Cloud Security. A felhőszolgáltatások biztonságát a Yandex infrastruktúra példáján tanulmányozzuk

Interjú Alexey Berdnikkel, a Digital Design stratégiai ügyfelekkel való munka részlegének projektvezetőjével

A virtualizáció megjelenése sürgető oka a legtöbb rendszer virtuális gépekre való nagyarányú migrációjának. Nincs azonban garancia arra, hogy az összes felhő-erőforrást megszámolják, és nincsenek felügyelt virtuális gépek, nem futnak szükségtelen folyamatok, vagy a felhőelemek kölcsönös konfigurációja nem sérül. Milyen veszélyek fenyegetik a számítási felhőt, és hogyan előzhetők meg ezek?

- Ez egy magas szintű fenyegetéstípus, mivel a felhő egyetlenként való kezelhetőségére vonatkozik tájékoztatási rendszer, és az általános védelmet egyénileg kell kiépíteni. Ehhez egy kockázatkezelési modellt kell használnia a felhő-infrastruktúrákhoz.

V felhő alapú számítástechnika a platform legfontosabb szerepét a virtualizációs technológia tölti be. A számítási felhőt fenyegető ismert veszélyek közé tartozik a felhőszerverek számítási felhőbe való áthelyezésének nehézsége. A legtöbb hagyományos adatközpontban a mérnökök szerverekhez való hozzáférését fizikai szinten szabályozzák, felhőkörnyezetben az interneten keresztül működnek. Ezért a hozzáférés-szabályozás differenciálása és a változások rendszerszintű átláthatóságának biztosítása a védelem egyik fő kritériuma.

A fenyegetés összefügghet a virtuális gépek dinamizmusával. A virtuális gépek klónozva vannak, és fizikai szerverek között mozgathatók. Ez a változatosság befolyásolja a holisztikus biztonsági rendszer kialakítását. Ugyanakkor a sebezhetőségeket operációs rendszer vagy a virtuális környezetben lévő alkalmazások ellenőrizhetetlenül oszlanak el, és gyakran tetszőleges idő elteltével jelennek meg, például biztonsági másolatból történő visszaállításkor. Ezért a számítási felhő környezetben fontos a rendszer védettségi állapotának megbízható rögzítése, függetlenül annak elhelyezkedésétől. Felhő- és virtuális rendszerek esetén a hackelés és a rosszindulatú programok fertőzésének kockázata meglehetősen magas. Ezért egy behatolásészlelő és -megelőzési rendszernek képesnek kell lennie a rosszindulatú tevékenységek észlelésére a virtuális gépek szintjén, függetlenül azok felhőben való elhelyezkedésétől.

A kikapcsolt virtuális gépet is fenyegeti a fertőzés, mivel a hálózati hozzáférés elegendő a képtárhoz való hozzáféréshez. Ugyanakkor lehetetlen engedélyezni a biztonsági szoftvert egy kikapcsolt virtuális gépen. Ezért kell a hypervisor szintű védelmet megvalósítani. Azt is szem előtt kell tartani, hogy felhőalapú számítástechnika használatakor a hálózati kerület elmosódik, vagy akár eltűnik, ami a hálózati biztonság általános szintjének teljesen más meghatározásához vezet. A legkevésbé védett részének felel meg. Szegmensek elhatárolásához különböző szinteken A felhőbe vetett bizalom miatt a virtuális gépeknek védelmet kell nyújtaniuk úgy, hogy a hálózati kerületet magára a virtuális gépre helyezik át.

Milyen kockázatokkal jár még a felhőbe költözés?

- Sebezhetőségek az operációs rendszerekben, moduláris komponensekben, hálózati protokollok- hagyományos fenyegetések, amelyek elleni védelemhez elegendő egy tűzfalat, tűzfalat, vírusirtót, IPS-t és egyéb komponenseket telepíteni, amelyek megoldják ez a probléma... Ugyanakkor fontos, hogy ezek a védelmek hatékonyan működjenek a virtualizációs környezetben.

Vannak funkcionális támadások a felhőelemek ellen is. Ezek védelmére a felhő minden egyes részéhez a következő védelmi eszközöket kell használni: proxyhoz - hatékony védelem a DoS támadások ellen, webszerverhez - oldal integritásának ellenőrzése, alkalmazásszerverhez - alkalmazás szintű képernyő, DBMS-hez - SQL injekció elleni védelem, tárolórendszerekhez - helyes biztonsági mentések (biztonsági mentés), hozzáférés-szabályozás. Ezeket a védelmi mechanizmusokat külön-külön már létrehozták, de nem gyűjtötték össze őket a felhő átfogó védelméhez, így a feladat integrálása a felhőbe. egységes rendszer foglalkozni kell a felhő létrehozása során.

Meg tudjuk különböztetni a kliens elleni ún. támadásokat. Mivel a legtöbb felhasználó böngészővel csatlakozik a felhőhöz, fennáll a jelszó-eltérítés, a webes munkamenet-eltérítés és számos más hasonló támadás kockázata. Az egyetlen védelem ellenük a helyes hitelesítés és a titkosított kapcsolat (SSL) használata kölcsönös hitelesítéssel. Ezek a védelmek azonban nem túl kényelmesek és nagyon pazarlóak a felhőkészítők számára. Ebben az iparágban információ biztonság még sok a megoldatlan probléma.

A virtuális rendszer egyik kulcseleme a hypervisor. Fő funkciója az erőforrások megosztása virtuális gépek... A hypervisor elleni támadás azt eredményezheti, hogy az egyik virtuális gép hozzáférhet egy másik memóriájához és erőforrásaihoz. Ezenkívül képes lesz elfogni a hálózati forgalmat, elvenni a fizikai erőforrásokat, és akár egy virtuális gépet is kiszorítani a szerverről. Szabványos védelmi módszerként javasolt a virtuális környezetekre specializált termékek használata, a gazdagépek integrációja az Active Directory címtárszolgáltatással, a jelszavak összetettségének és öregedési szabályzatának alkalmazása, valamint a gazdaszerver-felügyeleti eszközök eléréséhez szükséges eljárások szabványosítása, és a virtualizációs gazdagép beépített tűzfaláról. Lehetőség van olyan gyakran nem használt szolgáltatások letiltására is, mint például a virtualizációs szerver webes elérése.

A felhőben használt virtuális gépek nagy száma miatt olyan felügyeleti rendszerekre van szükség, amelyek megbízhatóan tudják irányítani a virtuális gépek létrehozását, áttelepítését és selejtezését. A vezérlőrendszerbe való beavatkozás virtuális gépek megjelenéséhez vezethet – láthatatlanok, amelyek képesek egyes virtuális gépeket blokkolni, másokat pedig helyettesíteni.

A biztonsági fenyegetések mindig olyan megoldásokat generálnak, amelyek megakadályozhatják őket. Melyek a leghatékonyabbak?

- Az adatok védelmének egyik leghatékonyabb módja a titkosítás. Az adatokhoz hozzáférést biztosító szolgáltató köteles az ügyfél adatközpontban tárolt adatait titkosítani, és ha nem szükséges, visszavonhatatlanul törölni. Az átvitel során a titkosított adatokhoz is csak hitelesítés után szabad hozzáférni. Ezenkívül az adatokhoz való hozzáférés csak megbízható AES, TLS, IPsec protokollokon keresztül történhet. A hitelesítéshez tokenek és tanúsítványok használatával is nagyobb megbízhatóság érhető el. Az engedélyezéskor az LDAP (Lightweight Directory Access Protocol) és a SAML (Security Assertion Markup Language) használata is javasolt a szolgáltató és az identitásrendszer közötti átlátható kommunikáció érdekében. Ezenkívül a virtuális hálózatokat olyan technológiák használatával kell telepíteni, mint a VPN (virtuális magánhálózat), a VLAN (virtuális helyi hálózat) a VPLS (virtuális magánhálózati szolgáltatás).

A munkadíj csak akkor motiváló tényező, ha közvetlenül kapcsolódik a munka eredményéhez. A munkavállalókat meg kell győzni a kapott anyagi javadalmazás és a munka termelékenysége közötti stabil kapcsolatról. A bérekben kell lennie egy olyan összetevőnek, amely az elért eredményektől függ. Az orosz mentalitásra jellemző a kollektív munka iránti vágy, a kollégák elismerése és tisztelete stb.

Napjainkban, amikor a nehéz gazdasági helyzet miatt nehéz a magas bérezés, kiemelt figyelmet kell fordítani a nem anyagi ösztönzésre, a munkavállalók rugalmas juttatási rendszerének kialakítására, a munkaerő humanizálására, ideértve:

1.felismerni a munkavállaló értékét a szervezet számára, alkotói szabadságot biztosítani számára;

2. munkaerő gazdagítási és személyi rotációs programok alkalmazása;

3. lépcsőzetes beosztás, részmunkaidős hét, munkahelyi és otthoni munkavégzés lehetősége;

4. kedvezmények megállapítása az alkalmazottak számára az általuk alkalmazott vállalat által gyártott termékek után;

5. rekreációs és szabadidős források biztosítása, ingyenes utazási jegyek biztosítása, kölcsönök kiadása lakás, kerti telek, autók vásárlására stb.

Az alábbiakban a munkaszervezés motiváló tényezőit fogjuk megfogalmazni, amelyek a legmagasabb szintek igényeinek kielégítéséhez vezetnek.
Munkahelyén mindenki meg akarja mutatni, mire képes és mit jelent másoknak, ezért fel kell ismerni az adott munkavállaló tevékenységének eredményeit, lehetőséget biztosítani a kompetenciájával kapcsolatos kérdésekben a döntéshozatalra. , hogy tanácsot adjon a többi alkalmazottnak. A munkahelyeken egységes csapat világnézetét kell megfogalmazni: lehetetlen a kialakuló informális csoportokat lerombolni, ha azok nem okoznak valódi kárt a szervezet céljaiban.

Szinte mindenkinek megvan a maga véleménye arról, hogyan javíthatja munkáját. A vezetés érdekelt támogatására támaszkodva, szankcióktól való félelem nélkül, úgy kell megszervezni a munkát, hogy a munkavállaló ne veszítse el a vágyat tervei megvalósítására. Ezért a munkavállalók milyen formában, milyen gyorsan és milyen módon kapják meg az információkat, felmérik azok valódi jelentőségét a vezetés szemében, ezért a munkavállalók munkájában bekövetkezett változásokról a tudtuk nélkül nem lehet döntést hozni, még akkor sem, ha a változások pozitívak, valamint akadályozzák a szükséges információkhoz való hozzáférést.

Az alkalmazottak munkájának minőségével kapcsolatos információknak gyorsnak, nagyszabásúnak és időszerűnek kell lenniük. A munkavállalónak a lehető legnagyobb önellenőrzést kell biztosítani. A legtöbb ember a munkafolyamat során törekszik új ismeretek megszerzésére. Ezért nagyon fontos, hogy a beosztottaknak lehetőséget biztosítsunk a tanulásra, bátorításra és kreativitásuk fejlesztésére.

Mindenki a sikerre törekszik. A siker elért célok, amelyek elérése érdekében a munkavállaló mindent megtett. Az elismerés nélküli siker csalódáshoz vezet, megöli a kezdeményezőkészséget. Ez nem fog megtörténni, ha a sikert elért beosztottakra további jogokat és hatásköröket ruháznak, és feljebb lépnek a karrierlétrán.

KÖVETKEZTETÉS

Egy-egy motivációs rendszer hatékonysága a gyakorlatban nagymértékben függ a vezető testületektől, bár az elmúlt években történtek bizonyos lépések a vállalkozások fejlesztési szerepének növelésére. saját rendszerek motivációk, amelyek egy adott időszakban lehetővé teszik a vállalkozások céljainak és célkitűzéseinek megvalósítását a piaci viszonyok között.

Ma már aligha kell meggyőzni valakit arról, hogy a motiváció az alapvető tényező a dolgozók rendkívül eredményes munkára motiválásában. A motivációs rendszerek működése, fejlődése viszont elsősorban a vezetői apparátus alkalmazottaitól, képzettségüktől, üzleti kvalitásaiktól és egyéb minőségi jellemzőiktől függ. Ugyanakkor mind az oroszországi piaci kapcsolatokra való átállás előtti időszakban, mind pedig jelenleg a motiváció problémája továbbra is a legsürgetőbb, és sajnos gyakorlati szempontból a legmegoldatlanabb probléma. A probléma megoldása elsősorban rajtunk múlik. Mi magunk vagyunk felelősek az életünkért és a munkamotivációnkért. Úgy tűnik azonban, hogy sokan túl sok időt töltünk, mielőtt vállalni mernénk az elsődleges felelősséget életünk tartalmáért és a munkavágyért. Megszoktuk, hogy élet- és munkaproblémáink okait eleinte rajtunk kívül keressük.

Az okokat gyorsan megtalálják: munkahelyi közeli kollégák, főnökök, beosztottak, munkamegosztás, légkör, gazdálkodási mód, gazdasági viszonyok, ésszerűtlen kormányzati politika és még sok más tényező, ami még hazánkon kívül is rejlik. Sokan annyi időt töltünk azzal, hogy elmagyarázzuk, mennyire hatékony a munkánk, vagy nem akarunk dolgozni, hogy ez idő alatt helyes használat lényegesen magasabb motivációt lehetne elérni, mind a saját, mind a közvetlen környezeteét.

Küldje el a jó munkát a tudásbázis egyszerű. Használja az alábbi űrlapot

Diákok, végzős hallgatók, fiatal tudósok, akik a tudásbázist tanulmányaikban és munkájukban használják, nagyon hálásak lesznek Önnek.

Hasonló dokumentumok

A javadalmazás lényege, formái, elvei és rendszerei. A béralap elemzése az NKMZ JSC példáján. A vállalkozásban alkalmazott alkalmazottak javadalmazási módjai. Útmutató a javadalmazási rendszer és a munkaerő-motiváció javítására piaci körülmények között.

Az OOO UMTS "Splav" tevékenységének elemzése, a munkabérezés elszámolási rendszerének jellemzői. A bérrendszer, mint a javadalmazási szervezet szükséges eleme. A dolgozók motiválási módszereinek jellemzői, a béralap szerkezete.

szakdolgozat hozzáadva 2012.09.01


A „munkamotiváció” kategória lényege és tartalma. Motivációelméletek, lényegük és jelentésük. A Svetlana LLC alkalmazottai munkaerő-motivációs rendszerének jelenlegi állapotának elemzése. Motivációs tényezők erősítése a javadalmazás területén, az intézkedések eredményessége.

szakdolgozat, hozzáadva 2010.05.18


A béralapok képzési formáinak, forrásainak, a bónuszrendszereknek és a munkavállalók ösztönzésének mérlegelése. A PA "Baker" termelésének és gazdasági tevékenységének jellemzői: a termelési költségek, a jövedelmezőség, a szervezettség és a díjazás elemzése.

szakdolgozat, hozzáadva: 2010.05.25


A munkaerő ösztönzésének problémája a gazdaságban. Jellegzetes hagyományos rendszer bérek a vállalkozásnál. A vállalati személyzet munkamotivációjának, értékorientációinak és munkával való elégedettségének diagnosztikája. Vállalati javadalmazási rendszer kialakítása.

szakdolgozat, hozzáadva: 2010.09.08


A díjazás rendszere: fajtái, formái, számításának módja. Az egészségügyi intézményekben dolgozók javadalmazásának eljárása. Finanszírozás elszámolása költségvetési szervezeteknél, kulcsmutatók elemzése. Intézkedéstervezet a javadalmazási rendszer javítására.

szakdolgozat, hozzáadva 2012.12.22


A javadalmazás lényege és alapelvei a piacgazdaságban. Korszerű javadalmazási formák és rendszerek. Az OOO Sigma, Kostroma javadalmazásának elemzése. A dolgozók javadalmazási rendszerének elemzése. A javadalmazási rendszer fejlesztése a vizsgált vállalkozásnál.

szakdolgozat, hozzáadva: 2012.11.04

Minden anyagi motiváció az ember munkájának anyagi jutalmazásán alapul. Elvégezhető bérfizetés formájában, valamint formában is szociális programok az orosz törvények és a szervezetben elfogadott szabályok előírják.

A fizetés a személyzet anyagi motivációjának vezető formája. Pénzben kifejezve azt az erőfeszítést és időt, amelyet egy személy a munkafolyamattal tölt.

A legtöbb ember munkaszükségletét a bérek jelentik.

De a megszerzésének ténye nem mindig biztosítja a lelkiismeretes és eredményes munkát. Ezért, ha a bérekről, mint a munkavállalók motivációját fokozó tényezőről beszélünk, meg kell állapítani annak méretének a munkavégzés végeredményétől való függőségét. Ebben az esetben a feladataikat felelősségteljesen végző alkalmazottak és magas teljesítményt mutat, több fizetést kap, mint mindenki más. Ez a munkájuk eredményeivel kapcsolatos elégedettség érzését kelti a „legelső munkavállalók” számára, és ösztönzőleg hat jobb munka az egész csapat.

Annak érdekében, hogy megértsük, hogyan lehet a gyakorlatban megvalósítani ezt a feladatot, először elemezzük az építés alapjait bérrendszerek a szervezetben.

A szervezet alkalmazottainak javadalmazása az Orosz Föderáció jogszabályain alapul, és az állam szabályozza. Az állami szabályozás kiterjed a minimálbér megállapítására, a szervezet által bérekre elkülönített pénzeszközök megadóztatására, a bérek állami garanciáinak megállapítására.

A korábban felsorolt ​​funkciókat megerősítő szabványokat az Orosz Föderáció Munka Törvénykönyve tartalmazza, és általában munkaügyi és kollektív szerződésekben rögzítik, amelyeket a szervezet az alkalmazottaival köt.

A jogi normák betartása az alapja annak, hogy egy szervezet javadalmazási rendszert építsen ki alkalmazottai számára, de a jogi normák mellett számos tényezőt is figyelembe kell venni.

A díjazás formája. A javadalmazásnak két fő formája van: időalapú és darabmunka. Az időarányos bérezés magában foglalja a munkabér kiszámítását egy munkaóra költsége vagy a ténylegesen ledolgozott munkaórák fizetése alapján. Ezt a bérezési formát a szakemberek és vezetők javadalmazásánál alkalmazzák, mivel nem gyártanak konkrét termékeket, amelyeket darabban, méterben és kilogrammban számolnak. Munkájukat a munkájukkal töltött idő méri.

A darabmunka bére az előállított termékek mennyiségétől függ és az előállított termék egységköltsége alapján számítják ki. A darabbérek alapján a dolgozók munkáját értékelik, melynek eredménye mennyiségileg mérhető.

A munkavállalók lefedettsége. A munkavállalók fedezete egyéni és kollektív javadalmazást jelent. Az egyéni kifizetés az egyes munkavállalók bérének kiszámítása. A kollektív bért egy csoport munkájának eredménye alapján számítják ki, majd a megállapított szabályok szerint osztják el a csoporton belül.

Fizetési lehetőségek. Fizetési eszközök – pénzbeli és természetbeni összetevők. A béreket általában készpénzben fizetik ki, de a munkavállalóval kötött megállapodás alapján és az Orosz Föderáció jogszabályaival összhangban a természetbeni kifizetés egy része lehetséges - árukban, értékpapírokban vagy szolgáltatásokban.

A számlázási időszak időtartama. A számlázási időszak időtartama a fizetések gyakorisága. A munkabér lehet napi, heti, havi.

