5.1. Costo - resultados	- la importancia de la tarea; - la viabilidad de la tarea; - realizar las consultas necesarias.	- evaluación de resultados
5.2. Recompensa los resultados	- certeza y puntualidad de la remuneración.	- confianza en el líder; - la eficiencia de la empresa.
5.3. Valencia	- remuneración por el desempeño laboral logrado.	- garantía de remuneración; - correspondencia exacta de la remuneración con los resultados del trabajo.
6. La teoría de la justicia de S. Adams
Necesidades
	- correspondencia de la remuneración con el valor medio de la remuneración de otros especialistas por trabajos similares.	Aplicación de los salarios de compensación al "precio de mercado" del trabajador.
7. El concepto de gobernanza participativa
Necesidades
	- conciencia de la importancia y la importancia de su trabajo para el desarrollo de la empresa	- participación en la gestión y la toma de decisiones; - participación en proyectos; - autocontrol; - Responsabilidad personal y grupal de los resultados.

Fuente: Vikhansky, O.S. Management: libro de texto / O.S. Vikhansky, A.I. Naumov. - 5ª ed., Estereotipo. - M.: Máster: INFRA -M, 2012.

La construcción de un sistema de motivación de acuerdo con teorías significativas de la motivación se basa en la identificación y satisfacción de las necesidades dominantes de los empleados, y las teorías procedimentales de la motivación asignan un papel clave a la formación del comportamiento motivacional de los empleados.

Métodos para motivar al personal de la organización.

Los métodos de motivación laboral se presentan como influencias regulatorias gerenciales de tres tipos: pasivas, indirectas y activas.

• Las influencias pasivas no afectan a los empleados, pero están destinadas a crear condiciones de trabajo e incluyen el desarrollo de normas, reglas y regulaciones relacionadas con el trabajo del personal.
• Las influencias indirectas afectan indirectamente a los empleados de la organización y se implementan en la forma programas integrados bonificaciones, incentivos dirigidos al colectivo de la empresa en su conjunto.
• Las influencias activas implican un impacto directo en empleados o grupos de empleados específicos.

Los métodos de motivación se presentan en el diagrama.

Métodos de motivación del personal

Los métodos económicos de motivación se basan en la obtención de determinados beneficios para los empleados, lo que aumenta su bienestar.

Formas directas de métodos económicos:

• salario básico;
• pagos adicionales, teniendo en cuenta la complejidad del trabajo y las calificaciones, exceso de trabajo, etc.;
• remuneración en forma de bonificaciones y pagos en función de la contribución del empleado a los resultados de la actividad productiva de la empresa;
• otros tipos de pagos.

Formas indirectas de métodos económicos:

• suministro de un coche de empresa para su uso;
• uso de instituciones sociales de la organización;
• compra de los productos de la organización a un precio inferior al precio de venta;
• proporcionando varios beneficios.

Métodos organizativos:

1. Motivación por metas interesantes para el trabajo principal de los empleados;
2. Motivación enriqueciendo el contenido de la actividad laboral;
3. Motivación por participación en los asuntos de la organización.

Métodos psicológicos morales:

1. Orgullo del trabajo encomendado y realizado;
2. Responsabilidad por los resultados del trabajo;
3. Un desafío, una oportunidad para mostrar tus habilidades;
4. Reconocimiento de autoría del resultado del trabajo o proyecto realizado;
5. Alta calificación, puede ser personal o pública.

Requisitos para los métodos de motivación del personal de la organización.

Orientaciones para mejorar y aumentar la eficiencia de la motivación laboral del personal en la organización

Sistema de motivación de los empleados Es una herramienta de gestión de personal flexible enfocada a la consecución de los objetivos de la empresa mediante métodos administrativos, económicos y socio-psicológicos.

Las empresas necesitan construir un sistema de gestión de recursos humanos eficaz que asegure la activación del factor humano, para ello las organizaciones utilizan métodos de motivación del personal para orientar a las personas hacia la solución más eficaz de las tareas asignadas. La motivación laboral tiene como objetivo aumentar la productividad laboral, aumentando el beneficio de la organización, lo que en última instancia conduce al logro de los objetivos estratégicos de la organización.

El principal problema es la cuestión de crear un sistema eficaz y eficiente de motivación del personal en la organización. Dado que cada gerente se esfuerza por garantizar que el empleado no pierda interés en el trabajo, las organizaciones desarrollan eventos especiales y construyen un sistema de motivación para mantener a los empleados interesados ​​en el trabajo.

Un estudio anterior encontró que existe una relación estable entre, se expresa a través de los tipos de motivación y los factores que afectan el interés por el trabajo.

Un sistema de motivación ineficaz conduce a una disminución de la productividad laboral, por lo tanto, la importancia del uso racional de métodos efectivos para estimular el trabajo es obvia.

La interdependencia de la motivación de los empleados y los resultados de la actividad económica de la organización es la base de la empresa.

La tarea de cualquier gerente es organizar el proceso de trabajo para que las personas trabajen de manera efectiva. La productividad y el clima de las relaciones en la empresa dependen directamente de la medida en que los empleados estén de acuerdo con su puesto en la empresa y el sistema existenteánimo. Esto, a su vez, incide en la reducción de la rígida formalización de las relaciones intraempresariales, encaminadas a transformarlas en el contexto de la realidad objetiva de una empresa.

La dirección típica para mejorar el sistema de motivación laboral del personal en la organización es la expansión de las formas y tipos de incentivos. Por ejemplo, si los incentivos materiales son más pronunciados en el sistema de motivación empresarial o los tipos de incentivos no materiales están prácticamente ausentes, es necesario utilizar más tipos de incentivos morales para los empleados, por ejemplo:

1. Poner varios registros de los logros del empleado en su archivo personal.
2. Agradecimiento oral en nombre de la dirección de la empresa.
3. Formación adicional a cargo de la organización.
4. Una invitación pagada a cenar en un restaurante que la empresa le regala al empleado.
5. Horas de trabajo flexibles.
6. Facilitación de aparcamiento y gasolina gratuita.
7. Más alta calidad equipar el lugar de trabajo, así como adquirir nuevos equipos para los mejores empleados al final del año.
8. Colocación de una foto en un periódico mural.
9. Recuerdo con la marca especial "Mejor Empleado".
10. Publicar comentarios agradecidos de los clientes para que todos puedan verlos.
11. Suscripción a publicaciones periódicas especializadas.

Para aumentar la motivación de los empleados, es necesario crear condiciones para la autoexpresión de los empleados, dotarles de cierta iniciativa en la toma de decisiones y crear condiciones para que los empleados tengan la oportunidad de incidir en los procesos que se desarrollan en la empresa. Para ello, el director puede delegar algunas de sus competencias directamente en los responsables de las divisiones de la empresa.

Será útil para el líder utilizar algunos eventos significativos en la vida personal de los subordinados (cumpleaños, bodas, etc.) para mostrarles atención, felicitarlos a todos como equipo. Por parte de los empleados, estas acciones también son posibles.

Asimismo, para incrementar la participación de los empleados en los asuntos de la empresa, es necesario introducir un sistema de acciones denotado por el término "política de puertas abiertas". Esto significa la disposición de un líder de cualquier rango para escuchar las sugerencias de sus subordinados. El lema de esta política es: "Las puertas de mi oficina siempre están abiertas para ti". Sin embargo, surge la pregunta de cómo esto se relaciona con el recurso de tiempo del gerente. De hecho, ¿qué pasa si los subordinados deciden que pueden ingresar a la oficina del jefe cuando lo deseen? De hecho, si los empleados están ocupados, visitan la oficina del gerente con mucha menos frecuencia de lo que cabría esperar. Además, puedes utilizar algunas técnicas para organizar este tipo de contactos:

• El gerente puede establecer la hora de la reunión él mismo, sin negarle al empleado una audiencia, sino posponiéndola en un momento conveniente para él.
• El uso de formas escritas de presentación de información también ayuda a reducir la comunicación con los subordinados. La presentación de ideas por escrito se caracteriza por la concisión y la precisión.
• Evaluación y promoción de propuestas comerciales específicas. A veces, al presentar una idea, los empleados la acompañan. gran cantidad información relacionada, aunque solo necesita indicar específicamente la esencia.

El aumento de la motivación de los empleados a través de métodos de incentivos morales y la introducción de una política de "puertas abiertas" en todos los niveles de gestión aumentará significativamente la participación de los empleados en la organización en su conjunto, así como en las decisiones tomadas por los gerentes. Esto contribuirá a la optimización de las relaciones intraempresariales a través de métodos subjetivo-objetivo de lograr un equilibrio en las relaciones formales e informales que existen en la organización. También mejorará la calidad de la información disponible para la gerencia y necesaria para la toma de decisiones. Los incentivos morales también ayudarán a los empleados a sentirse comprometidos con los objetivos y valores de la organización.

Una dirección prometedora para aumentar la eficiencia del sistema de motivación del personal es la implementación del programa de adaptación del personal. Incluso si no existe un servicio separado para administrar la adaptación del personal en la empresa, el trabajo de adaptación de un nuevo empleado puede ser realizado por un empleado del departamento de personal.

Un programa de incorporación es un conjunto de acciones específicas que debe realizar un empleado responsable de la incorporación. El programa de adaptación se divide en general y especial. Programa general La adaptación concierne a toda la organización en su conjunto, e incluye cuestiones tales como una idea general de la empresa, política de la organización, remuneración, beneficios adicionales, protección y seguridad laboral, condiciones de trabajo de un empleado en la organización, servicio doméstico, economía factores.

Un programa especial de adaptación cubre temas relacionados específicamente con cualquier departamento o lugar de trabajo y se lleva a cabo tanto en forma de entrevistas especiales con los empleados del departamento al que llegó el recién llegado, como entrevistas con el responsable (inmediato y superior). Pero la organización de estas conversaciones se confía al empleado del departamento de personal. Los principales aspectos que deben destacarse en el proceso de un programa de adaptación especial son: las funciones de la unidad, deberes y responsabilidades laborales, informes requeridos, procedimientos, reglas, regulaciones y representación de los empleados de la unidad.

Los salarios son la parte más importante del sistema de remuneración e incentivos al trabajo, una de las herramientas para influir en la eficiencia del trabajo de un empleado. Este es el pináculo del sistema de incentivos al personal de la empresa, pero a pesar de toda su importancia, los salarios en la mayoría de las empresas extranjeras exitosas no superan el 70% de los ingresos del empleado, el 30% restante de los ingresos está involucrado en la distribución de ganancias.

Para que el salario cumpla su función motivadora, debe existir un vínculo directo entre su nivel y las calificaciones del empleado, la complejidad del trabajo realizado y el grado de responsabilidad.

Se entiende por sistema de remuneración el método de cálculo del monto de la remuneración a pagar a los empleados de la empresa de acuerdo con los costos laborales que hayan realizado o de acuerdo con los resultados de la mano de obra.

Existen dos sistemas de organización de la remuneración: arancelario y no arancelario. Sistema de tarifas le permite medir una variedad de tipos específicos de trabajo, teniendo en cuenta su complejidad y condiciones de desempeño, es decir, tener en cuenta la calidad del trabajo. Es el más común en empresas nacionales.

Los más extendidos en las empresas de diversas formas de propiedad son dos formas del sistema de tarifas de remuneración del trabajo:

Trabajo a destajo: para cada unidad de producción o la cantidad de trabajo realizado;

Basado en el tiempo: para las horas estándar trabajadas, que está previsto por el sistema de tarifas.

En cada empresa específica, dependiendo de la naturaleza de los productos, se utiliza la presencia de ciertos procesos tecnológicos, el nivel de organización de la producción y el trabajo, una u otra forma de salario.

En términos de salarios en términos de tarifas y salarios, es bastante difícil deshacerse de la igualación, superar la contradicción entre los intereses de un empleado individual y todo el equipo.

Como posible opción para mejorar la organización y estimular el trabajo, utilice sistema salarial libre de aranceles , que ha encontrado aplicación en muchas empresas en la transición a las condiciones de gestión del mercado. Bajo este sistema, los salarios de todos los empleados de una empresa, desde el director hasta el trabajador, representan la participación del empleado en la masa salarial (nómina) o en toda la empresa o en una subdivisión separada. En estas condiciones, el valor real de los salarios de cada empleado depende de varios factores:

El nivel de calificación del empleado;

Tasa de participación laboral (KTU);

Horas reales trabajadas.

El nivel de calificación de un empleado de la empresa se establece para todos los miembros del colectivo laboral.

Todos los empleados de la empresa se dividen en diez grupos de calificación, según el nivel de calificación de los empleados y los requisitos de calificación para los empleados de diversas profesiones. Para cada uno de los grupos se establece su propio nivel de cualificación, que puede ir aumentando a lo largo de su actividad laboral. El sistema de niveles de calificación crea grandes oportunidades de incentivos materiales para una mano de obra más calificada que el sistema de grados salariales.

KTU está expuesta a todos los empleados de la empresa, incluido el director, y es aprobada por el consejo del colectivo laboral, el cual decide por sí mismo la frecuencia de su determinación (mensual, trimestral, etc.) y la composición de indicadores para su cálculo.

