Molnsäkerhet. Vi studerar säkerheten för molntjänster med exempel på Yandex -infrastruktur

Intervju med Alexey Berdnik, projektchef för avdelningen för arbete med strategiska kunder på Digital Design

Framväxten av virtualisering har blivit en brådskande orsak till den stora migrationen av de flesta system till virtuella datorer. Det finns dock ingen garanti för att alla molnresurser räknas, och det finns inga oövervakade virtuella datorer, onödiga processer som körs eller att ömsesidig konfiguration av molnelement inte kränks. Vilka är hoten mot molndatorer och hur kan de förebyggas?

- Det här är en hottyp på hög nivå eftersom det handlar om hanterbarheten i molnet som en enda informationssystem, och det allmänna skyddet för det måste byggas individuellt. För att göra detta måste du använda en riskhanteringsmodell för molninfrastrukturer.

V molntjänster plattformens viktigaste roll spelas av virtualiseringsteknik. Kända hot mot molndatorer inkluderar svårigheten att flytta molnservrar till datormolnet. I de flesta traditionella datacenter styrs ingenjörernas åtkomst till servrar på fysisk nivå; i molnmiljöer fungerar de över Internet. Därför är differentiering av åtkomstkontroll och säkerställande av insyn i förändringar på systemnivå ett av de viktigaste skyddskriterierna.

Hotet kan vara relaterat till dynamiken i de virtuella maskinerna. Virtuella maskiner klonas och kan flyttas mellan fysiska servrar. Denna variation påverkar utformningen av ett holistiskt säkerhetssystem. Samtidigt sårbarheterna operativ system eller applikationer i en virtuell miljö distribueras okontrollerat och visas ofta efter en godtycklig tid, till exempel vid återställning från en säkerhetskopia. Därför är det viktigt i en molnberäkningsmiljö att på ett tillförlitligt sätt registrera skyddsläget för systemet, oavsett dess plats. För moln och virtuella system är risken för hackning och infektion med skadlig kod ganska hög. Därför måste ett intrångsdetekterings- och förebyggande system kunna upptäcka skadlig aktivitet på virtuella datorer, oavsett deras plats i molnet.

En virtuell dator som är avstängd löper också risk för infektion, eftersom nätverksåtkomst är tillräcklig för att komma åt dess bildlagring. Samtidigt är det omöjligt att aktivera säkerhetsprogramvara på en avstängd virtuell maskin. Det är därför som skydd på hypervisor -nivå måste implementeras. Man bör också komma ihåg att nätverksomkretsen är suddig eller till och med försvinner vid molnbaserad datering, vilket leder till en helt annan definition av den övergripande nivån på nätverkssäkerhet. Det motsvarar den minst skyddade delen av den. Att avgränsa segment med olika nivåer av förtroende för molnet måste virtuella maskiner ge sig själva skydd genom att flytta nätverkets omkrets till själva den virtuella maskinen.

Vilka andra är riskerna med att flytta till molnet?

- Sårbarheter i operativsystem, modulära komponenter, nätverksprotokoll- traditionella hot, för skydd mot vilket det räcker att installera en brandvägg, brandvägg, antivirus, IPS och andra komponenter som löser det här problemet... Samtidigt är det viktigt att dessa skydd fungerar effektivt i en virtualiseringsmiljö.

Det finns också funktionella attacker på molnelement. För att skydda dem, för varje del av molnet är det nödvändigt att använda följande skyddsmedel: för en proxy - effektivt skydd mot DoS -attacker, för en webbserver - kontroll av sidintegritet, för en applikationsserver - en applikationsnivåskärm, för ett DBMS - skydd mot SQL -injektion, för lagringssystem - rätt säkerhetskopior (säkerhetskopiering), åtkomstkontroll. Separat har var och en av dessa försvarsmekanismer redan skapats, men de samlas inte ihop för omfattande molnskydd, så uppgiften att integrera dem i enhetligt system måste hanteras under molnskapande.

Vi kan skilja de så kallade attackerna mot klienten. Eftersom de flesta användare ansluter till molnet med hjälp av en webbläsare finns det risk för lösenordskapning, kapning av webbsessioner och en mängd andra liknande attacker. Det enda skyddet mot dem är korrekt autentisering och användning av en krypterad anslutning (SSL) med ömsesidig autentisering. Dessa skydd är dock inte särskilt praktiska och mycket slösaktiga för molnskapare. I denna bransch informationssäkerhet det finns fortfarande många olösta problem.

En av nyckelelementen i ett virtuellt system är hypervisor. Dess huvudsakliga funktion är att dela resurser mellan virtuella maskiner... En attack på en hypervisor kan resultera i att en virtuell dator kan komma åt minnet och resurserna hos en annan. Det kommer också att kunna fånga upp nätverkstrafik, ta bort fysiska resurser och till och med förskjuta en virtuell maskin från servern. Som standardskyddsmetoder rekommenderas att använda specialiserade produkter för virtuella miljöer, integration av värdservrar med Active Directory -katalogtjänsten, användning av lösenordskomplexitet och åldringspolicyer samt standardisering av procedurer för åtkomst till värdserverhanteringsverktyg och användning av den inbyggda brandväggen för virtualiseringsvärden. Det är också möjligt att inaktivera sådana ofta oanvända tjänster som till exempel webbåtkomst till virtualiseringsservern.

Det stora antalet virtuella maskiner som används i molnet kräver hanteringssystem som på ett tillförlitligt sätt kan styra skapande, migrering och bortskaffande av virtuella maskiner. Ingrepp i styrsystemet kan leda till uppkomsten av virtuella maskiner - osynliga, som kan blockera vissa virtuella maskiner och ersätta andra.

Säkerhetshot genererar alltid lösningar som kan förhindra dem. Vilka är de mest effektiva?

- Ett av de mest effektiva sätten att skydda data är kryptering. Leverantören som ger åtkomst till uppgifterna måste kryptera kundens information som lagras i datacenteret och, om det är onödigt, oåterkalleligt radera den. Under överföringen ska även krypterad data endast vara tillgänglig efter autentisering. Dessutom bör åtkomst till data endast utföras genom tillförlitliga protokoll AES, TLS, IPsec. Dessutom kommer högre tillförlitlighet att uppnås genom att använda tokens och certifikat för autentisering. Vid godkännande rekommenderas det också att använda LDAP (Lightweight Directory Access Protocol) och SAML (Security Assertion Markup Language) för transparent kommunikation mellan leverantören och identitetssystemet. Dessutom måste virtuella nätverk distribueras med teknik som VPN (Virtual Private Network), VLAN (Virtual Local Area Network) VPLS (Virtual Private LAN Service).

Ersättning för arbete är en motiverande faktor endast om det är direkt relaterat till arbetets resultat. Anställda måste vara övertygade om ett stabilt förhållande mellan den mottagna materiella ersättningen och arbetets produktivitet. Det måste finnas en lönekomponent som beror på de uppnådda resultaten. Den ryska mentaliteten kännetecknas av önskan om kollektivt arbete, erkännande och respekt för kollegor och så vidare.

Idag, när höga löner är svåra på grund av den svåra ekonomiska situationen, bör särskild uppmärksamhet ägnas åt icke-materiella incitament, vilket skapar ett flexibelt system för förmåner för anställda, humanisering av arbetskraft, inklusive:

1. erkänna den anställdes värde för organisationen, ge honom kreativ frihet;

2. att tillämpa program för berikning av arbetskraft och rotation av personal.

3. använda ett glidande schema, deltidsarbetsvecka, förmåga att arbeta både på arbetsplatsen och hemma;

4. att fastställa rabatter för anställda för produkter som tillverkas av det företag där de arbetar.

5. att tillhandahålla medel för rekreation och fritid, att tillhandahålla gratis resebiljetter, att ge lån för köp av bostäder, en trädgårdstomt, bilar och så vidare.

Nedan kommer de motiverande faktorerna för arbetets organisation att formuleras, vilket leder till att de högsta nivåernas behov tillgodoses.
På hans arbetsplats vill alla visa vad han är kapabel till och vad han betyder för andra, därför är det nödvändigt att erkänna resultaten av en viss anställds verksamhet, för att ge möjlighet att fatta beslut i frågor som rör hans kompetens, att ge råd till andra anställda. På arbetsplatser bör världsbilden för ett enda lag formuleras: det är omöjligt att förstöra de informella grupper som växer fram om de inte orsakar verklig skada på organisationens mål.

Nästan alla har sin egen syn på hur man kan förbättra sitt arbete. Lita på ledningens intresserade stöd, utan rädsla för sanktioner, bör arbetet organiseras så att den anställde inte tappar lusten att genomföra sina planer. Därför, i vilken form, i vilken hastighet och på vilket sätt anställda tar emot information, bedömer de deras verkliga betydelse i ledningens ögon, därför är det omöjligt att fatta beslut om förändringar i arbetstagarnas arbete utan deras vetskap, även om förändringarna är positiva, liksom gör det svårt att komma åt nödvändig information.

Information om kvaliteten på en anställds arbete bör vara snabb, storskalig och aktuell. Den anställde bör ges största möjliga grad av självkontroll. De flesta strävar efter att skaffa sig ny kunskap i arbetet. Därför är det så viktigt att ge underordnade möjlighet att lära sig, uppmuntra och utveckla sin kreativitet.

Varje person strävar efter framgång. Framgång är uppnådda mål, för vilka den anställde har gjort alla ansträngningar. Framgång utan erkännande leder till besvikelse, dödar initiativ. Detta kommer inte att hända om de underordnade, som har uppnått framgång, delegerar ytterligare rättigheter och befogenheter, främjar dem upp på karriärstegen.

SLUTSATS

Effektiviteten av detta eller det där motivationssystemet i praktiken beror till stor del på ledningsorganen, även om de senaste åren har tagits vissa steg för att öka företagens roll att utvecklas egna system motiv, som vid en viss tidsperiod gör det möjligt att genomföra företagens mål och mål under marknadsförhållandena.

Nu är det knappast nödvändigt att övertyga någon om att motivation är den grundläggande faktorn för att motivera arbetstagare att arbeta mycket produktivt. I sin tur beror motivationssystemens funktion, deras utveckling huvudsakligen på de anställda i ledningsapparaten, på deras kvalifikationer, affärskvaliteter och andra kvalitativa egenskaper. Samtidigt, både under perioden före Rysslands övergång till marknadsförhållanden, och för närvarande, är motivationsproblemet fortfarande det mest akuta och tyvärr det mest olösta problemet rent praktiskt. Lösningen på detta problem beror främst på oss själva. Vi är själva ansvariga för våra liv och motivation för att arbeta. Det verkar dock som att många av oss spenderar för mycket tid innan vi vågar ta huvudansvaret för innehållet i våra liv och lusten att arbeta. Vi är vana vid att leta efter orsakerna till vårt liv och arbetsproblem till en början utanför oss.

Orsakerna hittas snabbt: nära arbetskamrater, chefer, underordnade, arbetsfördelning, atmosfär, ledningsmetod, ekonomiska förhållanden, orimlig regeringspolitik och många andra faktorer som ligger även utanför vårt land. Många av oss lägger så mycket tid på att förklara effektiviteten i vårt arbete eller ovilja att arbeta, att det under denna tid korrekt användning det skulle vara möjligt att uppnå betydligt högre motivation, både den egna och den närmaste miljöens.

Skicka ditt bra arbete i kunskapsbasen är enkelt. Använd formuläret nedan

Studenter, doktorander, unga forskare som använder kunskapsbasen i sina studier och arbete kommer att vara mycket tacksamma för dig.

Liknande dokument

Essens, former, principer och ersättningssystem. Analys av lönefonden på exemplet med NKMZ JSC. De metoder för ersättning till anställda som används i företaget. Anvisningar för att förbättra systemet för ersättning och arbetsmotivation under marknadsförhållanden.

Analys av verksamheten i OOO UMTS "Splav", egenskaper hos systemet för att organisera redovisningen av arbetsersättningar. Lönesystemet som en nödvändig del av ersättningsorganisationen. Funktioner i metoder för att motivera arbetstagare, lönekassans struktur.

term uppsats tillagd 09/01/2012


Kärnan och innehållet i kategorin "arbetsmotivation". Motivationsteorier, deras väsen och mening. Analys av det nuvarande tillståndet för arbetsmotivationssystemet för anställda i Svetlana LLC. Stärka motivationsfaktorer inom ersättning, effektivitet av åtgärder.

term paper, tillagd 18.05.2010


Övervägande av blanketter, källor till bildande av lönefonder, bonussystem och incitament för anställda. Egenskaper för produktion och ekonomisk verksamhet för PA "Baker": analys av produktionskostnader, lönsamhet, organisation och ersättning.

avhandling, tillagd 2010-05-25


Problemet med att stimulera arbetskraft i ekonomin. Karakteristisk traditionellt system löner på företaget. Diagnostik av arbetsmotivation, värdeorienteringar och arbetsglädje för företagspersonal. Utveckling av ett företagsersättningssystem.

avhandling, tillagd 09/08/2010


Ersättningssystemet: typer, former och förfarande för dess beräkning. Förfarandet för ersättning till arbetstagare vid medicinska institutioner. Redovisning för finansiering i budgetorganisationer, analys av nyckeltal. Utkast till åtgärder för att förbättra ersättningssystemet.

avhandling, tillagd 2012-12-22


Kärnan och principerna för ersättning i en marknadsekonomi. Moderna former och system för ersättning. Analys av ersättning vid OOO Sigma, Kostroma. Analys av lönesystemet för arbetstagare. Förbättring av ersättningssystemet vid det studerade företaget.

avhandling, tillagd 2012-04-11

All materiell motivation bygger på en persons materiella belöning för sitt arbete. Det kan utföras i form av löneutbetalning, liksom i form sociala program enligt rysk lag och de regler som antagits i denna organisation.

Lön är den ledande formen av materiell motivation för personal. Det uttrycker i monetära termer de ansträngningar och tid som en person spenderar i arbetsprocessen.

Löner är den grundläggande faktorn som driver behovet av arbete för de flesta.

Men själva faktumet att få det garanterar inte alltid samvetsgrann och produktivt arbete. Därför, om vi talar om löner som en faktor som ökar arbetarnas motivation, är det nödvändigt att fastställa beroende av dess storlek på det slutliga resultatet av arbetet. I det här fallet anställda som utför sina uppgifter på ett ansvarsfullt sätt och visar hög prestanda, kommer att få mer lön än alla andra. Detta ger de "främsta arbetarna" en tillfredsställelse med resultaten av deras arbete och fungerar som ett incitament för bättre arbete hela laget.

För att förstå hur du praktiskt kan genomföra denna uppgift kommer vi först att analysera grunderna för att bygga lönesystem i organisationen.

Ersättningen till anställda i organisationen är baserad på Ryska federationens lagstiftning och regleras av staten. Statlig reglering sträcker sig till upprättandet av minimilön, beskattning av medel som tilldelats av organisationen för löner, upprättandet av statliga lönegarantier.

Standarderna som bekräftar de tidigare listade funktionerna finns i Ryska federationens arbetslag och är som regel fastställda i arbets- och kollektivavtal som organisationen tecknar med sina anställda.

Efterlevnad av rättsliga normer är grunden för en organisation att bygga ett ersättningssystem för sina anställda, men utöver lagliga normer måste ett antal faktorer beaktas.

Ersättningsformen. Det finns två huvudformer för ersättning: tidsbaserat och ackord. Tidsbaserad lön innebär beräkning av löner baserat på kostnaden för en timmes arbete eller lön för de faktiska arbetade timmarna. Denna löneform används vid ersättning till specialister och chefer, eftersom de inte producerar specifika produkter, räknade i bitar, meter och kilo. Deras arbete mäts med tiden som läggs på deras arbete.

Lönearbetet beror på hur många produkter som produceras och beräknas utifrån enhetskostnaden för den producerade produkten. Genom ackordslöner bedöms arbetarnas arbete, vars resultat kan mätas kvantitativt.