A felsorolt ​​tényezők tanulmányozása és elemzése lehetővé teszi egy olyan fizetési rendszer kidolgozását és megvalósítását, amely megfelel a szervezet céljainak és célkitűzéseinek, valamint pénzügyi lehetőségeinek. De nemcsak a személyzet javadalmazási rendszerét kell létrehozni, hanem azt is, hogy ez munkaerő-ösztönzővé váljon.

Ehhez a fejlesztés során be kell tartani azokat a szabályokat, amelyek biztosítják a munkavállalók munkájának hatékonyságának növelését:

■ a fizetési rendszernek a munkavállalót a vállalkozás számára kívánt eredmény elérésére kell orientálnia, ezért a bérek összege a teljes szervezet teljesítménymutatóihoz (nyereség, árbevétel, tervteljesítés) kapcsolódik;

■ a fizetési rendszer legyen a személyi irányítás eszköze, ehhez a vezetőnek képesnek kell lennie anyagi ösztönzésre és büntetésre is;

■ A javadalmazási rendszernek meg kell felelnie a munkavállalók elvárásainak, és arányosnak kell lennie a többi szervezet viszonyaival.

Mint már említettük, minden vállalkozás fizetési rendszerének megvannak a maga sajátosságai, amelyek tükrözik a termelés követelményeit, a tevékenység típusát és az elfogadott személyzeti politikát.

A közelmúltban azonban sok szervezet olyan javadalmazási rendszert alkalmaz, amely az alkalmazottak kifizetését három részre osztja.

Első rész az alapbér. A hivatali feladatok ellátása után fizetendő és változatlan (a darabbér kivételével). A szervezet minden alkalmazottja fizetést kap.

Második rész- ezek kedvezményes kifizetések és kompenzációk - szociális csomag, amelyet a szervezet a dolgozóinak biztosít. Ez magában foglalja a szabadságok, betegszabadságok, étkezések, munkavállalói képzések, élet- és egészségbiztosítások, valamint az éves inflációs kompenzáció költségeit. A javadalmazás kompenzációs része egyéni, és a munkavállaló által ledolgozott évek számától és a szervezet által elfogadott további szociális programok elérhetőségétől függ. Minden munkavállaló megkapja a kompenzációs részt is.

A harmadik rész- ezek olyan kiegészítő kifizetések, amelyeket a szervezet az előző időszak munkateljesítményeiért fizet. További kifizetések bónuszok, termékértékesítésből származó százalékok, szabadsághoz kapcsolódó pótlékok, valamint az elvégzett munka összetettségéhez és minőségéhez kapcsolódó pótlékok és együtthatók formájában történhetnek. A kifizetések ezen része változó. Ez minden alkalmazottnál eltérő, és az egyéni teljesítménymutatóktól függ. Ezt a részt nem minden alkalmazott kapja meg, hanem csak azok, akik munkájuk során bizonyos eredményeket értek el.

A bemutatott javadalmazási rendszer minden, jogszabályban rögzített fizetési formát tartalmaz, és lehetővé teszi a dolgozók hatékonyságának növelését a magas színvonalú és eredményes munkáért járó kiegészítő prémiumok révén.

Meg kell jegyezni, hogy a javadalmazási rendszer létrehozásakor a szervezet vezetőjének és a személyzeti osztálynak emlékeznie kell arra, hogy a munkavállaló pénzbeli javadalmazásának jelentése nem korlátozódik csak a munkája során elköltött erők költségeinek kompenzálására. A pénzbeli javadalmazást, annak bevételi formáit és mértékét a szervezet értékének bizonyítékaként érzékelik, az önbecsülést formálják, és a társadalmi státuszról beszélnek. Így a munkavállaló által kapott pénz a személyes és szakmai önmegvalósítás mutatója.

Bibliográfiai leírás:

A. K. Neszterov A személyzeti munka motiválása a szervezetben [ Elektronikus forrás] // Oktatási enciklopédia webhely

A munkamotiváció kezelése kulcsfontosságú tényező a szervezet személyzeti irányítási rendszerében, hiszen közvetlen kapcsolat van a munkavállalói motiváció és a munkája hatékonysága között.

A munkamotiváció fogalma és lényege

Motiváció A kitűzött célok elérését szolgáló ösztönzők létrehozásának folyamata. Az igények és a motívumok részt vesznek a motiváció folyamatában. A szükségletek a cselekvés belső késztetései. A motiváció folyamata egy motívum kialakításával zárul, ebbe a folyamatba az igények mellett értékorientációk, hiedelmek, nézetek is bekapcsolódnak. Ez egy rejtett folyamat, nem megfigyelhető és empirikusan nem határozható meg.

Csak a motiváció eredményét láthatod - az emberi viselkedést.

A hatékony motiváció nemcsak az adott munkavállaló szociális és kreatív aktivitásának növekedését, hanem a vállalkozás végeredményét is befolyásolja.

A létező motivációelméletek mindegyike bizonyos elméleti és alkalmazott szempontok eredményeiből indul ki, azokat koncepciójának alapjaiba helyezve, azonban a motiváció fogalmának egységes megközelítése nem alakult ki.

Megközelítések a munkamotiváció fogalmának meghatározásához

A cikk keretein belül az alábbi tézist használjuk, amely a munkaerő-motiváció lényegét jellemzi.

A személyzet munkaerő-motivációja Belső és külső hajtóerők kombinációja, amelyek tudatos tevékenységek végzésére késztetik az embert.

A személyi motiváció az irányítási rendszer elemeként arra irányul, hogy az embereket jogaik és kötelezettségeik keretein belül a leghatékonyabban végezzék munkájukkal. Ebben a tekintetben a motiváció közvetlenül befolyásolja - a munkavállaló készségei nem hoznak eredményt, ha nem érdekli őt. A szervezet irányítása során belső és külső tényezők együttesét alkalmazzák a személyzet motiválására.

Külön-külön ezek a tényezők jelentéktelenek az ember számára, és a modern körülmények között nem olyan erős a hatásuk, de komplex befolyással megsokszorozzák egymást, multiplikátor hatást keltenek.

A személyzet motivációs elméletei

A táblázat a motiváció tartalmi és eljárási elméleteit tartalmazza, amelyekben motívumok és ösztönzők komplexumai alakulnak ki, amelyek a szervezetben a személyzet munkáját motiváló elemként működnek.

A motiváció szubsztanciális és procedurális elméletei

1. A szükségletek elmélete A. Maslow
Igények
1.1. Fiziológiai szükségletek	- minőségi élelmiszerek; - tiszta víz; - jó életkörülmények; - kedvező feltételek a kikapcsolódáshoz.	- tisztességes fizetés; - lakáshitelek; - szanatóriumi utalványok; - szociális csomag.
1.2. Biztonsági igények	- védelem a környezetből származó fizikai és erkölcsi veszélyekkel szemben; - bizalom a fiziológiai szükségletek kielégítésében.	- jó erkölcsi és pszichológiai légkör a csapatban; - a vezető demokratikus vezetési stílusa; - egészségbiztosítás; - segítség extrém helyzetekben
1.3. Társadalmi igények	- kommunikáció; - utánzás; - bevonása; - szolidaritás, támogatás, barátság, kölcsönös segítségnyújtás.	- kommunikációs képesség; - demokratikus vezetési stílus; - esélyegyenlőség, "esélyegyenlőség"; - Hall of Fame; - hálaadás; - érdemek elismerése; - méltányosság mindenben (munkaelosztásban, becslésekben, díjazásban); - kulturális és szabadidős tevékenységek programjai.
1.4. Elismerés és tisztelet igénye	- önbecsülés; - személyes eredmények; - kompetencia; - mások tisztelete; - elismerés.	- tisztességes fizetés; - a hatáskörök bővítése; - személyi juttatások; - a beosztottak számának növekedése; - egyetemes elismerés és tisztelet.
1.5. Az önkifejezés szükségletei	– A potenciál kiaknázása lehetőségek; - személyiség növekedés; - hivatás; - önkifejezés; - kíváncsiság; - teremtés; - találmány; - innováció; - tudományt csinál.	- részvétel az irányításban és a döntéshozatalban; - projekt csapatokban való részvétel; - bőséges képzési és szakmai fejlődési lehetőség; - aktív karrier növekedés; - érdeklődés, hivatás szerinti munkavégzés biztosítása; - pályaorientáció; - a munka kreatív jellegének növelése; - figyelembe véve a munkavállaló személyes tulajdonságait, képességeit; - díjak innovációért, találmányokért, felfedezésekért; - jelölés állami és nemzetközi díjakra.
2. A létezés, kapcsolat és növekedés elmélete K. Alderfer
Igények
2.1. Létezési igények: fiziológiai, Biztonság Biztonság, fizetés	- élelem, víz, menedék, pihenés; - védelem a fizikai veszélyekkel szemben; - bízz benne a fiziológiai szükségletek kielégítésre kerülnek.	- megfelelő szintű fizetés; - lakhatás fizetése; - szociális csomag; - a nyugdíjrendszer; - egészségbiztosítás.
2.2. Kommunikációs igények: létesítése kapcsolatok, tisztelet, megbecsülés személyiség	- kommunikáció; - bevonása; - támogatás, barátság, kölcsönös segítségnyújtás.	- kommunikációs képesség; - kedvező pszichológiai légkör a csapatban; - esélyegyenlőség; - hálaadás; - érdemek elismerése.
2.3. Növekedési igények: fejlődés kreatív lehetséges, önmegvalósítás	- tisztelet, elismerés; - a potenciális lehetőségek megvalósítása; - személyiség növekedés; - önkifejezés, kreativitás.	- egyetemes elismerés és tisztelet; - javaslataik végrehajtásának joga; - képzési és szakmai fejlődési lehetőség; - találmányok díja.
3. D. McClelland elmélete a szerzett szükségletekről
Igények
3.1. A hatalom szükségessége	- más emberek befolyásolásának vágya, hasznosnak és jelentősnek érezni magukat	- részvétel az irányításban és a döntéshozatalban; - a hatáskörök bővítése; - a beosztottak számának növekedése.
3.2. A siker szükségessége	- részvétel ígéretes munkákban; - cél elérése; - presztízs; - karrierfejlesztés.	Kezdeményezés, széles jogkör biztosítása; Jutalom az eredményekért; Részvétel a sikerben; Nemzetközi elismerés; Elnyerte az "Év Legjobb Munkavállalója" címet.
3.3. Bevonás szükségessége	- kommunikáció; - utánzás; - bevonása; - szolidaritás, támogatás, barátság.	- kommunikációs képesség; - kedvező társadalmi mikroklíma; - részvétel az irányításban és a döntéshozatalban; - ülések tartása; - segíteni másoknak; - üzleti kapcsolatok.
4. Két tényező elmélete F. Herzberg
Igények
4.1. Higiénikus	- karrierépítés; - a munka eredményeinek elismerése és jóváhagyása; - magas fokú felelősségvállalás; - lehetőséget a kreatív és üzleti növekedés.	- jó erkölcsi és pszichológiai légkör; - normál munkakörülmények; - tisztességes fizetés; - barátságos légkör; - mérsékelt kontroll a munka felett.
4.2. Motiváció		- kezdeményezőkészség biztosítása, széles jogkör; - jutalom az eredményekért; - részvétel a sikerben; - karriertervezés; - tisztességes díjazás; - magas fokú felelősségvállalás biztosítása; - tanulás és szakmai fejlődés.
A motiváció eljárási elméletei
5. V. Vroom elváráselmélete
Igények
5.1. Költség – Eredmények	- a feladat jelentősége; - a feladat megvalósíthatósága; - a szükséges egyeztetések lefolytatása.	- az eredmények értékelése
5.2. Jutalmazza az eredményeket	- a díjazás bizonyossága és időszerűsége.	- bizalom a vezetőben; - a vállalkozás hatékonysága.
5.3. Vegyérték	- az elért munkateljesítmény díjazása.	- díjazás garanciája; - a díjazás pontos megfelelését a munka eredményének.
6. Az igazságosság elmélete S. Adams
Igények
	- a díjazás megfelelése más szakemberek hasonló munkáért járó javadalmazásának átlagértékének.	Kompenzációs bér alkalmazása a munkavállaló "piaci áron".
7. A részvételen alapuló kormányzás fogalma
Igények
	- munkájuk fontosságának és jelentőségének tudata a vállalkozás fejlődése szempontjából	- részvétel az irányításban és a döntéshozatalban; - projektekben való részvétel; - önuralom; - személyes és csoportos felelősség az eredményekért.

Forrás: Vikhansky, O.S. Menedzsment: tankönyv / O.S. Vikhansky, A.I. Naumov. - 5. kiadás, Sztereotípia. - M .: Mester: INFRA -M, 2012.

Az értelmes motivációs elméletek szerinti motivációs rendszer felépítése a munkavállalók domináns szükségleteinek azonosításán és kielégítésén alapul, a procedurális motivációs elméletek pedig kiemelt szerepet szánnak a munkavállalók motivációs magatartásának kialakítására.

A személyzet motiválásának módszerei a szervezetben

A munkaerő-motiváció módszereit háromféle vezetői szabályozó hatásként mutatják be: passzív, közvetett és aktív.

• A passzív hatások nem érintik a munkavállalókat, hanem a munkakörülmények megteremtésére irányulnak, és magukban foglalják a személyi munkára vonatkozó normák, szabályok, előírások kidolgozását.
• A közvetett hatások közvetetten érintik a szervezet alkalmazottait, és formában valósulnak meg integrált programok bónuszok, ösztönzők, amelyek a vállalkozás egészét célozzák.
• Az aktív befolyások közvetlen hatást jelentenek bizonyos alkalmazottakra vagy munkavállalói csoportokra.

A motivációs módszereket az ábra mutatja be

A személyzet motivációs módszerei

A gazdasági motivációs módszerek azon alapulnak, hogy a munkavállalók bizonyos juttatásokat szerezzenek, ami növeli jólétüket.

A gazdasági módszerek közvetlen formái:

• alapbérek;
• kiegészítő kifizetések, figyelembe véve a munkaerő és a képesítés összetettségét, a többletmunkát stb .;
• díjazás prémiumok és kifizetések formájában, attól függően, hogy a munkavállaló hozzájárult a vállalkozás termelési tevékenységének eredményeihez;
• más típusú fizetések.

A gazdasági módszerek közvetett formái:

• céges autó rendelkezésre bocsátása;
• a szervezet szociális intézményeinek igénybevétele;
• a szervezet termékeinek vásárlása az eladási árnál alacsonyabb áron;
• különféle előnyöket biztosítva.

Szervezési módszerek:

1. Érdekes célokkal való motiváció a munkavállalók fő munkájához;
2. Motiváció a munkatevékenység tartalmának gazdagításával;
3. Motiváció a szervezet ügyeiben való részvétellel.

Morálpszichológiai módszerek:

1. Büszkeség a rábízott és elvégzett munkára;
2. Felelősség a munka eredményéért;
3. Kihívás, lehetőség, hogy megmutasd képességeidet;
4. Az elvégzett munka vagy projekt eredményének szerzői elismerése;
5. Magas értékelés, lehet személyes vagy nyilvános.

A szervezet személyi állományának motiválási módszereivel szemben támasztott követelmények

Irányok a szervezetben a személyzet munkaerő-motivációjának javítására és hatékonyságának növelésére

Munkavállalói motivációs rendszer Rugalmas személyzeti menedzsment eszköz, amely a vállalat céljainak adminisztratív, gazdasági és szociálpszichológiai módszerekkel való elérésére összpontosít.

A vállalkozásoknak olyan hatékony munkaerő-gazdálkodási rendszert kell kiépíteniük, amely biztosítja az emberi tényező aktiválását, ehhez a szervezetek alkalmazotti motivációs módszereket alkalmaznak, hogy a kitűzött feladatok leghatékonyabb megoldására irányítsák az embereket. A munkamotiváció a munkatermelékenység növelésére, a szervezet profitjának növelésére irányul, ami végső soron a szervezet stratégiai céljainak eléréséhez vezet.

A fő probléma a hatékony és eredményes személyzeti motivációs rendszer kialakítása a szervezetben. Mivel minden vezető arra törekszik, hogy a munkavállaló ne veszítse el érdeklődését a munka iránt, a szervezetek speciális rendezvényeket dolgoznak ki, és motivációs rendszert építenek ki, hogy fenntartsák az alkalmazottak érdeklődését a munka iránt.

Egy korábbi tanulmány megállapította, hogy stabil kapcsolat van a motiváció típusai és a munka iránti érdeklődést befolyásoló tényezők között.

A nem hatékony motivációs rendszer a munka termelékenységének csökkenéséhez vezet, ezért nyilvánvaló a hatékony munkaerő-ösztönzési módszerek ésszerű alkalmazásának jelentősége.

A munkavállalók motivációjának és a szervezet gazdasági tevékenységének eredményeinek kölcsönös függése a vállalkozás alapja.

Minden vezető feladata a munkafolyamat megszervezése, hogy az emberek hatékonyan dolgozzanak. A vállalati kapcsolatok termelékenysége és légköre közvetlenül függ attól, hogy az alkalmazottak mennyire értenek egyet a vállalaton belüli pozíciójukkal és a meglévő rendszert bátorítás. Ez pedig befolyásolja a vállalaton belüli kapcsolatok merev formalizálásának csökkenését, amelyek célja, hogy azokat a vállalkozás objektív valóságának kontextusában alakítsák át.

A szervezetben a személyi munkaerő-motiváció rendszerének fejlesztésének jellemző iránya az ösztönzők formáinak és típusainak bővítése. Például, ha az anyagi ösztönzők a leghangsúlyosabbak a vállalati motivációs rendszerben, vagy a nem anyagi jellegű ösztönzők gyakorlatilag hiányoznak, akkor több fajta erkölcsi ösztönzőt kell alkalmazni a munkavállalók számára, például:

1. Különféle nyilvántartások elhelyezése a munkavállaló teljesítményeiről a személyes aktájában.
2. Szóbeli köszönet a társaság vezetése nevében.
3. Kiegészítő képzés a szervezet költségére.
4. Fizetett meghívó vacsorára egy étteremben, amelyet a cég ad az alkalmazottnak.
5. Rugalmas munkaidő.
6. Parkoló és ingyenes benzin biztosítása.
7. Több jó minőség a munkahely felszerelése, valamint év végén új eszközök beszerzése a legjobb dolgozóknak.
8. Fénykép elhelyezése faliújságban.
9. A „Legjobb alkalmazott” jelzéssel ellátott emléktárgy.
10. Hálás vásárlói visszajelzés közzététele, hogy mindenki láthassa.
11. Speciális folyóiratok előfizetése.

A munkavállalók motivációjának növelése érdekében meg kell teremteni a munkavállalók önkifejezésének feltételeit, bizonyos kezdeményezőkészséget kell biztosítani számukra a döntések meghozatalában, és olyan feltételeket kell teremteni, hogy a munkavállalók befolyásolhassák a vállalatban zajló folyamatokat. Ennek érdekében az igazgató jogosítványainak egy részét közvetlenül átruházhatja a cég részlegeinek vezetőire.

Hasznos lesz, ha a vezető felhasznál néhány jelentős eseményt a beosztottak személyes életében (születésnapok, esküvők stb.), hogy figyelmet fordítson rájuk, és gratuláljon nekik csapatként. Az alkalmazottak részéről is lehetségesek ilyen lépések.