Una variación del sistema libre de tarifas es sistema de remuneración contractual, dirigido a atraer y retener personal altamente calificado en las empresas, principalmente gerentes y especialistas, a formar un equipo de profesionales capaces de alcanzar metas cada vez más altas en una competencia dura. Se basa en la celebración de un acuerdo (contrato) entre el empleador y el empleado, que estipula las condiciones de trabajo, los derechos y obligaciones de las partes, el nivel de remuneración, etc. Comparado con el sistema tarifario de remuneración en nuestra economía en sus formas por tiempo y por pieza, el sistema de contrato tiene dos ventajas indudables. En primer lugar, se puede pagar a los trabajadores mucho más de lo que prescriben los salarios, los tipos arancelarios y las tarifas del sistema de pago estatal existente. En segundo lugar, el sistema de contratos facilita y simplifica el despido de un empleado negligente rescindiendo el contrato, sin entrar en conflicto con el Código de Trabajo, sin coordinar este despido con el sindicato. Estas ventajas hacen que el sistema de contratos sea extremadamente atractivo para aquellas empresas que realmente desean lograr mejoras dramáticas en la eficiencia de la producción.

Suscríbete a las noticias

Trabajo de curso por disciplina

Software y hardware de seguridad de la información

"Seguridad de la información en la computación en la nube: vulnerabilidades, métodos y medios de protección, herramientas de auditoría e investigación de incidentes".

Introducción

1. Historia y factores clave del desarrollo

2. Definición de computación en la nube

3. Arquitectura de referencia

4. Acuerdo de nivel de servicio

5. Métodos y medios de protección en la computación en nube

6. Seguridad de los modelos en la nube

7. Auditoría de seguridad

8. Investigación de incidentes y análisis forense en la computación en nube

9. Modelo de amenazas

10. Normas nacionales e internacionales

11. Identidad territorial de los datos

12. Normas estatales

13. Medios de seguridad en la nube

14. Parte práctica

Producción

Literatura

Introducción

La creciente velocidad de la computación en la nube se explica por el hecho de que por poco dinero, en general, el cliente obtiene acceso a la infraestructura más confiable con el rendimiento requerido sin la necesidad de comprar, instalar y mantener costosas computadoras. El sistema alcanza el 99,9% , que también ahorra recursos informáticos. ... Y lo que es más importante: escalabilidad casi ilimitada. Al comprar un alojamiento regular y tratar de saltar por encima de su cabeza (con un aumento brusco de la carga), existe el riesgo de obtener un servicio que ha caído durante varias horas. En la nube, los recursos adicionales están disponibles a pedido.

El principal problema de la computación en la nube es el nivel no garantizado de seguridad de la información procesada, el grado de protección de los recursos y, a menudo, un marco regulatorio completamente ausente.

El propósito del estudio será proporcionar una visión general del mercado de la computación en nube existente y los medios para garantizar la seguridad en el mismo.

información de seguridad informática en la nube

1. Historia y factores clave del desarrollo

La idea de lo que hoy llamamos computación en la nube fue expresada por primera vez por J. C. R. Licklider en 1970. Durante estos años fue responsable de la creación de ARPANET (Red de Agencias de Proyectos de Investigación Avanzada). Su idea era que cada persona en la tierra estaría conectada a una red de la cual recibiría no solo datos sino también programas. Otro científico, John McCarthy, propuso la idea de que la potencia informática se proporcionará a los usuarios como un servicio (servicio). Sobre esto, el desarrollo de tecnologías en la nube se suspendió hasta los años 90, luego de lo cual una serie de factores contribuyeron a su desarrollo.

La expansión del ancho de banda de Internet en los años 90 no permitió un salto significativo en el desarrollo de la tecnología en la nube, ya que casi ninguna empresa y tecnología de esa época estaba preparada para ello. Sin embargo, el mismo hecho de la aceleración de Internet impulsó el desarrollo temprano de la computación en nube.

2. Uno de los desarrollos más importantes en esta área fue la introducción de Salesforce.com en 1999. Esta empresa se convirtió en la primera empresa en brindar acceso a su aplicación a través del sitio. De hecho, esta empresa se convirtió en la primera empresa en ofrecer su software sobre la base de software como servicio (SaaS).

El siguiente paso fue el desarrollo de un servicio web en la nube por parte de Amazon en 2002. Este servicio permitió almacenar información y realizar cálculos.

En 2006, Amazon lanzó un servicio llamado Elastic Compute Cloud (EC2) como un servicio web que permitía a sus usuarios ejecutar sus propias aplicaciones. Amazon EC2 y Amazon S3 fueron los primeros servicios de computación en la nube disponibles.

Otro hito en el desarrollo de la computación en la nube llegó con la creación por parte de Google de la plataforma Google Apps para aplicaciones web en el sector empresarial.

Las tecnologías de virtualización han jugado un papel importante en el desarrollo de tecnologías en la nube, en particular, el software que le permite crear una infraestructura virtual.

El desarrollo de hardware ha contribuido no tanto al rápido crecimiento de las tecnologías en la nube como a la disponibilidad de esta tecnología para las pequeñas empresas y individuos... En cuanto al progreso tecnológico, la creación de procesadores multinúcleo y el aumento de la capacidad de almacenamiento de información han jugado un papel importante en este.

2. Definición de computación en la nube

Según lo define el Instituto Nacional de Estándares y Tecnología de EE. UU.:

Computación en la nube (Computación en la nube) (inglésNube - nube; informática- informática) es un modelo para proporcionar acceso a la red ubicuo y conveniente, según sea necesario, a un grupo compartido de recursos informáticos configurables (por ejemplo, redes, servidores, sistemas de almacenamiento, aplicaciones y servicios) que se pueden aprovisionar y liberar rápidamente con un mínimo esfuerzo de gestión y necesidad de interacción con un proveedor de servicios (proveedor de servicios).

El modelo de nube admite una alta disponibilidad de servicios y se describe mediante cinco características esenciales, tres modelos de servicio y cuatro modelos de implementación.

Los programas se inician y muestran los resultados del trabajo en una ventana de navegador web estándar en una PC local, mientras que todas las aplicaciones y sus datos necesarios para el trabajo se encuentran en un servidor remoto en Internet. Las computadoras de computación en la nube se denominan "computación en la nube". En este caso, la carga entre equipos incluidos en la "nube informática" se distribuye automáticamente. El ejemplo más simple de computación en la nube son las redes p2p.

Para implementar la computación en la nube, se utilizan productos de software intermedios creados con tecnologías especiales. Sirven como enlace intermedio entre el equipo y el usuario y brindan monitoreo del estado de los equipos y programas, distribución equitativa de la carga y provisión oportuna de recursos de un fondo común. Una de estas tecnologías es la virtualización en informática.

Virtualización en informática- el proceso de representar un conjunto de recursos informáticos, o su combinación lógica, que ofrece alguna ventaja sobre la configuración original. Esta es una nueva vista virtual de recursos. partes componentes no limitado por implementación, configuración física o ubicación geográfica. Normalmente, los recursos virtualizados incluyen la potencia informática y el almacenamiento de datos. Científicamente, la virtualización es el aislamiento de los procesos y recursos informáticos entre sí.

Un ejemplo de virtualización son las arquitecturas de computadora multiprocesador simétricas que utilizan más de un procesador. Los sistemas operativos generalmente se configuran para que varios procesadores aparezcan como una sola unidad de procesador. Esta es la razón por la que las aplicaciones de software se pueden escribir para una lógica ( virtual) módulo computacional, que es mucho más fácil que trabajar con una gran cantidad de configuraciones de procesador diferentes.

Para cálculos especialmente grandes y que requieren muchos recursos, se utilizan cálculos de cuadrícula.

Computación en cuadrícula (red - celosía, red) es una forma de computación distribuida en la que una "supercomputadora virtual" se representa como grupos de computadoras heterogéneas, débilmente acopladas y en red que trabajan juntas para realizar una gran cantidad de tareas (operaciones, trabajos).

Esta tecnología se utiliza para resolver problemas científicos y matemáticos que requieren importantes recursos informáticos. La computación en cuadrícula también se utiliza en la infraestructura comercial para resolver tareas que requieren mucho tiempo, como la previsión económica, el análisis sísmico y el desarrollo y estudio de las propiedades de nuevos fármacos.

Desde la perspectiva de una organización en red, la red es un entorno coherente, abierto y estandarizado que proporciona una separación flexible, segura y coordinada de los recursos informáticos y de almacenamiento que forman parte de este entorno dentro de una única organización virtual.

Paravirtualización Es una técnica de virtualización que proporciona a las máquinas virtuales una interfaz de programación similar, pero no idéntica, al hardware subyacente. El objetivo de esta interfaz modificada es reducir el tiempo que dedica el sistema operativo invitado a realizar operaciones que son mucho más difíciles en un entorno virtual que en uno no virtualizado.

Hay "ganchos" especiales que permiten que el huésped y el anfitrión soliciten y reconozcan estas tareas complejas, que podrían realizarse en un entorno virtual, pero a un ritmo mucho más lento.

Hipervisor ( o Monitor de máquina virtual) - en computadoras, un programa o esquema de hardware que proporciona o permite la ejecución simultánea y paralela de varios o incluso muchos sistemas operativos en la misma computadora host. El hipervisor también proporciona aislamiento de sistemas operativos entre sí, protección y seguridad, uso compartido de recursos entre diferentes sistemas operativos en ejecución y gestión de recursos.

Un hipervisor también puede (pero no tiene que hacerlo) proporcionar al sistema operativo que se ejecuta en la misma computadora host los medios de comunicación e interacción entre sí (por ejemplo, a través del intercambio de archivos o conexiones de red) como si estos sistemas operativos se ejecutaran en diferentes sistemas físicos. ordenadores.

El hipervisor en sí es de alguna manera un sistema operativo mínimo (microkernel o nanokernel). Proporciona a los sistemas operativos que se ejecutan bajo su control un servicio de máquina virtual, virtualizando o emulando el hardware real (físico) de una máquina en particular, y administra estas máquinas virtuales, asignándoles y liberando recursos para ellas. El hipervisor permite "encendido", reinicio y "apagado" independientes de cualquiera de las máquinas virtuales con un sistema operativo en particular. Sin embargo, un sistema operativo que se ejecuta en una máquina virtual bajo el control de un hipervisor puede, pero no tiene que "saber" que se está ejecutando en una máquina virtual y no en hardware real.

Modelos de servicios en la nube

Las opciones para proporcionar potencia informática son muy diferentes. Todo lo relacionado con Cloud Computing se suele llamar aaS, que significa simplemente "como servicio", es decir, "como servicio" o "en forma de servicio".

Software como servicio (SaaS) - el proveedor proporciona al cliente una aplicación lista para usar. Se puede acceder a las aplicaciones desde una variedad de dispositivos cliente o mediante interfaces de cliente ligero como un navegador web (como correo web) o interfaces de programa. Al mismo tiempo, el consumidor no controla la infraestructura básica de la nube, incluidas las redes, los servidores, los sistemas operativos, los sistemas de almacenamiento e incluso la configuración de aplicaciones individuales, con la excepción de algunas ajustes personalizados configuración de la aplicación.

En el modelo SaaS, los clientes pagan no para poseer el software como tal, sino para alquilarlo (es decir, utilizarlo a través de una interfaz web). Por lo tanto, a diferencia del esquema clásico de licencias de software, el cliente incurre en costos recurrentes relativamente pequeños y no necesita invertir fondos importantes para la compra de software y su soporte. El esquema de pago periódico asume que si la necesidad de software está temporalmente ausente, el cliente puede suspender su uso y congelar los pagos al desarrollador.

Desde el punto de vista del desarrollador, el modelo SaaS le permite combatir eficazmente el uso de software sin licencia (piratería), ya que el software en sí no llega a los clientes finales. Además, el concepto de SaaS a menudo puede reducir el costo de implementación e implementación de sistemas de información.

Arroz. 1 Diseño típico de SaaS

Plataforma como servicio (PaaS) - el proveedor ofrece al cliente una plataforma de software y herramientas para diseñar, desarrollar, probar y desplegar aplicaciones de usuario. Al mismo tiempo, el consumidor no controla la infraestructura de nube subyacente, incluidas las redes, los servidores, los sistemas operativos y los sistemas de almacenamiento, pero tiene control sobre las aplicaciones implementadas y, posiblemente, algunos parámetros de configuración del entorno de alojamiento.

Arroz. 2 Diseño típico de PaaS

Infraestructura como servicio (IaaS). - el proveedor ofrece al cliente recursos informáticos en alquiler: servidores, sistemas de almacenamiento, equipos de red, sistemas operativos y software del sistema, sistemas de virtualización, sistemas de gestión de recursos. Al mismo tiempo, el consumidor no controla la infraestructura de la nube subyacente, pero tiene control sobre los sistemas operativos, los sistemas de almacenamiento, las aplicaciones implementadas y, posiblemente, el control limitado sobre la elección de los componentes de la red (por ejemplo, un host con firewalls).

Arroz. 3 Diseño típico de IaaS

Adicionalmente distinguir servicios como:

Comunicación como servicio (Com-aaS) - se entiende que los servicios de comunicación se prestan como servicios; generalmente es telefonía IP, correo y comunicaciones instantáneas (chats, mensajería instantánea).

Almacenamiento de datos en la nube- el usuario dispone de una cierta cantidad de espacio para almacenar información. Dado que la información se almacena distribuida y duplicada, dichos almacenamientos proporcionan un grado mucho mayor de seguridad de los datos que los servidores locales.

Lugar de trabajo como servicio (WaaS) - el usuario, teniendo a su disposición un ordenador insuficientemente potente, puede comprar recursos informáticos al proveedor y utilizar su PC como terminal para acceder al servicio.