Täckning av arbetare. Täckning av arbetstagare innebär individuell och kollektiv ersättning. Individuell betalning är beräkningen av lönerna för varje specifik anställd. Kollektiv lön beräknas utifrån resultatet av gruppens arbete och fördelas sedan inom denna grupp enligt de fastställda reglerna.

Betalningssätt. Betalningsmedel - kontanter och in natura -komponenter. Som regel betalas löner kontant, men efter överenskommelse med den anställde och i enlighet med Ryska federationens lagstiftning är en del av inbetalningen in natura möjlig - i varor, värdepapper eller tjänster.

Faktureringsperiodens längd. Faktureringsperiodens längd är betalningsfrekvensen. Arbetsersättningen kan vara daglig, veckovis, månadsvis.

Studien och analysen av de listade faktorerna gör det möjligt att utveckla och implementera ett betalningssystem som skulle motsvara organisationens mål och mål samt dess ekonomiska kapacitet. Men det är nödvändigt att inte bara skapa ett system för ersättning till personal, utan att göra det så att det blir ett arbetsincitament.

För att göra detta är det under utvecklingen nödvändigt att följa de regler som säkerställer en effektivisering av arbetarnas arbete:

■ lönesystemet bör orientera den anställde att uppnå önskat resultat för företaget, så lönesumman är kopplad till prestationsindikatorer för hela organisationen (vinst, försäljningsvolym, planuppfyllelse);

■ betalningssystemet bör vara ett medel för personalhantering, för detta måste chefen kunna både materiella incitament och bestraffningar.

■ Ersättningssystemet ska uppfylla de anställdas förväntningar och stå i proportion till förhållandena i andra organisationer.

Som vi redan har sagt har betalningssystemet vid varje företag sina egna egenskaper, vilket återspeglar produktionskraven, typen av verksamhet och den antagna personalpolicyn.

På senare tid har dock många organisationer kommit att använda ett ersättningssystem, vilket innebär att betalningen till personal delas in i tre delar.

Första delenär grundlönen. Den betalas för fullgörandet av officiella uppgifter och förblir oförändrad (med undantag för ersättningsformen för ackord). Alla anställda i organisationen får löner.

Andra delen- det här är förmånsbetalningar och ersättningar - ett socialt paket som organisationen tillhandahåller sina anställda. Detta inkluderar betalningar för semester, sjukskrivningar, måltider, utbildning av anställda, livs- och sjukförsäkring och årlig inflationsersättning. Ersättningsdelen av ersättningen är individuell och beror på det antal år som den anställde har arbetat och tillgängligheten av ytterligare sociala program som antagits av organisationen. Alla anställda får också ersättningsdelen.

Den tredje delen- det här är ytterligare betalningar som organisationen gör för arbetets prestationer under den föregående perioden. Ytterligare betalningar kan göras i form av bonusar, procentsatser från försäljning av produkter, ytterligare betalningar för att lämna, liksom ersättningar och koefficienter för komplexiteten och kvaliteten på det utförda arbetet. Denna del av betalningarna är variabel. Det är olika för alla anställda och beror på individuella prestationsindikatorer. Denna del tas emot inte av alla anställda, utan bara av dem som har uppnått vissa resultat i sitt arbete.

Det presenterade ersättningssystemet omfattar alla typer av betalningar till personal som fastställts i lag och gör det möjligt att stimulera de anställdas effektivitet med hjälp av extra premier för högkvalitativt och produktivt arbete.

Det bör noteras att chefen för organisationen och personalavdelningen när man skapar ett ersättningssystem måste komma ihåg att innebörden av monetär ersättning för den anställde inte bara är begränsad till kompensation för de kostnader för krafter som han lägger på prestationen av hans arbete. Monetär ersättning, former för mottagande och storlek uppfattas som bevis på dess värde för organisationen, bildar självkänsla och talar om social status. Således är de pengar som den anställde får en indikator på personligt och professionellt självförverkligande.

Bibliografisk beskrivning:

A.K. Nesterov Motivering av personalarbete i organisationen [ Elektronisk resurs] // Educational encyklopedi webbplats

Hantering av arbetsmotivation är en nyckelfaktor i organisationens personalledningssystem, eftersom det finns ett direkt samband mellan medarbetarnas motivation och effektiviteten i hans arbete.

Konceptet och essensen av arbetskraftsmotivation

MotiveringÄr processen att skapa incitament för att nå uppsatta mål. Behov och motiv är inblandade i motivationsprocessen. Behov är en inre handlingskraft. Motivationsprocessen slutar med att utveckla ett motiv, förutom behov, värdeorienteringar, övertygelser och åsikter är också involverade i denna process. Detta är en dold process, den är inte observerbar och den kan inte bestämmas empiriskt.

Du kan bara se resultatet av motivation - mänskligt beteende.

Effektiv motivation påverkar inte bara ökningen av en viss medarbetares sociala och kreativa aktivitet utan också företagets slutresultat.

Var och en av de befintliga motivationsteorierna utgår från resultaten av teoretiska och tillämpade vissa aspekter och lägger dem i grunden för dess koncept, men en enhetlig strategi för definitionen av begreppet motivation har inte utvecklats.

Tillvägagångssätt till definitionen av begreppet arbetsmotivation

Inom ramen för denna artikel kommer vi att använda följande tes som kännetecknar essensen av arbetskraftsmotivation.

PersonalmotivationÄr en kombination av inre och yttre drivkrafter som får en person att utföra medvetna aktiviteter.

Som en del av ledningssystemet syftar personalmotivationen till att uppmuntra människor att utföra sitt arbete mest effektivt inom ramen för sina rättigheter och skyldigheter. I detta avseende påverkar motivation direkt - den anställdes kompetens kommer inte att ge resultat om han inte är intresserad av honom. För att hantera en organisation används ett komplex av interna och externa faktorer för att motivera personal.

Separat är dessa faktorer obetydliga för en person och i moderna förhållanden är deras inverkan inte så stark, men med ett komplext inflytande multiplicerar de varandra och skapar en multiplikatoreffekt.

Personalens motivationsteorier

Tabellen visar materiella och procedurella teorier om motivation, där komplex av motiv och incitament bildas, som är element i motiverande personal i en organisation.

Väsentliga och procedurella teorier om motivation

1. Behovsteori A. Maslow
Behov
1.1. Fysiologiska behov	- kvalitetsmat - rent vatten; - goda levnadsvillkor; - gynnsamma villkor för vila.	- rättvis lön - bostadslån; - kuponger för sanatorier - socialt paket.
1.2. Säkerhetsbehov	- skydd mot fysiska och moraliska risker från miljön; - förtroende för att fysiologiska behov kommer att tillgodoses.	- bra moraliskt och psykologiskt klimat i teamet; - ledarens demokratiska ledarstil; - hälsoförsäkring; - hjälp i extrema situationer
1.3. Sociala behov	- kommunikation; - imitation; - medverkan; - solidaritet, stöd, vänskap, ömsesidig hjälp.	- förmågan att kommunicera; - demokratisk ledarstil; - lika möjligheter, "lika möjligheter"; - Hall of Fame; - tacksamhet; - erkännande av meriter. - rättvisa i allt (i fördelningen av arbete, uppskattningar, ersättningar); - program för kultur- och fritidsaktiviteter.
1.4. Behöver erkännande och respekt	- självrespekt; - personliga prestationer; - kompetens; - respekt från andra; - erkännande.	- anständig lön - utvidgning av befogenheter; - personliga förmåner - en ökning av antalet underordnade; - universellt erkännande och respekt.
1.5. Behov av självuttryck	–Realisering av potential möjligheter; - personlighetstillväxt; - yrke; - självuttryck; - nyfikenhet; - skapande; - uppfinning; - innovation; - gör vetenskap.	- Deltagande i ledning och beslutsfattande. - Deltagande i projektteam; - gott om möjligheter till utbildning och professionell utveckling. - aktiv karriärtillväxt; - tillhandahållande av arbete enligt intressen, yrke; - yrkesvägledning; - öka arbetets kreativa karaktär; - med hänsyn till den anställdes personliga egenskaper och förmågor; - priser för innovation, uppfinningar, upptäckter; - nominering för statliga och internationella utmärkelser.
2. Teorin om existens, anslutning och tillväxt av K. Alderfer
Behov
2.1. Behov av existens: fysiologisk, säkerhet säkerhet, lön	- mat, vatten, skydd, vila; - skydd mot fysiska faror; - förtroende för det fysiologiska behov kommer att tillgodoses.	- en tillräcklig lönenivå; - betalning för bostäder; - socialt paket; - pensionssystemet; - hälsoförsäkring.
2.2. Kommunikationsbehov: etablering kontakter, respekt, uppskattning personlighet	- kommunikation; - medverkan; - stöd, vänskap, ömsesidig hjälp.	- förmågan att kommunicera; - ett gynnsamt psykologiskt klimat i teamet; - lika möjligheter; - tacksamhet; - erkännande av meriter.
2.3. Tillväxtbehov: utveckling kreativ potential, självförverkligande	- respekt, erkännande; - förverkligandet av potentiella möjligheter. - personlighetstillväxt; - självuttryck, kreativitet.	- universellt erkännande och respekt; - Rätten att genomföra sina förslag. - möjligheter till utbildning och professionell utveckling. - utmärkelser för uppfinningar.
3. D. McClellands teori om förvärvade behov
Behov
3.1. Behovet av makt	- viljan att påverka andra människor, att känna sig användbar och betydelsefull	- Deltagande i ledning och beslutsfattande. - utvidgning av befogenheter; - en ökning av antalet underordnade.
3.2. Behovet av framgång	- Deltagande i lovande verk; - målprestation; - prestige; - karriärutveckling.	Ge initiativ, breda befogenheter; Belöning för resultat; Deltagande i framgång; Internationellt erkännande; Tilldelades titeln "Årets bästa medarbetare".
3.3. Behov av engagemang	- kommunikation; - imitation; - medverkan; - solidaritet, stöd, vänskap.	- förmågan att kommunicera; - gynnsamt socialt mikroklimat; - Deltagande i ledning och beslutsfattande. - hålla möten; - hjälpa andra; - affärskontakter.
4. Teorin om två faktorer F. Herzberg
Behov
4.1. Hygienisk	- framsteg i karriären; - erkännande och godkännande av arbetets resultat. - en hög grad av ansvar. - möjligheter till kreativ och affärstillväxt.	- bra moraliskt och psykologiskt klimat; - normala arbetsförhållanden; - rättvis lön - vänskaplig atmosfär; - måttlig kontroll över arbetet.
4.2. Motivering		- Tillhandahållande av initiativ, breda befogenheter; - belöning för resultat; - deltagande i framgång; - karriärplanering; - skälig ersättning. - tillhandahålla ett högt ansvarstagande; - studier och yrkesmässig utveckling.
Procedurella teorier om motivation
5. Förväntningsteori av V. Vroom
Behov
5.1. Kostnad - resultat	- uppgiftens betydelse; - genomförbarheten av uppgiften; - genomföra nödvändiga samråd.	- utvärdering av resultat
5.2. Belöningsresultat	- Visshet och aktualitet i ersättningen.	- förtroende för ledaren; - företagets effektivitet.
5.3. Valens	- ersättning för uppnådda arbetsprestationer.	- garanti för ersättning. - exakt korrespondens av ersättning till arbetsresultat.
6. Rättviseteorin av S. Adams
Behov
	- överensstämmelse mellan ersättning och medelvärdet av ersättning till andra specialister för liknande arbete.	Tillämpning av ersättningslöner till arbetstagarens "marknadspris".
7. Begreppet deltagande styrning
Behov
	- medvetenhet om vikten och betydelsen av deras arbete för företagets utveckling	- Deltagande i ledning och beslutsfattande. - Deltagande i projekt. - självkontroll; - personligt och gruppansvar för resultaten.

Källa: Vikhansky, O.S. Management: textbook / O.S. Vikhansky, A.I. Naumov. - 5: e upplagan, Stereotyp. - M.: Master: INFRA -M, 2012.

Konstruktionen av ett motivationssystem enligt meningsfulla teorier om motivation bygger på att identifiera och tillgodose de dominerande behoven hos anställda, och processuella teorier om motivation tilldelar en nyckelroll för bildandet av anställdas motivationsbeteende.

Metoder för att motivera personal i organisationen

Metoderna för arbetsmotivation presenteras som ledningsmässiga reglerande influenser av tre typer: passiva, indirekta och aktiva.

• Passiv påverkan påverkar inte de anställda, utan syftar till att skapa arbetsförhållanden och inkluderar utveckling av normer, regler, föreskrifter som rör personalarbetet.
• Indirekt påverkan påverkar de anställda i organisationen indirekt och implementeras i formen integrerade program bonusar, incitament riktade mot företagets kollektiv som helhet.
• Aktiva influenser innebär en direkt inverkan på specifika anställda eller grupper av anställda.

Motiveringsmetoder presenteras i diagrammet

Personalens motivationsmetoder

Ekonomiska motivationsmetoder bygger på att få vissa förmåner för de anställda, vilket ökar deras välbefinnande.

Direkta former av ekonomiska metoder:

• grundlön;
• ytterligare betalningar, med hänsyn till komplexiteten i arbetet och kvalifikationer, överarbete, etc.
• ersättning i form av bonusar och betalningar beroende på den anställdes bidrag till resultatet av företagets produktionsaktivitet;
• andra typer av betalningar.

Indirekta former av ekonomiska metoder:

• tillhandahållande av en tjänstebil för användning;
• användning av organisationens sociala institutioner;
• köp av organisationens produkter till ett lägre pris än försäljningspriset;
• ger olika fördelar.

Organisatoriska metoder:

1. Motivering av intressanta mål för de anställdas huvudarbete;
2. Motivation genom att berika innehållet i arbetskraftsaktivitet;
3. Motivering genom deltagande i organisationens angelägenheter.

Moralpsykologiska metoder:

1. Stolthet över det arbete som anförtrotts och utförts;
2. Ansvar för arbetets resultat;
3. En utmaning, en möjlighet att visa dina förmågor;
4. Erkännande av upphovsrätten till resultatet av arbetet eller projektet som utförts;
5. Högt betyg, kan vara personligt eller offentligt.

Krav på metoderna för att motivera personalen i organisationen

Anvisningar för att förbättra och öka effektiviteten i personalarbetets motivation i organisationen

Anställdas motivationssystemÄr ett flexibelt personalhanteringsverktyg inriktat på att uppnå företagets mål med administrativa, ekonomiska och socio-psykologiska metoder.

Företagen måste bygga ett effektivt arbetsledningssystem som skulle säkerställa aktiveringen av den mänskliga faktorn; för detta använder organisationer metoder för personalens motivation för att orientera människor till den mest effektiva lösningen på de uppsatta uppgifterna. Arbetsmotivation syftar till att öka arbetets produktivitet, öka organisationens vinst, vilket i slutändan leder till uppnåendet av organisationens strategiska mål.

Huvudproblemet är frågan om att skapa ett effektivt och effektivt system för personalmotivation i organisationen. Eftersom varje chef strävar efter att se till att den anställde inte tappar intresset för arbete, utvecklar organisationer speciella evenemang och bygger ett motivationssystem för att hålla anställda intresserade av arbete.

En tidigare studie visade att det finns ett stabilt samband mellan, det uttrycks genom motivationsformer och faktorer som påverkar intresset för arbete.

Ett ineffektivt motivationssystem leder till en minskning av arbetets produktivitet, därför är vikten av en rationell användning av effektiva metoder för att stimulera arbetskraft uppenbar.

Det ömsesidiga beroendet mellan de anställdas motivation och resultaten av organisationens ekonomiska aktivitet är företagets grund.

Varje chefs uppgift är att organisera arbetsprocessen så att människor fungerar effektivt. Produktiviteten och klimatet för relationer i företaget beror direkt på i vilken utsträckning anställda håller med om sin position i företaget och det befintliga systemet uppmuntran. Detta påverkar i sin tur minskningen av den rigida formaliseringen av intrafirmanderelationer, som syftar till att omvandla dem inom ramen för objektiv verklighet i ett företag.