Továbbá, annak érdekében, hogy növeljék a munkavállalók bevonását a vállalat ügyeibe, be kell vezetni a „nyitott ajtók politikája” kifejezéssel jelzett cselekvési rendszert. Ez azt jelenti, hogy egy bármilyen rangú vezető kész meghallgatni beosztottjai javaslatait. Ennek a szabályzatnak a mottója: "Irodám ajtaja mindig nyitva áll Ön előtt." Felmerül azonban a kérdés, hogy ez hogyan kapcsolódik a menedzser időforrásához. Valóban, mi van akkor, ha a beosztottak úgy döntenek, hogy akkor léphetnek be a főnöki irodába, amikor csak akarnak. Valójában, ha az alkalmazottak elfoglaltak, sokkal ritkábban keresik fel a vezetői irodát, mint azt várná. Ezenkívül használhat néhány technikát az ilyen típusú kapcsolatok szervezésére:

• A menedzser maga állíthatja be az értekezlet időpontját, nem tagadva meg az alkalmazotttól a hallgatóságot, hanem elhalasztja a számára megfelelő időpontban.
• A beosztottakkal való kommunikáció csökkentését is segíti az írásos tájékoztatási formák alkalmazása. A gondolatok írásbeli bemutatását tömörség és határozottság jellemzi.
• Konkrét üzleti javaslatok értékelése és promóciója. Néha az alkalmazottak elkísérik az ötletet az ötlet benyújtásakor. nagy mennyiség kapcsolódó információkat, bár csak a lényeget kell konkrétan kifejteni.

Az alkalmazottak motivációjának növelése az erkölcsi ösztönzés módszereivel és a „nyitott ajtó” politika bevezetése a vezetés minden szintjén jelentősen növeli a munkavállalók részvételét a szervezet egészében, valamint a vezetők döntéseiben. Ez hozzájárul a vállalaton belüli kapcsolatok optimalizálásához a szervezeten belüli formális és informális kapcsolatok szubjektív-objektív módszereivel. Javítani fogja a vezetés rendelkezésére álló és a döntéshozatalhoz szükséges információk minőségét is. Az erkölcsi ösztönzők abban is segítik az alkalmazottakat, hogy elkötelezzék magukat a szervezet céljai és értékei iránt.

A személyi motivációs rendszer hatékonyságának növelésének ígéretes iránya a személyi adaptációs program megvalósítása. Ha a vállalkozásnál nincs is külön szolgáltatás a személyzet adaptációjának lebonyolítására, akkor az új munkavállaló adaptálási munkáját a személyzeti osztály munkatársa is elvégezheti.

A bevezető program olyan konkrét műveletek összessége, amelyeket a beépítésért felelős alkalmazottnak kell végrehajtania. Az adaptációs program általánosra és speciálisra oszlik. Általános program Az alkalmazkodás az egész szervezet egészét érinti, és olyan kérdéseket foglal magában, mint a vállalat általános elképzelése, szervezeti politika, javadalmazás, kiegészítő juttatások, munkavédelem és biztonság, a szervezetben dolgozó munkavállaló munkakörülményei, háztartási szolgáltatás, gazdasági tényezőket.

Egy speciális adaptációs program lefedi bármely osztályhoz vagy munkahelyhez kapcsolódó kérdéseket, és mind az újonnan érkezett osztály alkalmazottaival folytatott speciális beszélgetések, mind a vezetővel (azonnali és magasabb) interjúk formájában valósul meg. De ezeknek a beszélgetéseknek a megszervezését a személyzeti osztály alkalmazottja bízza meg. A speciális adaptációs program során kiemelendő főbb kérdések a következők: az egység funkciói, munka- és felelősségi körök, kötelező jelentéstétel, eljárások, szabályok, előírások és az egység dolgozóinak képviselete.

A munkabér a javadalmazási és munkaösztönzési rendszer legfontosabb része, a munkavállaló munkavégzésének hatékonyságát befolyásoló egyik eszköz. Ez a cég személyi ösztönző rendszerének csúcsa, de minden jelentőség ellenére a legtöbb sikeres külföldi cégnél a bérek nem haladják meg a munkavállalók jövedelmének 70%-át, a bevétel fennmaradó 30%-át a nyereség felosztása jelenti.

Ahhoz, hogy a bérek betöltsék motiváló funkciójukat, közvetlen kapcsolatnak kell lenniük annak szintje és a munkavállaló képzettsége, az elvégzett munka összetettsége és a felelősség mértéke között.

A javadalmazási rendszer alatt azt a módszert értjük, amely alapján kiszámítják a vállalkozás alkalmazottainak fizetendő javadalmazás összegét az általuk vállalt munkaerőköltségek vagy a munka eredménye alapján.

A díjazás megszervezésére két rendszer létezik: tarifális és nem tarifális. Tarifarendszer lehetővé teszi különféle konkrét munkatípusok mérését, figyelembe véve azok összetettségét és a teljesítmény feltételeit, azaz figyelembe veszi a munka minőségét. A hazai vállalkozásoknál ez a leggyakoribb.

A különféle tulajdoni formákkal rendelkező vállalkozásoknál a munkadíjas tarifarendszer két formája a legelterjedtebb:

Darabmunka - minden egyes termelési egységre vagy az elvégzett munka mennyiségére;

Időalapú - a normál ledolgozott órákra, amelyet a tarifarendszer biztosít.

Minden egyes vállalkozásnál a termékek jellegétől, bizonyos technológiai folyamatok jelenlététől, a termelés és a munkaerő szervezettségének szintjétől függően a bérek egyik vagy másik formáját alkalmazzák.

A bérek és fizetések tekintetében meglehetősen nehéz megszabadulni a kiegyenlítéstől, leküzdeni az ellentmondást az egyes munkavállalók és a teljes csapat érdekei között.

Egy lehetséges lehetőség a szervezés javítására és a munkaerő ösztönzésére, felhasználásra vámmentes bérrendszer , amely sok vállalkozásnál talált alkalmazásra a gazdálkodás piaci viszonyaira való átállás során. E rendszer szerint a vállalkozás valamennyi alkalmazottjának – az igazgatótól a dolgozóig – bére a munkavállaló bértömegben (bérjegyzékben) vagy a teljes vállalkozásban vagy egy különálló részlegben való részesedését jelenti. Ilyen körülmények között az egyes alkalmazottak bérének tényleges értéke számos tényezőtől függ:

A munkavállaló képzettségi szintje;

Munkaerő részvételi arány (KTU);

Tényleges ledolgozott órák.

Egy vállalkozás munkavállalójának képzettségi szintjét a munkaközösség minden tagja számára meghatározzák.

A vállalkozás minden alkalmazottja tíz képesítési csoportra oszlik, a munkavállalók képzettségi szintje és a különböző szakmák munkavállalóira vonatkozó képesítési követelmények alapján. Mindegyik csoport számára saját képzettségi szint kerül megállapításra, amely a munkavégzés során növelhető. A képzettségi szintrendszer nagy lehetőségeket teremt a képzettebb munkaerő anyagi ösztönzésére, mint a bérosztályok rendszere.

A KTU ki van téve a vállalkozás minden alkalmazottjának, beleértve az igazgatót is, és a munkaügyi kollektíva tanácsa hagyja jóvá, amely maga dönt a megállapítás gyakoriságáról (havonta egyszer, negyedévente stb.) és az indikátorok összetételéről. számítás.

A vámmentes rendszer egy változata szerződéses díjazási rendszer, magasan kvalifikált munkaerő, elsősorban vezetők és szakemberek bevonása és megtartása a vállalkozásoknál, egy olyan szakembergárda kialakítása, amely kemény versenyben egyre magasabb célokat képes elérni, a munkáltató közötti megállapodás (szerződés) megkötésén alapul. és a munkavállaló, amely meghatározza a munkafeltételeket, a felek jogait és kötelezettségeit, a javadalmazás mértékét, stb. A gazdaságunkban érvényes díjazási tarifarendszerhez képest annak időarányos és darabbéres formáihoz képest a szerződéses rendszer két kétségtelen előnyei. Először is, a dolgozók sokkal többet fizethetnek, mint amennyit a fizetések, tarifák és a jelenlegi állami fizetési rendszer előír. Másodszor, a szerződéses rendszer megkönnyíti és egyszerűvé teszi a gondatlan munkavállalótól való megszabadulást a szerződés felmondásával, anélkül, hogy a Munka Törvénykönyvébe ütközne, anélkül, hogy ezt az elbocsátást egyeztetné a szakszervezettel. Ezek az előnyök rendkívül vonzóvá teszik a szerződéses rendszert azon vállalkozások számára, amelyek valóban drámai termelési hatékonyságjavulást szeretnének elérni.

Feliratkozás a hírekre

Tanfolyamok tudományágonként

Információbiztonsági szoftver és hardver

"Információbiztonság a számítási felhőben: sebezhetőségek, védelmi módszerek és eszközök, auditálási és incidensvizsgálati eszközök."

Bevezetés

1. Történelem és kulcsfontosságú fejlődési tényezők

2. A számítási felhő definíciója

3. Referencia architektúra

4. Szolgáltatási szint megállapodás

5. Védelmi módszerek és eszközök a számítási felhőben

6. Felhőmodellek biztonsága

7. Biztonsági audit

8. Incidensek és kriminalisztika vizsgálata a számítási felhőben

9. Fenyegetés modell

10. Nemzetközi és hazai szabványok

11. Az adatok területi azonossága

12. Állami szabványok

13. Felhőbiztonsági eszközök

14. Gyakorlati rész

Kimenet

Irodalom

Bevezetés

A felhőalapú számítástechnika növekvő sebessége azzal magyarázható, hogy az ügyfél általában kevés pénzért hozzájut a legmegbízhatóbb, a szükséges teljesítménnyel rendelkező infrastruktúrához anélkül, hogy drága számítógépeket kellene vásárolnia, telepítenie és karbantartania, a rendszer eléri a 99,9%-ot. , ami a számítási erőforrásokat is megtakarítja. ... És ami még fontosabb: szinte korlátlan skálázhatósági lehetőség. Ha rendszeres tárhelyet vásárol, és megpróbálja átugrani a fejét (éles terhelés-emelkedéssel), fennáll annak a veszélye, hogy több órára elesett szolgáltatást kap. A felhőben kérésre további erőforrások állnak rendelkezésre.

A felhőalapú számítástechnika fő problémája a feldolgozott információk nem garantált biztonsági szintje, az erőforrások védettségi foka és gyakran a teljesen hiányzó szabályozási keret.

A tanulmány célja az lesz, hogy áttekintést adjon a meglévő felhőalapú számítástechnikai piacról és a biztonságot garantáló eszközökről.

felhőalapú számítástechnikai biztonsági információk

1. Történelem és kulcsfontosságú fejlődési tényezők

A ma számítási felhőnek nevezett ötlet először J. C. R. Licklider hangoztatta 1970-ben. Ezekben az években ő volt a felelős az ARPANET (Advanced Research Projects Agency Network) létrehozásáért. Az volt az elképzelése, hogy a földön minden ember csatlakozik egy hálózathoz, ahonnan nemcsak adatokat, hanem programokat is kap. Egy másik tudós, John McCarthy felvetette azt az elképzelést, hogy a számítási teljesítményt szolgáltatásként (szolgáltatásként) biztosítják a felhasználóknak. Ezen a felhőtechnológiák fejlesztését a 90-es évekig felfüggesztették, majd számos tényező hozzájárult a fejlődéséhez.

A 90-es évek internetes sávszélességének bővülése nem tett lehetővé jelentős fejlődési ugrást a felhőtechnológia terén, hiszen erre szinte egyetlen akkori cég és technológia sem állt készen. Az internet felgyorsulásának ténye azonban lendületet adott a számítási felhő korai fejlődésének.

2. Ezen a területen az egyik legjelentősebb fejlemény a Salesforce.com 1999-es bevezetése volt. Ez a cég lett az első olyan cég, amely az oldalon keresztül hozzáférést biztosított alkalmazásához. Valójában ez a cég lett az első olyan vállalat, amely szoftverként szolgáltatásként (SaaS) alapozta meg szoftverét.

A következő lépés egy felhőalapú webszolgáltatás fejlesztése volt az Amazon által 2002-ben. Ez a szolgáltatás lehetővé tette az információk tárolását és a számítások elvégzését.

2006-ban az Amazon elindította az Elastic Compute cloud (EC2) nevű szolgáltatást webszolgáltatásként, amely lehetővé tette felhasználóinak saját alkalmazásaik futtatását. Az Amazon EC2 és az Amazon S3 voltak az első elérhető felhőalapú számítástechnikai szolgáltatások.

A felhőalapú számítástechnika fejlődésének újabb mérföldkövét jelentette, hogy a Google létrehozta a Google Apps platformot az üzleti szektor webes alkalmazásaihoz.

A virtualizációs technológiák jelentős szerepet játszottak a felhőtechnológiák, különösen a virtuális infrastruktúra létrehozását lehetővé tevő szoftverek fejlesztésében.

A hardver fejlődése nem annyira a felhőtechnológiák gyors növekedéséhez járult hozzá, mint inkább ahhoz, hogy ez a technológia a kisvállalkozások és magánszemélyek... A technológiai fejlődés tekintetében ebben jelentős szerepe volt a többmagos processzorok létrehozásának és az információtároló kapacitásának növelésének.

2. A számítási felhő definíciója

Az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete meghatározása szerint:

Felhő alapú számítástechnika (Felhő alapú számítástechnika) (angolFelhő - felhő; számítástechnika- számítástechnika) egy olyan modell, amely szükség szerint mindenütt elérhető és kényelmes hálózati hozzáférést biztosít a konfigurálható számítási erőforrások (például hálózatok, szerverek, tárolórendszerek, alkalmazások és szolgáltatások) megosztott készletéhez, amely gyorsan kiépíthető és felszabadítható minimális felügyeleti erőfeszítéssel és interakciót igényel. szolgáltatóval (szolgáltatóval).

A felhőmodell támogatja a szolgáltatások magas rendelkezésre állását, és öt alapvető jellemzővel, három szolgáltatási modellel és négy telepítési modellel írja le.

A programok elindulnak, és a munka eredményét egy szabványos webböngésző ablakban jelenítik meg egy helyi számítógépen, míg az összes alkalmazás és a munkához szükséges adatok egy távoli szerveren találhatók az interneten. A felhőalapú számítógépeket "felhőalapú számítástechnikának" nevezik. Ebben az esetben a terhelés a „számítási felhőben” szereplő számítógépek között automatikusan megoszlik. A felhőalapú számítástechnika legegyszerűbb példája a p2p hálózatok.

A számítási felhő megvalósításához speciális technológiákkal létrehozott köztes szoftvereket használnak. Köztes kapcsolatként szolgálnak a berendezés és a felhasználó között, és biztosítják a berendezések és programok állapotának felügyeletét, az egyenlő terheléselosztást és az erőforrások időben történő biztosítását egy közös készletből. Az egyik ilyen technológia a virtualizáció a számítástechnikában.

Virtualizáció a számítástechnikában- a számítási erőforrások halmazának vagy logikai kombinációjának ábrázolási folyamata, amely bármilyen előnyt biztosít az eredeti konfigurációhoz képest. Ez az erőforrások új virtuális nézete alkatrészek nem korlátozza a megvalósítás, a fizikai konfiguráció vagy a földrajzi hely. A virtualizált erőforrások jellemzően számítási teljesítményt és adattárolást foglalnak magukban. Tudományosan a virtualizáció a számítási folyamatok és erőforrások elszigetelése egymástól.

A virtualizáció példája a szimmetrikus többprocesszoros számítógép-architektúrák, amelyek egynél több processzort használnak. Az operációs rendszereket általában úgy konfigurálják, hogy több processzor egyetlen processzoregységként jelenjen meg. Ezért lehet szoftveralkalmazásokat egyetlen logikai ( virtuális) számítási modul, ami sokkal egyszerűbb, mint sok különböző processzorkonfigurációval dolgozni.

Különösen nagy és erőforrás-igényes számításokhoz rácsszámításokat használnak.

Grid számítástechnika (rács - rács, hálózat) az elosztott számítástechnika egyik formája, amelyben a "virtuális szuperszámítógép" hálózatba kapcsolt, lazán csatolt, heterogén számítógépek klasztereiként jelenik meg, amelyek együtt dolgoznak, és rengeteg feladatot (műveletet, munkát) hajtanak végre.

Ezt a technológiát jelentős számítási erőforrásokat igénylő tudományos és matematikai problémák megoldására használják. A grid számítástechnikát a kereskedelmi infrastruktúrában is használják olyan időigényes feladatok megoldására, mint a gazdasági előrejelzés, a szeizmikus elemzés, valamint az új gyógyszerek tulajdonságainak fejlesztése és tanulmányozása.

A hálózatba kapcsolt szervezet szemszögéből a grid egy konzisztens, nyitott és szabványosított környezet, amely egyetlen virtuális szervezeten belül biztosítja a környezet részét képező számítási és tárolási erőforrások rugalmas, biztonságos, koordinált szétválasztását.

Paravirtualizáció Ez egy virtualizációs technika, amely a virtuális gépek számára a mögöttes hardverhez hasonló, de nem azonos programozási felületet biztosít. Ennek a módosított interfésznek az a célja, hogy csökkentse a vendég operációs rendszer által olyan műveletek végrehajtására fordított időt, amelyeket virtuális környezetben sokkal nehezebb végrehajtani, mint egy nem virtualizált környezetben.

Vannak speciális hookok, amelyek lehetővé teszik, hogy a vendég és a házigazda kérje és nyugtázza ezeket az összetett feladatokat, amelyeket virtuális környezetben is meg lehet tenni, de sokkal lassabban.

Hipervizor ( vagy Virtuális gép monitor) - számítógépekben olyan program vagy hardver séma, amely több vagy akár több operációs rendszer egyidejű, párhuzamos végrehajtását biztosítja vagy lehetővé teszi ugyanazon a gazdaszámítógépen. A hypervisor emellett biztosítja az operációs rendszerek egymástól való elkülönítését, védelmet és biztonságot, erőforrás-megosztást a különböző futó operációs rendszerek között és erőforrás-kezelést.

A hypervisor az ugyanazon a gazdaszámítógépen futó operációs rendszert is elláthatja (de nem köteles) a kommunikáció és az egymással való interakció eszközeivel (például fájlcserén vagy hálózati kapcsolatokon keresztül), mintha ezek az operációs rendszerek különböző fizikai rendszereken futnának. számítógépek.

Maga a hypervisor bizonyos szempontból egy minimális operációs rendszer (mikrokernel vagy nanokernel). Az irányítása alatt futó operációs rendszereket virtuális gép szolgáltatással látja el, virtualizálva vagy emulálva egy adott gép valós (fizikai) hardverét, és kezeli ezeket a virtuális gépeket, erőforrásokat allokálva és felszabadítva számukra. A hypervisor lehetővé teszi bármely virtuális gép független "bekapcsolását", újraindítását és "leállítását" egy adott operációs rendszerrel. Egy virtuális gépben, hipervizor irányítása alatt futó operációs rendszer azonban „tudhatja”, de nem kell, hogy virtuális gépen fut, és nem valódi hardveren.

Felhőszolgáltatási modellek

A számítási teljesítmény biztosításának lehetőségei nagyon eltérőek. A felhőalapú számítástechnikával kapcsolatos mindent általában aaS-nek neveznek – ez egyszerűen „szolgáltatásként”, azaz „szolgáltatásként” vagy „szolgáltatás formájában” rövidítése.