Nube antivirus- la infraestructura que se utiliza para procesar la información proveniente de los usuarios con el fin de reconocer oportunamente nuevas amenazas previamente desconocidas. El antivirus en la nube no requiere acciones innecesarias por parte del usuario, simplemente envía una solicitud de un programa o enlace sospechoso. Cuando se confirma el peligro, todas las acciones necesarias se realizan automáticamente.

Modelos de implementación

Entre los modelos de implementación, hay 4 tipos principales de infraestructura.

Nube privada - infraestructura destinada a ser utilizada por una organización, que incluye varios consumidores (por ejemplo, divisiones de una organización), posiblemente también los clientes y contratistas de la organización. Una nube privada puede ser propiedad, administrada y operada por la propia organización o por un tercero (o alguna combinación de estos), y puede existir físicamente tanto dentro como fuera de la jurisdicción del propietario.

Arroz. 4 Nube privada.

Nube pública - Infraestructura destinada al uso gratuito del público en general. La nube pública puede ser propiedad, operada y operada por organizaciones comerciales, académicas y gubernamentales (o cualquier combinación de estas). La nube pública existe físicamente en la jurisdicción del propietario, el proveedor de servicios.

Arroz. 5 Nube pública.

Nube híbrida - es una combinación de dos o más infraestructuras de nube diferentes (privadas, públicas o públicas) que siguen siendo objetos únicos, pero están interconectados por tecnologías estandarizadas o privadas para transferir datos y aplicaciones (por ejemplo, el uso a corto plazo de los recursos de la nube pública para equilibrar la carga entre nubes).

Arroz. 6 Nube híbrida.

Nube pública (nube comunitaria) - un tipo de infraestructura destinada a ser utilizada por una comunidad específica de consumidores de organizaciones con objetivos comunes (por ejemplo, misión, requisitos de seguridad, políticas y cumplimiento de varios requisitos). Una nube pública puede ser copropietaria, operada y operada por una o más de las organizaciones comunitarias o un tercero (o cualquier combinación de estos), y puede existir físicamente tanto dentro como fuera de la jurisdicción del propietario.

Arroz. 7 Descripción de las propiedades de la nube

Propiedades básicas

NIST en su documento "La Definición NIST de Computación en la Nube" define las siguientes características de las nubes:

En demanda auto servicio. El consumidor tiene la capacidad de acceder a los recursos informáticos proporcionados unilateralmente según sea necesario, automáticamente, sin la necesidad de interactuar con los empleados de cada proveedor de servicios.

Amplio acceso a la red(Amplio acceso a la red). Los recursos informáticos proporcionados están disponibles a través de la red a través de mecanismos estándar para varias plataformas, clientes ligeros y gruesos ( teléfonos móviles, tabletas, computadoras portátiles, estaciones de trabajo, etc.).

Agrupación de recursos (agrupación de recursos). Los recursos informáticos del proveedor se agrupan para servir a muchos consumidores en un modelo de múltiples inquilinos. Los grupos incluyen una variedad de recursos físicos y virtuales que se pueden asignar y reasignar dinámicamente para satisfacer las necesidades del cliente. El consumidor no necesita conocer la ubicación exacta de los recursos, pero es posible ubicarlos en un nivel más alto de abstracción (por ejemplo, país, región o centro de datos). Ejemplos de este tipo de recursos incluyen sistemas de almacenamiento, potencia informática, memoria, ancho de banda de red.

Elasticidad rápida. Los recursos se pueden asignar y liberar de forma flexible, en algunos casos de forma automática, para escalar rápidamente de acuerdo con la demanda. Para el consumidor, las posibilidades de proporcionar recursos se ven como ilimitadas, es decir, se pueden asignar en cualquier cantidad y en cualquier momento.

Servicio medido. Los sistemas en la nube administran y optimizan automáticamente los recursos utilizando herramientas de medición implementadas a nivel de abstracción para varios tipos de servicios ((por ejemplo, administración memoria externa, procesamiento, ancho de banda o sesiones de usuario activo). Los recursos utilizados se pueden rastrear y monitorear, lo que brinda transparencia tanto al proveedor como al consumidor que usa el servicio.

Arroz. ocho Esquema estructural servidor en la nube

Pros y contras de la computación en la nube

Dignidad

· Se reducen los requisitos de potencia informática de la PC (una condición indispensable es solo la disponibilidad de acceso a Internet);

· Tolerancia a fallos;

· Seguridad;

· Alta velocidad de procesamiento de datos;

· Reducción de costos de hardware y software, mantenimiento y electricidad;

· Ahorro de espacio en disco (tanto los datos como los programas se almacenan en Internet).

· Migración en vivo: transferencia de una máquina virtual de un servidor físico a otro sin interrumpir la máquina virtual y detener los servicios.

· A finales de 2010, debido a los ataques DDoS contra empresas que se negaron a proporcionar recursos a WikiLeaks, se reveló otra ventaja de la computación en la nube. Todas las empresas que se oponían a WikiLeaks fueron atacadas, pero solo Amazon resultó ser insensible a estas influencias, ya que utilizó medios de computación en la nube. ("Anónimo: amenaza grave o simple molestia", Network Security, N1, 2011).

desventajas

· Dependencia de la seguridad de los datos de los usuarios de las empresas que prestan servicios de computación en la nube;

· Conexión permanente a la red: para acceder a los servicios de la "nube", necesita una conexión permanente a Internet. Sin embargo, en nuestro tiempo, esto no es un gran inconveniente, especialmente con la llegada de la tecnología. comunicación celular 3G y 4G.

· Software y su modificación: existen restricciones sobre el software que se puede implementar en las "nubes" y proporcionar al usuario. El usuario del software tiene limitaciones en el software utilizado y, a veces, no tiene la capacidad de personalizarlo para sus propios fines.

· Confidencialidad: la confidencialidad de los datos almacenados en "nubes" públicas es actualmente un tema de mucha controversia, pero en la mayoría de los casos los expertos coinciden en que no se recomienda almacenar los documentos más valiosos para la empresa en la "nube" pública, ya que actualmente No existe una tecnología que garantice el 100% de la confidencialidad de los datos almacenados, por lo que el uso de cifrado en la nube es imprescindible.

· Fiabilidad: en cuanto a la fiabilidad de la información almacenada, podemos decir con confianza que si ha perdido información almacenada en la "nube", la ha perdido para siempre.

· Seguridad: la "nube" en sí misma es un sistema bastante confiable, pero cuando la penetra, un atacante obtiene acceso a un enorme almacenamiento de datos. Otra desventaja es el uso de sistemas de virtualización, que utilizan kernels de SO estándar como un hipervisor, como Linux. , Windows y otros, que permite el uso de virus.

· Alto costo de los equipos: para construir la propia nube de una empresa, es necesario asignar importantes recursos materiales, lo que no es beneficioso para las empresas pequeñas y de nueva creación.

3. Arquitectura de referencia

La Arquitectura de Referencia de Computación en la Nube del NIST contiene cinco actores principales: los actores. Cada actor juega un papel y realiza acciones y funciones. La arquitectura de referencia se presenta como diagramas secuenciales con niveles de detalle crecientes.

Arroz. 9 Diagrama conceptual de una arquitectura de referencia

Consumidor de la nube- una persona u organización que mantiene una relación comercial y utiliza los servicios de los proveedores de nube.

Los consumidores de la nube se dividen en 3 grupos:

· SaaS: utiliza aplicaciones para automatizar los procesos comerciales.

PaaS: desarrolla, prueba, implementa y administra aplicaciones implementadas en el entorno de la nube.

· IaaS: crea y gestiona servicios de infraestructura de TI.

Proveedor de nube- la persona, organización o entidad responsable de la disponibilidad del servicio en la nube para los consumidores de la nube.

SaaS: instala, administra, mantiene y proporciona software implementado en una infraestructura en la nube.

PaaS: proporciona y gestiona la infraestructura y el middleware en la nube. Proporciona herramientas de desarrollo y administración.

· IaaS: proporciona y mantiene servidores, bases de datos y recursos informáticos. Proporciona una estructura de nube al consumidor.

Las actividades de los proveedores de nube se dividen en 5 acciones típicas principales:

Despliegue del servicio:

o Nube privada: atendida por una organización. La infraestructura es administrada tanto por la propia organización como por un tercero y puede ser implementada tanto por el Proveedor (fuera de las instalaciones) como por la organización (en las instalaciones).

o Nube compartida: la infraestructura es compartida por varias organizaciones con requisitos similares (seguridad, cumplimiento de RD).

o Nube pública: la infraestructura es utilizada por una gran cantidad de organizaciones con diferentes requisitos. Solo fuera de las instalaciones.

o Nube híbrida: la infraestructura combina diferentes infraestructuras basadas en tecnologías similares.

Gestión De Servicios

o Nivel de servicio: define los servicios básicos proporcionados por el proveedor.

§ SaaS es una aplicación utilizada por el Consumidor al acceder a la nube desde programas especiales.

§ PaaS: contenedores para aplicaciones de consumo, herramientas de desarrollo y administración.

§ IaaS: potencia informática, bases de datos, recursos fundamentales, sobre los cuales el consumidor despliega su infraestructura.

o Nivel de abstracción y control de recursos

§ Gestión del hipervisor y componentes virtuales necesarios para implementar la infraestructura.

o Nivel de recursos físicos

§ Equipo de computadora

§ Infraestructura de ingeniería

o Disponibilidad

o Confidencialidad

o Identificación

o Monitoreo de seguridad y manejo de incidentes

o Políticas de seguridad

Intimidad

o Protección del tratamiento, almacenamiento y transferencia de datos personales.

Auditor de la nube- Un colaborador que puede evaluar de forma independiente los servicios en la nube, el mantenimiento de los sistemas de información, el rendimiento y la seguridad de una implementación en la nube.

Puede dar su propia evaluación de seguridad, privacidad, rendimiento y otras cosas de acuerdo con los documentos aprobados.

Arroz. 10 actividades para proveedores

Agente de nube- la entidad que gestiona el uso, desempeño y entrega de servicios en la nube, y establece la relación entre Proveedores y Consumidores.

Con el desarrollo de la computación en la nube, la integración de los servicios en la nube puede resultar demasiado difícil para el consumidor.

o Mediación de servicios: ampliar el servicio especificado y brindar nuevas oportunidades

o Agregación: combinación de varios servicios para proporcionar al consumidor

Operador de comunicación en la nube- un intermediario que proporciona servicios de conexión y transporte (servicios de comunicación), entrega de servicios en la nube de Proveedores a Consumidores.

Proporciona acceso a través de dispositivos de comunicación.

Proporciona un nivel de conexión, según el SLA.

Entre los cinco actores presentados, un intermediario en la nube es opcional, ya que Los consumidores de la nube pueden recibir servicios directamente del proveedor de la nube.

La introducción de actores se debe a la necesidad de trabajar en las relaciones entre los sujetos.

4. Acuerdo de nivel de servicio

Acuerdo de nivel de servicio: documento que describe el nivel de prestación de servicios que espera el cliente del proveedor, basado en las métricas aplicables al servicio, y que establece la responsabilidad del proveedor si no se alcanzan las métricas acordadas.

A continuación, se muestran algunos indicadores, de una forma u otra, que se encuentran en los documentos del operador:

ASR (Ratio de convulsión de respuesta) - parámetro que determina la calidad de una conexión telefónica en una dirección determinada. El ASR se calcula como un porcentaje del número de conexiones telefónicas establecidas como resultado de las llamadas sobre el número total de llamadas realizadas en una dirección determinada.

PDD (retardo posterior a la marcación) - parámetro que define el período de tiempo (en segundos) transcurrido desde el momento de la llamada hasta el momento de establecer la conexión telefónica.

Relación de disponibilidad del servicio- la relación entre el tiempo de interrupción en la prestación de servicios y el tiempo total en que se prestará el servicio.

Tasa de pérdida de paquetes- la relación entre los paquetes de datos recibidos correctamente y el número total de paquetes que se transmitieron a través de la red durante un cierto período de tiempo.

Retrasos en la transmisión de paquetes de información.- el intervalo de tiempo necesario para transferir un paquete de información entre dos dispositivos de red.

Fiabilidad de la transferencia de información- la relación entre el número de paquetes de datos transmitidos erróneamente y el número total de paquetes de datos transmitidos.

Periodos de trabajo, tiempo de notificación de abonados y tiempo de restauración de servicios.

En otras palabras, la disponibilidad del servicio del 99,99% indica que el operador garantiza no más de 4,3 minutos de tiempo de inactividad de la comunicación al mes, el 99,9% - que el servicio puede no prestarse por 43,2 minutos y el 99% - que la pausa puede durar más. de 7 horas. En algunas prácticas, existe una diferenciación de la disponibilidad de la red y se asume un valor más bajo del parámetro, durante las horas de inactividad. También se proporcionan diferentes valores de indicadores para diferentes tipos de servicios (clases de tráfico). Por ejemplo, lo más importante para la voz es la tasa de latencia; debería ser mínima. Y la velocidad es baja, además de que algunos de los paquetes se pueden perder sin pérdida de calidad (hasta aproximadamente un 1%, dependiendo del códec). Para la transmisión de datos, la velocidad es lo primero y la pérdida de paquetes debería tender a cero.

5. Métodos y medios de protección en la computación en nube

Se debe garantizar la confidencialidad en toda la cadena, incluido el proveedor de la nube, el consumidor y las comunicaciones que los vinculan.