Den typiska riktningen för att förbättra systemet för personalarbetskraftsmotivation i organisationen är expansionen av formerna och typen av incitament. Till exempel, om materiella incitament är mest uttalade i företagets motivationssystem eller om icke-materiella typer av incitament är praktiskt taget frånvarande, är det nödvändigt att använda fler typer av moraliska incitament för anställda, till exempel:

1. Att skriva olika register över den anställdes prestationer i sin personliga akt.
2. Muntlig tacksamhet för företagsledningens räkning.
3. Ytterligare utbildning på organisationens bekostnad.
4. En betald inbjudan till middag på en restaurang som företaget ger till den anställde.
5. Flexibel arbetstid.
6. Tillhandahåller en parkeringsplats och gratis bensin.
7. Mer hög kvalitet utrusta arbetsplatsen, samt köpa ny utrustning för de bästa medarbetarna i slutet av året.
8. Placering av ett foto i en väggtidning.
9. En souvenir med ett särskilt märke "Bästa medarbetare".
10. Skickar tacksam kundfeedback så att alla kan se den.
11. Prenumeration på specialiserade tidskrifter.

För att öka motivationen för de anställda är det nödvändigt att skapa förutsättningar för medarbetarnas självuttryck, ge dem ett visst initiativ för att fatta beslut och skapa förutsättningar för de anställda att få möjlighet att påverka de processer som sker i företaget. För att göra detta kan direktören delegera några av sina befogenheter direkt till cheferna för företagets divisioner.

Det kommer att vara användbart för ledaren att använda några viktiga händelser i underordnadas personliga liv (födelsedagar, bröllop, etc.) för att visa uppmärksamhet åt dem, för att gratulera dem alla som ett lag. Från de anställdas sida är sådana åtgärder också möjliga.

För att öka medarbetarnas engagemang i företagets angelägenheter är det också nödvändigt att införa ett handlingssystem betecknat med termen "öppen dörrpolicy". Detta innebär att en ledare av alla rang är beredd att lyssna på sina underordnas förslag. Mottoet för denna policy är: "Dörrarna till mitt kontor är alltid öppna för dig." Frågan uppstår dock hur detta förhåller sig till chefens tidsresurs. Ja, vad händer om underordnade bestämmer att de kan gå in på chefens kontor när de vill. Faktum är att om anställda är upptagna besöker de chefskontoret mycket mindre ofta än du kan förvänta dig. Dessutom kan du använda några tekniker för att organisera den här typen av kontakter:

• Chefen kan själv ställa in tidpunkten för mötet, inte förneka den anställde en publik, utan skjuta upp det vid en lämplig tidpunkt för honom.
• Användningen av skriftliga former av information hjälper också till att minska kommunikationen med underordnade. Att presentera idéer skriftligt kännetecknas av koncishet och bestämdhet.
• Utvärdering och marknadsföring av specifika affärsförslag. Ibland följer medarbetarna med tanken när de skickar in en idé. stor mängd relaterad information, även om du bara behöver ange kärnan specifikt.

Att öka medarbetarnas motivation genom metoder för moraliska incitament och införandet av en "öppen dörr" -politik på alla ledningsnivåer kommer att öka medarbetarnas deltagande i organisationen som helhet, liksom i beslut som fattas av chefer. Detta kommer att bidra till optimering av företagsinterna relationer genom subjektiva-objektiva metoder för att uppnå en balans i formella och informella relationer som finns i organisationen. Det kommer också att förbättra kvaliteten på den information som är tillgänglig för ledningen och nödvändig för beslutsfattande. Morala incitament hjälper också medarbetarna att känna sig engagerade i organisationens mål och värderingar.

En lovande riktning för att öka effektiviteten i personalmotivationssystemet är genomförandet av personalanpassningsprogrammet. Även om det inte finns någon separat tjänst för att hantera personalens anpassning i företaget, kan arbetet med anpassning av en ny medarbetare utföras av en anställd på personalavdelningen.

Ett onboarding -program är en uppsättning specifika åtgärder som måste utföras av en anställd som är ansvarig för onboarding. Anpassningsprogrammet är indelat i generellt och speciellt. Allmänt program anpassning gäller hela organisationen som helhet, och den innehåller frågor som en allmän uppfattning om företaget, organisationspolicy, ersättning, ytterligare förmåner, arbetsskydd och säkerhet, arbetsvillkor för en anställd i organisationen, service i vardagen , ekonomiska faktorer.

Ett speciellt anpassningsprogram täcker frågor som är specifikt relaterade till någon avdelning eller arbetsplats och genomförs både i form av speciella intervjuer med anställda på den avdelning där nykomlingen kom, och intervjuer med chefen (omedelbar och högre). Men organisationen av dessa samtal anförtros den anställda vid personalavdelningen. De viktigaste frågorna som måste belysas i processen med ett särskilt anpassningsprogram är: enhetens funktioner, arbetsuppgifter och ansvar, obligatorisk rapportering, rutiner, regler, föreskrifter och representation av enhetens anställda.

Löner är den viktigaste delen av systemet med ersättningar och incitament för arbete, ett av verktygen för att påverka effektiviteten i en anställds arbete. Detta är toppen av företagets personalincitamentsystem, men för all dess betydelse överstiger lönerna i de flesta framgångsrika utländska företag inte 70% av arbetstagarens inkomst, resterande 30% av inkomsten är inblandade i vinstfördelningen.

För att lönerna ska kunna fylla sin motiverande funktion måste det finnas en direkt koppling mellan dess nivå och arbetstagarens kvalifikationer, komplexiteten i det utförda arbetet och graden av ansvar.

Med ersättningssystemet förstås metoden för att beräkna den ersättning som ska betalas till företagets anställda i enlighet med arbetskostnaderna de har gjort eller enligt arbetets resultat.

Det finns två system för att organisera ersättningar: tariff och icke-tariff. Tariffsystem låter dig mäta en mängd olika typer av arbete, med hänsyn till deras komplexitet och prestationsförhållanden, det vill säga ta hänsyn till arbetets kvalitet. Det är det vanligaste i inhemska företag.

De mest utbredda hos företag med olika ägandeformer är två former av tariffsystemet för arbetskraftsersättning:

Piecework - för varje produktionsenhet eller mängden utfört arbete;

Tidsbaserat - för de normala arbetade timmarna, som tariffsystemet föreskriver.

På varje specifikt företag, beroende på produkternas art, förekomsten av vissa tekniska processer, organisationsnivån för produktion och arbete, används en eller annan löneform.

När det gäller löner när det gäller taxor och löner är det ganska svårt att bli av med utjämning, att övervinna motsättningen mellan en enskild anställdes och hela teamets intressen.

Som ett möjligt alternativ för att förbättra organisationen och stimulera arbetskraft, använd tullfritt lönesystem , som har funnits tillämpning hos många företag i övergången till marknadsförhållandena för ledningen. Enligt detta system representerar lönerna för alla anställda i företaget, från direktör till arbetstagare, arbetstagarens andel i lönesumman (lön) eller hela företaget eller en separat underavdelning. Under dessa förhållanden beror det verkliga värdet av varje anställds löner på ett antal faktorer:

Den anställdes kvalifikationsnivå;

Arbetsdeltagande (KTU);

Faktiska arbetade timmar.

Kvalifikationsnivån för en anställd i ett företag är fastställd för alla medlemmar i arbetskollektivet.

Alla anställda i företaget är indelade i tio kvalifikationsgrupper, baserat på kvalifikationsnivån för anställda och kvalifikationskrav för anställda inom olika yrken. För var och en av grupperna fastställs en egen kvalifikationsnivå, som kan ökas under hela hans arbetsaktivitet. Systemet med kvalifikationsnivåer skapar stora möjligheter till materiella incitament för mer kvalificerad arbetskraft än systemet med lönegrader.

KTU exponeras för alla anställda i företaget, inklusive direktören, och godkänns av arbetskollektivets råd, som själv bestämmer hur ofta det ska fastställas (en gång i månaden, kvartalsvis, etc.) och sammansättningen av indikatorer för dess beräkning .

En variant av det tullfria systemet är avtalsmässigt ersättningssystem, syftar till att attrahera och behålla högkvalificerad personal på företag, främst chefer och specialister, för att bilda ett team av yrkesverksamma som kan uppnå allt högre mål i en tuff konkurrens.Det bygger på ingående av ett avtal (kontrakt) mellan arbetsgivaren och den anställde, som föreskriver arbetsvillkor, parternas rättigheter och skyldigheter, ersättningsnivån etc. Jämfört med avgiftssystemet i vår ekonomi i dess tidsbaserade och styckformar, har kontraktsystemet två otvivelaktiga fördelar. För det första kan arbetstagare få mycket mer betalt än vad som föreskrivs av löner, tullsatser och skattesatser enligt det befintliga statliga lönesystemet. För det andra gör kontraktsystemet det enkelt och enkelt att bli av med en vårdslös anställd genom att säga upp avtalet, utan att stå i konflikt med arbetslagen, utan att samordna denna uppsägning med facket. Dessa fördelar gör kontraktsystemet extremt attraktivt för de företag som verkligen vill uppnå dramatiska förbättringar av produktionseffektiviteten.

Prenumerera på nyheter

Kursarbete efter disciplin

Informationssäkerhetsprogram och hårdvara

"Informationssäkerhet i molnberäkning: sårbarheter, metoder och skyddsmetoder, verktyg för revision och incidentundersökning."

Introduktion

1. Historia och viktiga utvecklingsfaktorer

2. Definition av molnberäkning

3. Referensarkitektur

4. Servicenivåavtal

5. Metoder och metoder för skydd i molnberäkning

6. Säkerhet för molnmodeller

7. Säkerhetsrevision

8. Undersökning av incidenter och kriminalteknik inom molnberäkning

9. Hotmodell

10. Internationella och inhemska standarder

11. Uppgifternas territoriella identitet

12. Statliga standarder

13. Molnsäkerhetsmedel

14. Praktisk del

Produktion

Litteratur

Introduktion

Molnberäkningens växande hastighet förklaras av det faktum att kunden i allmänhet får för lite pengar tillgång till den mest tillförlitliga infrastrukturen med nödvändig prestanda utan att behöva köpa, installera och underhålla dyra datorer. Systemet når 99,9% , vilket också sparar på datorresurser. ... Och vad som är viktigare - nästan obegränsade skalbarhetsmöjligheter. Genom att köpa vanligt hosting och försöka hoppa över huvudet (med en kraftig ökning av belastningen), finns det en risk att du får en tjänst som har fallit i flera timmar. I molnet finns ytterligare resurser tillgängliga på begäran.

Huvudproblemet med molndatorer är den icke-garanterade säkerhetsnivån för den bearbetade informationen, graden av skydd av resurser och ofta ett helt frånvarande regelverk.

Syftet med studien är att ge en överblick över den befintliga molndatamarknaden och sätten att säkerställa säkerheten på dem.

säkerhetsinformation för molndatorer

1. Historia och viktiga utvecklingsfaktorer

Idén om vad vi kallar molnberäkning idag framfördes först av J. C. R. Licklider 1970. Under dessa år var han ansvarig för skapandet av ARPANET (Advanced Research Projects Agency Network). Hans idé var att varje person på jorden skulle vara ansluten till ett nätverk från vilket han skulle ta emot inte bara data utan också program. En annan forskare John McCarthy lade fram tanken att datorkraft kommer att tillhandahållas användare som en tjänst (tjänst). På detta avbröts utvecklingen av molnteknik fram till 90 -talet, varefter ett antal faktorer bidrog till dess utveckling.

Utbyggnaden av internetbandbredd på 90 -talet tillät inte ett betydande steg i utvecklingen inom molneteknik, eftersom nästan inget företag och teknik på den tiden var redo för detta. Själva faktum av Internetets acceleration gav dock drivkraft för den tidiga utvecklingen av molndatorer.

2. En av de viktigaste utvecklingen på detta område var introduktionen av Salesforce.com 1999. Detta företag blev det första företaget att ge åtkomst till sin ansökan via webbplatsen. Faktum är att detta företag blev det första företaget som tillhandahåller sin programvara på grundval av programvara som en tjänst (SaaS).

Nästa steg var utvecklingen av en molntjänst av Amazon 2002. Denna tjänst gjorde det möjligt att lagra information och utföra beräkningar.

År 2006 lanserade Amazon en tjänst som kallas Elastic Compute -molnet (EC2) som en webbtjänst som tillät sina användare att köra sina egna applikationer. Amazon EC2 och Amazon S3 var de första molntjänsterna som fanns tillgängliga.

Ytterligare en milstolpe i utvecklingen av molndatorer kom med skapandet av Google för Google Apps -plattformen för webbapplikationer inom näringslivet.

Virtualiseringsteknik har spelat en viktig roll i utvecklingen av molnteknik, i synnerhet programvara som gör att du kan skapa en virtuell infrastruktur.

Utvecklingen av hårdvara har inte bidragit så mycket till molnteknologins snabba tillväxt som till tillgängligheten av denna teknik för småföretag och individer... När det gäller tekniska framsteg spelade skapandet av flerkärniga processorer och ökningen av kapacitet för informationslagringsenheter en betydande roll i detta.

2. Definition av molnberäkning

Som definierat av US National Institute of Standards and Technology:

Molntjänster (Molntjänster) (engelskMoln - moln; datoranvändning- dator) är en modell för att tillhandahålla allestädes närvarande och bekväm nätverksåtkomst efter behov till en gemensam pool av konfigurerbara datoreresurser (t.ex. med en tjänsteleverantör (tjänsteleverantör).

Molnmodellen stöder hög tillgänglighet av tjänster och beskrivs av fem väsentliga egenskaper, tre service- / tjänstemodeller och fyra distributionsmodeller.

Programmen startas och visar resultaten av arbetet i ett vanligt webbläsarfönster på en lokal dator, medan alla applikationer och deras data som behövs för arbete finns på en fjärrserver på Internet. Cloud computing kallas "cloud computing". I detta fall distribueras belastningen mellan datorer som ingår i "datormolnet" automatiskt. Det enklaste exemplet på molnberäkning är p2p -nätverk.

För att implementera molndatorer används mellanprogramvaror som skapats med specialteknologi. De fungerar som en mellanliggande länk mellan utrustningen och användaren och tillhandahåller övervakning av utrustningens och programmens status, jämn fördelning av last och snabb tillgång av resurser från en gemensam pool. En av dessa tekniker är virtualisering inom datorer.

Virtualisering i datorer- processen att representera en uppsättning datorresurser, eller deras logiska kombination, vilket ger några fördelar jämfört med den ursprungliga konfigurationen. Detta är en ny virtuell resursvy komponentdelar inte begränsad av implementering, fysisk konfiguration eller geografisk plats. Vanligtvis inkluderar virtualiserade resurser datorkraft och datalagring. Vetenskapligt sett är virtualisering isoleringen av datorprocesser och resurser från varandra.

Ett exempel på virtualisering är symmetriska multiprocessors datorarkitekturer som använder mer än en processor. Operativsystem är vanligtvis konfigurerade så att flera processorer visas som en enda processorenhet. Det är därför programvara kan skrivas för en logisk ( virtuell) beräkningsmodul, vilket är mycket lättare än att arbeta med ett stort antal olika processorkonfigurationer.

För särskilt stora och resurskrävande beräkningar används nätberäkningar.

Grid computing (rutnät - gitter, nätverk) är en form av distribuerad dator där en "virtuell superdator" representeras som kluster av nätverksanslutna, löst kopplade, heterogena datorer som arbetar tillsammans för att utföra ett stort antal uppgifter (operationer, jobb).

Denna teknik används för att lösa vetenskapliga och matematiska problem som kräver betydande datorresurser. Grid computing används också i kommersiell infrastruktur för att lösa tidskrävande uppgifter som ekonomisk prognos, seismisk analys och utveckling och studier av egenskaperna hos nya läkemedel.

Ur en nätverksorganisations perspektiv är nätet en konsekvent, öppen och standardiserad miljö som ger flexibel, säker och samordnad separation av dator- och lagringsresurser som ingår i denna miljö inom en enda virtuell organisation.