Szoftver mint szolgáltatás (SaaS) - a szolgáltató egy használatra kész alkalmazást biztosít az ügyfélnek. Az alkalmazások számos kliens eszközről vagy vékony kliens felületeken, például webböngészőn (például webmailen) vagy programfelületeken keresztül érhetők el. Ugyanakkor a fogyasztó nem ellenőrzi a felhő alapvető infrastruktúráját, beleértve a hálózatokat, szervereket, operációs rendszereket, tárolórendszereket és még az egyes alkalmazások beállításait sem. egyéni beállítások alkalmazás konfigurációja.

A SaaS-modellben az ügyfelek nem azért fizetnek, hogy a szoftvert önmagában birtokolják, hanem béreljék (vagyis webes felületen keresztül használják). Így a klasszikus szoftverlicenc-konstrukcióval ellentétben az ügyfélnek viszonylag csekély visszatérő költsége keletkezik, és nem kell jelentős összeget befektetnie a szoftverek vásárlásába és annak támogatásába. Az időszakos fizetési séma azt feltételezi, hogy ha átmenetileg hiányzik a szoftverigény, az ügyfél felfüggesztheti annak használatát, és leállíthatja a fejlesztő felé történő fizetést.

A fejlesztő szemszögéből a SaaS modell lehetővé teszi a szoftverek engedély nélküli felhasználása (kalózkodás) elleni hatékony küzdelmet, mivel maga a szoftver nem jut el a végfelhasználókhoz. Ezenkívül a SaaS-koncepció gyakran csökkentheti az információs rendszerek telepítésének és megvalósításának költségeit.

Rizs. 1 Tipikus SaaS-elrendezés

Platform mint szolgáltatás (PaaS) - a szolgáltató szoftverplatformot és eszközöket kínál az ügyfélnek a felhasználói alkalmazások tervezéséhez, fejlesztéséhez, teszteléséhez és telepítéséhez. Ugyanakkor a fogyasztó nem ellenőrzi az alapul szolgáló felhő infrastruktúrát, beleértve a hálózatokat, szervereket, operációs rendszereket és tárolórendszereket, hanem a telepített alkalmazások és adott esetben a tárhelykörnyezet egyes konfigurációs paraméterei felett rendelkezik.

Rizs. 2 Tipikus PaaS elrendezés

Infrastructure as a Service (IaaS). - a szolgáltató bérelhető számítástechnikai erőforrásokat kínál az ügyfélnek: szervereket, tárolórendszereket, hálózati berendezéseket, operációs rendszereket és rendszerszoftvereket, virtualizációs rendszereket, erőforrás-kezelő rendszereket. Ugyanakkor a fogyasztó nem irányítja a mögöttes felhő-infrastruktúrát, hanem az operációs rendszerek, a tárolórendszerek, a telepített alkalmazások felett, és esetleg korlátozottan szabályozhatja a hálózati összetevők kiválasztását (például tűzfallal rendelkező gazdagép).

Rizs. 3 Tipikus IaaS elrendezés

Továbbá megkülönböztetni a szolgáltatásokat, mint például:

Kommunikáció mint szolgáltatás (Com-aaS) -úgy értendő, hogy a kommunikációs szolgáltatásokat szolgáltatásként nyújtják; általában IP telefonálás, levél és azonnali kommunikáció (csevegés, IM).

Felhő adattárolás- a felhasználó számára biztosított egy bizonyos mennyiségű információ tárolására szolgáló hely. Mivel az információkat elosztottan és sokszorosítva tárolják, az ilyen tárolók sokkal nagyobb fokú adatbiztonságot nyújtanak, mint a helyi szerverek.

Munkahely mint szolgáltatás (WaaS) - a felhasználó, aki nem elég nagy teljesítményű számítógéppel rendelkezik, számítási erőforrásokat vásárolhat a szállítótól, és a számítógépét terminálként használhatja a szolgáltatás eléréséhez.

Víruskereső felhő- az infrastruktúra, amelyet a felhasználóktól érkező információk feldolgozására használnak az új, korábban ismeretlen fenyegetések időben történő felismerése érdekében. A Cloud Antivirus nem igényel felesleges műveleteket a felhasználótól – egyszerűen csak kérelmet küld egy gyanús programra vagy hivatkozásra. A veszély megerősítésekor minden szükséges művelet automatikusan megtörténik.

Telepítési modellek

A telepítési modellek között az infrastruktúra 4 fő típusa van.

Privát felhő - egy szervezet általi használatra szánt infrastruktúra, amely több fogyasztót (például egy szervezet részlegeit), esetleg a szervezet ügyfeleit és vállalkozóit is magában foglalja. A privát felhő tulajdonosa, kezelhető és üzemeltetője lehet maga a szervezet vagy egy harmadik fél (vagy ezek kombinációja), és fizikailag létezhet a tulajdonos joghatóságán belül és kívül is.

Rizs. 4 Privát felhő.

Nyilvános felhő - a lakosság által ingyenesen használható infrastruktúra. A nyilvános felhőt kereskedelmi, tudományos és kormányzati szervezetek (vagy ezek bármilyen kombinációja) birtokolhatják, üzemeltethetik és üzemeltethetik. A nyilvános felhő fizikailag a tulajdonos – a szolgáltató – joghatósága alatt létezik.

Rizs. 5 Nyilvános felhő.

Hibrid felhő - két vagy több különböző felhő-infrastruktúra (magán, nyilvános vagy nyilvános) kombinációja, amelyek egyedi objektumok maradnak, de szabványos vagy privát technológiákkal kapcsolódnak össze adatok és alkalmazások átvitelére (például nyilvános felhő-erőforrások rövid távú használata az egyensúly megteremtésére a felhők közötti terhelés).

Rizs. 6 Hibrid felhő.

Nyilvános felhő (közösségi felhő) - olyan típusú infrastruktúra, amelyet a közös célokkal (pl. küldetés, biztonsági követelmények, szabályzatok és különféle követelményeknek való megfelelés) rendelkező szervezetek fogyasztói közössége használ. A nyilvános felhő lehet egy vagy több közösségi szervezet vagy harmadik fél (vagy ezek kombinációja) közös tulajdonában, üzemeltetője és üzemeltetője, és fizikailag létezhet a tulajdonos joghatóságán belül és kívül is.

Rizs. 7 A felhő tulajdonságainak leírása

Alaptulajdonságok

A NIST a "The NIST Definition of Cloud Computing" című dokumentumában a felhők következő jellemzőit határozza meg:

Igény szerinti önkiszolgálás. A fogyasztónak lehetősége van egyoldalúan hozzáférni a biztosított számítási erőforrásokhoz szükség szerint, automatikusan, anélkül, hogy az egyes szolgáltatók munkatársaival kapcsolatba kellene lépnie.

Széles hálózati hozzáférés(Széles hálózati hozzáférés). Feltéve, hogy a számítási erőforrások szabványos mechanizmusokon keresztül elérhetőek a hálózaton keresztül különböző platformokhoz, vékony és vastag kliensekhez ( mobiltelefonok, táblagépek, laptopok, munkaállomások stb.).

Az erőforrások összevonása (Resorce pooling). A szolgáltató számítási erőforrásait egyesítik, hogy sok fogyasztót kiszolgáljanak egy több bérlős modellben. A készletek számos fizikai és virtuális erőforrást tartalmaznak, amelyek dinamikusan hozzárendelhetők és átrendelhetők az ügyfelek igényeinek megfelelően. A fogyasztónak nem kell tudnia az erőforrások pontos elhelyezkedését, de lehetőség van magasabb absztrakciós szinten (például ország, régió, adatközpont) megadni azok helyét. Ilyen típusú erőforrások például a tárolórendszerek, a számítási teljesítmény, a memória, a hálózati sávszélesség.

Gyors rugalmasság. Az erőforrások rugalmasan allokálhatók és felszabadíthatók, bizonyos esetekben automatikusan, a kereslethez igazodó gyors skálázás érdekében. A fogyasztó számára az erőforrások biztosításának lehetőségeit korlátlannak látják, azaz tetszőleges mennyiségben és bármikor hozzárendelhetők.

Mért szolgáltatás. A felhőrendszerek automatikusan kezelik és optimalizálják az erőforrásokat az absztrakciós szinten implementált mérőeszközök segítségével különböző típusú szolgáltatásokhoz ((pl. külső memória, feldolgozás, sávszélesség vagy aktív felhasználói munkamenetek). A felhasznált erőforrások nyomon követhetők és nyomon követhetők, ami átláthatóságot biztosít mind a szolgáltató, mind a szolgáltatást igénybe vevő fogyasztó számára.

Rizs. nyolc Szerkezeti séma felhő szerver

A számítási felhő előnyei és hátrányai

Méltóság

· Csökkennek a számítógép számítási teljesítményére vonatkozó követelmények (elengedhetetlen feltétel csak az Internet hozzáférés elérhetősége);

· hibatűrés;

· Biztonság;

· Nagy sebességű adatfeldolgozás;

· Csökkentett hardver- és szoftver-, karbantartási és villamosenergia-költségek;

· Lemezterület megtakarítása (az adatok és a programok is az interneten tárolódnak).

· Élő migráció – virtuális gép átvitele egyik fizikai szerverről a másikra a virtuális gép megszakítása és a szolgáltatások leállítása nélkül.

· 2010 végén a WikiLeaks-források biztosítását megtagadó vállalatok elleni DDoS-támadások miatt a számítási felhő technológia egy másik előnyére is fény derült. A WikiLeaks ellen fellépő összes céget megtámadták, de csak az Amazon bizonyult érzéketlennek ezekre a hatásokra, mivel felhőalapú számítástechnikai eszközöket használt. ("Anonymous: komoly fenyegetés vagy puszta bosszúság", Network Security, N1, 2011).

hátrányai

· A felhasználói adatok biztonságának függősége a számítási felhő szolgáltatásokat nyújtó vállalatoktól;

· Állandó kapcsolat a hálózattal - a "felhő" szolgáltatásainak eléréséhez állandó internetkapcsolatra van szükség. Korunkban azonban ez nem olyan nagy hátrány, különösen a technológia megjelenésével. sejtes kommunikáció 3G és 4G.

· Szoftver és módosítása – korlátozások vonatkoznak a „felhőkön” telepíthető és a felhasználó rendelkezésére bocsátható szoftverekre. A szoftver felhasználója korlátozza a használt szoftvert, és néha nem tudja azt a saját céljaira testreszabni.

· Titoktartás – a nyilvános „felhőkön” tárolt adatok titkossága jelenleg sok vita tárgyát képezi, de a legtöbb esetben a szakértők egyetértenek abban, hogy nem ajánlott a cég számára legértékesebb dokumentumokat nyilvános „felhőn” tárolni, mivel jelenleg nincs olyan technológia, amely garantálná a tárolt adatok 100%-os titkosságát, ezért a titkosítás használata a felhőben kötelező.

· Megbízhatóság - ami a tárolt információk megbízhatóságát illeti, bátran kijelenthetjük, hogy ha elveszett a "felhőben" tárolt információ, akkor azt örökre elvesztette.

· Biztonság – maga a „felhő” egy meglehetősen megbízható rendszer, de behatolva egy támadó hatalmas adattárhoz jut.. További hátránya a virtualizációs rendszerek használata, amelyek hypervisorként szabványos operációs rendszer kernelt használnak, mint például a Linux , Windows és mások, amely lehetővé teszi a vírusok használatát.

· Magas felszerelési költség - egy cég saját felhő felépítéséhez jelentős anyagi erőforrások elkülönítése szükséges, ami nem előnyös az újonnan alapított és kis cégek számára.

3. Referencia architektúra

A NIST Cloud Computing Reference Architecture öt fő szereplőt tartalmaz – a szereplőket. Minden színész szerepet játszik, cselekvéseket és funkciókat hajt végre. A referencia-architektúra egyre részletesebb szekvenciális diagramok formájában jelenik meg.

Rizs. 9 Referencia architektúra fogalmi diagramja

Cloud Consumer- üzleti kapcsolatot fenntartó és a felhőszolgáltatók szolgáltatásait igénybe vevő személy vagy szervezet.

A felhőfogyasztókat 3 csoportra osztják:

· SaaS – alkalmazásokat használ az üzleti folyamatok automatizálására.

PaaS – Felhőkörnyezetben telepített alkalmazásokat fejleszt, tesztel, telepít és kezel.

· IaaS – IT infrastruktúra szolgáltatásokat hoz létre, kezel.

Felhőszolgáltató- az a személy, szervezet vagy entitás, amely felelős azért, hogy a felhőszolgáltatás elérhető legyen a Cloud Consumers számára.

SaaS – Felhőalapú infrastruktúrán telepített szoftvereket telepít, kezel, karbantart és biztosít.

PaaS – Felhőalapú infrastruktúrát és köztes szoftvert biztosít és kezel. Fejlesztési és adminisztrációs eszközöket biztosít.

· IaaS – szervereket, adatbázisokat, számítási erőforrásokat biztosít és karbantart. Felhőstruktúrát biztosít a fogyasztó számára.

A felhőszolgáltatók tevékenységei 5 fő jellemző tevékenységre oszlanak:

Szolgáltatás bevezetése:

o Privát felhő – Egy szervezet szolgálja ki. Az infrastruktúrát maga a szervezet és egy harmadik fél kezeli, és a Szolgáltató (telephelyen kívül) és a szervezet (telephelyen) egyaránt telepítheti.

o Megosztott felhő - az infrastruktúrát több szervezet is megosztja hasonló követelményekkel (biztonság, RD-nek való megfelelés).

o Nyilvános felhő - az infrastruktúrát számos szervezet használja, eltérő követelményekkel. Csak telephelyen kívül.

o Hibrid felhő – az infrastruktúra különböző infrastruktúrákat egyesít hasonló technológiák alapján.

Szolgáltatás-menedzsment

o Szolgáltatási szint - a Szolgáltató által nyújtott alapszolgáltatásokat határozza meg.

§ A SaaS egy olyan alkalmazás, amelyet a Fogyasztó úgy használ, hogy speciális programokból hozzáfér a felhőhöz.

PaaS - konténerek fogyasztói alkalmazásokhoz, fejlesztői és adminisztrációs eszközökhöz.

§ IaaS - számítási teljesítmény, adatbázisok, alapvető erőforrások, amelyeken felül a Fogyasztó az infrastruktúráját telepíti.

o Az absztrakció és az erőforrás-ellenőrzés szintje

§ Az infrastruktúra megvalósításához szükséges hypervisor és virtuális komponensek kezelése.

o A fizikai erőforrások szintje

§ Számítógép tartozék

§ Mérnöki infrastruktúra

o Elérhetőség

o Titoktartás

o Azonosítás

o Biztonsági megfigyelés és incidenskezelés

o Biztonsági szabályzatok

Magánélet

o A személyes adatok feldolgozásának, tárolásának és továbbításának védelme.

Cloud Auditor- Olyan közreműködő, aki önállóan tudja értékelni a felhőszolgáltatásokat, az információs rendszerek karbantartását, a felhőalapú megvalósítás teljesítményét és biztonságát.

A jóváhagyott dokumentumokkal összhangban saját értékelést adhat a biztonságról, adatvédelemről, teljesítményről és egyéb dolgokról.

Rizs. 10 Szolgáltatói tevékenységek

Cloud Broker- a felhőszolgáltatások használatát, teljesítményét és szállítását irányító, a Szolgáltatók és a Fogyasztók közötti kapcsolatot létrehozó szervezet.

A felhőalapú számítástechnika fejlődésével a felhőszolgáltatások integrálása túl nehézkes lehet a fogyasztó számára.

o Szolgáltatásközvetítés - a meghatározott szolgáltatás bővítése, új lehetőségek biztosítása

o Aggregáció - különböző szolgáltatások kombinálása a Fogyasztó számára

Felhőkommunikációs üzemeltető- kapcsolati szolgáltatásokat és szállítást (kommunikációs szolgáltatásokat) nyújtó közvetítő a felhőszolgáltatások Szolgáltatótól a Fogyasztókhoz történő eljuttatására.

Kommunikációs eszközökön keresztül biztosítja a hozzáférést

Az SLA-nak megfelelő szintű kapcsolatot biztosít.

A bemutatott öt szereplő között a felhőbróker nem kötelező, hiszen a felhőalapú fogyasztók közvetlenül a felhőszolgáltatótól kaphatnak szolgáltatásokat.

A szereplők bemutatkozása az alanyok közötti kapcsolatok kidolgozásának szükségessége miatt van.

4. Szolgáltatási szint megállapodás

Szolgáltatási szint megállapodás - Olyan dokumentum, amely a vevő által a szállítótól elvárt szolgáltatásnyújtás szintjét írja le a szolgáltatásra vonatkozó mérőszámok alapján, és megállapítja a szolgáltató felelősségét abban az esetben, ha a megállapodás szerinti mérőszámok nem teljesülnek.

Íme néhány mutató, ilyen vagy olyan formában, amelyek az operátori dokumentumokban találhatók:

ASR (Answer Seizure Ratio) - egy paraméter, amely egy adott irányú telefonkapcsolat minőségét határozza meg. Az ASR-t a hívások eredményeként létrejött telefonkapcsolatok számának százalékában számítják ki az adott irányba indított hívások teljes számához viszonyítva.

PDD (Post Dial Delay) – a hívás pillanatától a telefonkapcsolat létrejöttéig eltelt időt (másodpercben) meghatározó paraméter.

A szolgáltatás rendelkezésre állási aránya- a szolgáltatásnyújtás megszakítási idejének aránya a szolgáltatásnyújtás teljes időtartamához képest.

Csomagvesztési arány- a helyesen vett adatcsomagok aránya a hálózaton egy bizonyos ideig továbbított csomagok teljes számához viszonyítva.

Időkésések az információs csomagok továbbításában- az információcsomag két hálózati eszköz közötti átviteléhez szükséges időintervallum.

Az információtovábbítás megbízhatósága- a hibásan továbbított adatcsomagok számának az összes továbbított adatcsomaghoz viszonyított aránya.

A munkavégzés időtartama, az előfizetők értesítésének ideje és a szolgáltatások helyreállításának ideje.

Vagyis a szolgáltatás 99,99%-os elérhetősége azt jelzi, hogy az üzemeltető havi legfeljebb 4,3 perc kommunikációs leállást, 99,9%-ban azt, hogy esetleg 43,2 percig nem nyújtják a szolgáltatást, 99%-ban pedig azt, hogy a szünet tovább tarthat. mint 7 óra. Egyes gyakorlatokban különbségek vannak a hálózat rendelkezésre állásában, és a paraméter alacsonyabb értéket feltételeznek - kikapcsolt órákban. A különböző típusú szolgáltatásokhoz (forgalmi osztályokhoz) különböző mutatók értékei is rendelkezésre állnak. Például a hang esetében a legfontosabb a késleltetési idő – ennek minimálisnak kell lennie. A sebességhez pedig alacsony kell, ráadásul a csomagok egy része minőségromlás nélkül elveszhet (kb. 1%, kodektől függően). Az adatátvitelnél a sebesség az első, és a csomagvesztésnek nullára kell lennie.

5. Védelmi módszerek és eszközök a számítási felhőben

A titoktartást az egész láncban biztosítani kell, beleértve a felhőszolgáltatót, a fogyasztót és az őket összekötő kommunikációt is.

A Szolgáltató feladata a harmadik felek támadásaiból származó adatok fizikai és szoftveres integritásának biztosítása. A fogyasztónak megfelelő politikákat és eljárásokat kell bevezetnie „területén”, hogy kizárja az információhoz való hozzáférési jogok harmadik felekre történő átruházását.