La tarea del Proveedor es garantizar la integridad física y del software de los datos de los ataques de terceros. El consumidor debe implementar políticas y procedimientos apropiados "en su territorio" para excluir la transferencia de derechos de acceso a la información a terceros.

Las tareas de garantizar la integridad de la información en el caso de utilizar aplicaciones "en la nube" independientes pueden resolverse gracias a arquitecturas de bases de datos modernas, sistemas de respaldo, algoritmos de verificación de integridad y otras soluciones industriales. Pero eso no es todo. Pueden surgir nuevos desafíos cuando se trata de integrar múltiples aplicaciones en la nube de diferentes proveedores.

En un futuro cercano, para las empresas que buscan un entorno virtual seguro, la única opción es crear un sistema de nube privada. El hecho es que las nubes privadas, a diferencia de los sistemas públicos o híbridos, son más similares a las infraestructuras virtualizadas que los departamentos de TI de las grandes corporaciones ya han aprendido a implementar y sobre las que pueden mantener un control total. Las fallas de seguridad de la información en los sistemas de nube pública representan un gran desafío. La mayoría de los incidentes de robo tienen lugar en nubes públicas.

6. Seguridad de los modelos en la nube

El nivel de riesgo en los tres modelos de nube es muy diferente y las formas de abordar los problemas de seguridad también difieren según el nivel de interacción. Los requisitos de seguridad siguen siendo los mismos, pero el nivel de control de seguridad cambia en diferentes modelos, SaaS, PaaS o IaaS. Desde un punto de vista lógico, nada cambia, pero las posibilidades de implementación física son radicalmente diferentes.

Arroz. 11. Las amenazas a la seguridad de la información más urgentes

en el modelo SaaS, la aplicación se ejecuta en la infraestructura de la nube y se puede acceder a ella a través de un navegador web. El cliente no tiene control sobre la red, los servidores, los sistemas operativos, el almacenamiento o incluso algunas capacidades de la aplicación. Por esta razón, en el modelo SaaS, la responsabilidad principal de la seguridad recae casi por completo en los proveedores.

El problema número 1 es la gestión de contraseñas. En el modelo SaaS, las aplicaciones están en la nube, por lo que el principal riesgo es usar varias cuentas para acceder a las aplicaciones. Las organizaciones pueden resolver este problema unificando cuentas para sistemas en la nube y locales. Con el inicio de sesión único, los usuarios pueden acceder a las estaciones de trabajo y a los servicios en la nube con una sola cuenta. Este enfoque reduce la probabilidad de cuentas "bloqueadas" sujetas a uso no autorizado después del despido de empleados.

Según la explicación de CSA, PaaS asume que los clientes crean aplicaciones utilizando herramientas y lenguajes de programación compatibles con el proveedor y luego las implementan en la infraestructura de la nube. Al igual que en el modelo SaaS, el cliente no puede administrar ni controlar la infraestructura (redes, servidores, sistemas operativos o sistemas de almacenamiento), pero tiene control sobre la implementación de la aplicación.

En un modelo PaaS, los usuarios deben prestar atención a la seguridad de la aplicación, así como a los problemas de administración de API, como validación, autorización y verificación.

El problema número 1 es el cifrado de datos. El modelo PaaS es intrínsecamente seguro, pero el riesgo es un rendimiento inadecuado del sistema. Esto se debe a que se recomienda el cifrado cuando se comunica con proveedores de PaaS, y esto requiere potencia de procesamiento adicional. No obstante, en cualquier solución, la transmisión de los datos confidenciales del usuario debe realizarse por un canal cifrado.

Si bien los clientes aquí no tienen control sobre la infraestructura de nube subyacente, tienen control sobre los sistemas operativos, el almacenamiento y la implementación de aplicaciones, y posiblemente control limitado sobre la elección de los componentes de la red.

Este modelo tiene varias capacidades de seguridad integradas sin proteger la infraestructura en sí. Esto significa que los usuarios deben administrar y proteger los sistemas operativos, las aplicaciones y el contenido, generalmente a través de API.

Si esto se traduce al idioma de los métodos de protección, entonces el proveedor debe proporcionar:

· Control confiable del acceso a la propia infraestructura;

· Resistencia de la infraestructura.

Al mismo tiempo, el consumidor de la nube asume muchas más funciones de protección:

· Cortafuegos dentro de la infraestructura;

· Protección contra intrusiones en la red;

· Protección de sistemas operativos y bases de datos (control de acceso, protección contra vulnerabilidades, control de configuraciones de seguridad);

· Protección de aplicaciones finales (protección antivirus, control de acceso).

Así, la mayoría de las medidas de protección recaen sobre los hombros del consumidor. El proveedor puede proporcionar recomendaciones estándar para protección o soluciones llave en mano, lo que simplificará la tarea para los usuarios finales.

Tabla 1. Delimitación de la responsabilidad por la seguridad entre el cliente y el proveedor de servicios. (P - proveedor, K - cliente)

	Servidor empresarial
Solicitud
Datos
Entorno de ejecución
Middleware
Sistema operativo
Virtualización
Servidor
Almacenes de datos
hardware de red

7. Auditoría de seguridad

Las tareas del auditor de la nube son esencialmente las mismas que las del auditor de sistemas convencionales. La auditoría de seguridad en la nube se subdivide en auditoría de proveedores y auditoría de usuarios. La auditoría del Usuario se realiza a solicitud del Usuario, mientras que la auditoría del Proveedor es una de las condiciones esenciales negocio.

Consiste en:

· Inicio del procedimiento de auditoría;

· Recopilación de información de auditoría;

· Análisis de datos de auditoría;

· Elaboración de un informe de auditoría.

En la etapa de inicio del procedimiento de auditoría, se deben resolver las cuestiones de los poderes del auditor, el momento de la auditoría. También debe estipularse la asistencia obligatoria de los empleados al auditor.

En general, el auditor realiza una auditoría para determinar la confiabilidad

· Sistemas de virtualización, hipervisor;

· Servidores;

· Almacenes de datos;

· Equipo de red.

Si el Proveedor utiliza el modelo IaaS en el servidor verificado, esta verificación será suficiente para identificar vulnerabilidades.

Cuando se utiliza el modelo PaaS, se deben realizar comprobaciones adicionales

· sistema operativo,

Middleware,

· Entorno de ejecución.

Cuando se utiliza el modelo SaaS, también se comprueban las vulnerabilidades

Sistemas de almacenamiento y procesamiento de datos,

· Aplicaciones.

Las auditorías de seguridad se realizan utilizando los mismos métodos y herramientas que se utilizan para auditar servidores convencionales. Pero a diferencia de un servidor convencional en tecnologías de nube, el hipervisor también se comprueba para la estabilidad. En la computación en la nube, el hipervisor es una de las tecnologías centrales y, por lo tanto, se le debe dar especial énfasis a la auditoría.

8. Investigación de incidentes y análisis forense en la computación en nube

Las medidas de seguridad de la información se pueden dividir en preventivas (por ejemplo, cifrado y otros mecanismos de control de acceso) y reactivas (investigaciones). El aspecto proactivo de la seguridad en la nube es un área de investigación activa, mientras que el aspecto reactivo de la seguridad en la nube ha recibido mucha menos atención.

Investigación de incidentes (incluida la investigación de delitos en esfera de información) es una conocida sección de seguridad de la información. Los objetivos de tales investigaciones suelen ser:

Prueba de que ocurrió el crimen / incidente

Recuperación de los hechos que rodearon el incidente

Identificación de infractores

Prueba de la participación y responsabilidad de los infractores.

Prueba de intenciones deshonestas por parte de los perpetradores.

Apareció una nueva disciplina: la pericia técnica en computación (o forense), en vista de la necesidad del análisis forense de los sistemas digitales. Los objetivos de la informática forense suelen ser los siguientes:

Recuperar datos que pueden haber sido eliminados

Recuperación de eventos ocurridos dentro y fuera de los sistemas digitales asociados al incidente

Identificación de usuarios de sistemas digitales

Detección de la presencia de virus y otro software malicioso.

Detección de la presencia de materiales y programas ilegales

Descifrar contraseñas, claves de cifrado y códigos de acceso

Idealmente, la informática forense es una especie de máquina del tiempo para el investigador, que puede moverse en cualquier momento hacia el pasado. dispositivo digital y proporcionar al investigador información sobre:

personas que usaron el dispositivo en un momento determinado

acciones del usuario (por ejemplo, abrir documentos, acceder a un sitio web, imprimir datos en un procesador de texto, etc.)

datos almacenados, creados y procesados ​​por el dispositivo en un momento específico.

Los servicios en la nube que reemplazan los dispositivos digitales independientes deben proporcionar un nivel similar de preparación forense. Sin embargo, esto requiere superar los desafíos asociados con la agrupación de recursos, la tenencia múltiple y la resiliencia de la infraestructura de computación en la nube. La principal herramienta en la investigación de incidentes es la pista de auditoría.

Los registros de auditoría, diseñados para monitorear el historial de inicios de sesión de los usuarios, tareas administrativas y cambios de datos, son una parte esencial de un sistema de seguridad. En la nube, la pista de auditoría en sí misma no es solo una herramienta para las investigaciones, sino también una herramienta para calcular el costo de usar servidores. Si bien la pista de auditoría no aborda los agujeros de seguridad, proporciona un ojo crítico para lo que está sucediendo y hace sugerencias para corregir la situación.

Creación de archivos y copias de seguridad es esencial, pero no puede reemplazar una pista de auditoría formal que registre quién hizo qué, cuándo y qué. La pista de auditoría es una de las principales herramientas de un auditor de seguridad.

El acuerdo de servicio generalmente menciona qué registros de auditoría se mantendrán y se proporcionarán al usuario.

9. Modelo de amenazas

En 2010, CSA realizó un análisis de las principales amenazas a la seguridad en las tecnologías en la nube. El resultado de su trabajo fue el documento "Principales amenazas de Cloud Computing v 1.0" en el que la más completa este momento describe el modelo de amenaza y el modelo de intruso. Por el momento, se está desarrollando una segunda versión más completa de este documento.

El documento actual describe a los atacantes para tres modelos de servicio SaaS, PaaS e IaaS. Se han identificado siete vectores de ataque principales. En su mayor parte, todos los tipos de ataques que se están considerando son ataques inherentes a los servidores convencionales "que no son en la nube". La infraestructura en la nube les impone ciertas características. Entonces, por ejemplo, los ataques a las vulnerabilidades en la parte de software de los servidores se agregan a los ataques en el hipervisor, que también es su parte de software.

Amenaza de seguridad n. ° 1

Uso inapropiado y deshonesto de tecnologías en la nube.

Descripción:

Para obtener recursos de un proveedor de IaaS basado en la nube, el usuario solo necesita tener una tarjeta de crédito. La facilidad de registro y asignación de recursos permite a los spammers, autores de virus, etc. utilizar el servicio en la nube para sus propios fines delictivos. Anteriormente, este tipo de ataque se observaba solo en PaaS, pero estudios recientes han demostrado la posibilidad de usar IaaS para ataques DDOS, colocar código malicioso, crear redes de botnets y más.

Se utilizaron ejemplos de servicios para crear una red de botnets basada en el troyano "Zeus", almacenar el código del caballo de Troya "InfoStealer" y publicar información sobre varias vulnerabilidades de MS Office y AdobePDF.

Además, las redes de botnets utilizan IaaS para administrar a sus pares y enviar spam. Debido a esto, algunos servicios IaaS se incluyeron en la lista negra y los servidores de correo ignoraron por completo a sus usuarios.

Mejoras en los procedimientos de registro de usuarios.

Mejora de los procedimientos de verificación de tarjetas de crédito y seguimiento del uso de medios de pago

Estudio integral de la actividad de la red de los usuarios del servicio.

· Seguimiento de las principales hojas negras para la aparición de una red de proveedores en la nube allí.

Modelos de servicio afectados:

Amenaza de seguridad n. ° 2

Interfaces de programación inseguras (API)

Descripción:

Los proveedores de infraestructura en la nube brindan a los usuarios un conjunto de interfaces de programación para administrar recursos, máquinas virtuales o servicios. La seguridad de todo el sistema depende de la seguridad de estas interfaces.

El acceso anónimo a la interfaz y la transmisión de credenciales en texto claro son las principales características de las API inseguras. El monitoreo limitado del uso de API, la falta de sistemas de registro y las relaciones desconocidas entre varios servicios solo aumentan los riesgos de piratería.

Analizar el modelo de seguridad del proveedor de la nube

Asegúrese de que se utilicen algoritmos de cifrado sólidos

Asegúrese de que se utilicen métodos de autorización y autenticación sólidos

· Comprender toda la cadena de dependencias entre diferentes servicios.

Modelos de servicio afectados:

Amenaza de seguridad n. ° 3

Delincuentes internos

Descripción:

El problema del acceso ilegal a la información desde adentro es extremadamente peligroso. A menudo, del lado del proveedor, no se implementa un sistema para monitorear la actividad de los empleados, lo que significa que un atacante puede obtener acceso a la información del cliente utilizando su puesto oficial. Dado que el proveedor no revela su política de contratación, la amenaza puede provenir tanto de un pirata informático aficionado como de una estructura delictiva organizada que se haya infiltrado en las filas de los empleados del proveedor.

Por el momento, no hay ejemplos de este tipo de abuso.

Implementación de reglas estrictas para la adquisición de equipos y el uso de sistemas adecuados para detectar accesos no autorizados.