ParavirtualiseringÄr en virtualiseringsteknik som ger virtuella maskiner ett programmeringsgränssnitt som liknar, men inte identiskt med, den underliggande hårdvaran. Syftet med detta modifierade gränssnitt är att minska den tid som gästoperativsystemet lägger på att utföra operationer som är mycket svårare att utföra i en virtuell miljö än i en icke-virtualiserad.

Det finns speciella krokar som gör att gästen och värden kan begära och erkänna dessa komplexa uppgifter, som kan utföras i en virtuell miljö, men i mycket långsammare takt.

Hypervisor ( eller Virtual Machine Monitor) - i datorer, ett program eller hårdvaruschema som tillhandahåller eller tillåter samtidig, parallell körning av flera eller till och med många operativsystem på samma värddator. Hypervisoren ger också OS -isolering från varandra, skydd och säkerhet, resursdelning mellan olika operativsystem och resurshantering.

En hypervisor kan också (men behöver inte) förse operativsystemet som körs på samma värddator kommunikationsmedel och interaktion med varandra (till exempel genom filutbyte eller nätverksanslutningar) som om dessa operativsystem körs på olika fysiska datorer.

Hypervisoren själv är på något sätt ett minimalt operativsystem (mikrokernel eller nanokernel). Det tillhandahåller operativsystem som körs under dess kontroll en virtuell maskintjänst, virtualiserar eller efterliknar den verkliga (fysiska) hårdvaran för en viss maskin och hanterar dessa virtuella maskiner, allokerar och frigör resurser för dem. Hypervisor tillåter oberoende "start", omstart, "avstängning" av någon av de virtuella datorerna med ett visst operativsystem. Ett operativsystem som körs i en virtuell maskin under kontroll av en hypervisor kan, men behöver inte, "veta" att det körs i en virtuell maskin och inte på riktig hårdvara.

Molntjänstmodeller

Alternativen för att tillhandahålla datorkraft är mycket olika. Allt som rör Cloud Computing brukar kallas ordet aaS - det står för helt enkelt "som en tjänst", det vill säga "som en tjänst" eller "i form av en tjänst".

Software as a Service (SaaS) - leverantören tillhandahåller klienten en applikation som är klar att använda. Program är tillgängliga från en mängd olika klientenheter eller via tunna klientgränssnitt, till exempel en webbläsare (t.ex. webbmail) eller programgränssnitt. Samtidigt kontrollerar inte konsumenten molnets grundläggande infrastruktur, inklusive nätverk, servrar, operativsystem, lagringssystem och till och med individuella programinställningar, med undantag för vissa anpassade inställningar applikationskonfiguration.

I SaaS -modellen betalar kunderna inte för att äga programvaran som sådan, utan för att hyra den (det vill säga använda den via ett webbgränssnitt). I motsats till det klassiska programvarulicensprogrammet får kunden alltså relativt små återkommande kostnader, och han behöver inte investera betydande medel för att köpa programvara och dess support. Det periodiska betalningssystemet förutsätter att om behovet av programvara tillfälligt saknas kan kunden avbryta användningen och frysa betalningar till utvecklaren.

Från utvecklarens synvinkel tillåter SaaS -modellen dig att effektivt bekämpa olicensierad användning av programvara (piratkopiering), eftersom själva programvaran inte når slutkunderna. Dessutom kan SaaS -konceptet ofta minska kostnaderna för att distribuera och implementera informationssystem.

Ris. 1 Typisk SaaS -layout

Platform as a Service (PaaS) - leverantören erbjuder klienten en mjukvaruplattform och verktyg för att designa, utveckla, testa och distribuera användarprogram. Samtidigt kontrollerar konsumenten inte den underliggande molninfrastrukturen, inklusive nätverk, servrar, operativsystem och lagringssystem, utan har kontroll över de utplacerade applikationerna och eventuellt vissa konfigurationsparametrar för värdmiljön.

Ris. 2 Typisk PaaS -layout

Infrastructure as a Service (IaaS). - leverantören erbjuder klienten datorresurser att hyra: servrar, lagringssystem, nätverksutrustning, operativsystem och systemprogramvara, virtualiseringssystem, resurshanteringssystem. Samtidigt kontrollerar konsumenten inte den underliggande molninfrastrukturen, utan har kontroll över operativsystem, lagringssystem, distribuerade applikationer och möjligen begränsad kontroll över valet av nätverkskomponenter (till exempel en värd med brandväggar).

Ris. 3 Typisk IaaS -layout

Dessutom särskilja tjänster som:

Communication as a Service (Com -aaS) - det är underförstått att kommunikationstjänster tillhandahålls som tjänster. vanligtvis är det IP -telefoni, post och snabbkommunikation (chattar, IM).

Datalagring i molnet- användaren har ett visst utrymme för lagring av information. Eftersom information lagras distribuerad och duplicerad, ger sådana lagringar en mycket större grad av datasäkerhet än lokala servrar.

Workplace as a Service (WaaS) - användaren, som förfogar över en otillräckligt kraftfull dator, kan köpa datorresurser från leverantören och använda sin dator som en terminal för att komma åt tjänsten.

Antivirus moln- infrastrukturen som används för att behandla information som kommer från användare för att i tid identifiera nya, tidigare okända hot. Cloud antivirus kräver inga onödiga åtgärder från användaren - det skickar helt enkelt en begäran om ett misstänkt program eller en länk. När faran bekräftas utförs alla nödvändiga åtgärder automatiskt.

Implementeringsmodeller

Bland implementeringsmodellerna finns det fyra huvudtyper av infrastruktur.

Privat moln - infrastruktur avsedd att användas av en organisation, inklusive flera konsumenter (till exempel divisioner i en organisation), eventuellt även av organisationens kunder och entreprenörer. Ett privat moln kan ägas, drivas och drivas av organisationen själv eller av en tredje part (eller någon kombination av dessa), och det kan fysiskt existera både inom och utanför ägarens jurisdiktion.

Ris. 4 Privat moln.

Offentligt moln - infrastruktur avsedd för fri användning av allmänheten. Det offentliga molnet kan ägas, drivas och drivas av kommersiella, akademiska och statliga organisationer (eller någon kombination av dessa). Det offentliga molnet finns fysiskt inom ägarens - tjänsteleverantörens jurisdiktion.

Ris. 5 Offentligt moln.

Hybridmoln - det är en kombination av två eller flera olika molninfrastrukturer (privata, offentliga eller offentliga) som förblir unika objekt, men är sammankopplade med standardiserad eller privat teknik för överföring av data och applikationer (till exempel kortvarig användning av offentliga molnresurser för att balansera belastningen mellan molnen).

Ris. 6 Hybridmoln.

Public cloud (community cloud) - en typ av infrastruktur avsedd att användas av en specifik konsumentgrupp från organisationer med gemensamma mål (t.ex. uppdrag, säkerhetskrav, policyer och efterlevnad av olika krav). Ett offentligt moln kan delägas, drivas och drivas av en eller flera samhällsorganisationer eller en tredje part (eller någon kombination av dessa), och det kan fysiskt existera både inom och utanför ägarens jurisdiktion.

Ris. 7 Beskrivning av molnegenskaper

Grundläggande egenskaper

NIST definierar följande egenskaper hos moln i dokumentet "NIST Definition of Cloud Computing":

Självbetjäning på begäran. Konsumenten har tillgång till de tillhandahållna beräkningsresurserna ensidigt efter behov, automatiskt, utan att behöva interagera med anställda hos varje tjänsteleverantör.

Bred nätverkstillgång(Bred nätverksåtkomst). Tillhandahållna datorresurser är tillgängliga över nätverket genom standardmekanismer för olika plattformar, tunna och tjocka klienter ( mobiltelefoner, surfplattor, bärbara datorer, arbetsstationer, etc.).

Samling av resurser (Resorce pooling). Leverantörens datorresurser samlas för att tjäna många konsumenter i en flerhyresgästmodell. Pooler innehåller en mängd olika fysiska och virtuella resurser som dynamiskt kan tilldelas och tilldelas för att möta kundernas behov. Konsumenten behöver inte veta resursernas exakta placering, men det är möjligt att lokalisera dem på en högre abstraktionsnivå (till exempel land, region eller datacenter). Exempel på denna typ av resurser inkluderar lagringssystem, datorkraft, minne, nätverksbandbredd.

Snabb elasticitet. Resurser kan elastiskt fördelas och frigöras, i vissa fall automatiskt, för att snabbt skala i linje med efterfrågan. För konsumenten ses möjligheterna att tillhandahålla resurser som obegränsade, det vill säga att de kan tilldelas i valfri mängd och när som helst.

Uppmätt service. Molnsystem hanterar och optimerar resurser automatiskt med hjälp av mätverktyg implementerade på abstraktionsnivå för olika typer av tjänster ((till exempel hantering externt minne, bearbetning, bandbredd eller aktiva användarsessioner). De resurser som används kan spåras och övervakas, vilket ger transparens för både leverantören och konsumenten som använder tjänsten.

Ris. åtta Strukturellt schema molnserver

Fördelar och nackdelar med cloud computing

Värdighet

· Kraven på datorns datorkraft minskar (ett oumbärligt villkor är endast tillgången till internetåtkomst);

· feltolerans;

· säkerhet;

· Hög hastighet för databehandling;

· Minskade kostnader för hårdvara och mjukvara, underhåll och el;

· Sparar diskutrymme (både data och program lagras på Internet).

· Live migration - överföring av en virtuell maskin från en fysisk server till en annan utan att avbryta den virtuella maskinen och stoppa tjänster.

· I slutet av 2010, på grund av DDoS -attacker mot företag som vägrade att tillhandahålla resurser till WikiLeaks, avslöjades ytterligare en fördel med molndatorer. Alla företag som motsatte sig WikiLeaks attackerades, men bara Amazon visade sig vara okänsligt för dessa influenser, eftersom det använde molnbaserade medel. ("Anonym: allvarligt hot eller bara irritation", Nätverkssäkerhet, N1, 2011).

nackdelar

· Beroende av säkerheten för användardata om företag som tillhandahåller molntjänster.

· Permanent anslutning till nätverket - för att få åtkomst till "molnets" tjänster behöver du en permanent anslutning till Internet. Men i vår tid är detta inte en så stor nackdel, särskilt med teknikens tillkomst. cellulär 3G och 4G.

· Programvara och dess modifiering - det finns begränsningar för programvara som kan distribueras på "molnen" och tillhandahållas till användaren. Programvaruanvändaren har begränsningar i programvaran som används och har ibland inte möjlighet att anpassa den för sina egna ändamål.

· Konfidentialitet - sekretessen för data som lagras på offentliga "moln" är för närvarande en fråga om mycket kontroverser, men i de flesta fall är experter överens om att det inte rekommenderas att lagra de dokument som är mest värdefulla för företaget på det offentliga "molnet", eftersom för närvarande Det finns ingen teknik som garanterar 100% konfidentialitet för lagrade data, varför användning av kryptering i molnet är ett måste.

· Pålitlighet - när det gäller tillförlitligheten för den lagrade informationen kan vi med säkerhet säga att om du har förlorat information som lagras i "molnet", har du förlorat den för alltid.

· Säkerhet - "molnet" i sig är ett ganska tillförlitligt system, men när den tränger in får en angripare tillgång till en enorm datalagring. En annan nackdel är användningen av virtualiseringssystem som använder vanliga OS -kärnor som en hypervisor, till exempel Linux , Windows och andra, vilket tillåter användning av virus.

· Hög kostnad för utrustning - för att bygga ett eget moln måste ett företag avsätta betydande materialresurser, vilket inte är till nytta för nybildade och små företag.

3. Referensarkitektur

NIST Cloud Computing Reference Architecture innehåller fem huvudaktörer - skådespelarna. Varje skådespelare spelar en roll och utför handlingar och funktioner. Referensarkitekturen presenteras som sekventiella diagram med ökande detaljeringsnivåer.

Ris. 9 Konceptuellt diagram över en referensarkitektur

Molnkonsument- en person eller organisation som upprätthåller ett affärsförhållande och använder tjänster från molnleverantörer.

Molnkonsumenter är indelade i tre grupper:

· SaaS - använder applikationer för att automatisera affärsprocesser.

PaaS - Utvecklar, testar, distribuerar och hanterar applikationer som distribueras i molnmiljön.

· IaaS - skapar, hanterar IT -infrastrukturtjänster.

Molnleverantör- den person, organisation eller enhet som ansvarar för molntjänstens tillgänglighet för molnkonsumenter.

SaaS - Installerar, hanterar, underhåller och levererar programvara som distribueras på en molninfrastruktur.

PaaS - Tillhandahåller och hanterar molninfrastruktur och mellanprogram. Ger utvecklings- och administrationsverktyg.

· IaaS - tillhandahåller och underhåller servrar, databaser, datorresurser. Ger en molnstruktur till konsumenten.

Molnleverantörernas aktiviteter är indelade i fem huvudsakliga typiska åtgärder:

Distribution av tjänster:

o Privat moln - betjänas av en organisation. Infrastrukturen hanteras både av organisationen själv och av en tredje part och kan distribueras både av leverantören (utanför lokalen) och av organisationen (på plats).

o Delat moln - infrastrukturen delas av flera organisationer med liknande krav (säkerhet, efterlevnad av RD).

o Public cloud - infrastrukturen används av ett stort antal organisationer med olika krav. Endast utanför premissen.

o Hybrid moln - infrastruktur kombinerar olika infrastrukturer baserade på liknande teknik.

Servicehantering

o Servicenivå - definierar de grundläggande tjänster som tillhandahålls av leverantören.

§ SaaS är en applikation som används av konsumenten genom att komma åt molnet från specialprogram.

PaaS - behållare för konsumentapplikationer, utvecklings- och administrationsverktyg.

§ IaaS - datorkraft, databaser, grundläggande resurser, på vilket konsumenten använder sin infrastruktur.

o Abstraktionsnivå och resurskontroll

§ Hantering av hypervisor och virtuella komponenter som krävs för att implementera infrastrukturen.

o Nivån på fysiska resurser

§ Datorutrustning

§ Teknisk infrastruktur

o Tillgänglighet

o Sekretess

o Identifiering

o Säkerhetsövervakning och incidenthantering

o Säkerhetspolicy

Integritet

o Skydd av behandling, lagring och överföring av personuppgifter.

Cloud Auditor- En bidragsgivare som oberoende kan utvärdera molntjänster, underhåll av informationssystem, prestanda och säkerhet för en molnimplementering.

Det kan ge sin egen bedömning av säkerhet, integritet, prestanda och andra saker i enlighet med de godkända dokumenten.

Ris. 10 Leverantörsaktiviteter

Molnmäklare- den enhet som hanterar användning, prestanda och leverans av molntjänster och etablerar förhållandet mellan leverantörer och konsumenter.

Med utvecklingen av molnberäkning kan integrationen av molntjänster vara för svår för konsumenten.

o Tjänstemedling - utöka den angivna tjänsten och ge nya möjligheter

o Aggregering - kombinerar olika tjänster för att tillhandahålla konsumenten

Molnkommunikationsoperatör- en mellanhand som tillhandahåller anslutningstjänster och transport (kommunikationstjänster) för leverans av molntjänster från leverantörer till konsumenter.

Ger åtkomst via kommunikationsenheter

Ger en anslutningsnivå, enligt SLA.

Bland de fem aktörer som presenteras är en molnmäklare valfri, eftersom molnkonsumenter kan ta emot tjänster direkt från molnleverantören.

Introduktionen av skådespelare beror på behovet av att utarbeta relationerna mellan ämnena.

4. Servicenivåavtal

Servicenivåavtal - Ett dokument som beskriver servicenivån som kunden förväntar sig från leverantören, baserat på de indikatorer som gäller för den givna tjänsten och fastställer leverantörens ansvar om de överenskomna indikatorerna inte uppnås.

Här är några indikatorer, i en eller annan form, som finns i operatörsdokument:

ASR (svarskrav) - en parameter som bestämmer kvaliteten på en telefonanslutning i en given riktning. ASR beräknas som en procentandel av antalet telefonanslutningar som upprättas som ett resultat av samtal till det totala antalet samtal som görs i en given riktning.