Egyedi "felhő" alkalmazások használata esetén az információk integritásának biztosításának feladatai megoldhatók - a modern adatbázis-architektúráknak, mentési rendszereknek, integritás-ellenőrző algoritmusoknak és egyéb ipari megoldásoknak köszönhetően. De ez még nem minden. Új kihívások merülhetnek fel, amikor több különböző gyártótól származó felhőalkalmazást integrálni kell.

A közeljövőben a biztonságos virtuális környezetet kereső cégek számára az egyetlen lehetőség egy privát felhőrendszer létrehozása. A tény az, hogy a privát felhők – a nyilvános vagy hibrid rendszerekkel ellentétben – leginkább azokhoz a virtualizált infrastruktúrákhoz hasonlítanak, amelyeket a nagyvállalatok informatikai részlegei már megtanultak megvalósítani, és amelyek felett teljes ellenőrzést tudnak tartani. A nyilvános felhőrendszerek információbiztonsági hibái komoly kihívást jelentenek. A legtöbb betörés nyilvános felhőben történik.

6. Felhőmodellek biztonsága

A három felhőmodell kockázati szintje nagyon eltérő, és a biztonsági problémák megoldásának módjai is eltérőek az interakció szintjétől függően. A biztonsági követelmények változatlanok maradnak, de a biztonsági ellenőrzés szintje változik a különböző modellek (SaaS, PaaS vagy IaaS) között. Logikai szempontból semmi sem változik, de a fizikai megvalósítás lehetőségei gyökeresen eltérőek.

Rizs. 11. A legsürgetőbb információbiztonsági fenyegetések

a SaaS modellben az alkalmazás felhő infrastruktúrán fut, és webböngészőn keresztül érhető el. A kliensnek nincs befolyása a hálózatra, a szerverekre, az operációs rendszerekre, a tárhelyre vagy akár néhány alkalmazási képességre. Emiatt a SaaS modellben a biztonságért való elsődleges felelősség szinte teljes egészében a gyártókra hárul.

Az 1. számú probléma a jelszókezelés. A SaaS modellben az alkalmazások a felhőben vannak, így a fő kockázat az, hogy több fiókot használnak az alkalmazások eléréséhez. A szervezetek megoldhatják ezt a problémát a felhőbeli és a helyszíni rendszerek fiókjainak egyesítése révén. Az egyszeri bejelentkezéssel a felhasználók egyetlen fiókkal érhetik el a munkaállomásokat és a felhőszolgáltatásokat. Ez a megközelítés csökkenti annak a valószínűségét, hogy az alkalmazottak felmondása után „beszorult” fiókok jogosulatlan használatba kerülnek.

A CSA magyarázata szerint a PaaS azt feltételezi, hogy az ügyfelek a gyártó által támogatott programozási nyelvek és eszközök segítségével készítenek alkalmazásokat, majd telepítik azokat a felhő infrastruktúrába. A SaaS-modellhez hasonlóan az ügyfél nem tudja kezelni vagy irányítani az infrastruktúrát – hálózatokat, kiszolgálókat, operációs rendszereket vagy tárolórendszereket –, de az alkalmazások telepítését irányíthatja.

A PaaS-modellben a felhasználóknak figyelmet kell fordítaniuk az alkalmazások biztonságára, valamint az API-kezelési problémákra, például az érvényesítésre, engedélyezésre és ellenőrzésre.

Az 1. számú probléma az adattitkosítás. A PaaS-modell eredendően biztonságos, de a kockázat a nem megfelelő rendszerteljesítmény. Ennek az az oka, hogy a titkosítás javasolt a PaaS-szolgáltatókkal való kommunikáció során, és ez további feldolgozási teljesítményt igényel. Ennek ellenére minden megoldásnál a bizalmas felhasználói adatok továbbítását titkosított csatornán kell végrehajtani.

Míg az itteni ügyfeleknek nincs befolyásuk a mögöttes felhő-infrastruktúra felett, az operációs rendszerek, a tárolás és az alkalmazások telepítése, valamint esetleg korlátozott vezérlés a hálózati összetevők kiválasztásánál.

Ez a modell számos beépített biztonsági képességgel rendelkezik anélkül, hogy magát az infrastruktúrát védené. Ez azt jelenti, hogy a felhasználóknak kezelniük és biztonságossá kell tenniük az operációs rendszereket, alkalmazásokat és tartalmakat, általában API-n keresztül.

Ha ezt lefordítják a védelmi módszerek nyelvére, akkor a szolgáltatónak biztosítania kell:

· Magához az infrastruktúrához való hozzáférés megbízható ellenőrzése;

· Az infrastruktúra rugalmassága.

Ugyanakkor a felhőfogyasztó sokkal több védelmi funkciót is átvesz:

· Tűzfal az infrastruktúrán belül;

· Védelem a hálózatba való behatolás ellen;

· Operációs rendszerek és adatbázisok védelme (hozzáférés szabályozása, sebezhetőség elleni védelem, biztonsági beállítások ellenőrzése);

· Végső alkalmazások védelme (vírusvédelem, hozzáférés-vezérlés).

Így a legtöbb védelmi intézkedés a fogyasztó vállára esik. A szolgáltató tipikus védelmi javaslatokat vagy kész megoldásokat tud adni, amelyek leegyszerűsítik a végfelhasználók feladatát.

1. táblázat: A biztonsággal kapcsolatos felelősség körvonalazása az ügyfél és a szolgáltató között. (P - szállító, K - ügyfél)

	Vállalati szerver
Alkalmazás
Adat
Futási környezet
Köztes szoftver
Operációs rendszer
Virtualizáció
szerver
Adattárházak
hálózati hardver

7. Biztonsági audit

A Cloud Auditor feladatai lényegében megegyeznek a hagyományos rendszerek auditoráéval. A felhőalapú biztonsági audit a Szállítói és a Felhasználói auditra oszlik. Felhasználói audit a Felhasználó kérésére történik, míg a Szállítói audit az egyik lényeges feltételeküzleti.

A következőkből áll:

· Az ellenőrzési eljárás kezdeményezése;

· Audit információk gyűjtése;

· Az ellenőrzési adatok elemzése;

· Könyvvizsgálói jelentés készítése.

Az ellenőrzési eljárás megindításának szakaszában meg kell oldani a könyvvizsgáló jogkörének, az ellenőrzés időzítésének kérdéseit. A munkavállalók könyvvizsgálónak nyújtott kötelező segítségét is elő kell írni.

Általában a könyvvizsgáló auditot végez a megbízhatóság megállapítása érdekében

· Virtualizációs rendszerek, hypervisor;

· Szerverek;

· Adattárházak;

· Hálózati berendezések.

Ha a Szállító az IaaS modellt használja az ellenőrzött szerveren, akkor ez az ellenőrzés elegendő lesz a sérülékenységek azonosításához.

A PaaS modell használatakor további ellenőrzéseket kell végezni

· operációs rendszer,

Köztes szoftver,

· Futási környezet.

A SaaS modell használatakor a sebezhetőségeket is ellenőrzik

Adattároló és -feldolgozó rendszerek,

· Alkalmazások.

A biztonsági auditálás ugyanazokkal a módszerekkel és eszközökkel történik, mint a hagyományos szerverek ellenőrzése. A felhőtechnológiák hagyományos szervereivel ellentétben azonban a hipervizor stabilitását is ellenőrzik. A felhőalapú számítástechnikában a hypervisor az egyik alapvető technológia, ezért különös hangsúlyt kell fektetni az auditálásra.

8. Incidensek és kriminalisztika vizsgálata a számítási felhőben

Az információbiztonsági intézkedések megelőző (például titkosítási és egyéb hozzáférés-ellenőrzési mechanizmusok) és reaktív (vizsgálatok) csoportokra oszthatók. A felhőbiztonság proaktív aspektusa az aktív kutatások területe, míg a felhőbiztonság reaktív aspektusa sokkal kevesebb figyelmet kapott.

Az események kivizsgálása (beleértve a bűncselekmények kivizsgálását is információs szféra) az információbiztonság jól ismert része. Az ilyen vizsgálatok célja általában:

Bizonyíték arra, hogy a bűncselekmény/incidens megtörtént

Az eset körüli események helyreállítása

Az elkövetők azonosítása

Az elkövetők részvételének és felelősségének igazolása

Az elkövetők tisztességtelen szándékának bizonyítása.

Egy új tudományág – a számítástechnikai szakértelem (vagy kriminalisztika) jelent meg, tekintettel a digitális rendszerek kriminalisztikai elemzésének szükségességére. A számítógépes kriminalisztika céljai általában a következők:

Az esetlegesen törölt adatok helyreállítása

Az incidenshez kapcsolódó digitális rendszereken belül és kívül történt események helyreállítása

A digitális rendszerek felhasználóinak azonosítása

Vírusok és egyéb rosszindulatú szoftverek jelenlétének észlelése

Illegális anyagok és programok jelenlétének észlelése

Jelszavak, titkosítási kulcsok és hozzáférési kódok feltörése

Ideális esetben a számítógépes kriminalisztika egyfajta időgép a nyomozó számára, amely bármelyik pillanatban a múltba költözhet. digitális eszközés tájékoztatást ad a kutatónak a következőkről:

akik egy bizonyos ponton használták az eszközt

felhasználói műveletek (például dokumentumok megnyitása, webhely elérése, adatok nyomtatása szövegszerkesztőben stb.)

az eszköz által meghatározott időpontban tárolt, létrehozott és feldolgozott adatok.

Az önálló digitális eszközöket felváltó felhőszolgáltatásoknak hasonló szintű kriminalisztikai készültséget kell biztosítaniuk. Ehhez azonban le kell küzdeni az erőforrás-összevonással, a több bérléssel és a felhőalapú számítástechnikai infrastruktúra rugalmasságával kapcsolatos kihívásokat. Az incidens kivizsgálásának fő eszköze az ellenőrzési nyomvonal.

Az ellenőrzési nyomvonalak – amelyek a felhasználói bejelentkezések, adminisztrációs feladatok és adatváltozások előzményeinek nyomon követésére szolgálnak – a biztonsági rendszer lényeges részét képezik. A felhőben maga az audit trail nem csak a vizsgálatok eszköze, hanem a szerverhasználati költségek kiszámításának eszköze is. Bár az ellenőrzési nyomvonal nem foglalkozik a biztonsági résekkel, kritikus szemmel látja el a történéseket, és javaslatokat tesz a helyzet javítására.

Archívum létrehozása és biztonsági mentések elengedhetetlen, de nem helyettesítheti a formális ellenőrzési nyomvonalat, amely rögzíti, hogy ki mit, mikor és mit tett. Az ellenőrzési nyomvonal a biztonsági ellenőr egyik fő eszköze.

A szolgáltatási szerződés általában megemlíti, hogy mely ellenőrzési naplókat kell vezetni és átadni a Felhasználónak.

9. Fenyegetés modell

2010-ben a CSA elemzést végzett a felhőtechnológiák fő biztonsági fenyegetéseiről. Munkájuk eredménye a „Top Cloud Computing v 1.0” című dokumentum, amelyben a legteljesebb Ebben a pillanatban leírja a fenyegetés és a behatoló modellt. Jelenleg ennek a dokumentumnak egy teljesebb, második változata készül.

A jelenlegi dokumentum a SaaS, PaaS és IaaS három szolgáltatásmodell támadóit írja le. Hét fő támadási vektort azonosítottak. A legtöbb szóban forgó támadástípus a hagyományos, „nem felhőalapú” szerverek támadása. A felhő infrastruktúra bizonyos funkciókat kényszerít rájuk. Így például a szerverek szoftverrészében található sebezhetőségek elleni támadások hozzáadódnak a hypervisor elleni támadásokhoz, amely egyben a szoftver része is.

Biztonsági fenyegetés #1

A felhőtechnológiák nem megfelelő és tisztességtelen használata.

Leírás:

Ahhoz, hogy erőforrásokat szerezzen egy felhőalapú IaaS-szolgáltatótól, a felhasználónak csak hitelkártyával kell rendelkeznie. Az egyszerű regisztráció és az erőforrás-kiosztás lehetővé teszi a spamküldőket, vírusok szerzőit stb. használja a felhőszolgáltatást saját bűnözői céljaira. Korábban ez a fajta támadás csak a PaaS-ben volt megfigyelhető, de a legújabb tanulmányok kimutatták, hogy az IaaS használható DDOS-támadásokhoz, rosszindulatú kódok elhelyezéséhez, botnet hálózatok létrehozásához stb.

Példák a szolgáltatásokra a "Zeus" trójai alapú botnet hálózat létrehozására, az "InfoStealer" trójai program kódjának tárolására, valamint a különféle MS Office és AdobePDF biztonsági rések közzétételére szolgáltak.

Ezenkívül a botnet hálózatok az IaaS-t használják társaik kezelésére és spam küldésére. Emiatt egyes IaaS szolgáltatások feketelistára kerültek, és felhasználóit teljesen figyelmen kívül hagyták a levelezőszerverek.

A felhasználói regisztrációs eljárások továbbfejlesztése

A hitelkártya-ellenőrzési eljárások fejlesztése és a fizetési módok használatának nyomon követése

A szolgáltatást igénybe vevők hálózati tevékenységének átfogó vizsgálata

· A fő fekete lapok nyomon követése egy felhőszolgáltató hálózat ottani megjelenéséhez.

Érintett szolgáltatási modellek:

Biztonsági fenyegetés #2

Nem biztonságos programozási felületek (API-k)

Leírás:

A felhőinfrastruktúra-szolgáltatók API-készletet biztosítanak a felhasználóknak az erőforrások, virtuális gépek vagy szolgáltatások kezeléséhez. A teljes rendszer biztonsága ezen interfészek biztonságától függ.

Az interfészhez való anonim hozzáférés és a hitelesítő adatok tiszta szöveges továbbítása a nem biztonságos API-k fő jellemzői. Az API használatának korlátozott felügyelete, a naplózó rendszerek hiánya, valamint a különböző szolgáltatások közötti ismeretlen kapcsolatok csak növelik a hackelés kockázatát.

Elemezze a felhőszolgáltató biztonsági modelljét

Gondoskodjon erős titkosítási algoritmusok használatáról

Győződjön meg arról, hogy erős hitelesítési és engedélyezési módszereket használ

· A különböző szolgáltatások közötti függőségek teljes láncának megértése.

Érintett szolgáltatási modellek:

Biztonsági fenyegetés #3

Belső bűnelkövetők

Leírás:

Az információkhoz belülről való illegális hozzáférés problémája rendkívül veszélyes. A szolgáltató oldalán gyakran nincs bevezetve az alkalmazottak tevékenységét figyelő rendszer, ami azt jelenti, hogy a támadó a hivatalos pozícióját használva hozzáférhet az ügyfél információihoz. Mivel a szolgáltató nem hozza nyilvánosságra toborzási politikáját, a fenyegetés egy amatőr hackertől és egy szervezett bűnözői struktúrától is származhat, amely beszivárgott a szolgáltató alkalmazottai közé.

Jelenleg nincs példa ilyen jellegű visszaélésre.

Az eszközök beszerzésére vonatkozó szigorú szabályok megvalósítása és a jogosulatlan hozzáférés felderítésére szolgáló megfelelő rendszerek alkalmazása

A felhasználókkal kötött közszerződésekben alkalmazottak felvételére vonatkozó szabályok szabályozása

Átlátható biztonsági rendszer kialakítása, valamint a szolgáltató belső rendszereire vonatkozó biztonsági audit jelentések közzététele

Érintett szolgáltatási modellek:

Rizs. 12 Példa egy bennfentesre

Biztonsági fenyegetés # 4

Sebezhetőségek a felhőtechnológiákban

Leírás:

Az IaaS szolgáltatók a hardver erőforrások absztrakcióját virtualizációs rendszerek segítségével. A hardver azonban a megosztott erőforrások figyelembevétele nélkül is megtervezhető. Ennek a tényezőnek a hatásának minimalizálása érdekében a hypervisor ellenőrzi a virtuális gép hardver erőforrásokhoz való hozzáférését, azonban még a hypervisorokban is előfordulhatnak olyan súlyos sebezhetőségek, amelyek használata privilégium-eszkalációhoz vagy fizikai eszközök illegális hozzáféréséhez vezethet.

A rendszerek ilyen problémákkal szembeni védelme érdekében szükség van a virtuális környezetek elkülönítésére szolgáló mechanizmusok és a hibák észlelésére szolgáló rendszerek megvalósítására. A virtuálisgép-felhasználók nem férhetnek hozzá a megosztott erőforrásokhoz.

Vannak példák potenciális sebezhetőségekre, valamint elméleti módszerek az elszigeteltség megkerülésére virtuális környezetben.

A virtuális környezetek telepítésének, konfigurálásának és védelmének legfejlettebb módszereinek megvalósítása

Rendszerek használata a jogosulatlan hozzáférés észlelésére

Erős hitelesítési és engedélyezési szabályok alkalmazása adminisztratív munkára

A javítások és frissítések alkalmazási idejére vonatkozó követelmények szigorítása

· A sérülékenységek átvizsgálására és észlelésére irányuló eljárások időben történő végrehajtása.

Biztonsági fenyegetés # 5

Adatok elvesztése vagy kiszivárgása

Leírás:

Az adatvesztés ezer okból következhet be. Például a titkosítási kulcs szándékos megsemmisítése azt eredményezi, hogy a titkosított információ visszaállíthatatlan lesz. Ilyen helyzetek például az adatok vagy adatok egy részének törlése, a fontos információkhoz való jogosulatlan hozzáférés, az iratok megváltoztatása vagy az adathordozó meghibásodása. Egy összetett felhő infrastruktúrában az egyes események valószínűsége megnő az összetevők szoros kölcsönhatása miatt.

A hitelesítési, engedélyezési és ellenőrzési szabályok helytelen alkalmazása, a titkosítási szabályok és módszerek helytelen használata, valamint a berendezés meghibásodása adatvesztéshez vagy -szivárgáshoz vezethet.

· Megbízható és biztonságos API használata

A továbbított adatok titkosítása és védelme

Az adatvédelmi modell elemzése a rendszer működésének minden szakaszában

Megbízható titkosítási kulcs-kezelő rendszer megvalósítása

Csak a legmegbízhatóbb adathordozó kiválasztása és vásárlása

Időben történő adatmentés biztosítása

Érintett szolgáltatási modellek:

Biztonsági fenyegetés # 6

Személyazonosság-lopás és illegális hozzáférés a szolgáltatáshoz

Leírás:

Ez a fajta fenyegetés nem új keletű. Naponta több millió felhasználó szembesül vele. A támadók fő célpontja a felhasználónév (login) és a jelszó. Felhőrendszerekkel összefüggésben a jelszó és a felhasználónév ellopása növeli a szolgáltató felhőinfrastruktúrájában tárolt adatok felhasználásának kockázatát. Így a támadónak lehetősége van arra, hogy tevékenységeihez felhasználja az áldozat hírnevét.

A számlák átutalásának tilalma

Kéttényezős hitelesítési módszerek használata

A jogosulatlan hozzáférés proaktív megfigyelésének megvalósítása

· A felhőszolgáltató biztonsági modelljének leírása.