Regular las reglas de contratación de empleados en contratos públicos con usuarios

Creación de un sistema de seguridad transparente, junto con la publicación de informes de auditoría de seguridad en los sistemas internos del proveedor.

Modelos de servicio afectados:

Arroz. 12 Ejemplo de información privilegiada

Amenaza de seguridad n. ° 4

Vulnerabilidades en tecnologías en la nube

Descripción:

Proveedores de servicios IaaS abstracción de recursos de hardware mediante sistemas de virtualización. Sin embargo, el hardware se puede diseñar sin considerar los recursos compartidos. Para minimizar la influencia de este factor, el hipervisor controla el acceso de la máquina virtual a los recursos de hardware, sin embargo, incluso en los hipervisores, pueden existir vulnerabilidades graves, cuyo uso puede llevar a la escalada de privilegios o al acceso ilegal a equipos físicos.

Para proteger los sistemas de tales problemas, es necesario implementar mecanismos para aislar entornos virtuales y sistemas para detectar fallas. Los usuarios de máquinas virtuales no deberían tener acceso a recursos compartidos.

Hay ejemplos de vulnerabilidades potenciales, así como métodos teóricos para evitar el aislamiento en entornos virtuales.

Implementación de los métodos más avanzados de instalación, configuración y protección de entornos virtuales

Uso de sistemas de detección de accesos no autorizados

Aplicar reglas sólidas de autenticación y autorización para el trabajo administrativo

Ajustando los requisitos para el tiempo de aplicación de parches y actualizaciones.

· Realización de trámites oportunos de escaneo y detección de vulnerabilidades.

Amenaza de seguridad n. ° 5

Pérdida o fuga de datos

Descripción:

La pérdida de datos puede ocurrir por mil razones. Por ejemplo, la destrucción deliberada de la clave de cifrado dará como resultado que la información cifrada sea irrecuperable. La eliminación de datos o una parte de los datos, el acceso no autorizado a información importante, la alteración de registros o la falla del medio también son ejemplos de tales situaciones. En una infraestructura de nube compleja, la probabilidad de cada uno de los eventos aumenta debido a la estrecha interacción de los componentes.

La aplicación incorrecta de las reglas de autenticación, autorización y auditoría, el uso incorrecto de las reglas y métodos de cifrado y las fallas del equipo pueden provocar la pérdida o fuga de datos.

Usando una API confiable y segura

Cifrado y protección de datos transmitidos

Análisis del modelo de protección de datos en todas las etapas del funcionamiento del sistema

Implementación de un sistema de gestión de claves de cifrado confiable

Seleccionar y comprar solo los medios más confiables

Garantizar una copia de seguridad de los datos a tiempo

Modelos de servicio afectados:

Amenaza de seguridad n. ° 6

Robo de identidad y acceso ilegal al servicio

Descripción:

Este tipo de amenaza no es nueva. Lo enfrentan millones de usuarios todos los días. El objetivo principal de los atacantes es el nombre de usuario (inicio de sesión) y su contraseña. En el contexto de los sistemas en la nube, robar la contraseña y el nombre de usuario aumenta el riesgo de utilizar datos almacenados en la infraestructura de la nube del proveedor. Entonces, el atacante tiene la oportunidad de usar la reputación de la víctima para sus actividades.

Prohibición de transferencia de cuentas

Usar métodos de autenticación de dos factores

Implementación de monitoreo proactivo de accesos no autorizados

· Descripción del modelo de seguridad del proveedor de la nube.

Modelos de servicio afectados:

Amenaza de seguridad n. ° 7

Otras vulnerabilidades

Descripción:

El uso de tecnologías en la nube para hacer negocios permite a la empresa concentrarse en su negocio, dejando el cuidado de la infraestructura y los servicios de TI al proveedor de la nube. Al anunciar su servicio, un proveedor en la nube busca mostrar todas las posibilidades, al tiempo que revela los detalles de la implementación. Esto puede representar una seria amenaza, ya que el conocimiento de la infraestructura interna le da al atacante la capacidad de encontrar una vulnerabilidad sin parchear y lanzar un ataque al sistema. Para evitar tales situaciones, es posible que los proveedores de la nube no proporcionen información sobre estructura interna En la nube, sin embargo, este enfoque tampoco genera confianza, ya que los usuarios potenciales no tienen la capacidad de evaluar el grado de seguridad de los datos. Además, este enfoque limita la capacidad de encontrar y eliminar vulnerabilidades de manera oportuna.

Amazon se niega a realizar una auditoría de seguridad en la nube EC2

Vulnerabilidad en el software de procesamiento, que conduce a una violación del sistema de seguridad del centro de datos de Hearthland.

Divulgación de datos de registro

Divulgación total o parcial de datos sobre la arquitectura del sistema y detalles sobre el software instalado

· Uso de sistemas de monitoreo de vulnerabilidades.

Modelos de servicio afectados:

1. Base jurídica

Según los expertos, el 70% de los problemas de seguridad en la nube se pueden evitar si se redacta correctamente un contrato de servicio.

La base de un acuerdo de este tipo puede servir como la "Declaración de derechos de la nube".

La Declaración de Derechos de Cloud fue desarrollada en 2008 por James Urquhart. Este material lo publicó en su blog, lo que provocó tanto interés y polémica que el autor actualiza periódicamente su "manuscrito" de acuerdo con las realidades.

Artículo 1 (en parte): los clientes son propietarios de sus datos

· Ningún fabricante (o proveedor) debe, en el proceso de interactuar con los clientes de cualquier plan, discutir los derechos sobre los datos cargados, creados, generados, modificados o cualquier otro derecho sobre el cual el cliente tenga derechos.

· Los fabricantes deberían inicialmente proporcionar un acceso mínimo a los datos de los clientes en la etapa de desarrollo de soluciones y servicios.

· Los clientes son propietarios de sus datos, lo que significa que son responsables de garantizar que los datos cumplan con las regulaciones legales y las leyes.

· Dado que las cuestiones relacionadas con el cumplimiento de los datos, la seguridad y el cumplimiento de la protección son fundamentales, es imperativo que el cliente localice sus propios datos. De lo contrario, los fabricantes deben proporcionar a los usuarios todas las garantías de que sus datos se almacenarán de acuerdo con todas las reglas y regulaciones.

Cláusula 2: Los fabricantes y los clientes poseen y gestionan conjuntamente los niveles de servicio en el sistema.

· Los fabricantes son dueños y deben hacer todo lo posible para cumplir con el nivel de servicio de cada cliente de forma individual. Todos los recursos necesarios y los esfuerzos realizados para lograr el nivel adecuado de servicio al trabajar con los clientes deben ser gratuitos para el cliente, es decir, no estar incluidos en el costo del servicio.

· Los clientes, a su vez, son responsables y dueños del nivel de servicio brindado a sus propios clientes internos y externos. Cuando se utilizan las soluciones del fabricante para proporcionar sus propios servicios, la responsabilidad del cliente y el nivel de dicho servicio no deben depender por completo del fabricante.

· Si es necesario integrar los sistemas del fabricante y el cliente, los fabricantes deben ofrecer a los clientes la capacidad de monitorear el proceso de integración. Si el cliente tiene estándares corporativos para la integración de sistemas de información, el fabricante debe cumplir con estos estándares.

· Bajo ninguna circunstancia los fabricantes deben cerrar las cuentas de los clientes por declaraciones políticas, discursos inapropiados, comentarios religiosos, a menos que sea contrario a regulaciones legales específicas, no sea una expresión de odio, etc.

Artículo 3: Los fabricantes poseen sus interfaces

· Los fabricantes no están obligados a proporcionar interfaces estándar o de código abierto a menos que se especifique lo contrario en los acuerdos con el cliente. Los fabricantes tienen derechos sobre las interfaces. Si el fabricante no considera posible brindarle al cliente la oportunidad de refinar la interfaz en un lenguaje de programación familiar, el cliente puede comprar al fabricante o desarrolladores externos servicios para finalizar las interfaces de acuerdo con sus propios requisitos.

· El cliente, sin embargo, tiene derecho a utilizar el servicio adquirido para sus propios fines, así como ampliar sus capacidades, replicar y mejorar. Esta cláusula no exime a los clientes de los derechos de patente y propiedad intelectual.

Los tres artículos anteriores son la base para los clientes y proveedores en la nube. De sus texto completo puedes encontrar en acceso abierto En Internet. Por supuesto, este proyecto de ley no es un documento legal completo y mucho menos oficial. Sus artículos se pueden modificar y ampliar en cualquier momento, al igual que la factura se puede complementar con nuevos artículos. Este es un intento de formalizar la "propiedad" en la nube para estandarizar de alguna manera esta área de conocimiento y tecnología amante de la libertad.

Relación entre las partes

Con mucho, el mejor experto en seguridad en la nube es Cloud Security Alliance (CSA). La organización ha publicado y actualizado recientemente una guía que incluye cientos de matices y mejores prácticas a considerar al evaluar los riesgos de la computación en la nube.

Otra organización que se ocupa de los aspectos de la seguridad en la nube es Trusted Computing Group (TCG). Es autora de varios estándares en esta y otras áreas, incluido el ampliamente utilizado Trusted Storage, Trusted Network Connect (TNC) y Trusted Platform Module (TPM) en la actualidad.

Estas organizaciones han resuelto conjuntamente una serie de problemas que el cliente y el proveedor deben resolver al concluir un contrato. Estas preguntas resolverán la mayoría de los problemas al usar la nube, fuerza mayor, cambio de proveedores de servicios en la nube y otras situaciones.

1. Seguridad de los datos almacenados. ¿Cómo garantiza el proveedor de servicios la seguridad de los datos almacenados?

La mejor medida para proteger los datos almacenados en un almacén de datos es utilizar tecnologías de cifrado. El proveedor siempre debe cifrar la información del cliente almacenada en sus servidores para evitar casos de acceso no autorizado. El proveedor también debe eliminar permanentemente los datos cuando ya no sean necesarios y no se necesitarán en el futuro.

2. Protección de datos durante la transmisión. ¿Cómo garantiza el proveedor la seguridad de los datos durante su transferencia (dentro de la nube y en el camino desde / hacia la nube)?

Los datos transmitidos siempre deben estar encriptados y ser accesibles para el usuario solo después de la autenticación. Este enfoque garantiza que nadie pueda modificar o leer estos datos, incluso si obtienen acceso a ellos a través de nodos de la red que no son de confianza. Estas tecnologías se han desarrollado durante "miles de años-hombre" y han dado lugar a la creación de protocolos y algoritmos fiables (por ejemplo, TLS, IPsec y AES). Los proveedores deben utilizar estos protocolos, no inventar los suyos propios.

3. Autenticación. ¿Cómo sabe el proveedor la autenticidad del cliente?

El método de autenticación más común es la protección con contraseña. Sin embargo, los ISP que buscan ofrecer a sus clientes una mayor confiabilidad están utilizando herramientas más poderosas como certificados y tokens. Además de utilizar medios de autenticación más seguros, los proveedores deberían poder trabajar con estándares como LDAP y SAML. Esto es necesario para asegurar que el proveedor interactúe con el sistema de identificación de usuarios del cliente al autorizar y definir las autorizaciones otorgadas al usuario. Gracias a esto, el proveedor siempre tendrá información actualizada sobre los usuarios autorizados. El peor de los casos es cuando el cliente proporciona al proveedor una lista específica de usuarios autorizados. Como regla general, en este caso, cuando un empleado es despedido o trasladado a otro puesto, pueden surgir dificultades.

4. Aislamiento de usuarios. ¿Cómo se separan los datos y las aplicaciones de un cliente de los datos y las aplicaciones de otros clientes?

Mejor opción: cuando cada uno de los clientes utiliza una máquina virtual individual (Virtual Machine - VM) y una red virtual. La separación entre máquinas virtuales y, por lo tanto, entre usuarios, la proporciona el hipervisor. Las redes virtuales, a su vez, se implementan utilizando tecnologías estándar como VLAN (Red de área local virtual), VPLS (Servicio de LAN privada virtual) y VPN (Red privada virtual).

Algunos proveedores colocan todos los datos de los clientes en un único entorno de software e intentan aislar los datos de los clientes entre sí mediante cambios en su código. Este enfoque es imprudente y poco confiable. Primero, un atacante puede encontrar una falla en un código no estándar que le permitiría obtener acceso a datos que no debería ver. En segundo lugar, un error en el código puede llevar al hecho de que un cliente "vea" accidentalmente los datos de otro. Recientemente, ha habido tanto esos como otros casos. Por lo tanto, para diferenciar los datos del usuario, el uso de diferentes máquinas virtuales y redes virtuales es un paso más razonable.

5. Asuntos regulatorios. ¿Qué tan bien cumple el proveedor con las leyes y regulaciones aplicables a la industria de la computación en la nube?

Dependiendo de la jurisdicción, las leyes, los reglamentos y las disposiciones especiales pueden variar. Por ejemplo, pueden prohibir la exportación de datos, requerir salvaguardas estrictamente definidas, cumplir con ciertos estándares y ser auditables. En última instancia, pueden exigir que los departamentos gubernamentales y los tribunales puedan acceder a la información cuando sea necesario. La negligencia del proveedor en estos momentos puede llevar a sus clientes a costos significativos debido a las consecuencias legales.

El proveedor debe seguir reglas estrictas y adherirse a una estrategia legal y regulatoria unificada. Esto se refiere a la seguridad de los datos del usuario, su exportación, el cumplimiento de las normas, la auditoría, la seguridad y la eliminación de datos, así como la divulgación de información (esta última es especialmente importante cuando la información de varios clientes se puede almacenar en un servidor físico). Para averiguarlo, se recomienda encarecidamente a los clientes que busquen ayuda de especialistas que estudiarán este tema a fondo.