PDD (Post Dial Delay) - parameter som definierar den tidsperiod (i sekunder) som förflutit från samtalets ögonblick till det ögonblick då telefonförbindelsen upprättades.

Tjänstens tillgänglighetsförhållande- förhållandet mellan tiden för avbrott i tillhandahållandet av tjänster och den totala tiden då tjänsten ska tillhandahållas.

Paketförlustförhållande- förhållandet mellan korrekt mottagna datapaket och det totala antalet paket som överfördes över nätverket under en viss tid.

Tidsfördröjningar vid överföring av informationspaket- det tidsintervall som krävs för att överföra ett informationspaket mellan två nätverksenheter.

Tillförlitlighet vid överföring av information- förhållandet mellan antalet felaktigt överförda datapaket och det totala antalet överförda datapaket.

Arbetstider, tid för anmälan av abonnenter och tid för restaurering av tjänster.

Med andra ord indikerar servicetillgängligheten på 99,99% att operatören inte garanterar mer än 4,3 minuters kommunikationstopp per månad, 99,9% - att tjänsten kanske inte tillhandahålls på 43,2 minuter och 99% - att pausen kan vara längre än 7 timmar. I vissa metoder finns det en differentiering av nätverkets tillgänglighet och ett lägre värde för parametern antas - under lediga tider. Olika värden på indikatorer tillhandahålls också för olika typer av tjänster (trafikklasser). Till exempel är det viktigaste för röst latensfrekvensen - den ska vara minimal. Och hastigheten för den behöver låg, plus att några av paketen kan gå förlorade utan kvalitetsförlust (upp till cirka 1%, beroende på codec). För dataöverföring kommer hastigheten först, och paketförlust bör ha en nollpunkt.

5. Metoder och metoder för skydd i molnberäkning

Sekretess måste säkerställas i hela kedjan, inklusive molnleverantören, konsumenten och kommunikationen som länkar dem.

Leverantörens uppgift är att säkerställa både fysisk och programvaruintegritet för data från tredje parts attacker. Konsumenten måste införa lämpliga policyer och förfaranden "på deras territorium" för att utesluta överföring av åtkomsträttigheter till information till tredje part.

Uppgifterna för att säkerställa informationens integritet vid användning av enskilda "moln" -applikationer kan lösas - tack vare moderna databasarkitekturer, säkerhetskopieringssystem, algoritmer för integritetskontroll och andra industriella lösningar. Men det är inte allt. Nya utmaningar kan uppstå när det gäller att integrera flera molnprogram från olika leverantörer.

Inom en snar framtid, för företag som letar efter en säker virtuell miljö, är det enda alternativet att skapa ett privat molnsystem. Faktum är att privata moln, till skillnad från offentliga eller hybridsystem, mest liknar virtualiserade infrastrukturer som IT -avdelningar för stora företag redan har lärt sig att implementera och som de kan behålla fullständig kontroll över. Informationssäkerhetsbrister i offentliga molnsystem utgör en betydande utmaning. De flesta inbrott inträffar i offentliga moln.

6. Säkerhet för molnmodeller

Risknivån i de tre molnmodellerna är mycket olika, och sätten att hantera säkerhetsfrågor varierar också beroende på interaktionsnivå. Säkerhetskraven förblir desamma, men säkerhetsstyrningens nivå ändras mellan olika modeller, SaaS, PaaS eller IaaS. Ur en logisk synvinkel förändras ingenting, men möjligheterna till fysisk implementering är radikalt olika.

Ris. 11. De mest angelägna hoten om informationssäkerhet

i SaaS -modellen körs programmet på molninfrastrukturen och är tillgängligt via en webbläsare. Klienten har ingen kontroll över nätverket, servrar, operativsystem, lagring eller till och med vissa applikationsmöjligheter. Av denna anledning, i SaaS -modellen, ligger huvudansvaret för säkerheten nästan helt på leverantörerna.

Problem nummer 1 är lösenordshantering. I SaaS -modellen finns applikationer i molnet, så den största risken är att använda flera konton för att komma åt applikationer. Organisationer kan lösa detta problem genom att förena konton för moln och lokala system. Med enkel inloggning kan användare komma åt arbetsstationer och molntjänster med ett enda konto. Detta tillvägagångssätt minskar sannolikheten för att "fastna" konton utsätts för obehörig användning efter uppsägning av anställda.

Enligt CSAs förklaring förutsätter PaaS att kunder bygger applikationer med hjälp av leverantörsstödda programmeringsspråk och verktyg och sedan distribuerar dem till molninfrastrukturen. Precis som med SaaS -modellen kan kunden inte hantera eller styra infrastrukturen - nätverk, servrar, operativsystem eller lagringssystem - men har kontroll över applikationsdistribution.

I PaaS -modellen måste användarna vara uppmärksamma på applikationssäkerhet samt API -hanteringsfrågor som validering, auktorisering och verifiering.

Problem nummer 1 är datakryptering. PaaS -modellen är i sig säker, men risken är otillräcklig systemprestanda. Detta beror på att kryptering rekommenderas vid kommunikation med PaaS -leverantörer, och detta kräver ytterligare processorkraft. Men i alla lösningar måste överföringen av konfidentiell användardata utföras över en krypterad kanal.

Även om kunderna här inte har kontroll över den underliggande molninfrastrukturen, har de kontroll över operativsystem, lagring och applikationsdistribution och eventuellt begränsad kontrollöver valet av nätverkskomponenter.

Denna modell har flera inbyggda säkerhetsfunktioner utan att skydda själva infrastrukturen. Detta innebär att användare måste hantera och säkra operativsystem, applikationer och innehåll, vanligtvis via API: er.

Om detta översätts till språket för skyddsmetoder måste leverantören tillhandahålla:

· Tillförlitlig kontroll av åtkomst till själva infrastrukturen.

· Infrastrukturens motståndskraft.

Samtidigt tar molnkonsumenten mycket fler skyddsfunktioner:

· Brandvägg inom infrastrukturen;

· Skydd mot intrång i nätverket;

· Skydd av operativsystem och databaser (åtkomstkontroll, skydd mot sårbarheter, kontroll av säkerhetsinställningar);

· Skydd av slutapplikationer (antivirusskydd, åtkomstkontroll).

Således faller de flesta skyddsåtgärderna på konsumentens axlar. Leverantören kan ge standardrekommendationer för skydd eller nyckelfärdiga lösningar, vilket förenklar uppgiften för slutanvändare.

Tabell 1. Avgränsning av ansvaret för säkerheten mellan klienten och tjänsteleverantören. (P - leverantör, K - klient)

	Enterprise Server
Ansökan
Data
Körtidsmiljö
Mellanvaror
Operativ system
Virtualisering
Server
Datalager
nätverkshårdvara

7. Säkerhetsrevision

Molnrevisorns uppgifter är i huvudsak desamma som för granskaren av konventionella system. Molnsäkerhetsrevision är indelad i leverantörsrevision och användarrevision. Användarens revision utförs på användarens begäran, medan leverantörens revision är en av väsentliga förutsättningar företag.

Den består av:

· Inledande av granskningsförfarandet.

· Insamling av revisionsinformation;

· Analys av revisionsdata;

· Upprättande av en revisionsberättelse.

I det skede då revisionsförfarandet inleds måste frågorna om revisors befogenheter, tidpunkten för revisionen lösas. Det obligatoriska biståndet av anställda till revisorn bör också anges.

I allmänhet gör revisorn en revision för att fastställa tillförlitligheten

· Virtualiseringssystem, hypervisor;

· Servrar;

· Datalager;

· Nätverksutrustning.

Om leverantören använder IaaS -modellen på den kontrollerade servern kommer denna kontroll att räcka för att identifiera sårbarheter.

Vid användning av PaaS -modellen bör ytterligare kontroller göras

· operativ system,

Mellanvaror,

· Körtidsmiljö.

När du använder SaaS -modellen kontrolleras också sårbarheter

Datalagrings- och behandlingssystem,

· Ansökningar.

Säkerhetsrevisioner utförs med samma metoder och verktyg som granskning av konventionella servrar. Men till skillnad från en konventionell server i molnteknologi kontrolleras hypervisoren dessutom för stabilitet. I molnet är hypervisor en av kärnteknikerna och bör därför läggas särskild vikt vid revision.

8. Undersökning av incidenter och kriminalteknik inom molnberäkning

Informationssäkerhetsåtgärder kan delas in i förebyggande (till exempel kryptering och andra åtkomstkontrollmekanismer) och reaktiva (undersökningar). Den proaktiva aspekten av molnsäkerhet är ett område med aktiv forskning, medan den reaktiva aspekten av molnsäkerhet har fått mycket mindre uppmärksamhet.

Utredning av incidenter (inklusive utredning av brott i informationsfär) är ett välkänt avsnitt av informationssäkerhet. Syftet med sådana undersökningar är vanligtvis:

Bevis på att brottet / incidenten inträffade

Återställer händelserna kring händelsen

Identifiering av gärningsmän

Bevis på brottslingars engagemang och ansvar

Bevis på oärliga avsikter från gärningsmännens sida.

En ny disciplin - dator och teknisk expertis (eller kriminalteknik) dök upp, med tanke på behovet av rättsmedicinsk analys av digitala system. Syftet med datorforensik är vanligtvis följande:

Återställer data som kan ha raderats

Återställning av händelser som inträffade i och utanför de digitala systemen som är associerade med händelsen

Identifiering av användare av digitala system

Upptäckt av förekomst av virus och annan skadlig programvara

Upptäckt av förekomst av olagligt material och program

Knäcka lösenord, krypteringsnycklar och åtkomstkoder

Helst är dator rättsmedicin en slags tidsmaskin för utredaren, som när som helst kan gå in i det förflutna. digital enhet och ge forskaren information om:

personer som använde enheten vid en viss tidpunkt

användaråtgärder (till exempel att öppna dokument, komma åt en webbplats, skriva ut data i en ordbehandlare etc.)

data som lagras, skapas och bearbetas av enheten vid en viss tidpunkt.

Molntjänster som ersätter fristående digitala enheter bör ge en liknande nivå av rättsmedicinsk beredskap. Detta kräver emellertid att övervinna utmaningarna i samband med resurspoolning, multitenancy och molnbaserad infrastruktur. Huvudverktyget vid incidentutredning är granskningsspåret.

Granskningsspår - utformade för att övervaka historiken för användarinloggningar, administrativa uppgifter och dataändringar - är en viktig del av ett säkerhetssystem. I molnet är själva revisionsspåret inte bara ett verktyg för undersökningar, utan också ett verktyg för att beräkna kostnaden för att använda servrar. Även om granskningsspåret inte tar upp säkerhetshål, ger det ett kritiskt öga för vad som händer och ger förslag för att korrigera situationen.

Skapande av arkiv och säkerhetskopiorär viktigt, men kan inte ersätta ett formellt revisionsspår som registrerar vem som gjorde vad, när och vad. Granskningsspåret är ett av de viktigaste verktygen för en säkerhetsrevisor.

I serviceavtalet nämns vanligtvis vilka revisionsloggar som kommer att förvaras och tillhandahållas användaren.

9. Hotmodell

Under 2010 genomförde CSA en analys av de viktigaste säkerhetshoten i molnteknik. Resultatet av deras arbete var dokumentet "Topphot av Cloud Computing v 1.0" där det mest kompletta det här ögonblicket beskriver hotmodellen och inkräktarmodellen. För närvarande utvecklas en mer komplett, andra version av detta dokument.

Det aktuella dokumentet beskriver angriparna för tre servicemodeller SaaS, PaaS och IaaS. Sju huvudattackvektorer har identifierats. För det mesta är alla typer av attacker som övervägs attacker som finns i konventionella "icke-molniga" servrar. Molninfrastruktur påtvingar dem vissa funktioner. Så, till exempel, attacker mot sårbarheterna i mjukvarudelen av servrar läggs till attacker på hypervisor, som också är deras programvarudel.

Säkerhetshot # 1

Olämplig och oärlig användning av molnteknik.

Beskrivning:

För att få resurser från en molnbaserad IaaS-leverantör behöver användaren bara ha ett kreditkort. Enkel registrering och resurstilldelning tillåter spammare, virusförfattare, etc. använda molntjänsten för sina egna kriminella ändamål. Tidigare observerades denna typ av attack endast i PaaS, men nya studier har visat möjligheten att använda IaaS för DDOS -attacker, placera skadlig kod, skapa botnätverk och mer.

Exempel på tjänster användes för att skapa ett botnätverk baserat på "Zeus" trojan, lagra koden för "InfoStealer" trojanska häst och posta information om olika MS Office och AdobePDF sårbarheter.

Dessutom använder botnet -nätverk IaaS för att hantera sina kamrater och skicka skräppost. På grund av detta svartlistades vissa IaaS -tjänster och deras användare ignorerades helt av e -postservrar.

Förbättringar av användarregistreringsförfaranden

Förbättring av kreditkortsverifieringsförfaranden och övervakning av användningen av betalningsmedel

Omfattande studie av nätverksaktiviteten för tjänsteanvändare

· Spåra de svarta huvudarken för utseendet på ett molnleverantörsnätverk där.

Servicemodeller som påverkas:

Säkerhetshot # 2

Osäkra programmeringsgränssnitt (API: er)

Beskrivning:

Leverantörer av molninfrastruktur ger användarna en uppsättning programmeringsgränssnitt för hantering av resurser, virtuella maskiner eller tjänster. Säkerheten för hela systemet beror på säkerheten för dessa gränssnitt.

Anonym tillgång till gränssnittet och överföring av referenser i klartext är de främsta kännetecknen för osäkra API: er. Begränsad övervakning av API -användning, brist på loggningssystem samt okända relationer mellan olika tjänster ökar bara riskerna för hackning.

Analysera molnleverantörens säkerhetsmodell

Se till att starka krypteringsalgoritmer används

Se till att starka autentiserings- och auktoriseringsmetoder används

· Förstå hela kedjan av beroenden mellan olika tjänster.

Servicemodeller som påverkas:

Säkerhetshot # 3

Interna gärningsmän

Beskrivning:

Problemet med olaglig tillgång till information inifrån är extremt farligt. Ofta, på leverantörens sida, implementeras inte ett system för övervakning av anställdas aktivitet, vilket innebär att en angripare kan få tillgång till klientinformation med hjälp av sin officiella position. Eftersom leverantören inte avslöjar sin rekryteringspolicy kan hotet komma från både en amatörhacker och en organiserad kriminell struktur som har infiltrerat leverantörens anställda.

För närvarande finns det inga exempel på denna typ av övergrepp.

Implementering av strikta regler för anskaffning av utrustning och användning av lämpliga system för att upptäcka obehörig åtkomst

Reglering av reglerna för anställning av anställda i offentliga kontrakt med användare

Skapande av ett transparent säkerhetssystem, tillsammans med publicering av säkerhetsrevisionsrapporter om leverantörens interna system

Servicemodeller som påverkas:

Ris. 12 Exempel på en insider

Säkerhetshot # 4

Sårbarheter inom molnteknik

Beskrivning:

IaaS -tjänsteleverantörers abstraktion av hårdvaruresurser med virtualiseringssystem. Hårdvara kan dock utformas utan att överväga delade resurser. För att minimera effekterna av denna faktor kontrollerar hypervisor den virtuella maskinens tillgång till hårdvaruresurser, men även i hypervisorer kan det finnas allvarliga sårbarheter, vars användning kan leda till att privilegier eskalerar eller får olaglig tillgång till fysisk utrustning.

För att skydda system mot sådana problem är det nödvändigt att implementera mekanismer för att isolera virtuella miljöer och system för att upptäcka fel. Användare av virtuella maskiner ska inte ha tillgång till delade resurser.

Det finns exempel på potentiella sårbarheter, liksom teoretiska metoder för att kringgå isolering i virtuella miljöer.