Érintett szolgáltatási modellek:

Biztonsági fenyegetés #7

Egyéb sebezhetőségek

Leírás:

A felhőtechnológiák üzleti tevékenységre történő alkalmazása lehetővé teszi a vállalat számára, hogy az üzleti tevékenységére összpontosítson, az IT-infrastruktúra és -szolgáltatások gondozását egy felhőszolgáltatóra bízza. A felhőszolgáltató szolgáltatása reklámozása során minden lehetőséget igyekszik bemutatni, miközben elárulja a megvalósítás részleteit. Ez komoly veszélyt jelenthet, mivel a belső infrastruktúra ismerete lehetővé teszi a támadó számára, hogy megtalálja a javítatlan biztonsági rést, és támadást indítson a rendszer ellen. Az ilyen helyzetek elkerülése érdekében előfordulhat, hogy a felhőszolgáltatók nem adnak információt belső szerkezet felhő azonban ez a megközelítés sem épít bizalmat, mivel a potenciális felhasználók nem tudják felmérni az adatbiztonság mértékét. Ezenkívül ez a megközelítés korlátozza a sebezhetőségek időben történő megtalálását és megszüntetését.

Az Amazon megtagadja az EC2 felhőalapú biztonsági audit elvégzését

A feldolgozó szoftverek sebezhetősége, amely a Hearthland adatközpont biztonsági rendszerének megsértéséhez vezet

A naplóadatok nyilvánosságra hozatala

A rendszer architektúrájára vonatkozó adatok és a telepített szoftver részleteinek teljes vagy részleges közzététele

· Sebezhetőség-figyelő rendszerek használata.

Érintett szolgáltatási modellek:

1. Jogalap

A szakértők szerint a felhő biztonsági problémáinak 70%-a elkerülhető, ha helyesen köt szolgáltatási szerződést.

Egy ilyen megállapodás alapja a "felhő jogairól szóló törvény" lehet

A Cloud's Bill of Rights-t még 2008-ban fejlesztette ki James Urquhart. Ezt az anyagot a blogján tette közzé, ami akkora érdeklődést és vitát váltott ki, hogy a szerző a valóságnak megfelelően időszakonként frissíti "kéziratát".

1. cikk (részben): Az ügyfelek birtokolják adataikat

· Egyetlen gyártó (vagy beszállító) sem vitathatja meg bármely terv ügyfeleivel való kapcsolattartás folyamatában a feltöltött, létrehozott, generált, módosított adatokhoz fűződő jogokat vagy bármely más olyan jogot, amelyhez az ügyfélnek jogai vannak.

· A gyártóknak kezdetben minimális hozzáférést kell biztosítaniuk az ügyfelek adataihoz a megoldások és szolgáltatások fejlesztésének szakaszában.

· Az ügyfelek birtokolják adataikat, ami azt jelenti, hogy ők felelősek azért, hogy az adatok megfeleljenek a jogszabályoknak és a jogszabályoknak.

· Mivel az adatok megfelelőségi, biztonsági és biztonsági megfelelési kérdések nagyon fontosak, elengedhetetlen, hogy az ügyfél megtalálja saját adatait. Ellenkező esetben a gyártóknak minden garanciát kell vállalniuk a felhasználók számára, hogy adataikat minden szabálynak és előírásnak megfelelően tárolják.

2. szakasz: A gyártók és a vevők közösen birtokolják és kezelik a rendszer szolgáltatási szintjeit

· A gyártók tulajdonában vannak, és mindent meg kell tenniük annak érdekében, hogy minden ügyfél számára egyedileg megfeleljenek a szolgáltatási színvonalnak. Az ügyfelekkel végzett munka során a megfelelő szolgáltatási színvonal eléréséhez szükséges összes erőforrásnak és erőfeszítésnek ingyenesnek kell lennie az ügyfél számára, azaz nem szerepelnie kell a szolgáltatás költségében.

· Az ügyfelek pedig felelősek a saját belső és külső ügyfeleiknek nyújtott szolgáltatási színvonalért és magukévá teszik azt. Amikor a gyártó megoldásait saját szolgáltatásaik nyújtására használják, az ügyfél felelőssége és a szolgáltatás színvonala nem függhet teljes mértékben a gyártótól.

· Ha szükséges a gyártó és a vevő rendszereinek integrálása, a gyártóknak biztosítaniuk kell a vásárlók számára az integrációs folyamat nyomon követésének lehetőségét. Ha az ügyfél rendelkezik vállalati szabványokkal az információs rendszerek integrációjára, a gyártónak meg kell felelnie ezeknek a szabványoknak.

· A gyártók semmilyen körülmények között nem zárhatják le vásárlói fiókjukat politikai beszéd, nem helyénvaló beszéd, vallási kommentár miatt, kivéve, ha az nem ellentétes konkrét jogi előírásokkal, nem gyűlölet kifejezése stb.

3. cikk: A gyártók saját interfészeik

· A gyártók nem kötelesek szabványos vagy nyílt forráskódú interfészt biztosítani, kivéve, ha az ügyfélszerződés másként rendelkezik. A gyártóknak joguk van az interfészekhez. Ha a gyártó nem tartja lehetségesnek, hogy az ügyfél számára lehetőséget biztosítson az interfész finomítására egy ismert programozási nyelven, az ügyfél a gyártótól vagy külső fejlesztőktől szolgáltatásokat vásárolhat az interfészek saját igényei szerinti véglegesítéséhez.

· Az ügyfélnek azonban joga van a megvásárolt szolgáltatást saját céljaira felhasználni, valamint annak lehetőségeit bővíteni, reprodukálni és javítani. Ez a záradék nem mentesíti az ügyfeleket a szabadalmi és szellemi tulajdonjogok alól.

A fenti három cikk az ügyfelek és szállítók alapja a felhőben. Az övéktől teljes szöveg megtalálhatod benne nyílt hozzáférésű az interneten. Természetesen ez a törvényjavaslat nem teljes jogi dokumentum, még kevésbé hivatalos. Cikkei bármikor módosíthatók, bővíthetők, ahogy a törvényjavaslat is kiegészíthető új cikkekkel. Ez egy kísérlet a "tulajdonjog" formalizálására a felhőben, hogy valahogy szabványosítsák ezt a szabadságszerető tudás- és technológiai területet.

A felek közötti kapcsolat

Messze a legjobb felhőbiztonsági szakértő a Cloud Security Alliance (CSA). A szervezet kiadott és a közelmúltban frissített egy útmutatót, amely több száz árnyalatot és bevált gyakorlatot tartalmaz, amelyeket figyelembe kell venni a felhőalapú számítástechnika kockázatainak értékelése során.

Egy másik, a felhőalapú biztonság szempontjaival foglalkozó szervezet a Trusted Computing Group (TCG). Számos szabvány szerzője ezen és más területeken, köztük a ma széles körben használt Trusted Storage, Trusted Network Connect (TNC) és Trusted Platform Module (TPM) szabványnak.

Ezek a szervezetek közösen dolgoztak ki számos olyan kérdést, amelyet a megrendelőnek és a szolgáltatónak át kell dolgoznia a szerződéskötéskor. Ezek a kérdések megoldják a legtöbb problémát a felhő használatával, vis maiorral, felhőszolgáltató váltáskor és egyéb helyzetekben.

1. A tárolt adatok biztonsága. Hogyan biztosítja a szolgáltató a tárolt adatok biztonságát?

Az adatraktárban tárolt adatok védelmének legjobb módja a titkosítási technológiák használata. A szolgáltatónak mindig titkosítania kell a szerverein tárolt ügyfélinformációkat, hogy megakadályozza az illetéktelen hozzáférést. A szolgáltatónak akkor is véglegesen törölnie kell az adatokat, amikor már nincs rá szükség, és a jövőben sem lesz szükség rájuk.

2. Adatvédelem az átvitel során. Hogyan biztosítja a szolgáltató az adatok biztonságát azok átvitele során (a felhőn belül és a felhőbe/felhőbe való úton)?

A továbbított adatoknak mindig titkosítottnak kell lenniük, és csak hitelesítés után férhetnek hozzá a felhasználó. Ez a megközelítés biztosítja, hogy ezeket az adatokat senki ne tudja megváltoztatni vagy elolvasni, még akkor sem, ha a hálózat nem megbízható csomópontjain keresztül fér hozzá. Ezeket a technológiákat több ezer emberéven keresztül fejlesztették ki, és megbízható protokollok és algoritmusok (pl. TLS, IPsec és AES) létrehozásához vezettek. A szolgáltatóknak ezeket a protokollokat kell használniuk, nem a sajátjukat.

3. Hitelesítés. Honnan tudja a szolgáltató az ügyfél hitelességét?

A legelterjedtebb hitelesítési módszer a jelszavas védelem. Azok az internetszolgáltatók azonban, akik nagyobb megbízhatóságot kívánnak kínálni ügyfeleiknek, erősebb eszközöket, például tanúsítványokat és tokeneket használnak. A szolgáltatóknak képesnek kell lenniük olyan szabványokkal dolgozni, mint az LDAP és a SAML, a biztonságosabb hitelesítési eszközök használata mellett. Erre azért van szükség, hogy a szolgáltató interakcióba lépjen az ügyfél felhasználóazonosító rendszerével a felhasználónak adandó jogosultságok engedélyezése és meghatározása során. Ennek köszönhetően a szolgáltató mindig naprakész információkkal rendelkezik a jogosult felhasználókról. A legrosszabb forgatókönyv az, amikor az ügyfél megadja a szolgáltatónak a jogosult felhasználók meghatározott listáját. Általános szabály, hogy ebben az esetben, amikor egy alkalmazottat elbocsátanak vagy más pozícióba helyeznek át, nehézségek merülhetnek fel.

4. Felhasználói elszigeteltség. Hogyan különülnek el egy ügyfél adatai és alkalmazásai más ügyfelek adataitól és alkalmazásaitól?

A legjobb megoldás: ha az ügyfelek mindegyike egyedi virtuális gépet (virtuális gép – virtuális gép) és virtuális hálózatot használ. A virtuális gépek és így a felhasználók elkülönítését a hypervisor biztosítja. A virtuális hálózatokat pedig olyan szabványos technológiákkal telepítik, mint a VLAN (Virtual Local Area Network), a VPLS (Virtual Private LAN Service) és a VPN (Virtual Private Network).

Egyes szolgáltatók az összes ügyféladatot egyetlen szoftverkörnyezetben helyezik el, és a kódjuk megváltoztatásával megpróbálják elkülöníteni egymástól az ügyfelek adatait. Ez a megközelítés meggondolatlan és megbízhatatlan. Először is, a támadó olyan hibát találhat a nem szabványos kódban, amely lehetővé teszi számára, hogy hozzáférjen olyan adatokhoz, amelyeket nem látna. Másodszor, a kód hibája oda vezethet, hogy az egyik ügyfél véletlenül "látja" egy másik adatait. A közelmúltban ezek és más esetek is előfordultak. Ezért a felhasználói adatok megkülönböztetéséhez ésszerűbb lépés a különböző virtuális gépek és virtuális hálózatok használata.

5. Szabályozási kérdések. Mennyire tartja be a szolgáltató a felhőalapú számítástechnikai iparágra vonatkozó törvényeket és előírásokat?

A joghatóságtól függően a törvények, rendeletek és az esetleges speciális rendelkezések változhatnak. Például megtilthatják az adatok exportját, szigorúan meghatározott biztosítékokat követelhetnek meg, meg kell felelniük bizonyos szabványoknak, és ellenőrizhetők. Végső soron megkövetelhetik, hogy a kormányhivatalok és a bíróságok szükség esetén hozzáférhessenek az információkhoz. A szolgáltató figyelmen kívül hagyása ezen pillanatok tekintetében jogi következmények miatt jelentős költségekhez vezethet ügyfelei számára.

A szolgáltatónak szigorú szabályokat és egységes jogi és szabályozási stratégiát kell követnie. Ez vonatkozik a felhasználói adatok biztonságára, azok exportjára, a szabványoknak való megfelelésre, az auditálásra, az adatok biztonságára és törlésére, valamint az információ nyilvánosságra hozatalára (ez utóbbi különösen akkor fontos, ha egy fizikai szerveren több kliens információi is tárolhatók). Ennek kiderítéséhez az ügyfeleket erősen javasoljuk, hogy kérjenek segítséget olyan szakemberektől, akik alaposan tanulmányozzák ezt a kérdést.

6. Reakció az eseményekre. Hogyan reagál a szolgáltató az incidensekre, és milyen mértékben lehetnek érintettek ügyfelei az incidensben?

Néha nem minden a tervek szerint alakul. Ezért a szolgáltató köteles konkrét magatartási szabályokat betartani előre nem látható körülmények esetén. Ezeket a szabályokat dokumentálni kell. Elengedhetetlen, hogy a szolgáltatók azonosítsák az incidenseket és minimalizálják azok következményeit azáltal, hogy tájékoztatják a felhasználókat az aktuális helyzetről. Ideális esetben rendszeresen a lehető legrészletesebb tájékoztatást kell nyújtaniuk az ügyfeleknek a kérdésről. Ezenkívül az ügyfelek feladata, hogy felmérjék a biztonsági probléma valószínűségét, és megtegyék a szükséges lépéseket.

10. Nemzetközi és hazai szabványok

A felhőtechnológia fejlődése meghaladja a szükséges iparági szabványok létrehozására és módosítására irányuló erőfeszítéseket, amelyek közül sokat évek óta nem frissítettek. Ezért a felhőtechnológiák területén a jogalkotás az egyik kritikus lépések a biztonság biztosítása érdekében.

Az IEEE, a világ egyik legnagyobb szabványfejlesztő szervezete bejelentette egy dedikált Cloud Computing Initiative elindítását. Ez az első nemzetközi szinten elindított felhőalapú szabványosítási kezdeményezés – eddig a felhőalapú számítástechnikai szabványokat iparági konzorciumok uralták. A kezdeményezés jelenleg 2 projektet foglal magában: IEEE P2301 (tm), „Útmutató a felhőprofilok hordozhatóságához és interoperabilitásához” és IEEE P2302 (tm) – „Szabványtervezet a felhőrendszerek interoperabilitásához és elosztott interoperabilitásához (Föderáció).

Az IEEE Standards Development Association keretein belül 2 új munkacsoport jött létre az IEEE P2301, illetve az IEEE P2302 projekteken. Az IEEE P2301 a meglévő és függőben lévő alkalmazások, hordozhatósági, felügyeleti és együttműködési szabványok profiljait, valamint fájlformátumait és működési megállapodásait fogja tartalmazni. A dokumentumban található információk logikusan tagolódnak a különböző célcsoportok szerint: szállítók, szolgáltatók és egyéb érdeklődő piaci szereplők. A szabvány elkészülte után várhatóan használható lesz szabványos technológiákon alapuló felhőtermékek és -szolgáltatások beszerzésében, fejlesztésében, kivitelezésében és használatában.

Az IEEE P2302 szabvány leírja az alapul szolgáló topológiát, protokollokat, funkcionalitást és kezelési módszereket, amelyek a különféle felhőstruktúrák interakciójához szükségesek (például egy privát és egy nyilvános felhő, például az EC2 interakciójához). Ez a szabvány lehetővé teszi a felhőtermékek és -szolgáltatások szolgáltatói számára, hogy gazdasági hasznot húzzanak a méretgazdaságosságból, miközben átláthatóságot biztosítanak a szolgáltatások és alkalmazások felhasználóinak.

Az ISO speciális szabványt készít a felhőalapú számítástechnika biztonságára. Az új szabvány fő célja a felhőkkel kapcsolatos szervezeti problémák megoldása. Az ISO harmonizációs eljárásainak összetettsége miatt azonban a dokumentum végleges változatát csak 2013-ban szabad kiadni.

A dokumentum értéke, hogy nem csak kormányzati szervezetek (NIST, ENISA) vesznek részt az elkészítésében, hanem olyan szakértői közösségek és egyesületek képviselői is, mint az ISACA és a CSA. Ezen túlmenően egy dokumentum ajánlásokat tartalmaz mind a felhőszolgáltatók, mind a fogyasztóik – ügyfélszervezetek – számára.

A fő feladat e dokumentumból- részletesen ismertetni a számítási felhő használatával kapcsolatos legjobb gyakorlatokat információbiztonsági szempontból. A szabvány ugyanakkor nem csak a technikai szempontokra koncentrál, hanem a szervezési szempontokra, amelyeket semmiképpen sem szabad megfeledkezni a számítási felhőre való átálláskor. Ez a jogok és kötelezettségek szétválasztása, illetve harmadik felekkel kötött szerződések aláírása, illetve a „felhő” folyamat különböző résztvevőinek tulajdonában lévő vagyonkezelés, valamint a személyzetkezelési kérdések stb.

Az új dokumentum nagyrészt az IT-iparban korábban kifejlesztett anyagokat tartalmazza.

Ausztrál kormány

Hónapokig tartó ötletelés után az ausztrál kormány 2012. február 15-én egy sor felhőalapú migrációs útmutatót tett közzé az Ausztrál Kormányzati Információkezelési Hivatal (AGIMO) blogján.

Annak érdekében, hogy a vállalatok könnyebben áttérhessenek a felhőre, iránymutatást adtunk a felhőszolgáltatások használatának bevált gyakorlatairól, amelyek megfelelnek az 1997. évi Pénzügyi menedzsment és elszámoltathatóság jobb gyakorlati útmutatóiról szóló 1997. évi törvény követelményeinek. Az útmutatók általánosságban foglalkoznak a pénzügyi, jogi és adatvédelmi kérdésekkel.

Az irányelvek arról beszélnek, hogy a számlák és jelentések napi elemzésével folyamatosan figyelemmel kell kísérni és ellenőrizni kell a felhőszolgáltatások használatát. Ez segít elkerülni a rejtett jelöléseket és a felhőszolgáltatóktól való függést.

Az első útmutató a Privacy and Cloud Computing for Australian Government Agencies (9 oldal) címet viseli. Ez a dokumentum az adatvédelmi és adatbiztonsági kérdésekre összpontosít.

Ezen az útmutatón kívül a Negotiating the Cloud – Jogi problémák a felhőalapú számítástechnikai szerződésekben című fejezetet (19 oldal) is elkészítettük, hogy segítsen megérteni a szerződésben foglalt záradékokat.

Az utolsó, harmadik kézikönyv, Pénzügyi megfontolások a Cloud Computing kormányzati használatához, 6 oldal, azokat a pénzügyi kérdéseket tárgyalja, amelyekre egy vállalatnak figyelnie kell, ha úgy dönt, hogy a felhőalapú számítástechnikát használja üzleti tevékenységében.

Az útmutatókban tárgyaltakon kívül számos egyéb problémát is meg kell oldani a számítási felhő használata során, ideértve a kormányzattal, a beszerzésekkel és az üzletvezetési politikával kapcsolatos kérdéseket.

E szakpolitikai dokumentum nyilvános megvitatása lehetőséget biztosít az érdekelt felek számára, hogy megfontolják és megjegyzéseket fűzzenek a következő aggályos kérdésekhez:

· Illetéktelen hozzáférés minősített információkhoz;

· Az adatokhoz való hozzáférés elvesztése;

Az adatok sértetlenségének és hitelességének elmulasztása, ill

· A felhőszolgáltatások nyújtásának gyakorlati szempontjainak megértése.

11. Az adatok területi azonossága

A különböző országokban számos olyan szabályozás létezik, amely megköveteli, hogy az érzékeny adatok az országban maradjanak. És bár az adatok tárolása egy adott területen belül, első pillantásra nem nehéz feladat, a szolgáltatók felhő szolgáltatások ezt gyakran nem tudják garantálni. A magas virtualizációs fokú rendszerekben az adatok és a virtuális gépek különböző célokra - terheléselosztás, hibatűrés - költözhetnek egyik országból a másikba.