6. Reacción a incidentes. ¿Cómo responde el proveedor a los incidentes y en qué medida sus clientes pueden estar involucrados en el incidente?

A veces no todo sale según lo planeado. Por lo tanto, el prestador de servicios está obligado a adherirse a reglas específicas de conducta en caso de circunstancias imprevistas. Estas reglas deben estar documentadas. Es imperativo que los proveedores identifiquen incidentes y minimicen sus consecuencias informando a los usuarios sobre la situación actual. Idealmente, deberían proporcionar regularmente a los clientes información lo más detallada posible sobre el tema. Además, depende de los clientes evaluar la probabilidad de un problema de seguridad y tomar las medidas necesarias.

10. Normas nacionales e internacionales

La evolución de la tecnología en la nube está superando el esfuerzo de crear y modificar los estándares requeridos por la industria, muchos de los cuales no se han actualizado en años. Por lo tanto, la elaboración de leyes en el campo de las tecnologías en la nube es uno de los pasos críticos para garantizar la seguridad.

El IEEE, una de las organizaciones de desarrollo de estándares más grandes del mundo, ha anunciado el lanzamiento de una Iniciativa de Computación en la Nube dedicada. Esta es la primera iniciativa de estandarización de la nube lanzada internacionalmente; hasta ahora, los consorcios de la industria han dominado los estándares de computación en la nube. La iniciativa incluye actualmente 2 proyectos: IEEE P2301 (tm), "Borrador de la Guía de Portabilidad e Interoperabilidad de Perfiles en la Nube" e IEEE P2302 (tm) - "Borrador de Estándar para Interoperabilidad e Interoperabilidad Distribuida (Federación) de Sistemas en la Nube".

En el marco de la IEEE Standards Development Association, se han creado 2 nuevos grupos de trabajo para trabajar en los proyectos IEEE P2301 e IEEE P2302, respectivamente. IEEE P2301 contendrá perfiles de estándares de aplicaciones existentes y pendientes, interfaces de portabilidad, administración e interoperabilidad, así como formatos de archivo y acuerdos operativos. La información del documento se estructurará lógicamente de acuerdo con los diferentes grupos de audiencia objetivo: vendedores, proveedores de servicios y otros participantes del mercado interesados. Una vez finalizado, se espera que el estándar se pueda utilizar en la adquisición, el desarrollo, la construcción y el uso de productos y servicios en la nube basados ​​en tecnologías estándar.

El estándar IEEE P2302 describirá la topología subyacente, los protocolos, la funcionalidad y los métodos de gestión necesarios para la interacción de varias estructuras de nube (por ejemplo, para la interacción entre una nube privada y una pública como EC2). Este estándar permitirá a los proveedores de productos y servicios en la nube obtener beneficios económicos de las economías de escala, al tiempo que brinda transparencia a los usuarios de los servicios y aplicaciones.

ISO está preparando un estándar especial para la seguridad informática en la nube. El enfoque principal del nuevo estándar es abordar los problemas organizativos relacionados con las nubes. Sin embargo, debido a la complejidad de los procedimientos de armonización de ISO, la versión final del documento no debería publicarse hasta 2013.

El valor del documento es que no solo las organizaciones gubernamentales (NIST, ENISA) están involucradas en su elaboración, sino también representantes de comunidades y asociaciones de expertos como ISACA y CSA. Además, un documento contiene recomendaciones tanto para los proveedores de servicios en la nube como para sus consumidores: las organizaciones clientes.

La tarea principal de este documento- describir en detalle las mejores prácticas relacionadas con el uso de la computación en la nube desde el punto de vista de la seguridad de la información. Al mismo tiempo, la norma no se concentra solo en los aspectos técnicos, sino en aspectos organizativos que no deben olvidarse de ninguna manera al pasar a la computación en la nube. Se trata de la separación de derechos y responsabilidades, y la firma de acuerdos con terceros, y la gestión de los activos propiedad de los diferentes participantes en el proceso "nube", y cuestiones de gestión de personal, etc.

El nuevo documento incorpora en gran medida materiales previamente desarrollados en la industria de TI.

Gobierno de Australia

Después de meses de lluvia de ideas, el gobierno australiano publicó una serie de guías de migración basadas en la nube el 15 de febrero de 2012, en el blog de la Oficina de Gestión de la Información del Gobierno de Australia (AGIMO).

Para facilitar a las empresas la migración a la nube, se han proporcionado pautas sobre las mejores prácticas para el uso de servicios en la nube para cumplir con los requisitos de las Guías de Buenas Prácticas para la Gestión Financiera y la Ley de Responsabilidad de 1997. Las guías tratan temas financieros, legales y de protección de datos en términos generales.

Las pautas hablan de la necesidad de monitorear y controlar constantemente el uso de los servicios en la nube a través del análisis diario de facturas e informes. Esto ayudará a evitar marcas ocultas y la dependencia de los proveedores de servicios en la nube.

La primera guía se titula Privacidad y computación en la nube para agencias gubernamentales australianas (9 páginas). Este documento se centra en cuestiones de privacidad y seguridad de los datos.

Además de esta guía, también se ha preparado Negociación de la nube: cuestiones legales en los acuerdos de computación en la nube (19 páginas) para ayudarlo a comprender las cláusulas incluidas en el contrato.

El tercer manual final, Consideraciones financieras para el uso gubernamental de la computación en la nube, de 6 páginas, analiza los problemas financieros que una empresa debe tener en cuenta si decide utilizar la computación en la nube en su negocio.

Además de los que se tratan en las guías, hay una serie de otros problemas que deben abordarse al utilizar la computación en la nube, incluidos los relacionados con la política de administración pública, de adquisiciones y de gestión empresarial.

La discusión pública de este documento de política brinda una oportunidad para que las partes interesadas consideren y comenten los siguientes temas de interés:

· Acceso no autorizado a información clasificada;

· Pérdida de acceso a los datos;

No garantizar la integridad y autenticidad de los datos, y

· Comprender los aspectos prácticos de la prestación de servicios en la nube.

11. Identidad territorial de los datos

Hay una serie de regulaciones en diferentes países que requieren que los datos confidenciales permanezcan dentro del país. Y aunque almacenar datos dentro de un territorio determinado, a primera vista, no es una tarea difícil, los proveedores servicios en la nube a menudo no puede garantizar esto. En sistemas con un alto grado de virtualización, los datos y las máquinas virtuales pueden moverse de un país a otro para diversos propósitos: equilibrio de carga, tolerancia a fallas.

Algunos de los principales actores del mercado SaaS (como Google, Symantec) pueden garantizar el almacenamiento de datos en el país respectivo. Pero estas son más bien excepciones; en general, el cumplimiento de estos requisitos sigue siendo bastante raro. Incluso si los datos permanecen en el país, los clientes no tienen forma de verificarlos. Además, no hay que olvidar la movilidad de los empleados de la empresa. Si un especialista que trabaja en Moscú viaja a Nueva York, entonces es mejor (o al menos más rápido) que reciba datos de un centro de datos en los Estados Unidos. Asegurar esto ya es una tarea de un orden de magnitud más difícil.

12. Normas estatales

Por el momento, no existe un marco regulatorio serio para las tecnologías en la nube en nuestro país, aunque los desarrollos en esta área ya están en marcha. Entonces, por orden del presidente de la Federación de Rusia No. 146 de 8.02.2012. Se determinó que los órganos ejecutivos federales autorizados en el campo de la seguridad de los datos en los sistemas de información creados con tecnologías de supercomputadoras y redes son el FSB de Rusia y el FSTEC de Rusia.

En relación con este decreto, se han ampliado las competencias de estos servicios. El FSB de Rusia ahora desarrolla y aprueba documentos normativos y metodológicos para garantizar la seguridad de estos sistemas, organiza y realiza investigaciones en el campo de la seguridad de la información.

El servicio también realiza estudios expertos criptográficos, de ingeniería-criptográficos y especiales de estos sistemas de información y elabora dictámenes periciales sobre propuestas de trabajo para su creación.

El documento también estipula que la FSTEC de Rusia desarrolla una estrategia y determina áreas prioritarias para garantizar la seguridad de la información en los sistemas de información creados utilizando tecnologías de supercomputadoras y redes que procesan datos restringidos, y también monitorea el estado del trabajo para garantizar esta seguridad.

FSTEC encargó un estudio, que resultó en una versión beta del "sistema de terminología en el campo de las" tecnologías en la nube ".

Como puede comprender, todo este sistema de terminología es una traducción adaptada de dos documentos: "Informe técnico del grupo de enfoque sobre computación en la nube" y "La definición de computación en la nube del NIST". Bueno, el hecho de que estos dos documentos no sean muy consistentes entre sí es un tema aparte. Pero visualmente todavía es visible: en el "Terminosystem" ruso, los autores, para empezar, simplemente no proporcionaron enlaces a estos documentos en inglés.

El hecho es que para tal trabajo, primero debe discutir el concepto, las metas y los objetivos, los métodos de su solución. Hay muchas preguntas y comentarios. La principal nota metodológica: es necesario formular muy claramente qué problema resuelve esta investigación, su propósito. Quisiera señalar de inmediato que "la creación de un sistema terminológico" no puede ser una meta, es un medio, sino la consecución de lo que aún no está muy claro.

Sin mencionar que una investigación normal debería incluir una sección de status quo.

Es difícil discutir los resultados de un estudio sin conocer la formulación original del problema y cómo los autores lo resolvieron.

Pero un error fundamental del Sistema Terminológico es claramente visible: es imposible discutir el "tema turbio" aislado del "no turbio". Fuera del contexto general de TI. Pero este contexto no es visible en el estudio.

Y el resultado de esto es que, en la práctica, tal sistema terminológico será imposible de aplicar. Solo puede confundir aún más la situación.

13. Medios de seguridad en la nube

Un sistema de protección de servidor en la nube en su configuración mínima debe garantizar la seguridad del equipo de red, el almacenamiento de datos, el servidor y el hipervisor. Además, es posible colocar un antivirus en un núcleo dedicado para prevenir la infección del hipervisor a través de una máquina virtual, un sistema de encriptación de datos para almacenar información del usuario en forma encriptada y medios para implementar un túnel encriptado entre el servidor virtual y el cliente. máquina.

Para ello necesitamos un servidor que soporte la virtualización. Cisco, Microsoft, VMWare, Xen, KVM ofrecen soluciones de este tipo.

También está permitido utilizar un servidor clásico y proporcionar virtualización en él mediante un hipervisor.

Cualquier servidor con procesadores compatibles es adecuado para la virtualización de sistemas operativos para plataformas x86-64.

Esta solución simplificará la transición a la virtualización informática sin realizar inversiones financieras adicionales en actualizaciones de hardware.

Esquema de trabajo:

Arroz. 11. Un ejemplo de servidor "en la nube"

Arroz. 12. Respuesta del servidor a fallas del equipo

Por el momento, el mercado de las herramientas de seguridad de la computación en la nube todavía está bastante vacío. Y esto no es de extrañar. Ante la ausencia de un marco regulatorio y la incertidumbre sobre los estándares futuros, las empresas de desarrollo no saben en qué concentrar sus esfuerzos.

Sin embargo, incluso en tales condiciones, aparecen sistemas de software y hardware especializados que permiten proteger la estructura de la nube de los principales tipos de amenazas.

Violación de la integridad

Hackear un hipervisor

Insiders

Identificación

Autenticación

Cifrado

Acuerdo-B

Sistema de hardware y software Acuerdo-B. diseñado para proteger la infraestructura de virtualización VMware vSphere 4.1, VMware vSphere 4.0 y VMware Infrastructure 3.5.

Acuerdo-B. Proporciona protección para todos los componentes del entorno de virtualización: servidores ESX y las propias máquinas virtuales, servidores de administración de vCenter y servidores adicionales con servicios de VMware (por ejemplo, VMware Consolidated Backup).

Los siguientes mecanismos de protección se implementan en el complejo de hardware y software Accord-V:

· Control paso a paso de la integridad del hipervisor, máquinas virtuales, archivos dentro de máquinas virtuales y servidores de administración de infraestructura;

· Diferenciación de acceso para administradores de infraestructura virtual y administradores de seguridad;

· Diferenciación del acceso de usuarios dentro de máquinas virtuales;

· Identificación de hardware de todos los usuarios y administradores de la infraestructura de virtualización.

INFORMACIÓN SOBRE LA DISPONIBILIDAD DE CERTIFICADOS:

El certificado de conformidad FSTEC de Rusia No. 2598 del 20.03.2012 certifica que el complejo de hardware y software de los medios de protección de la información contra el acceso no autorizado "Accord-V." Cumple con los requisitos de los documentos de orientación "Instalaciones informáticas. Protección contra el acceso no autorizado a la información. Indicadores de seguridad contra el acceso no autorizado a la información "(Comisión Técnica Estatal de Rusia, 1992) - según 5 clase de seguridad, "Protección contra el acceso no autorizado a la información. Parte 1. Software para la protección de la información. Clasificación por el nivel de control de la ausencia de capacidades no declaradas" (Comisión Técnica Estatal de Rusia, 1999) - por 4 el nivel de control y las condiciones técnicas TU 4012-028-11443195-2010, y también se puede utilizar para crear sistemas automatizados hasta la clase de seguridad 1G inclusive y para proteger información en los sistemas de información de datos personales hasta la clase 1 inclusive.

vGate R2

vGate R2 es una herramienta de protección de información certificada contra acceso no autorizado y control sobre la implementación de políticas de seguridad de la información para infraestructura virtual basada en sistemas VMware vSphere 4 y VMware vSphere 5.S R2 - una versión del producto aplicable para proteger información en infraestructuras virtuales de empresas públicas, a cuya IP se le aplican requisitos para el uso de sistemas de seguridad de la información con un alto nivel de certificación.