Implementering av de mest avancerade metoderna för installation, konfiguration och skydd av virtuella miljöer

Användning av system för att upptäcka obehörig åtkomst

Tillämpa starka autentiserings- och auktoriseringsregler för administrativt arbete

Skärpning av kraven för applikationstid för patchar och uppdateringar

· Genomföra procedurer i tid för att skanna och upptäcka sårbarheter.

Säkerhetshot # 5

Förlust eller läckage av data

Beskrivning:

Dataförlust kan hända av tusen anledningar. Till exempel kommer avsiktlig förstörelse av krypteringsnyckeln att resultera i att den krypterade informationen inte kan återställas. Radering av data eller en del av data, olaglig åtkomst till viktig information, ändringar i register eller fel på mediet är också exempel på sådana situationer. I en komplex molninfrastruktur ökar sannolikheten för var och en av händelserna på grund av den nära interaktionen mellan komponenterna.

Felaktig tillämpning av autentiserings-, auktoriserings- och granskningsregler, felaktig användning av krypteringsregler och metoder och utrustningsfel kan leda till dataförlust eller läckage.

· Använda ett pålitligt och säkert API

Kryptering och skydd av överförd data

Analys av dataskyddsmodellen i alla stadier av systemets funktion

Implementering av ett tillförlitligtm

Välj och köp endast de mest pålitliga medierna

Säkerställa säker säkerhetskopiering av data

Servicemodeller som påverkas:

Säkerhetshot # 6

Identitetsstöld och olaglig tillgång till tjänsten

Beskrivning:

Den här typen av hot är inte ny. Det möts av miljontals användare varje dag. Angriparnas huvudmål är användarnamnet (inloggning) och hans lösenord. I samband med molnsystem ökar risken för att använda data som lagras i leverantörens molninfrastruktur genom att stjäla lösenord och användarnamn. Så angriparen har möjlighet att använda offrets rykte för sina aktiviteter.

Förbud mot överföring av konton

Använda tvåfaktorsautentiseringsmetoder

Implementering av proaktiv övervakning av obehörig åtkomst

· Beskrivning av molnleverantörens säkerhetsmodell.

Servicemodeller som påverkas:

Säkerhetshot # 7

Andra sårbarheter

Beskrivning:

Användningen av molnteknik för att göra affärer gör det möjligt för företaget att fokusera på sin verksamhet och lämnar vården av IT -infrastruktur och tjänster åt en molnleverantör. Genom att annonsera sin tjänst försöker molnleverantören visa alla möjligheter, samtidigt som detaljerna om implementeringen avslöjas. Detta kan utgöra ett allvarligt hot, eftersom kunskap om den interna infrastrukturen ger en angripare möjlighet att hitta en okorrigerad sårbarhet och starta en attack på systemet. För att undvika sådana situationer kanske molnleverantörer inte lämnar information om intern struktur moln, dock bygger detta tillvägagångssätt inte heller förtroende, eftersom potentiella användare inte har möjlighet att bedöma graden av datasäkerhet. Dessutom begränsar detta tillvägagångssätt möjligheten att hitta och eliminera sårbarheter i tid.

Amazon vägrar att genomföra en EC2 -molnsäkerhetsrevision

Sårbarhet vid bearbetning av programvara, vilket leder till ett brott mot säkerhetssystemet i Hearthland datacenter

Avslöjande av loggdata

Helt eller delvis avslöjande av data om systemets arkitektur och detaljer om den installerade programvaran

· Användning av system för övervakning av sårbarhet.

Servicemodeller som påverkas:

1. Rättslig grund

Enligt experter kan 70% av säkerhetsproblemen i molnet undvikas om du gör ett serviceavtal korrekt.

Grunden för ett sådant avtal kan fungera som "Cloud of Rights of the cloud"

Cloud's Bill of Rights utvecklades redan 2008 av James Urquhart. Han publicerade detta material på sin blogg, vilket orsakade så stort intresse och kontrovers att författaren regelbundet uppdaterar sitt "manuskript" i enlighet med verkligheten.

Artikel 1 (delvis): Kunder äger sina uppgifter

· Ingen tillverkare (eller leverantör) bör i processen för att interagera med kunder av någon plan diskutera rättigheterna till data som laddas upp, skapas, genereras, modifieras eller andra rättigheter som kunden har.

· Tillverkare bör initialt ge minimal åtkomst till kunddata i utvecklingsstadiet av lösningar och tjänster.

· Kunder äger sina uppgifter, vilket innebär att de är ansvariga för att uppgifterna överensstämmer med lagar och lagar.

· Eftersom dataöverensstämmelse, säkerhets- och säkerhetsfrågor är mycket viktiga, är det absolut nödvändigt att kunden hittar sina egna uppgifter. I annat fall måste tillverkarna ge användarna alla garantier för att deras data kommer att lagras i enlighet med alla regler och föreskrifter.

Klausul 2: Tillverkare och kunder äger och hanterar gemensamt servicenivåer i systemet

· Tillverkare äger och måste göra allt för att möta servicenivån för varje kund individuellt. Alla nödvändiga resurser och ansträngningar som görs för att uppnå rätt servicenivå i arbetet med kunder bör vara gratis för klienten, det vill säga inte inkluderat i kostnaden för tjänsten.

· Kunderna är i sin tur ansvariga för och äger servicenivån till sina egna interna och externa kunder. När man använder tillverkarens lösningar för att tillhandahålla sina egna tjänster bör kundens ansvar och servicenivån inte helt bero på tillverkaren.

· Om det är nödvändigt att integrera tillverkarens och kundens system bör tillverkarna erbjuda kunderna möjlighet att övervaka integrationsprocessen. Om klienten har företagsstandarder för integration av informationssystem måste tillverkaren följa dessa standarder.

· Under inga omständigheter ska tillverkare stänga kundkonton för politiskt tal, olämpligt tal, religiösa kommentarer, såvida det inte strider mot specifika lagar, inte är ett uttryck för hat etc.

Artikel 3: Tillverkare äger sina gränssnitt

· Tillverkare är inte skyldiga att tillhandahålla standardgränssnitt eller öppna gränssnitt om inget annat anges i kundavtal. Tillverkare har rätt till gränssnitt. Om tillverkaren inte anser att det är möjligt att ge klienten möjlighet att förfina gränssnittet på ett välbekant programmeringsspråk, kan klienten köpa från tillverkaren eller tredjepartsutvecklare tjänster för att slutföra gränssnitten i enlighet med sina egna krav.

· Kunden har dock rätt att använda den köpta tjänsten för sina egna ändamål, samt utöka sin kapacitet, replikera och förbättra. Denna klausul befriar inte kunder från patent- och immateriella rättigheter.

Ovanstående tre artiklar är grunden för kunder och leverantörer i molnet. Från deras Full text du kan hitta i fri tillgång på internet. Naturligtvis är denna proposition inte en fullständig juridisk handling, mycket mindre en officiell. Dess artiklar kan ändras och utökas när som helst, precis som propositionen kan kompletteras med nya artiklar. Detta är ett försök att formalisera "ägande" i molnet för att på något sätt standardisera detta frihetsälskande kunskaps- och teknikområde.

Förhållandet mellan parterna

Den klart bästa molnsäkerhetsexperten är Cloud Security Alliance (CSA). Organisationen har släppt och nyligen uppdaterat en guide som innehåller hundratals nyanser och bästa praxis att tänka på vid bedömning av molnberäkningsrisker.

En annan organisation som behandlar aspekter av molnsäkerhet är Trusted Computing Group (TCG). Hon är författare till flera standarder inom detta och andra områden, inklusive den allmänt använda Trusted Storage, Trusted Network Connect (TNC) och Trusted Platform Module (TPM) idag.

Dessa organisationer har tillsammans utarbetat ett antal frågor som kunden och leverantören måste arbeta igenom när de slutar ett kontrakt. Dessa frågor kommer att lösa de flesta problemen vid användning av molnet, force majeure, byte av molntjänstleverantörer och andra situationer.

1. Säkerhet för lagrade data. Hur säkerställer tjänsteleverantören säkerheten för lagrade data?

Den bästa åtgärden för att skydda data som lagras i ett datalager är att använda krypteringsteknik. Leverantören måste alltid kryptera klientinformationen som lagras på sina servrar för att förhindra fall av obehörig åtkomst. Leverantören måste också permanent radera data när den inte längre behövs och inte kommer att krävas i framtiden.

2. Dataskydd under överföring. Hur säkerställer leverantören datasäkerheten under överföringen (inne i molnet och på väg från / till molnet)?

Den överförda informationen måste alltid vara krypterad och tillgänglig för användaren först efter autentisering. Detta tillvägagångssätt säkerställer att denna data inte kan ändras eller läsas av någon, även om de får tillgång till den via otillförlitliga noder i nätverket. Denna teknik har utvecklats under "tusentals årsverk" och har lett till skapandet av tillförlitliga protokoll och algoritmer (till exempel TLS, IPsec och AES). Leverantörer bör använda dessa protokoll, inte uppfinna sina egna.

3. Autentisering. Hur vet leverantören klientens äkthet?

Den vanligaste autentiseringsmetoden är lösenordsskydd. Leverantörer som vill erbjuda sina kunder större tillförlitlighet söker dock kraftfullare verktyg som certifikat och tokens. Leverantörer bör kunna arbeta med standarder som LDAP och SAML förutom att använda säkrare autentiseringsmedel. Detta är nödvändigt för att säkerställa att leverantören interagerar med klientens användaridentifieringssystem när han godkänner och definierar de behörigheter som ges till användaren. Tack vare detta kommer leverantören alltid att ha aktuell information om de auktoriserade användarna. Det värsta scenariot är när klienten ger leverantören en specifik lista över auktoriserade användare. Som regel kan det i det här fallet uppstå svårigheter när en anställd sparkas eller flyttas till en annan tjänst.

4. Användarisolering. Hur separeras data och applikationer för en kund från data och applikationer från andra kunder?

Bästa alternativet: när var och en av klienterna använder en individuell virtuell dator (Virtual Machine - VM) och ett virtuellt nätverk. Separationen mellan virtuella datorer och därför mellan användare tillhandahålls av hypervisor. Virtuella nätverk distribueras i sin tur med standardteknologi som VLAN (Virtual Local Area Network), VPLS (Virtual Private LAN Service) och VPN (Virtual Private Network).

Vissa leverantörer lägger in alla kunddata i en enda programvarumiljö och försöker isolera kunddata från varandra genom ändringar i dess kod. Detta tillvägagångssätt är hänsynslöst och opålitligt. För det första kan en angripare hitta en brist i icke-standardkod som skulle tillåta honom att få tillgång till data som han inte borde se. För det andra kan ett misstag i koden leda till att en klient av misstag "ser" data från en annan. På senare tid har det varit både de och andra fall. Att differentiera användardata är därför ett mer rimligt steg att använda olika virtuella maskiner och virtuella nätverk.

5. Lagstiftningsfrågor. Hur väl följer leverantören de lagar och regler som gäller för molndatabranschen?

Beroende på jurisdiktion kan lagar, förordningar och eventuella särskilda bestämmelser variera. Till exempel kan de förbjuda export av data, kräva strikt definierade skyddsåtgärder, följa vissa standarder och vara granskbara. I slutändan kan de kräva att myndigheter och domstolar får tillgång till information vid behov. Leverantörens oaktsamhet mot dessa ögonblick kan leda sina kunder till betydande kostnader på grund av juridiska konsekvenser.

Leverantören är skyldig att följa strikta regler och följa en enhetlig strategi inom juridiska och reglerande områden. Detta gäller säkerheten för användardata, deras export, överensstämmelse med standarder, granskning, säkerhet och radering av data, samt informationsutlämning (det senare är särskilt viktigt när information från flera klienter kan lagras på en fysisk server). För att ta reda på det uppmuntras kunderna starkt att söka hjälp från specialister som kommer att studera denna fråga noggrant.

6. Reaktion på incidenter. Hur reagerar leverantören på incidenter, och i vilken utsträckning kan dess kunder vara inblandade i händelsen?

Ibland går inte allt enligt plan. Därför är tjänsteleverantören skyldig att följa särskilda uppföranderegler vid oförutsedda omständigheter. Dessa regler bör dokumenteras. Det är absolut nödvändigt för leverantörer att identifiera incidenter och minimera deras konsekvenser genom att informera användarna om den nuvarande situationen. Helst bör de regelbundet ge kunderna så detaljerad information som möjligt om frågan. Dessutom är det upp till kunderna att bedöma sannolikheten för en säkerhetsfråga och vidta nödvändiga åtgärder.

10. Internationella och inhemska standarder

Utvecklingen av molnteknik har överträffat ansträngningarna att skapa och modifiera de nödvändiga branschstandarderna, varav många inte har uppdaterats på åratal. Därför är lagstiftning inom molneteknik en av de kritiska steg för att säkerställa säkerheten.

IEEE, en av världens störstar, har tillkännagivit lanseringen av ett särskilt molnbaserat initiativ. Detta är det första molnstandardiseringsinitiativet som lanserades internationellt - fram till nu har molndatastandarder dominerats av branschkonsortier. Initiativet innehåller för närvarande 2 projekt: IEEE P2301 (tm), "Utkast till guide till portabilitet och driftskompatibilitet för molnprofiler" och IEEE P2302 (tm) - "Utkast till standard för interoperabilitet och distribuerad interoperabilitet (federation) för molnsystem".

Inom ramen för IEEE Standards Development Association har två nya arbetsgrupper skapats för att arbeta med projekt IEEE P2301 respektive IEEE P2302. IEEE P2301 kommer att innehålla profiler av befintliga och väntande applikations-, portabilitets-, hanterings- och driftskompatibilitetsstandarder samt filformat och operativa konventioner. Informationen i dokumentet kommer att logiskt struktureras enligt olika målgrupper: leverantörer, tjänsteleverantörer och andra intresserade marknadsaktörer. När den är klar förväntas standarden vara användbar vid upphandling, utveckling, konstruktion och användning av molnprodukter och tjänster baserade på standardteknik.

IEEE P2302 -standarden kommer att beskriva den underliggande topologi, protokoll, funktionalitet och hanteringsmetoder som krävs för interaktionen mellan olika molnstrukturer (till exempel för interaktionen mellan ett privat moln och ett offentligt moln som EC2). Denna standard kommer att göra det möjligt för leverantörer av molnprodukter och -tjänster att dra ekonomiska fördelar med stordriftsfördelar, samtidigt som det ger transparens för användare av tjänster och applikationer.

ISO förbereder en särskild standard för molnsäkerhet. Huvudfokus för den nya standarden är att ta itu med organisatoriska frågor relaterade till moln. På grund av komplexiteten i ISO: s harmoniseringsprocedurer bör dock den slutliga versionen av dokumentet inte släppas förrän 2013.

Värdet av dokumentet är att inte bara statliga organisationer (NIST, ENISA) är involverade i utarbetandet, utan också representanter för expertgrupper och föreningar som ISACA och CSA. Dessutom innehåller ett dokument rekommendationer för både molntjänstleverantörer och deras konsumenter - klientorganisationer.

Huvuduppgiften av detta dokument- beskriva i detalj de bästa metoderna för användning av molnbaserad datorsäkerhet. Samtidigt koncentreras standarden inte bara på tekniska aspekter, utan snarare på organisatoriska aspekter som inte får glömmas bort vid övergången till molnberäkning. Detta är separationen av rättigheter och skyldigheter, och undertecknandet av avtal med tredje part, och hantering av tillgångar som ägs av olika deltagare i "moln" -processen, och personalhanteringsfrågor, och så vidare.

Det nya dokumentet innehåller till stor del material som tidigare utvecklats inom IT -branschen.

Australiens regering

Efter månader av brainstorming släppte den australiensiska regeringen en serie molnbaserade migrationsguider den 15 februari 2012 på bloggen Australian Government Information Management Office (AGIMO).

För att göra det lättare för företag att migrera till molnet har rekommendationer utarbetats om bästa praxis för att använda molntjänster för att uppfylla kraven i 1997 Better Practice Guides for Financial Management and Accountability Act 1997. Guiderna behandlar ekonomiska, juridiska och dataskyddsfrågor i allmänna termer.