A SaaS-piac néhány jelentős szereplője (például a Google, a Symantec) garantálni tudja az adatok tárolását az adott országban. De ezek inkább kivételek, általában ezeknek a követelményeknek a teljesítése még mindig meglehetősen ritka. Még ha az adatok az országban maradnak is, az ügyfelek nem tudják ellenőrizni azokat. Emellett nem szabad megfeledkezni a vállalati alkalmazottak mobilitásáról sem. Ha egy Moszkvában dolgozó szakember New Yorkba utazik, akkor jobb (vagy legalábbis gyorsabb), ha egy egyesült államokbeli adatközpontból kap adatokat. Ennek biztosítása már egy nagyságrenddel nehezebb feladat.

12. Állami szabványok

Hazánkban jelenleg nincs komoly szabályozási keret a felhőtechnológiákra, pedig ezen a területen már zajlanak a fejlesztések. Tehát az Orosz Föderáció elnökének 2012. február 8-i 146. sz. megállapították, hogy a szuperszámítógépes és grid technológiákkal létrehozott információs rendszerek adatbiztonságának területén felhatalmazott szövetségi végrehajtó hatóságok az orosz FSB és az orosz FSTEC.

E rendelethez kapcsolódóan ezen szolgáltatások hatásköre bővült. Az orosz FSB jelenleg szabályozási és módszertani dokumentumokat dolgoz ki és hagy jóvá e rendszerek biztonságának biztosítására, kutatásokat szervez és végez az információbiztonság területén.

A szolgáltatás ezen információs rendszerek szakértői kriptográfiai, mérnöki-kriptográfiai és speciális vizsgálatait is elvégzi, valamint szakértői véleményeket készít a létrehozásukra vonatkozó munkákra.

A dokumentum azt is rögzíti, hogy az oroszországi FSTEC stratégiát dolgoz ki és meghatározza a prioritási területeket a korlátozott adatokat feldolgozó szuperszámítógépes és grid technológiákkal létrehozott információs rendszerek információbiztonságának biztosítására, valamint figyelemmel kíséri a biztonság biztosítása érdekében végzett munka állapotát.

Az FSTEC megrendelt egy tanulmányt, amelynek eredményeként elkészült a "felhőtechnológiák területén" a terminológiai rendszer béta verziója.

Amint érti, ez az egész terminológiai rendszer két dokumentum adaptált fordítása: „Fókuszcsoport a Cloud Computing Technical Report”-ról és „The NIST Definition of Cloud Computing”. Nos, hogy ez a két dokumentum nem nagyon áll összhangban egymással, az egy külön kérdés. De vizuálisan még mindig látható: az orosz "Terminosystem"-ben a szerzők először egyszerűen nem adtak meg linkeket ezekhez az angol dokumentumokhoz.

A helyzet az, hogy az ilyen munkákhoz először meg kell beszélni a koncepciót, a célokat és a célkitűzéseket, valamint a megoldási módszereket. Sok kérdés és hozzászólás van. A fő módszertani megjegyzés: nagyon világosan meg kell fogalmazni, hogy ez a kutatás milyen problémát, célját oldja meg. Rögtön leszögezném, hogy "egy terminusrendszer létrehozása" nem lehet cél, hanem eszköz, hanem annak elérése, ami még nem egészen világos.

Arról nem is beszélve, hogy egy normál kutatásnak tartalmaznia kell egy status quo részt.

Nehéz megvitatni egy tanulmány eredményeit anélkül, hogy ismernénk a probléma eredeti megfogalmazását és azt, hogy a szerzők hogyan oldották meg.

De a terminológiai rendszer egy alapvető hibája jól látható: lehetetlen a „felhős témát” a „nem felhőstől” elkülönítve tárgyalni. Az általános informatikai kontextusból. De ez a kontextus nem látható a tanulmányban.

Ennek pedig az az eredménye, hogy a gyakorlatban egy ilyen terminológiai rendszer alkalmazása lehetetlen lesz. Ez csak tovább zavarhatja a helyzetet.

13. Felhőbiztonsági eszközök

A felhőszerver-védelmi rendszernek minimális konfigurációjában biztosítania kell a hálózati berendezések, az adattárolás, a szerver és a hypervisor biztonságát. Ezenkívül lehetőség van egy vírusirtó elhelyezésére egy dedikált magban, amely megakadályozza a hipervizor virtuális gépen keresztüli fertőzését, egy adattitkosító rendszert a felhasználói információk titkosított formában történő tárolására, valamint eszközöket a virtuális szerver és a kliens közötti titkosított alagút megvalósítására. gép.

Ehhez szükségünk van egy virtualizációt támogató szerverre. Az ilyen jellegű megoldásokat a Cisco, a Microsoft, a VMWare, a Xen, a KVM kínálja.

Szintén megengedett a klasszikus szerver használata, és azon virtualizáció biztosítása hypervisor segítségével.

Minden kompatibilis processzorral rendelkező szerver alkalmas az operációs rendszerek x86-64 platformokra való virtualizálására.

Egy ilyen megoldás leegyszerűsíti a számítástechnikai virtualizációra való átállást anélkül, hogy további hardverfrissítéseket kellene fektetni.

Munka séma:

Rizs. 11. Példa egy "felhő" szerverre

Rizs. 12. Szerver válasza berendezéshibára

Jelenleg a felhőalapú számítástechnikai biztonsági eszközök piaca még meglehetősen üres. És ez nem meglepő. Szabályozási keret hiányában és a jövőbeni szabványokkal kapcsolatos bizonytalanság miatt a fejlesztő cégek nem tudják, mire összpontosítsák erőfeszítéseiket.

Azonban még ilyen körülmények között is megjelennek olyan speciális szoftver- és hardverrendszerek, amelyek lehetővé teszik a felhőstruktúra védelmét a fő fenyegetésektől.

Az integritás megsértése

Hipervizor feltörése

Bennfentesek

Azonosítás

Hitelesítés

Titkosítás

Accord-B

Hardver és szoftver rendszer Accord-B. A virtualizációs infrastruktúra védelmére tervezett VMware vSphere 4.1, VMware vSphere 4.0 és VMware Infrastructure 3.5.

Accord-B. Védelmet biztosít a virtualizációs környezet minden összetevője számára: maguk az ESX-kiszolgálók és virtuális gépek, a vCenter-felügyeleti kiszolgálók és a VMware-szolgáltatásokkal rendelkező további szerverek (például a VMware Consolidated Backup).

Az Accord-V hardver- és szoftverkomplexumban a következő védelmi mechanizmusok valósulnak meg:

· A hypervisor, a virtuális gépek, a virtuális gépeken belüli fájlok és az infrastruktúra-felügyeleti szerverek integritásának lépésről lépésre történő ellenőrzése;

· A virtuális infrastruktúra rendszergazdái és a biztonsági rendszergazdák hozzáférésének megkülönböztetése;

· A virtuális gépeken belüli felhasználói hozzáférés differenciálása;

· A virtualizációs infrastruktúra összes felhasználójának és rendszergazdájának hardveres azonosítása.

INFORMÁCIÓK A TANÚSÍTVÁNYOK ELÉRHETŐSÉGÉRŐL:

A 2012. március 20-án kelt, 2598-as számú oroszországi FSTEC megfelelőségi tanúsítvány tanúsítja, hogy az „Accord-V” információvédelmi eszközök hardver- és szoftverkomplexuma megfelel a „Számítógépes eszközök. Védelem a jogosulatlan hozzáférés ellen” című irányelv követelményeinek. információ. Az információkhoz való jogosulatlan hozzáférés elleni biztonság mutatói" (Oroszországi Állami Műszaki Bizottság, 1992) - a 5 biztonsági osztály, "Védelem az információkhoz való jogosulatlan hozzáférés ellen. 1. rész. Információbiztonsági szoftver. Osztályozás a be nem jelentett képességek hiányának ellenőrzési szintje szerint" (Oroszországi Állami Műszaki Bizottság, 1999) - 4 az ellenőrzési szint és a műszaki feltételek TU 4012-028-11443195-2010, valamint felhasználható automatizált rendszerek létrehozására az 1G biztonsági osztályig, valamint a személyes adatok információs rendszereiben lévő információk védelmére 1 osztályig.

vGate R2

A vGate R2 egy hitelesített információvédelmi eszköz a jogosulatlan hozzáférés ellen, valamint a virtuális infrastruktúra információbiztonsági irányelveinek végrehajtásának ellenőrzése a VMware vSphere 4 és VMware vSphere 5.S R2 rendszereken – a termék virtuális infrastruktúrákban lévő információk védelmére alkalmas változata. az olyan állami vállalatok, amelyek IP-jét a magas szintű tanúsítvánnyal rendelkező információbiztonsági rendszerek használatához alkalmazzák.

Lehetővé teszi a rendszergazdák munkájának automatizálását a biztonsági rendszer konfigurálásához és működtetéséhez.

Segít a hibák és a visszaélések ellensúlyozásában a virtuális infrastruktúra kezelésében.

Lehetővé teszi, hogy a virtuális infrastruktúrát összhangba hozza a jogszabályokkal, az iparági szabványokkal és a világ legjobb gyakorlataival.

<#"783809.files/image017.gif"> <#"783809.files/image018.gif"> <#"783809.files/image019.gif"> <#"783809.files/image020.gif"> Rizs. 13 vGate R2 bejelentett képesség Összefoglalva tehát, íme, a vGate R2 azon fő eszközei, amelyekkel megvédi a szolgáltató adatközpontját a saját rendszergazdáitól származó belső fenyegetésekkel szemben: Szervezeti és technikai hatáskörök szétválasztása a vSphere rendszergazdák számára Külön szerepkör kiosztása az IS rendszergazdának, aki a vSphere alapú adatközpont erőforrásainak biztonságát fogja kezelni A felhő felosztása biztonsági zónákra, amelyeken belül a megfelelő szintű jogosultsággal rendelkező rendszergazdák működnek Virtuális gépek integritásának ellenőrzése Képes bármikor jelentést kapni a vSphere infrastruktúra biztonságáról, valamint ellenőrizni az információbiztonsági eseményeket Elvileg szinte csak ennyi kell ahhoz, hogy a virtuális adatközpont infrastruktúráját megvédjük a belső fenyegetésektől a virtuális infrastruktúra szempontjából. Természetesen a hardver, az alkalmazások és a vendég operációs rendszer szintjén is szükség van védelemre, de ez egy másik probléma, amelyet szintén a vállalati biztonsági kód termékei oldanak meg.<#"783809.files/image021.gif"> Rizs. 14. Szerver felépítése. Az ilyen létesítmények biztonságának biztosítása érdekében gondoskodni kell a biztonságról a 2. táblázat szerint. Ehhez a szoftvertermék használatát javaslom vGate R2. Lehetővé teszi olyan problémák megoldását, mint: · Erősebb hitelesítés a virtuális infrastruktúra rendszergazdái és az információbiztonsági rendszergazdák számára. · A virtuális infrastruktúra-kezelő eszközök védelme a manipuláció ellen. · ESX-szerverek védelme a manipuláció ellen. · Kötelező hozzáférés-szabályozás. · A virtuális gépek konfigurációja és a megbízható rendszerindítás integritásának figyelése. · A VI rendszergazdák virtuális gépek adataihoz való hozzáférésének szabályozása. · Információbiztonsággal kapcsolatos események regisztrációja. · Az információbiztonsági rendszer komponenseinek integritásának és manipuláció elleni védelmének ellenőrzése. · Központosított irányítás és felügyelet. 2. táblázat: Biztonsági szükségletek leképezése a PaaS-modellhez Oroszország FSTEC tanúsítványa (SVT 5, NDV 4) lehetővé teszi a termék használatát automatizált biztonsági szintű rendszerekben 1G osztályig (beleértve) és személyes adatok információs rendszereiben (ISPDN) K1 osztályig (beleértve). Ennek a megoldásnak a költsége 24 500 rubel lesz 1 fizikai processzorra a védett gazdagépen. Ezenkívül a bennfentesek elleni védelem érdekében biztonsági riasztót kell felszerelni. Ezek a megoldások meglehetősen gazdagon állnak rendelkezésre a szervervédelmi piacon. Egy ilyen megoldás ára korlátozott hozzáféréssel az ellenőrzött területhez, riasztó és videó megfigyelő rendszerrel 200 000 rubeltől és még többig terjed. Vegyünk például 250 000 rubelt. A virtuális gépek védelmére vírusos fertőzések, az egyik szervermag a McAfee Total Protection for Virtualization programot fogja futtatni. A megoldás költsége 42 200 rubel. A Symantec Netbackup segítségével megakadályozható az adatvesztés a tárolókon. Lehetővé teszi az információk és a rendszerképek biztonságos biztonsági mentését. Egy ilyen projekt megvalósításának teljes költsége: Egy hasonló tervezési megoldás Microsoft implementációja letölthető innen: http://www.microsoft.com/en-us/download/confirmation. aspx? azonosító = 2494 Kimenet A „felhőtechnológiák” jelenleg az IT-piac egyik legaktívabban fejlődő területe. Ha a technológiák növekedési üteme nem csökken, akkor 2015-re évente több mint 170 millió euróval járulnak hozzá az európai országok kincstárához. Hazánkban óvatosan kezelik a felhőtechnológiákat. Ez részben a vezetés megcsontosodott nézeteinek, részben a biztonságba vetett bizalom hiányának köszönhető. Ez a fajta technológia azonban minden előnyével és hátrányával együtt az informatikai fejlődés új mozdonyát jelenti. A „felhő túloldalán” lévő alkalmazásnak egyáltalán nem mindegy, hogy kérését x86 processzoros Intel, AMD, VIA számítógépen, vagy ARM-processzoros Freescale, OMAP, Tegra alapú telefonon vagy okostelefonon fogalmazza meg. . Sőt, nagyjából mindegy, hogy Linux operációs rendszert használ-e Google Chrome, OHA Android, Intel Moblin, Windows CE, Windows Mobile Windows XP / Vista / 7, vagy ehhez valami még egzotikusabbat használ. ... Ha a kérést helyesen és érthetően fogalmazták meg, és az Ön rendszere „elsajátítaná” a kapott választ. A biztonság kérdése az egyik fő kérdés a számítási felhőben, és megoldása javítani fogja a szolgáltatások minőségét a számítógépes szférában. Ebben az irányban azonban még sok a tennivaló. Hazánkban érdemes a teljes informatikai terület egységes fogalomtárával kezdeni. Szabványok kidolgozása nemzetközi tapasztalatok alapján. Állítsa be a biztonsági rendszerek követelményeit. Irodalom 1. Pénzügyi megfontolások a felhőalapú számítástechnika kormányzati használatához – Ausztrál kormány, 2010. 2. Adatvédelem és felhőalapú számítástechnika az ausztrál kormányhivatalok számára 2007. Tárgyalások a felhőről – jogi kérdések a felhőalapú számítástechnikai megállapodásokban 2009. „Modern Tudomány: Az elmélet és a gyakorlat aktuális problémái” folyóirat 2012. Hasonló munka a - Információbiztonság a számítási felhőben: sebezhetőségek, védelmi módszerek és eszközök, auditálási és incidensvizsgálati eszközök

Amikor Eric Schmitt, a Google jelenlegi vezetője először használta a "felhő" kifejezést egy elosztott számítástechnikai rendszerre a weben, alig tudta, hogy ez a legendákban gyakran előforduló szavak közé tartozik. A világ népeinek szinte minden mítoszában az isteni lények nagyon közel élnek az éghez - a felhőkön. Ennek eredményeként a "cloud computing" kifejezés nagyon népszerű a marketingesek körében, mivel teret ad a kreativitásnak. Megpróbáljuk szóban megfogalmazni ezeket a mítoszokat, és megérteni, hogy mennyire szervesen ötvöződnek az informatikával.

Merlin halála

Az Arthur királyról és kerekasztaláról szóló legendaciklus egyik szereplője Merlin bűvész és varázsló, aki segített Arthurnak uralkodni. Lényeges, hogy Merlin végül a felhők közé került. Dicsekedni akart a fiatal varázslónővel, és megmutatta mágikus erejét, felhővárat épített, és felkérte szenvedélyét, hogy vizsgálja meg. A varázslónő azonban ravasznak bizonyult, és bebörtönözte a mágust a saját felhőkastélyába. Ezt követően senki sem látta Merlint, ezért úgy tartják, hogy valahol ott halt meg - az általa épített felhővárban.

Mostanra az "informatikusok bűvészei" is egy egész mitológiát építettek az elosztott számítástechnika köré, így ahhoz, hogy ne legyünk ezekbe a "zárakba" zárva, először is rá kellene jönni, hogy mik is ezek a felhők, vagyis el kell különíteni a marketinget a szeletektől.

Kezdetben csak egy felhő volt - hagyományosan ezzel a szimbólummal jelölték az internetet. Ez a felhő az összes IP-protokollhoz csatlakoztatott és saját IP-címmel rendelkező számítógép gyűjteményét jelentette. Idővel az internet elkezdte kiosztani a szolgáltatóknál telepített szerverfarmokat, amelyeken webes projektek alapultak. Ugyanakkor a nagy terhelés és hibatűrés biztosítása érdekében a legnagyobb webes rendszerek többszintűvé és elosztottakká váltak.

Egy tipikus ilyen rendszerben a következő szinteket lehet megkülönböztetni: fordított proxy, amely terheléselosztóként és SSL visszafejtőként is működik, maga a webszerver, majd alkalmazásszerver, DBMS és tárolórendszer. Ugyanakkor minden szinten több, ugyanazt a funkciót ellátó elem lehetett, ezért nem mindig volt egyértelmű, hogy mely komponensekkel dolgozták fel a felhasználói kéréseket. És ha nem tiszta, akkor ezek a felhők. Ezért kezdték azt mondani, hogy a felhasználói kéréseket valahol a "felhőben" hajtják végre számos szerverről. Így jött létre a „cloud computing” kifejezés.

Bár kezdetben a számítási felhő a nyilvánosan elérhető webes projektekhez - portálokhoz kapcsolódott, az elosztott hibatűrő webes rendszerek fejlődésével azonban elkezdték használni őket a belső vállalati problémák megoldására. Ez volt a nyilvános rendszerekben kifejlesztett webes technológiákra épülő vállalati portálok fellendülésének ideje. Ezzel egy időben a vállalati rendszerek elkezdtek tömörülni adatközpontokká, amelyek karbantartása egyszerűbb és olcsóbb volt.

A felhő minden eleméhez azonban nem lenne hatékony külön szervert kijelölni – a felhő minden eleme nem töltődik egyformán, így párhuzamosan kezdett fejlődni a virtualizációs ipar. A nyilvános felhőkben meglehetősen népszerűnek bizonyult, mivel lehetővé tette a hozzáférési jogok megkülönböztetését és az elosztott rendszer elemeinek gyors átvitelét egy másik hardverhordozóra. Virtualizáció nélkül a felhőalapú számítástechnika kevésbé lenne dinamikus és skálázható, ezért a felhők manapság jellemzően virtuális gépekből állnak.

A felhőalapú számítástechnika elsősorban az alkalmazások bérbeadásához köthető, háromféle ilyen szolgáltatást definiálva: IaaS - infrastruktúra mint szolgáltatás, PaaS - platform mint szolgáltatás és SaaS - szoftver mint szolgáltatás. Néha a biztonságot mint szolgáltatást is SaaS-re redukálják, azonban annak érdekében, hogy ne keverjük össze a felhőalapú biztonsági szolgáltatásokat a szoftverbérléssel, jobb, ha ISAaC - Information Security as a Cloud néven hívjuk. Ilyen szolgáltatásokat is kezdenek nyújtani. Azonban ne keverje össze az alkalmazások kiszervezését és a számítási felhőt, mivel a felhők lehetnek házon belüli, nyilvánosak és hibridek. Minden ilyen típusú felhőnek megvannak a saját jellemzői a biztonsági rendszer megszervezése során.