Le permite automatizar el trabajo de los administradores para configurar y operar el sistema de seguridad.

Ayuda a contrarrestar errores y abusos en la gestión de la infraestructura virtual.

Le permite alinear la infraestructura virtual con la legislación, los estándares de la industria y las mejores prácticas mundiales.

<#"783809.files/image017.gif"> <#"783809.files/image018.gif"> <#"783809.files/image019.gif"> <#"783809.files/image020.gif"> Arroz. 13 capacidades anunciadas de vGate R2 Por lo tanto, para resumir, estas son las principales herramientas que posee vGate R2 para proteger el centro de datos del proveedor de servicios de las amenazas internas que emanan de sus propios administradores: Separación organizativa y técnica de poderes para los administradores de vSphere Asignación de un rol separado del administrador de SI que administrará la seguridad de los recursos del centro de datos basado en vSphere Dividir la nube en zonas de seguridad, dentro de las cuales operan administradores con el nivel apropiado de autoridad. Control de integridad de máquinas virtuales Capacidad para recibir un informe sobre la seguridad de la infraestructura de vSphere en cualquier momento, así como también auditar eventos de seguridad de la información. En principio, esto es casi todo lo que se necesita para proteger la infraestructura de un centro de datos virtual de las amenazas internas desde el punto de vista de la infraestructura virtual. Por supuesto, también necesitas protección a nivel de hardware, aplicaciones y SO huésped, pero este es otro problema, que también se resuelve mediante productos de la empresa Security Code.<#"783809.files/image021.gif"> Arroz. 14. Estructura del servidor. Para garantizar la seguridad en una instalación de este tipo, es necesario garantizar la seguridad, de acuerdo con la Tabla 2. Para hacer esto, sugiero usar el producto de software vGate R2. Le permitirá resolver problemas tales como: · Autenticación más sólida para administradores de infraestructura virtual y administradores de seguridad de la información. · Protección de las herramientas de gestión de la infraestructura virtual contra la manipulación. · Protección de los servidores ESX contra la manipulación. · Control de acceso obligatorio. · Monitoreo de la integridad de la configuración de máquinas virtuales y arranque confiable. · Control de acceso de administradores de VI a datos de máquinas virtuales. · Registro de eventos relacionados con la seguridad de la información. · Supervisión de la integridad y protección contra la manipulación de los componentes del sistema de seguridad de la información. · Gestión y seguimiento centralizados. Tabla 2. Mapeo de necesidades de seguridad para el modelo PaaS Certificado FSTEC de Rusia (SVT 5, NDV 4) permite utilizar el producto en sistemas automatizados de nivel de seguridad hasta clase 1G inclusive y en sistemas de información de datos personales (ISPDN) hasta clase K1 inclusive. El costo de esta solución será de 24,500 rublos por 1 procesador físico en el host protegido. Además, para protegerse de los internos, deberá instalar una alarma de seguridad. Estas soluciones se proporcionan con bastante riqueza en el mercado de protección de servidores. El precio de una solución de este tipo con acceso limitado al área controlada, un sistema de alarma y videovigilancia varía de 200,000 rublos y más Por ejemplo, tomemos la cantidad de 250,000 rublos. Para proteger las máquinas virtuales de infecciones virales, un núcleo de servidor ejecutará McAfee Total Protection for Virtualization. El costo de la solución es de 42.200 rublos. Se utilizará Symantec Netbackup para evitar la pérdida de datos en los almacenamientos. Le permite realizar copias de seguridad fiables de la información y las imágenes del sistema. El costo total de implementar dicho proyecto será: Puede descargar una implementación de Microsoft de una solución de diseño similar desde aquí: http://www.microsoft.com/en-us/download/confirmation. aspx? id = 2494 Producción Las "tecnologías en la nube" son una de las áreas del mercado de TI en desarrollo más activo en la actualidad. Si la tasa de crecimiento de las tecnologías no disminuye, en 2015 contribuirán al tesoro de los países europeos con más de 170 millones de euros al año. En nuestro país, las tecnologías en la nube se tratan con precaución. Esto se debe en parte a las opiniones anquilosadas de los líderes, en parte a la falta de confianza en la seguridad. Pero este tipo de tecnología, con todas sus ventajas y desventajas, es una nueva locomotora del progreso de las TI. La aplicación "en el otro lado de la nube" no importa en absoluto si forma su solicitud en una computadora con procesador x86 Intel, AMD, VIA o la componga en un teléfono o teléfono inteligente basado en el procesador ARM Freescale, OMAP, Tegra . Además, en general, no importará si está ejecutando los sistemas operativos Linux Google Chrome, OHA Android, Intel Moblin, Windows CE, Windows Mobile Windows XP / Vista / 7, o si usa algo aún más exótico para esto. ... Si solo la solicitud se compiló de manera correcta y comprensible, y su sistema fue capaz de "dominar" la respuesta recibida. El tema de la seguridad es uno de los principales problemas del cloud computing y su solución mejorará la calidad de los servicios en el ámbito informático. Sin embargo, aún queda mucho por hacer en esta dirección. En nuestro país, vale la pena comenzar con un vocabulario unificado de términos para todo el campo de las tecnologías de la información. Desarrollar estándares basados ​​en la experiencia internacional. Presentar requisitos para los sistemas de seguridad. Literatura 1. Consideraciones financieras para el uso gubernamental de la computación en la nube - Gobierno de Australia 2010. 2. Privacidad y computación en la nube para agencias gubernamentales australianas 2007. Negociación de la nube: cuestiones legales en los acuerdos de computación en la nube 2009. Revista "Ciencia moderna: problemas reales de la teoría y la práctica" 2012. Trabajo similar a: Seguridad de la información en la computación en nube: vulnerabilidades, métodos y medios de protección, herramientas para auditoría e investigación de incidentes.

Cuando Eric Schmitt, ahora director de Google, utilizó por primera vez el término "nube" para referirse a un sistema informático distribuido en la web, apenas sabía que era una de esas palabras que suelen aparecer en las leyendas. En casi todos los mitos de los pueblos del mundo, los seres divinos viven muy cerca del cielo, en las nubes. Como resultado, el término "computación en la nube" es muy popular entre los especialistas en marketing, ya que brinda espacio para la creatividad. También intentaremos verbalizar estos mitos y comprender cómo se combinan orgánicamente con la TI.

Muerte de Merlín

Uno de los personajes del ciclo de leyendas sobre el Rey Arturo y su Mesa Redonda es el mago y mago Merlín, quien ayudó a Arturo en su reinado. Es significativo que Merlín acabó aprisionado en las nubes. Él, deseando presumir ante la joven hechicera y mostrar su poder mágico, construyó un castillo de nubes e invitó a su pasión a inspeccionarlo. Sin embargo, la hechicera resultó ser astuta y encarceló al mago en su propio castillo de nubes. Después de eso, nadie vio a Merlín, por lo que se cree que murió en algún lugar allí, en el castillo de nubes que él mismo construyó.

Ahora, los "magos de TI" también han construido toda una mitología en torno a la computación distribuida, por lo que para no quedar preso en estos "candados", primero debe averiguar qué son estas nubes, es decir, separar el marketing de las chuletas.

Inicialmente, solo había una nube: era con este símbolo que Internet se designaba tradicionalmente. Esta nube representa la colección de todas las computadoras conectadas por el protocolo IP y que tienen su propia dirección IP. Con el tiempo, Internet comenzó a asignar granjas de servidores que se instalaron en los proveedores y en las que se basaron los proyectos web. Al mismo tiempo, para garantizar una alta carga y tolerancia a fallas, los sistemas web más grandes se volvieron multinivel y distribuidos.

En un sistema típico de este tipo, se podrían distinguir los siguientes niveles: un proxy inverso, que también actúa como equilibrador de carga y descifrador SSL, el servidor web en sí, luego un servidor de aplicaciones, un DBMS y un sistema de almacenamiento. Al mismo tiempo, en cada nivel podría haber varios elementos que realicen las mismas funciones y, por lo tanto, no siempre estuvo claro qué componentes se utilizaron para procesar las solicitudes de los usuarios. Y cuando no está claro, entonces estas son las nubes. Por eso, empezaron a decir que las solicitudes de los usuarios se ejecutan en algún lugar de la "nube" desde una gran cantidad de servidores. Así nació el término "computación en la nube".

Aunque inicialmente la computación en la nube se asoció con proyectos web disponibles públicamente, los portales, sin embargo, a medida que se desarrollaban sistemas web distribuidos tolerantes a fallas, comenzaron a usarse para resolver problemas corporativos internos. Era la época del boom de los portales corporativos que se basaban en tecnologías web que se habían desarrollado en sistemas públicos. Al mismo tiempo, los sistemas corporativos comenzaron a consolidarse en centros de datos que eran más fáciles y económicos de mantener.

Sin embargo, sería ineficiente asignar un servidor separado para cada elemento de la nube; no todos los elementos de la nube se cargan por igual, por lo que la industria de la virtualización comenzó a desarrollarse en paralelo. En las nubes públicas, resultó ser bastante popular, ya que permitía diferenciar los derechos de acceso y proporcionaba una transferencia rápida de un elemento de un sistema distribuido a otro portador de hardware. Sin virtualización, la computación en la nube sería menos dinámica y escalable, razón por la cual las nubes ahora tienden a estar formadas por máquinas virtuales.

La computación en la nube se asocia principalmente con el alquiler de aplicaciones, definiendo tres tipos de dichos servicios: IaaS - infraestructura como servicio, PaaS - plataforma como servicio y SaaS - software como servicio. A veces, la seguridad como servicio también se reduce a SaaS, sin embargo, para no confundir los servicios de seguridad en la nube con el alquiler de software, es mejor llamarlo ISaaC - Information Security as a Cloud. Estos servicios también están comenzando a prestarse. Sin embargo, no confunda la subcontratación de aplicaciones y la computación en la nube, ya que las nubes pueden ser internas, públicas e híbridas. Cada uno de estos tipos de nubes tiene sus propias características a la hora de organizar un sistema de seguridad.

Los tres pasos de Vishnu

El dios Vishnu en la mitología hindú es conocido por el hecho de que fue él quien conquistó el espacio para la vida humana con la ayuda de tres pasos: el primero se hizo en la tierra, el segundo, en las nubes y el tercero, en las más altas. morada. De acuerdo con el Rig Veda, fue por esta acción que Vishnu conquistó todos estos espacios para las personas.

La TI moderna también está dando un "segundo paso" similar: desde el suelo hasta las nubes. Sin embargo, para no caer de estas nubes al suelo, vale la pena cuidar la seguridad. En la primera parte, analicé la estructura de la nube con tanto detalle para comprender qué amenazas existen para la computación en la nube. De lo anterior, se deben distinguir las siguientes clases de amenazas:

Ataques tradicionales al software... Están relacionados con la vulnerabilidad de protocolos de red, sistemas operativos, componentes modulares y otros. Estas son amenazas tradicionales, para la protección contra las cuales basta con instalar un antivirus, firewall, IPS y otros componentes discutidos. Solo es importante que estas protecciones se adapten a la infraestructura de la nube y funcionen de manera eficaz en un entorno virtualizado.

Ataques funcionales a elementos de la nube... Este tipo de ataque está asociado con la estratificación de la nube, principio general seguridad, que la protección general del sistema es igual a la protección del eslabón más débil. Por lo tanto, un ataque DoS exitoso en un proxy inverso instalado frente a la nube bloqueará el acceso a toda la nube, aunque todas las comunicaciones dentro de la nube funcionarán sin interferencias. De manera similar, una inyección SQL pasada a través del servidor de aplicaciones dará acceso a los datos del sistema, independientemente de las reglas de acceso en la capa de almacenamiento de datos. Para protegerse contra ataques funcionales, para cada capa de nube, debe utilizar medios de protección específicos: para un proxy - protección contra ataques DoS, para un servidor web - control de integridad de la página, para un servidor de aplicaciones - una pantalla de nivel de aplicación, para un DBMS capa - protección contra inyecciones SQL, para el sistema de almacenamiento - copia de seguridad y control de acceso. Por separado, ya se ha creado cada uno de estos mecanismos de defensa, pero no se recogen juntos para la protección integral de la nube, por lo que la tarea de integrarlos en un solo sistema debe resolverse durante la creación de la nube.

Ataques de clientes... Este tipo de ataque se ha practicado en el entorno web, pero también es relevante para la nube, ya que los clientes se conectan a la nube, generalmente mediante un navegador. Incluye ataques como Cross Site Scripting (XSS), secuestro de sesiones web, robo de contraseñas, "man in the middle" y otros. Tradicionalmente, la autenticación sólida y la comunicación encriptada con autenticación mutua han sido una defensa contra estos ataques, pero no todos los creadores de la nube pueden permitirse medios de protección tan derrochadores y, por lo general, no muy convenientes. Por tanto, en esta industria de la seguridad de la información aún quedan tareas sin resolver y espacio para crear nuevos medios de protección.