Riktlinjerna talar om behovet av att ständigt övervaka och kontrollera användningen av molntjänster genom daglig analys av räkningar och rapporter. Detta hjälper till att undvika dolda markeringar och beroende av molntjänstleverantörer.

Den första guiden heter Privacy and Cloud Computing for Australian Government Agencies (9 sidor). Detta dokument fokuserar på integritets- och datasäkerhetsfrågor.

Utöver den här guiden var även Negotiating the Cloud - Legal Issues in Cloud Computing Agreements (19 sidor) beredd för att hjälpa dig att förstå klausulerna som ingår i kontraktet.

Den sista, tredje handboken, Finansiella överväganden för statlig användning av molndatorer, 6 sidor, diskuterar de ekonomiska frågor som ett företag bör se upp för om det bestämmer sig för att använda molndatorer i sin verksamhet.

Utöver de som beskrivs i guiderna finns det ett antal andra frågor som måste åtgärdas när man använder molnbaserade datorer, inklusive frågor som rör regering, upphandling och företagsledning.

Offentlig diskussion om detta policydokument ger intressenter möjlighet att överväga och kommentera följande frågor:

· Obehörig åtkomst till sekretessbelagd information;

· Förlust av tillgång till data;

Underlåtenhet att säkerställa integriteten och äktheten av data, och

· Förstå de praktiska aspekterna av att tillhandahålla molntjänster.

11. Uppgifternas territoriella identitet

Det finns ett antal regler i olika länder som kräver att känslig data förblir inom landet. Och även om lagring av data inom ett visst territorium vid första anblicken inte är en svår uppgift, leverantörer molntjänster kan ofta inte garantera detta. I system med en hög grad av virtualisering kan data och virtuella maskiner flytta från ett land till ett annat för olika ändamål - lastbalansering, feltolerans.

Några av de stora aktörerna på SaaS -marknaden (som Google, Symantec) kan garantera lagring av data i respektive land. Men detta är snarare undantag; i allmänhet är uppfyllandet av dessa krav fortfarande ganska sällsynt. Även om uppgifterna finns kvar i landet finns det inget sätt för kunderna att verifiera dem. Dessutom ska man inte glömma rörligheten hos företagets anställda. Om en specialist som arbetar i Moskva reser till New York, är det bättre (eller åtminstone snabbare) för honom att ta emot data från ett datacenter i USA. Att tillhandahålla detta är redan en storleksordning svårare uppgift.

12. Statliga standarder

För närvarande finns det inget seriöst regelverk för molneteknik i vårt land, även om utvecklingen på detta område redan pågår. Så, på order av Ryska federationens president nr 146 av 8.02.2012. det fastställdes att de federala verkställande myndigheterna som är auktoriserade inom datasäkerhet i informationssystem som skapats med hjälp av superdator- och nätteknik är Rysslands FSB och Rysslands FSTEC.

I samband med detta dekret har befogenheterna för dessa tjänster utökats. FSB i Ryssland utvecklar och godkänner nu reglerande och metodiska dokument för att säkerställa säkerheten för dessa system, organiserar och bedriver forskning inom informationssäkerhet.

Tjänsten utför också expertkryptografiska, ingenjörskryptografiska och specialstudier av dessa informationssystem och förbereder expertutlåtanden om förslag på arbete med att skapa dem.

Dokumentet föreskriver också att FSTEC i Ryssland utvecklar en strategi och fastställer prioriterade områden för att säkerställa informationssäkerheten i informationssystem som skapats med hjälp av superdator- och nätteknik som behandlar begränsade data, och övervakar också läget för att säkerställa denna säkerhet.

FSTEC beställde en studie som resulterade i en betaversion av "terminologisystemet inom" molnteknologi "

Som ni förstår är hela detta terminologisystem en anpassad översättning av två dokument: "Focus Group on Cloud Computing Technical Report" och "NIST Definition of Cloud Computing". Det faktum att dessa två dokument inte är särskilt konsekventa med varandra är en separat fråga. Men visuellt är det fortfarande synligt: ​​i det ryska "Terminosystemet" gav författarna helt enkelt inte länkar till dessa engelska dokument till en början.

Faktum är att för sådant arbete måste du först diskutera konceptet, mål och mål, metoder för att lösa dem. Det finns många frågor och kommentarer. Den viktigaste metodologiska anmärkningen: det är nödvändigt att mycket tydligt formulera vilket problem denna forskning löser, dess syfte. Jag vill direkt påpeka att "skapandet av ett terminologiskt system" inte kan vara ett mål, det är ett medel, men uppnåendet av det som ännu inte är särskilt klart.

För att inte tala om att en normal forskning bör innehålla ett status quo -avsnitt.

Det är svårt att diskutera resultaten av en studie utan att veta den ursprungliga formuleringen av problemet och hur författarna löste det.

Men ett grundläggande misstag i terminologisystemet är tydligt synligt: ​​det är omöjligt att diskutera det "grumliga ämnet" isolerat från det "icke-grumliga". Ut ur det allmänna IT -sammanhanget. Men detta sammanhang syns inte i studien.

Och resultatet av detta är att i praktiken är ett sådant terminologisystem omöjligt att tillämpa. Det kan bara förvirra situationen ytterligare.

13. Molnsäkerhetsmedel

Ett molnserverskyddssystem i sin minsta konfiguration bör säkerställa säkerheten för nätverksutrustning, datalagring, server och hypervisor. Dessutom är det möjligt att placera ett antivirus i en dedikerad kärna för att förhindra infektion av hypervisor via en virtuell maskin, ett datakrypteringssystem för lagring av användarinformation i krypterad form och medel för att implementera krypterad tunneling mellan den virtuella servern och klienten maskin.

För detta behöver vi en server som stöder virtualisering. Lösningar av detta slag erbjuds av Cisco, Microsoft, VMWare, Xen, KVM.

Det är också tillåtet att använda en klassisk server och tillhandahålla virtualisering på den med hjälp av en hypervisor.

Alla servrar med kompatibla processorer är lämpliga för virtualisering av operativsystem för x86-64-plattformar.

En sådan lösning kommer att förenkla övergången till datorvirtualisering utan att göra ytterligare finansiella investeringar i hårdvaruuppgraderingar.

Arbetsschema:

Ris. 11. Ett exempel på en "moln" -server

Ris. 12. Serverrespons på utrustningsfel

För närvarande är marknaden för molnbaserade säkerhetsverktyg fortfarande ganska tom. Och detta är inte förvånande. I avsaknad av regelverk och osäkerhet om framtida standarder vet utvecklingsföretag inte vad de ska fokusera sina ansträngningar på.

Men även under sådana förhållanden visas specialiserad programvara och hårdvarusystem som gör det möjligt att säkra molnstrukturen från de viktigaste hoten.

Integritetsbrott

Hackar en hypervisor

Insiders

Identifiering

Autentisering

Kryptering

Accord-B

Hårdvara och mjukvarusystem Accord-B. utformad för att skydda virtualiseringsinfrastruktur VMware vSphere 4.1, VMware vSphere 4.0 och VMware Infrastructure 3.5.

Accord-B. Ger skydd för alla komponenter i virtualiseringsmiljön: ESX -servrar och själva virtuella datorer, vCenter -hanteringsservrar och ytterligare servrar med VMware -tjänster (till exempel VMware Consolidated Backup).

Följande skyddsmekanismer implementeras i maskin- och programvarukomplexet Accord-V:

· Steg-för-steg-kontroll av integriteten hos hypervisor, virtuella maskiner, filer inuti virtuella maskiner och infrastrukturhanteringsservrar;

· Differentiering av åtkomst för administratörer av virtuell infrastruktur och säkerhetsadministratörer;

· Differentiering av användaråtkomst inuti virtuella maskiner;

· Hårdvaruidentifiering av alla användare och administratörer av virtualiseringsinfrastrukturen.

INFORMATION OM CERTIFIKATENS TILLGÄNGLIGHET:

FSTEC of Rysslands intyg om överensstämmelse nr 2598 av den 20 mars 2012 intygar att maskin- och programvarukomplexet för informationsskydd innebär från obehörig åtkomst "Accord-V." Uppfyller kraven i vägledningsdokumenten "Datoranläggningar. Skydd mot obehörig åtkomst till information. Indikatorer på säkerhet mot obehörig tillgång till information "(State Technical Commission of Russia, 1992) - enl. 5 säkerhetsklass, "Skydd mot obehörig tillgång till information. Del 1. Programvara för informationsskydd. Klassificering efter kontrollnivå för avsaknad av odeklarerad kapacitet" (State Technical Commission of Russia, 1999) - av 4 kontrollnivå och tekniska förhållanden TU 4012-028-11443195-2010, och kan också användas för att skapa automatiska system upp till säkerhetsklass 1G inklusive och för att skydda information i upp till klass 1 inklusive.

vGate R2

vGate R2 är ett certifierat informationsskydd mot obehörig åtkomst och kontroll av implementeringen av informationssäkerhetspolicyer för virtuell infrastruktur baserad på VMware vSphere 4 och VMware vSphere 5.S R2 -system - en version av produkten som är tillämplig för att skydda information i virtuella infrastrukturer av offentliga företag, vars IP är tillämpade krav för användning av informationssäkerhetssystem med hög certifieringsnivå.

Låter dig automatisera administratörernas arbete för att konfigurera och driva säkerhetssystemet.

Hjälper till att motverka fel och missbruk i virtuell infrastrukturhantering.

Gör att du kan anpassa den virtuella infrastrukturen till lagstiftning, branschstandarder och bästa praxis i världen.

<#"783809.files/image017.gif"> <#"783809.files/image018.gif"> <#"783809.files/image019.gif"> <#"783809.files/image020.gif"> Ris. 13 vGate R2 tillkännagav funktioner Så här sammanfattar vi de viktigaste verktygen som vGate R2 har för att skydda tjänsteleverantörens datacenter från interna hot som kommer från sina egna administratörer: Organisatorisk och teknisk separering av befogenheter för vSphere -administratörer Tilldelning av en separat roll för IS -administratören som kommer att hantera säkerheten för datacenterets resurser baserat på vSphere Dela molnet i säkerhetszoner, inom vilka administratörer med lämplig myndighetsnivå verkar Integritetskontroll av virtuella maskiner Möjlighet att när som helst ta emot en rapport om säkerheten i vSphere -infrastrukturen, samt granskning av informationssäkerhetshändelser I princip är detta nästan allt som behövs för att skydda infrastrukturen i ett virtuellt datacenter från interna hot ur den virtuella infrastrukturens synvinkel. Naturligtvis behöver du också skydd på hårdvara, applikationer och gäst -OS, men detta är ett annat problem, som också löses med produkter från företagets säkerhetskod<#"783809.files/image021.gif"> Ris. 14. Serverstruktur. För att säkerställa säkerheten vid en sådan anläggning är det nödvändigt att säkerställa säkerheten, enligt tabell 2. För att göra detta föreslår jag att du använder programvaruprodukten vGate R2. Det låter dig lösa sådana problem som: · Starkare autentisering för virtuella infrastrukturadministratörer och informationssäkerhetsadministratörer. · Skydd av virtuella infrastrukturhanteringsverktyg från manipulation. · Skydd av ESX-servrar från manipulation. · Obligatorisk åtkomstkontroll. · Övervaka integriteten i konfigurationen av virtuella maskiner och pålitlig start. · Kontroll av åtkomst för VI -administratörer till data från virtuella maskiner. · Registrering av evenemang relaterade till informationssäkerhet. · Övervaka integriteten och skyddet mot manipulation av komponenterna i informationssäkerhetssystemet. · Centraliserad hantering och övervakning. Tabell 2. Kartläggning av säkerhetsbehov för PaaS -modellen FSTEC i Ryssland certifikat (SVT 5, NDV 4) gör att produkten kan användas i automatiska system med säkerhetsnivå upp till klass 1G inklusive och i (ISPDN) upp till klass K1 inklusive. Kostnaden för denna lösning kommer att vara 24 500 rubel för 1 fysisk processor på den skyddade värden. För att skydda mot insiders måste du dessutom installera ett säkerhetslarm. Dessa lösningar tillhandahålls ganska rikt på serverskyddsmarknaden. Priset på en sådan lösning med begränsad tillgång till det kontrollerade området, ett larm- och videoövervakningssystem sträcker sig från 200 000 rubel och mer Till exempel, låt oss ta mängden 250 000 rubel. För att skydda virtuella maskiner från Virala infektioner, kommer en serverkärna att köra McAfee Total Protection for Virtualization. Kostnaden för lösningen är från 42 200 rubel. Symantec Netbackup kommer att användas för att förhindra dataförlust på lagren. Det låter dig säkerhetskopiera information och systembilder på ett tillförlitligt sätt. Den totala kostnaden för att genomföra ett sådant projekt kommer att vara: Implementeringen av en sådan designlösning baserad på Microsoft kan laddas ner härifrån: http://www.microsoft.com/en-us/download/confirmation. aspx? id = 2494 Produktion "Molnteknik" är ett av de mest aktivt utvecklande områdena på IT -marknaden för närvarande. Om teknikens tillväxttakt inte minskar, kommer de år 2015 att bidra till de europeiska ländernas kassa mer än 170 miljoner euro per år. I vårt land behandlas molnteknik med försiktighet. Detta beror delvis på de förknippade åsikterna från ledarskapet, dels brist på förtroende för säkerheten. Men denna typ av teknik, med alla deras fördelar och nackdelar, är ett nytt lok för IT -framsteg. Applikationen "på andra sidan molnet" spelar ingen roll alls om du formar din begäran på en dator med x86-processor Intel, AMD, VIA eller skriver den på en telefon eller smartphone baserad på ARM-processor Freescale, OMAP, Tegra . Dessutom spelar det i stort ingen roll om du kör Linux -operativsystem Google Chrome, OHA Android, Intel Moblin, Windows CE, Windows Mobile Windows XP / Vista / 7 eller använder något ännu mer exotiskt för detta. ... Om bara begäran var korrekt och begriplig sammanställd och ditt system kunde "behärska" det mottagna svaret. Frågan om säkerhet är en av huvudfrågorna inom molndatorer och dess lösning kommer att förbättra kvaliteten på tjänsterna inom datorsfären. Det finns dock mycket kvar att göra åt detta håll. I vårt land är det värt att börja med ett enhetligt ordförråd för hela IT -området. Utveckla standarder baserade på internationell erfarenhet. Ställ krav på säkerhetssystem. Litteratur 1. Ekonomiska överväganden för statlig användning av molndatorer - Australiens regering 2010. 2. Sekretess och molnberäkning för australiensiska myndigheter 2007. Förhandla molnet - juridiska frågor i molnberäkningsavtal 2009. Journal "Modern Science: Actual Problems of Theory and Practice" 2012. Liknande arbete som - Informationssäkerhet i molnbaserad datorbehandling: sårbarheter, metoder och skyddsmetoder, verktyg för granskning och incidentundersökning

När Eric Schmitt, nu chef för Google, först använde termen "moln" för att hänvisa till ett distribuerat datorsystem på webben, visste han knappt att det var ett av de orden som ofta förekommer i legender. I nästan alla myter om världens folk lever gudomliga varelser väldigt nära himlen - på molnen. Som ett resultat är termen "cloud computing" mycket populär bland marknadsförare eftersom det ger utrymme för kreativitet. Vi kommer också att försöka verbalisera dessa myter och förstå hur organiskt de kombineras med IT.

Merlins död

En av karaktärerna i legendcykeln om kung Arthur och hans rundabord är trollkarlen och trollkarlen Merlin, som hjälpte Arthur under hans regeringstid. Det är betydande att Merlin hamnade i fängelse i molnen. Han, som ville skryta för den unga trollkvinnan och visa sin magiska kraft, byggde ett molnslott och uppmanade sin passion att inspektera det. Trollkvinnan visade sig dock vara listig och fängslade trollkarlen i sitt eget molnslott. Efter det såg ingen Merlin, så man tror att han dog någonstans där - i molnslottet han själv byggde.

Nu har "trollkarlar från IT" också byggt en hel mytologi kring distribuerad dator, så för att inte vara fängslad i dessa "lås" bör du först ta reda på vad dessa moln är, det vill säga för att skilja marknadsföring från kotletter.