Visnu három lépése

Visnu isten a hindu mitológiában arról ismert, hogy ő volt az, aki három lépéssel meghódította az emberi élet terét: az első a földön készült, a második a felhőkben, a harmadik pedig a legmagasabban. lakóhely. A Rig Veda szerint Visnu ezzel az akcióval hódította meg ezeket a tereket az emberek számára.

A modern IT is hasonló „második lépést” tesz – a földtől a felhőkig. Ahhoz azonban, hogy ezekből a felhőkből ne essen a földre, érdemes vigyázni a biztonságra. Az első részben a felhő szerkezetét elemeztem olyan részletesen, hogy megértsem, milyen veszélyek fenyegetik a számítási felhőt. A fentiek közül a következő fenyegetés-osztályokat kell megkülönböztetni:

Hagyományos támadások szoftverek ellen... Ezek a hálózati protokollok, operációs rendszerek, moduláris összetevők és mások sebezhetőségéhez kapcsolódnak. Ezek hagyományos fenyegetések, amelyek elleni védelemhez elegendő telepíteni a víruskeresőt, a tűzfalat, az IPS-t és más tárgyalt összetevőket. Csak az a fontos, hogy ezek a védelmek igazodjanak a felhő infrastruktúrához, és hatékonyan működjenek virtualizált környezetben.

Funkcionális támadások felhőelemek ellen... Ez a fajta támadás a felhő rétegzésével kapcsolatos, általános elv biztonság, hogy a rendszer általános védelme egyenlő a leggyengébb láncszem védelmével. Tehát egy sikeres DoS-támadás a felhő elé telepített fordított proxy ellen blokkolja a hozzáférést a teljes felhőhöz, még akkor is, ha a felhőn belüli összes kommunikáció interferencia nélkül működik. Hasonlóképpen, az alkalmazáskiszolgálón áthaladó SQL-injektálás hozzáférést biztosít a rendszeradatokhoz, függetlenül az adattárolási réteg hozzáférési szabályaitól. A funkcionális támadások elleni védelem érdekében minden felhőréteghez speciális védelmi eszközöket kell használni: proxy esetén - DoS támadások elleni védelem, webszerver esetén - oldal integritásának ellenőrzése, alkalmazásszervernél - alkalmazás szintű képernyő, DBMS réteg - védelem az SQL-injekciók ellen, a tárolórendszer számára - biztonsági mentés és hozzáférés szabályozás. Ezen védelmi mechanizmusok mindegyike külön-külön már elkészült, de nem gyűjtik össze az átfogó felhővédelem érdekében, így a felhő létrehozása során meg kell oldani az egységes rendszerbe integrálás feladatát.

Ügyfél támadások... Ezt a fajta támadást a webes környezetben is gyakorolták, de a felhő szempontjából is releváns, mivel a kliensek általában böngészővel csatlakoznak a felhőhöz. Ide tartoznak az olyan támadások, mint a Cross Site Scripting (XSS), a webes munkamenetek eltérítése, a jelszavak ellopása, a "man in the middle" és mások. Hagyományosan az erős hitelesítés és a kölcsönös hitelesítéssel titkosított kommunikáció védelmet nyújtott ezekkel a támadásokkal szemben, de nem minden felhőalkotó engedheti meg magának az ilyen pazarló és általában nem túl kényelmes védelmi eszközöket. Ezért ebben az információbiztonsági iparágban még mindig vannak megoldatlan feladatok és tere az új védelmi eszközök létrehozásának.

Virtualizációs fenyegetések... Mivel a felhőkomponensek platformja hagyományosan virtualizált környezet, a virtualizációs rendszer elleni támadások a felhő egészét is fenyegetik. Ez a fajta fenyegetés egyedülálló a számítási felhőben, ezért az alábbiakban közelebbről megvizsgáljuk. Egyes virtualizációs fenyegetések megoldásai most kezdenek megjelenni, de ez az iparág meglehetősen új, így a meglévő megoldásokat egyelőre nem fejlesztették ki. Nagyon valószínű, hogy az információbiztonsági piac a közeljövőben kifejleszti az ilyen típusú fenyegetésekkel szembeni védekezési eszközöket.

Átfogó felhőfenyegetések... A felhők vezérlése és kezelése szintén biztonsági probléma. Hogyan biztosítható, hogy az összes felhő-erőforrást megszámolják, és ne legyenek benne ellenőrizetlen virtuális gépek, ne induljanak el felesleges üzleti folyamatok, és ne sérüljön meg a felhő rétegeinek és elemeinek kölcsönös konfigurációja. Ez a fajta fenyegetettség a felhő, mint egységes információs rendszer kezelhetőségével és a felhő működésében fellépő visszaélések vagy egyéb zavarok felkutatásával jár, ami az információs rendszer egészségének megőrzéséhez szükségtelen kiadásokhoz vezethet. Például, ha van egy felhő, amely lehetővé teszi a vírus észlelését benne egy beküldött fájl segítségével, akkor hogyan lehet megakadályozni az ilyen detektorok ellopását? Ez a fajta fenyegetés a legmagasabb szintű, és gyanítom, hogy nincs rá univerzális védelem - minden felhő esetében egyedileg kell kiépíteni az átfogó védelmét. Ebben segíthet a legáltalánosabb kockázatkezelési modell, amelyet még helyesen kell alkalmazni a felhő infrastruktúrákra.

Az első két típusú fenyegetést már kellőképpen tanulmányozták, és védekezést is kidolgoztak rájuk, de még adaptálni kell őket a felhőben való használatra. Például a tűzfalakat úgy tervezték, hogy megvédjék a kerületet, de a felhőben nem könnyű kijelölni egy kerületet az egyes kliensekhez, ami jelentősen megnehezíti a védelmet. Ezért a tűzfaltechnológiát hozzá kell igazítani a felhő infrastruktúrához. Ez irányú munkát most például a Check Point is aktívan végzi.

A felhőalapú számítástechnika új típusú fenyegetései a virtualizációs problémák. A helyzet az, hogy ha ezt a technológiát használják, további elemek jelennek meg a rendszerben, amelyek támadhatók. Ezek közé tartozik a hypervisor, a virtuális gépek egyik gazdagépről a másikra való átvitelére szolgáló rendszer, valamint a virtuálisgép-felügyeleti rendszer. Nézzük meg részletesebben, milyen támadásoknak lehet kitéve a felsorolt ​​elemek.

Hipervizor támadások... Valójában a virtuális rendszer kulcseleme a hypervisor, amely biztosítja a fizikai számítógép erőforrásainak virtuális gépek közötti felosztását. A hypervisor működésének megzavarása oda vezethet, hogy az egyik virtuális gép hozzáférhet egy másik memóriájához és erőforrásaihoz, elfoghatja a hálózati forgalmát, elveszi a fizikai erőforrásait, és akár teljesen kiszorítja a virtuális gépet a szerverről. Egyelőre kevés hacker érti pontosan a hypervisor működését, így gyakorlatilag nincs ilyen típusú támadás, de ez nem garantálja, hogy a jövőben nem fognak megjelenni.

Virtuális gépek migrálása... Meg kell jegyezni, hogy a virtuális gép egy olyan fájl, amely különböző felhőcsomópontokban futtatható. A virtuálisgép-felügyeleti rendszerek mechanizmusokat biztosítanak a virtuális gépek egyik gazdagépről a másikra való átvitelére. A virtuális gép fájlja azonban ellopható, és megkísérelhető futtatni a felhőn kívül. Fizikai szervert nem lehet kivinni az adatközpontból, de egy virtuális gépet el lehet lopni a hálózaton keresztül anélkül, hogy fizikailag hozzáférnének a szerverekhez. Igaz, a felhőn kívüli külön virtuális gépnek nincs gyakorlati értéke - minden rétegből legalább egy virtuális gépet kell ellopni, valamint a tárolórendszer adatait egy hasonló felhő helyreállításához, ennek ellenére a virtualizáció meglehetősen lehetővé teszi az alkatrészek ellopását, ill. az egész felhő. Vagyis a virtuális gépek átviteli mechanizmusaiba való beavatkozás új kockázatokat jelent az információs rendszer számára.

Irányítsd a rendszertámadásokat... A felhőkben, különösen a nyilvános felhőkben használt virtuális gépek hatalmas száma miatt olyan felügyeleti rendszerekre van szükség, amelyek megbízhatóan szabályozzák a virtuális gépek létrehozását, áttelepítését és selejtezését. A vezérlőrendszerekbe való beavatkozás láthatatlan virtuális gépek megjelenéséhez, egyes gépek blokkolásához és jogosulatlan elemek helyettesítéséhez vezethet a felhőrétegekben. Mindez lehetővé teszi a támadók számára, hogy információkat szerezzenek a felhőből, vagy rögzítsék annak egy részét vagy a teljes felhőt.

Meg kell jegyezni, hogy eddig az összes fent felsorolt ​​fenyegetés pusztán hipotetikus, mivel gyakorlatilag nincs információ az ilyen típusú valós támadásokról. Ugyanakkor, amikor a virtualizáció és a felhő elég népszerűvé válik, az összes ilyen típusú támadás teljesen valós lehet. Ezért ezeket még a felhőrendszerek tervezésének szakaszában is szem előtt kell tartani.

A hetedik mennyországon túl

Pál apostol azt állította, hogy ismert egy embert, akit elragadtak a hetedik mennyországba. Azóta a "hetedik mennyország" kifejezés szilárdan beépült a paradicsom megnevezésébe. Azonban nem minden keresztény szentet ért megtiszteltetés, hogy még az első mennyországot is meglátogassa, ennek ellenére nincs olyan ember, aki ne álmodozna arról, hogy legalább egy szemével a hetedik mennyországba néz.

Talán ez a legenda késztette a Trend Micro alkotóit arra, hogy egyik felhővédelmi projektjüket Cloud Nine néven nevezzék el – a kilencedik felhőnek. Ez egyértelműen a hetedik felett van. Ezt a nevet azonban ma már sokféle dolognak adják: daloknak, detektívtörténeteknek, számítógépes játékoknak, de nagyon valószínű, hogy ezt a nevet Pál keresztény legendája ihlette.

A Trend Micro cég azonban eddig csak olyan információkat tett közzé, amelyek szerint a Cloud Nine adattitkosítással lesz társítva a felhőben. Az adatok titkosítása az, amely lehetővé teszi a nyilvános felhőben található adatok legtöbb fenyegetés elleni védelmét, ezért az ilyen projekteket most aktívan fejlesztik. Képzeljük el, milyen védelmi eszközök lehetnek még hasznosak a fent leírt kockázatok mérséklésére.

Mindenekelőtt megbízható hitelesítést kell biztosítania mind a felhőfelhasználóknak, mind annak összetevőinek. Ehhez nagy valószínűséggel kész egyszeri hitelesítési rendszereket (SSO) használhat, amelyek a Kerberoson és a kölcsönös hardveres hitelesítési protokollon alapulnak. Ezután olyan identitáskezelő rendszerekre lesz szüksége, amelyek lehetővé teszik a különböző rendszerek felhasználói hozzáférési jogainak konfigurálását szerepalapú kezeléssel. Természetesen minden szerepkörhöz trükközni kell a szerepek meghatározásával és a minimális jogokkal, de a rendszer konfigurálása után sokáig használhatja.

Amikor a folyamatban részt vevő összes résztvevő és jogai meg vannak határozva, akkor figyelemmel kell kísérnie e jogok betartását és az adminisztrációs hibák észlelését. Ez megköveteli az eseményfeldolgozó rendszerektől a felhő elemeinek védelmét és további védelmi mechanizmusokat, például tűzfalakat, víruskeresőket, IPS-t és másokat. Igaz, érdemes azokat a lehetőségeket használni, amelyek virtualizációs környezetben működnek - ez hatékonyabb lesz.

Emellett érdemes valamilyen csalógépet is használni, amely lehetővé tenné a felhők használatával kapcsolatos csalások észlelését, vagyis az üzleti folyamatokba való beavatkozás legnehezebb kockázatának csökkentését. Igaz, most a piacon nagy valószínűséggel nincs olyan csalógép, amely lehetővé tenné a felhőkkel való munkát, ennek ellenére a telefonáláshoz már kidolgozták a csalások és visszaélések észlelésének technológiáit. Mivel számlázási rendszert kell majd a felhőkben megvalósítani, a csalógépet is hozzá kell kötni. Így legalább a felhőalapú üzleti folyamatokat fenyegető fenyegetéseket ellenőrizni lehet majd.

Milyen más védekezési mechanizmusokkal lehet megvédeni a felhőket? A kérdés még nyitott.

A felhőalapú számítástechnika együttesen a könnyen használható és könnyen elérhető virtualizált erőforrások (például hardverrendszerek, szolgáltatások stb.) nagy készletére utal. Ezek az erőforrások dinamikusan átcsoportosíthatók (skálázhatók), hogy alkalmazkodjanak a dinamikusan változó terheléshez, biztosítva az optimális erőforrás-kihasználást. Ezt az erőforráskészletet általában felosztó-kirovó alapon biztosítják. Ugyanakkor a felhő tulajdonosa a felhasználóval kötött bizonyos megállapodások alapján garantálja a szolgáltatás minőségét.

A fentiekkel összhangban a felhőalapú számítástechnika következő főbb jellemzői különböztethetők meg:

1) a felhőalapú számítástechnika a számítási erőforrások biztosításának új paradigmája;

2) az alapvető infrastrukturális erőforrásokat (hardver erőforrások, adattároló rendszerek, rendszerszoftverek) és alkalmazásokat szolgáltatásként biztosítják;

3) ezeket a szolgáltatásokat független szolgáltató nyújthatja külső felhasználók számára felosztó-kirovó alapon, a számítási felhő fő jellemzői a virtualizáció és a dinamikus méretezhetőség;

4) a felhőszolgáltatások webböngészőn vagy bizonyos szoftvereken keresztül biztosíthatók a végfelhasználó számára API interfész(Alkalmazásprogramozási felület).

Az általános számítási felhő modell egy külső és egy belső részből áll. Ez a két elem hálózaton, legtöbb esetben az interneten keresztül kapcsolódik össze. A külső részen keresztül a felhasználó interakcióba lép a rendszerrel; a belső rész tulajdonképpen maga a felhő. Az előtér egy ügyfélszámítógépből vagy a felhőhöz való hozzáféréshez használt vállalati számítógépek és alkalmazások hálózatából áll. A belső részt olyan alkalmazások, számítógépek, szerverek és adattárak képviselik, amelyek virtualizációval szolgáltatásfelhőt hoznak létre (1. ábra).

Amikor a meglévő fizikai virtuális gépeket (VM-eket) az adatközpontból (DC) külső felhőkbe helyezik át, vagy az IT-szolgáltatásokat a biztonságos peremen kívül privát felhőkben biztosítják, a hálózati kerület teljesen értelmetlenné válik, és az általános biztonsági szint meglehetősen alacsony lesz.

Míg a hagyományos adatközpontokban a mérnökök „szerverekhez való hozzáférését szigorúan fizikai szinten ellenőrzik, addig a felhőalapú számítástechnikában a mérnökök hozzáférése az interneten keresztül történik, ami a megfelelő fenyegetések megjelenéséhez vezet. Ennek megfelelően kritikus az adminisztrátorok szigorú hozzáférés-ellenőrzése, valamint a rendszerszintű változások ellenőrzése és átláthatósága.

A virtuális gépek dinamikusak. A virtuális gépek volatilitása nagyon megnehezíti egy koherens biztonsági rendszer létrehozását és karbantartását. A sérülékenységek és a konfigurációs hibák irányíthatatlanul terjedhetnek. Ezenkívül nagyon nehéz rögzíteni a védelmi állapotot egy adott időpontban a későbbi ellenőrzéshez.

A felhőalapú számítástechnikai szerverek ugyanazt az operációs rendszert és webalkalmazásokat használják, mint a helyi virtuálisok, és fizikai szerverek... Ennek megfelelően a felhőrendszerek esetében a távoli hackelés vagy a rosszindulatú programok fertőzésének veszélye ugyanolyan magas.

Egy másik fenyegetés az adatok integritását fenyegető veszély: a kompromittálódás és az adatlopás. Figyelni kell az operációs rendszer és az alkalmazásfájlok integritását, valamint a belső tevékenységet.

A több-bérlős felhőszolgáltatások használata megnehezíti a szabványok és törvények követelményeinek való megfelelést, beleértve a kriptográfiai eszközök használatára vonatkozó követelményeket is, az érzékeny információk, például a hitelkártya tulajdonosára vonatkozó információk és az azonosításra alkalmas információk védelme érdekében. egy személy. Ez viszont a biztosításának ijesztő feladatához vezet megbízható védelemés biztonságos hozzáférés fontos adatokhoz.

A számítási felhőben előforduló lehetséges fenyegetések elemzése alapján a számítási felhő biztonságának lehetséges hardveres és szoftveres átfogó védelmét javasolják, amely 5 technológiát foglal magában: tűzfal, behatolásészlelés és -megelőzés, integritás-ellenőrzés, naplóelemzés és rosszindulatú szoftverek elleni védelem.

A felhőalapú számítástechnikai szolgáltatók virtualizációt használnak, hogy ügyfeleiknek hozzáférést biztosítsanak az alacsony költségű számítási erőforrásokhoz. Ugyanakkor a kliens virtuális gépek ugyanazon a hardvererőforráson osztoznak, ami a legnagyobb gazdasági hatékonyság eléréséhez szükséges. Azoknak a vállalati ügyfeleknek, akik érdeklődnek a számítási felhő iránt belső informatikai infrastruktúrájuk bővítése érdekében, mérlegelniük kell az ilyen lépések által jelentett veszélyeket. Az adatfeldolgozó központok hálózati védelmének hagyományos mechanizmusai mellett olyan biztonsági megközelítéseket alkalmazva, mint: szélső tűzfal, demilitarizált zónák, hálózati szegmentálás, hálózatfigyelő eszközök, behatolásjelző és -megelőzési rendszerek, szoftveres adatvédelmi mechanizmusok a virtualizációs szervereken, ill. magukon a szervereken.VM, mivel a virtuális gépnek a nyilvános felhőszolgáltatásokba való átadásával a perem vállalati hálózat fokozatosan elveszti értelmét, és a legkevésbé védett csomópontok jelentősen befolyásolják az általános biztonsági szintet. A fizikai szétválasztás és a virtuális gépek közötti támadások visszaszorítására szolgáló biztonsági hardverek lehetetlensége miatt a védelmi mechanizmust a virtualizációs kiszolgálón vagy magukon a virtuális gépeken kell elhelyezni. Egy átfogó védelmi módszer megvalósítása magán a virtuális gépen, beleértve a tűzfal szoftveres megvalósítását, a behatolásészlelést és -megelőzést, az integritás ellenőrzését, a naplóelemzést és a rosszindulatú kódok elleni védelmet. hatékony mód védi az integritást, megfelel a szabályozási követelményeknek, és betartja a biztonsági szabályzatokat, amikor virtuális erőforrásokat helyez át a belső hálózatból a felhőbe.

Irodalom:

1. Radchenko G.I. Elosztott számítástechnikai rendszerek // oktatóanyag... - 2012 .-- S. 146-149.

2. Kondrashin M. A felhőalapú számítástechnika biztonsága // Tárolási hírek. - 2010. - 1. sz.