Amenazas de virtualización... Dado que la plataforma para los componentes de la nube ha sido tradicionalmente entornos virtualizados, los ataques al sistema de virtualización también amenazan a toda la nube en su conjunto. Este tipo de amenaza es exclusivo de la computación en la nube, por lo que lo veremos más de cerca a continuación. Las soluciones para algunas amenazas de virtualización ahora están comenzando a aparecer, pero esta industria es bastante nueva, hasta ahora las soluciones existentes aún no se han desarrollado. Es muy posible que el mercado de la seguridad de la información desarrolle medios de protección contra este tipo de amenazas en un futuro próximo.

Amenazas integrales en la nube... El control y la gestión de las nubes también es un problema de seguridad. Cómo garantizar que se cuenten todos los recursos de la nube y que no haya máquinas virtuales no controladas, que no se inicien procesos comerciales innecesarios y que no se viole la configuración mutua de capas y elementos de la nube. Este tipo de amenaza está asociado con la manejabilidad de la nube como un sistema de información unificado y la búsqueda de abusos u otras interrupciones en el funcionamiento de la nube, lo que puede generar costos innecesarios para mantener la salud del sistema de información. Por ejemplo, si hay una nube que le permite detectar un virus en ella utilizando un archivo enviado, ¿cómo evitar el robo de dichos detectores? Este tipo de amenaza es el de más alto nivel y, sospecho, que no existe una protección universal para él; para cada nube, su protección general debe construirse individualmente. Esto puede ser ayudado por el modelo de gestión de riesgos más general, que aún debe aplicarse correctamente a las infraestructuras en la nube.

Los dos primeros tipos de amenazas ya se han estudiado suficientemente y se han desarrollado defensas para ellas, pero aún deben adaptarse para su uso en la nube. Por ejemplo, los firewalls están diseñados para proteger el perímetro, pero en la nube no es fácil asignar un perímetro a un cliente individual, lo que dificulta mucho la protección. Por lo tanto, la tecnología de firewall debe adaptarse a la infraestructura de la nube. El trabajo en esta dirección ahora se lleva a cabo activamente, por ejemplo, por Check Point.

Un nuevo tipo de amenaza para la computación en la nube son los problemas de virtualización. El caso es que cuando se utiliza esta tecnología, aparecen elementos adicionales en el sistema que pueden ser atacados. Estos incluyen un hipervisor, un sistema para transferir máquinas virtuales de un host a otro y un sistema de administración de máquinas virtuales. Consideremos con más detalle qué tipo de ataques pueden sufrir los elementos enumerados.

Ataques de hipervisor... En realidad, el elemento clave del sistema virtual es el hipervisor, que proporciona la división de los recursos de la computadora física entre máquinas virtuales. Interferir con el funcionamiento del hipervisor puede llevar al hecho de que una máquina virtual puede acceder a la memoria y los recursos de otra, interceptar su tráfico de red, quitarle sus recursos físicos e incluso desplazar completamente la máquina virtual del servidor. Hasta el momento, pocos piratas informáticos entienden exactamente cómo funciona el hipervisor, por lo que prácticamente no hay ataques de este tipo, pero esto no garantiza que no vayan a aparecer en el futuro.

Migrar máquinas virtuales... Cabe señalar que una máquina virtual es un archivo que se puede lanzar para su ejecución en diferentes nodos de la nube. Los sistemas de administración de máquinas virtuales proporcionan mecanismos para transferir máquinas virtuales de un host a otro. Sin embargo, el archivo de la máquina virtual se puede robar e intentar ejecutar fuera de la nube. Es imposible sacar un servidor físico del centro de datos, pero se puede robar una máquina virtual a través de la red sin tener acceso físico a los servidores. Es cierto que una máquina virtual separada fuera de la nube no tiene ningún valor práctico: necesita robar al menos una máquina virtual de cada capa, así como datos del sistema de almacenamiento para restaurar una nube similar; sin embargo, la virtualización permite el robo de partes o toda la nube. Es decir, la interferencia con los mecanismos de transferencia de máquinas virtuales genera nuevos riesgos para el sistema de información.

Ataques al sistema de control... La gran cantidad de máquinas virtuales que se utilizan en las nubes, especialmente en las nubes públicas, requiere sistemas de administración que puedan controlar de manera confiable la creación, migración y eliminación de máquinas virtuales. La intervención en los sistemas de control puede provocar la aparición de máquinas virtuales invisibles, el bloqueo de algunas máquinas y la sustitución de elementos no autorizados en las capas de la nube. Todo esto permite a los atacantes obtener información de la nube o capturar partes de ella o toda la nube.

Cabe destacar que hasta el momento todas las amenazas enumeradas anteriormente son puramente hipotéticas, ya que prácticamente no existe información sobre ataques reales de este tipo. Al mismo tiempo, cuando la virtualización y la nube se vuelvan lo suficientemente populares, todos estos tipos de ataques podrían ser bastante reales. Por lo tanto, deben tenerse en cuenta incluso en la etapa de diseño de sistemas en la nube.

Más allá del séptimo cielo

El apóstol Pablo afirmó haber conocido a un hombre que fue arrebatado al séptimo cielo. Desde entonces, la frase "séptimo cielo" ha estado firmemente arraigada para la designación de paraíso. Sin embargo, no todos los santos cristianos tuvieron el honor de visitar incluso el primer cielo, sin embargo, no existe tal persona que no soñaría con mirar el séptimo cielo con al menos un ojo.

Quizás fue esta leyenda la que llevó a los creadores de Trend Micro a nombrar uno de sus proyectos de protección en la nube Cloud Nine: la novena nube. Esto está claramente por encima del séptimo. Sin embargo, ahora se le da este nombre a una amplia variedad de cosas: canciones, historias de detectives, juegos de computadora, pero es muy posible que este nombre esté inspirado en la leyenda cristiana de Paul.

Sin embargo, hasta ahora la empresa Trend Micro ha publicado solo información de que Cloud Nine estará asociado con el cifrado de datos en la nube. Es el cifrado de datos lo que permite proteger contra la mayoría de las amenazas a los datos en la nube pública, por lo que estos proyectos ahora se desarrollarán activamente. Imaginemos qué herramientas de protección pueden seguir siendo útiles para mitigar los riesgos descritos anteriormente.

En primer lugar, debe proporcionar una autenticación confiable tanto de los usuarios de la nube como de sus componentes. Para hacer esto, lo más probable es que pueda utilizar sistemas de autenticación única (SSO) listos para usar, que se basan en Kerberos y el protocolo de autenticación de hardware mutuo. A continuación, necesitará sistemas de administración de identidad que le permitan configurar los derechos de acceso de los usuarios a diferentes sistemas mediante la administración basada en roles. Por supuesto, tienes que jugar con la definición de roles y derechos mínimos para cada rol, pero una vez que configuras el sistema, se puede usar durante mucho tiempo.

Cuando todos los participantes en el proceso y sus derechos están definidos, debe monitorear el cumplimiento de estos derechos y la detección de errores administrativos. Esto requiere que los sistemas de procesamiento de eventos protejan elementos de la nube y mecanismos de protección adicionales, como firewalls, antivirus, IPS y otros. Es cierto que vale la pena utilizar las opciones que pueden funcionar en un entorno de virtualización; esto será más efectivo.

Además, también debe utilizar algún tipo de máquina de fraude que le permita detectar el fraude en el uso de las nubes, es decir, reducir el riesgo más difícil de interferir con los procesos comerciales. Es cierto que ahora en el mercado, lo más probable es que no exista una máquina de fraude que permita trabajar con nubes, sin embargo, ya se han elaborado tecnologías para detectar casos de fraude y abuso para la telefonía. Dado que un sistema de facturación tendrá que implementarse en las nubes, la máquina de fraude debe estar conectada a él. Por lo tanto, será posible al menos controlar las amenazas a los procesos comerciales en la nube.

¿Qué otros mecanismos de defensa se pueden utilizar para proteger las nubes? La pregunta sigue abierta.

La computación en la nube se refiere colectivamente a una gran cantidad de recursos virtualizados de fácil uso y disponibilidad (como sistemas de hardware, servicios, etc.). Estos recursos se pueden reasignar dinámicamente (escalar) para adaptarse a la carga cambiante dinámicamente, asegurando una utilización óptima de los recursos. Este grupo de recursos generalmente se proporciona en forma de pago por uso. Al mismo tiempo, el propietario de la nube garantiza la calidad del servicio en base a determinados acuerdos con el usuario.

De acuerdo con todo lo anterior, se pueden distinguir las siguientes características principales de la computación en la nube:

1) la computación en la nube es un nuevo paradigma para la provisión de recursos informáticos;

2) los recursos de infraestructura básica (recursos de hardware, sistemas de almacenamiento de datos, software del sistema) y las aplicaciones se proporcionan como servicios;

3) estos servicios pueden ser proporcionados por un proveedor independiente para usuarios externos en forma de pago por uso, las principales características de la computación en la nube son la virtualización y la escalabilidad dinámica;

4) los servicios en la nube se pueden proporcionar al usuario final a través de un navegador web o mediante cierto software Interfaz API(Interfaz de programación de aplicaciones).

El modelo general de computación en la nube consta de una parte interna y otra externa. Estos dos elementos están conectados a través de una red, en la mayoría de los casos a través de Internet. A través de la parte externa, el usuario interactúa con el sistema; la parte interior es en realidad la propia nube. El front-end consta de una computadora cliente o una red de computadoras y aplicaciones empresariales que se utilizan para acceder a la nube. La parte interna está representada por aplicaciones, computadoras, servidores y almacenes de datos que crean una nube de servicios a través de la virtualización (Fig. 1).

Cuando las máquinas virtuales físicas (VM) existentes se mueven desde el centro de datos (DC) a nubes externas o la provisión de servicios de TI fuera del perímetro seguro en nubes privadas, el perímetro de la red se vuelve completamente insignificante y el nivel de seguridad general se vuelve bastante bajo.

Mientras que en los centros de datos tradicionales, el acceso de los ingenieros a los servidores está estrictamente controlado a nivel físico, mientras que en la computación en la nube, el acceso de los ingenieros se produce a través de Internet, lo que conduce a la aparición de las amenazas correspondientes. En consecuencia, es fundamental un estricto control de acceso para los administradores, así como garantizar el control y la transparencia de los cambios a nivel del sistema.

Las máquinas virtuales son dinámicas. La volatilidad de las VM hace que sea muy difícil crear y mantener un sistema de seguridad coherente. Las vulnerabilidades y los errores de configuración pueden extenderse sin control. Además, es muy difícil registrar el estado de protección en un momento determinado para una auditoría posterior.

Los servidores de computación en la nube usan el mismo sistema operativo y las mismas aplicaciones web que los virtuales locales, y servidores físicos... En consecuencia, para los sistemas en la nube, la amenaza de piratería o infección de malware a distancia es igual de alta.

Otra amenaza es la amenaza a la integridad de los datos: compromiso y robo de datos. Se debe monitorear la integridad del sistema operativo y los archivos de la aplicación, así como la actividad interna.

El uso de servicios en la nube de múltiples inquilinos dificulta el cumplimiento de los requisitos de los estándares y leyes, incluidos los requisitos para el uso de herramientas criptográficas, para proteger información sensible, como información sobre el propietario de una tarjeta de crédito e información que identifica una persona. Esto, a su vez, da lugar a la abrumadora tarea de garantizar protección confiable y acceso seguro a datos importantes.

A partir del análisis de posibles amenazas en la computación en la nube, se propone una posible protección de seguridad integrada de hardware y software para la computación en la nube, que incluye 5 tecnologías: firewall, detección y prevención de intrusiones, control de integridad, análisis de registros y protección contra malware.

Los proveedores de computación en la nube utilizan la virtualización para brindar a sus clientes acceso a recursos informáticos de bajo costo. Al mismo tiempo, las VM del cliente comparten los mismos recursos de hardware, lo cual es necesario para lograr la mayor eficiencia económica. Los clientes empresariales que estén interesados ​​en la computación en la nube para expandir su infraestructura de TI interna deben considerar las amenazas que plantea tal movimiento. Además de los mecanismos tradicionales para la protección de la red de los centros de procesamiento de datos, utilizando enfoques de seguridad como: firewall de borde, zonas desmilitarizadas, segmentación de la red, monitoreo del estado de la red, detección de intrusiones y sistemas de prevención, los mecanismos de protección de datos de software también deben usarse en servidores de virtualización o en los propios servidores. VM, ya que con la transferencia de VM a servicios de nube pública, el perímetro red corporativa gradualmente pierde su significado y los nodos menos protegidos comienzan a afectar significativamente el nivel general de seguridad. Es la imposibilidad de la separación física y el uso de hardware de seguridad para repeler ataques entre VM lo que lleva a la necesidad de colocar el mecanismo de protección en el servidor de virtualización o en las propias VM. Implementar un método de protección integral en la propia máquina virtual, incluida la implementación de software de firewall, detección y prevención de intrusiones, control de integridad, análisis de registros y protección contra código malicioso, es lo más manera efectiva proteja la integridad, cumpla con los requisitos reglamentarios y cumpla con las políticas de seguridad al mover recursos virtuales de la red interna a la nube.

Literatura:

1. Radchenko G.I. Sistemas informáticos distribuidos // Tutorial... - 2012 .-- S. 146-149.

2. Kondrashin M. Seguridad de la computación en nube // Noticias de almacenamiento. - 2010. - No. 1.