Inledningsvis fanns det bara ett moln - det var med denna symbol som Internet traditionellt var betecknat. Detta moln stod för samlingen av alla datorer som är anslutna med IP -protokollet och har sin egen IP -adress. Med tiden började Internet allokera serverfarmar som installerades hos leverantörer och som webbprojekt baserades på. Samtidigt, för att säkerställa hög belastning och feltolerans, blev de största webbsystemen flera nivåer och distribuerade.

I ett typiskt sådant system kunde följande nivåer urskiljas: en omvänd proxy, som också fungerar som en lastbalanserare och SSL -dekrypterare, själva webbservern, sedan en applikationsserver, ett DBMS och ett lagringssystem. Samtidigt kan det på varje nivå finnas flera element som utför samma funktioner, och därför var det inte alltid klart vilka komponenter som användes för att behandla användarförfrågningar. Och när det inte är klart, så är det här molnen. Därför började de säga att användarförfrågningar körs någonstans i "molnet" från ett stort antal servrar. Så här kom termen "molnberäkning" till.

Även om molntjänster från början var associerade med offentliga webbprojekt - portaler, men när distribuerade feltoleranta webbsystem utvecklades, började de användas för att lösa interna företagsproblem. Det var högkonjunkturen i företagsportaler som baserades på webbteknik som hade utvecklats i offentliga system. Samtidigt började företagens system konsolideras till datacenter som var enklare och billigare att underhålla.

Det skulle dock vara ineffektivt att tilldela en separat server för varje element i molnet - inte alla element i molnet laddas lika, så virtualiseringsindustrin började utvecklas parallellt. I offentliga moln visade det sig vara ganska populärt, eftersom det gjorde det möjligt att differentiera åtkomsträttigheter och gav en snabb överföring av ett element i ett distribuerat system till en annan maskinvaruoperatör. Utan virtualisering skulle cloud computing vara mindre dynamisk och skalbar, varför moln nu vanligtvis består av virtuella maskiner.

Cloud computing är främst associerat med uthyrning av applikationer och definierar tre typer av sådana tjänster: IaaS - infrastruktur som en tjänst, PaaS - plattform som en tjänst och SaaS - programvara som en tjänst. Ibland reduceras säkerhet som tjänst också till SaaS, men för att inte förväxla molntrygghetstjänster med programuthyrning är det bättre att kalla det ISaaC - Information Security as a Cloud. Sådana tjänster börjar också tillhandahållas. Förvirra dock inte applikations outsourcing och molnberäkning, eftersom moln kan vara interna, offentliga och hybrid. Var och en av dessa typer av moln har sina egna egenskaper när man organiserar ett säkerhetssystem.

De tre stegen i Vishnu

Guden Vishnu i hinduisk mytologi är känd för det faktum att det var han som erövrade utrymmet för mänskligt liv med hjälp av tre steg: det första gjordes på jorden, det andra - i molnen och det tredje - i det högsta boning. I enlighet med Rig Veda var det genom denna handling som Vishnu erövrade alla dessa utrymmen för människor.

Modern IT tar också ett liknande "andra steg" - från marken till molnen. För att inte falla från dessa moln på marken är det dock värt att ta hand om säkerheten. I den första delen analyserade jag molnets struktur så detaljerat för att förstå vilka hot som finns för molndatorer. Från ovanstående bör följande klasser av hot särskiljas:

Traditionella attacker mot programvara... De är relaterade till sårbarheten hos nätverksprotokoll, operativsystem, modulära komponenter och andra. Dessa är traditionella hot, för skydd mot vilket det räcker att installera antivirus, brandvägg, IPS och andra diskuterade komponenter. Det är bara viktigt att dessa skydd är anpassade till molninfrastrukturen och fungerar effektivt i en virtualiserad miljö.

Funktionella attacker på molnelement... Denna typ av attack är associerad med molnet med flera lager, allmän princip säkerhet, att det övergripande skyddet av systemet är lika med skyddet för den svagaste länken. Så en lyckad DoS -attack mot en omvänd proxy installerad framför molnet kommer att blockera åtkomst till hela molnet, även om all kommunikation inuti molnet fungerar utan störningar. På samma sätt kommer en SQL -injektion som passeras genom applikationsservern att ge åtkomst till systemdata, oavsett åtkomstreglerna i datalagringsskiktet. För att skydda mot funktionella attacker måste du för varje molnskikt använda specifika skyddsmedel: för en proxy - skydd mot DoS -attacker, för en webbserver - sidintegritetskontroll, för en applikationsserver - en applikationsnivåskärm, för ett DBMS lager - skydd mot SQL -injektioner, för lagringssystemet - säkerhetskopiering och åtkomstkontroll. Separat har var och en av dessa försvarsmekanismer redan skapats, men de samlas inte ihop för omfattande skydd av molnet, så uppgiften att integrera dem i ett enda system måste lösas under molnets skapande.

Klientattacker... Denna typ av attack har praktiserats i webbmiljön, men det är också relevant för molnet, eftersom klienter ansluter till molnet, vanligtvis med hjälp av en webbläsare. Det inkluderar sådana attacker som Cross Site Scripting (XSS), kapning av webbsessioner, stjälning av lösenord, "man i mitten" och andra. Traditionellt har stark autentisering och krypterad kommunikation med ömsesidig autentisering varit ett försvar mot dessa attacker, men inte alla molnskapare har råd med sådana slösaktiga och vanligtvis inte särskilt bekväma skyddsmedel. Därför finns det i denna informationssäkerhetsindustri fortfarande olösta uppgifter och utrymme för att skapa nya skyddsmetoder.

Hot mot virtualisering... Eftersom plattformen för molnkomponenter traditionellt har varit virtualiserade miljöer hotar attacker mot virtualiseringssystemet också hela molnet som helhet. Denna typ av hot är unik för molndatorer, så vi kommer att titta närmare på det nedan. Lösningar för vissa virtualiseringshot börjar nu dyka upp, men den här industrin är ganska ny, därför har de befintliga lösningarna ännu inte utvecklats. Det är fullt möjligt att informationssäkerhetsmarknaden snart kommer att utveckla medel för skydd mot denna typ av hot.

Omfattande molnhot... Kontroll och hantering av moln är också en säkerhetsfråga. Hur man säkerställer att alla molnresurser räknas och att det inte finns några okontrollerade virtuella maskiner i den, onödiga affärsprocesser inte startas och den ömsesidiga konfigurationen av lager och element i molnet kränks inte. Denna typ av hot är förknippad med hanterbarheten av molnet som ett enhetligt informationssystem och sökandet efter missbruk eller andra störningar i molnets drift, vilket kan leda till onödiga kostnader för att upprätthålla informationssystemets hälsa. Till exempel, om det finns ett moln som låter dig upptäcka ett virus i det med hjälp av en inlämnad fil, hur kan du då förhindra stöld av sådana detektorer? Denna typ av hot är den högsta nivån och jag misstänker att det inte finns något universellt skydd för det - för varje moln måste dess övergripande skydd byggas individuellt. Detta kan hjälpas av den mest allmänna riskhanteringsmodellen, som fortfarande måste tillämpas korrekt på molninfrastrukturer.

De två första hoten har redan studerats tillräckligt och försvar har utvecklats för dem, men de måste fortfarande anpassas för användning i molnet. Brandväggar är till exempel utformade för att skydda omkretsen, men i molnet är det inte lätt att tilldela en omkrets till en enskild klient, vilket försvårar skyddet mycket. Därför måste brandväggstekniken anpassas till molninfrastrukturen. Arbetet i denna riktning utförs nu aktivt, till exempel av Check Point.

En ny typ av hot för molndatorer är virtualiseringsproblem. Faktum är att när denna teknik används visas ytterligare element i systemet som kan attackeras. Dessa inkluderar en hypervisor, ett system för överföring av virtuella maskiner från en värd till en annan, och ett system för hantering av virtuella maskiner. Låt oss överväga mer detaljerat vilken typ av attacker de listade elementen kan utsättas för.

Hypervisor -attacker... Egentligen är nyckelelementet i det virtuella systemet hypervisor, som tillhandahåller uppdelning av den fysiska datorns resurser mellan virtuella maskiner. Att störa hypervisorns funktion kan leda till det faktum att en virtuell maskin kan komma åt minnesresurser och resurser från en annan, fånga upp sin nätverkstrafik, ta bort dess fysiska resurser och till och med helt förflytta den virtuella maskinen från servern. Hittills är det få hackare som förstår exakt hur hypervisor fungerar, så det finns praktiskt taget inga attacker av denna typ, men det garanterar inte att de inte kommer att dyka upp i framtiden.

Migrera virtuella maskiner... Det bör noteras att en virtuell maskin är en fil som kan startas för körning i olika molnoder. Virtuella maskinhanteringssystem tillhandahåller mekanismer för överföring av virtuella maskiner från en värd till en annan. Den virtuella maskinfilen kan dock stulas och försökas köras utanför molnet. Det är omöjligt att ta ut en fysisk server från datacenteret, men en virtuell maskin kan bli stulen över nätverket utan att ha fysisk åtkomst till servrarna. Det är sant att en separat virtuell maskin utanför molnet inte har något praktiskt värde - du måste stjäla minst en virtuell maskin från varje lager, liksom data från lagringssystemet för att återställa ett liknande moln, men virtualisering tillåter ganska stöld av delar eller hela molnet. Det vill säga störningar av mekanismerna för överföring av virtuella maskiner skapar nya risker för informationssystemet.

Kontrollsystemattacker... Det stora antalet virtuella maskiner som används i molnen, särskilt i offentliga moln, kräver hanteringssystem som på ett tillförlitligt sätt kan styra skapande, migrering och bortskaffande av virtuella maskiner. Ingrepp i styrsystem kan leda till att osynliga virtuella maskiner uppträder, blockering av vissa maskiner och utbyte av obehöriga element i molnlagren. Allt detta gör att angripare kan få information från molnet eller fånga delar av det eller hela molnet.

Det bör noteras att hittills alla hot som nämns ovan är rent hypotetiska, eftersom det praktiskt taget inte finns någon information om verkliga attacker av denna typ. Samtidigt, när virtualisering och moln blir tillräckligt populära, kan alla dessa typer av attacker vara ganska verkliga. Därför bör de hållas i minnet även i skedet av att designa molnsystem.

Bortom den sjunde himlen

Aposteln Paulus hävdade att han kände en man som fastnade för den sjunde himlen. Sedan dess har frasen "sjunde himlen" varit fast förankrad för beteckningen av paradiset. Men inte alla kristna heliga fick ära att besöka ens den första himlen, men det finns ingen sådan person som inte skulle drömma om att se på den sjunde himlen med minst ett öga.

Kanske var det denna legend som fick skaparna av Trend Micro att namnge ett av sina molnskyddsprojekt Cloud Nine - det nionde molnet. Detta är klart över den sjunde. Men nu ges detta namn till en mängd olika saker: sånger, deckare, dataspel, men det är fullt möjligt att detta namn var inspirerat av den kristna legenden om Paul.

Företaget Trend Micro har dock hittills bara publicerat information om att Cloud Nine kommer att associeras med datakryptering i molnet. Det är datakryptering som gör det möjligt att skydda mot de flesta hot mot data i det offentliga molnet, så sådana projekt kommer nu att utvecklas aktivt. Låt oss föreställa oss vilka skyddsverktyg som fortfarande kan vara användbara för att mildra de risker som beskrivs ovan.

Först och främst måste du tillhandahålla tillförlitlig autentisering av både molnanvändare och dess komponenter. För att göra detta kan du med största sannolikhet använda färdiga system för enkel autentisering (SSO), som är baserade på Kerberos och det ömsesidigalet. Därefter behöver du identitetshanteringssystem som gör att du kan konfigurera användarens åtkomsträttigheter till olika system med hjälp av rollbaserad hantering. Naturligtvis måste du pilla med definitionen av roller och minimirättigheter för varje roll, men när du har konfigurerat systemet kan du använda det under en lång tid.

När alla deltagare i processen och deras rättigheter har definierats måste du övervaka efterlevnaden av dessa rättigheter och upptäckten av administrativa fel. Detta kräver händelsebearbetningssystem från sätt att skydda element i molnet och ytterligare skyddsmekanismer, såsom brandväggar, antivirus, IPS och andra. Det är sant att det är värt att använda de alternativ som kan fungera i en virtualiseringsmiljö - det blir mer effektivt.

Dessutom bör du också använda någon form av bedrägerimaskin som gör att du kan upptäcka bedrägeri vid användning av moln, det vill säga för att minska den svåraste risken för störningar i affärsprocesser. Det är sant, nu på marknaden, troligtvis, finns det ingen bedrägerimaskin som skulle tillåta att arbeta med moln, men teknik för att upptäcka fall av bedrägeri och övergrepp har redan utarbetats för telefoni. Eftersom ett faktureringssystem måste implementeras i molnen bör bedrägerimaskinen också vara ansluten till den. Således blir det åtminstone möjligt att kontrollera hot mot affärsprocesser i molnet.

Vilka andra försvarsmekanismer kan användas för att skydda molnen? Frågan är fortfarande öppen.

Cloud computing refererar kollektivt till en stor pool av lättanvända och lättillgängliga virtualiserade resurser (till exempel hårdvarusystem, tjänster, etc.). Dessa resurser kan omfördelas dynamiskt (skalas) för att anpassas till dynamiskt föränderlig belastning, vilket garanterar optimal användning av resurser. Denna resurspool tillhandahålls vanligtvis på betalningsbasis. Samtidigt garanterar molnens ägare servicekvaliteten baserat på vissa avtal med användaren.

I enlighet med allt ovanstående kan följande huvudfunktioner i molnberäkning särskiljas:

1) molnberäkning är ett nytt paradigm för tillhandahållande av datorresurser;

2) grundläggande infrastrukturresurser (hårdvaruresurser, lagringssystem, systemprogramvara) och applikationer tillhandahålls som tjänster;

3) dessa tjänster kan tillhandahållas av en oberoende leverantör för externa användare på betalningsbasis. Huvuddragen i molndatorer är virtualisering och dynamisk skalbarhet;

4) molntjänster kan tillhandahållas slutanvändaren via en webbläsare eller genom viss programvara API -gränssnitt(Applikationsprogrammeringsgränssnitt).

Den allmänna molnberäkningsmodellen består av en extern och en intern del. Dessa två element är anslutna via ett nätverk, i de flesta fall över Internet. Genom den externa delen interagerar användaren med systemet; den inre delen är faktiskt själva molnet. Frontänden består av en klientdator eller ett nätverk av företagsdatorer och applikationer som används för att komma åt molnet. Den inre delen representeras av applikationer, datorer, servrar och datalager som skapar ett moln av tjänster genom virtualisering (fig. 1).

När befintliga fysiska virtuella maskiner (VM) flyttas från datacenteret (DC) till externa moln eller tillhandahållande av IT -tjänster utanför den säkra omkretsen i privata moln, blir nätets omkrets helt meningslös och den övergripande säkerhetsnivån blir ganska låg.

Om ingenjörers åtkomst till servrar i traditionella datacenter är strikt kontrollerad på fysisk nivå, sker det i molnberäkning ingenjörernas åtkomst via Internet, vilket leder till att motsvarande hot uppträder. Därför är strikt åtkomstkontroll för administratörer avgörande, liksom att säkerställa kontroll och insyn i förändringar på systemnivå.

Virtuella maskiner är dynamiska. Volatiliteten hos virtuella datorer gör det mycket svårt att skapa och underhålla ett sammanhängande säkerhetssystem. Sårbarheter och konfigurationsfel kan spridas utom kontroll. Dessutom är det mycket svårt att registrera skyddsläget vid en viss tidpunkt för efterföljande granskning.

Cloud computing -servrar använder samma operativsystem och samma webbapplikationer som lokala virtuella, och fysiska servrar... Följaktligen, för molnsystem, är hotet om fjärrhackning eller infektion med skadlig kod lika stort.

Ett annat hot är hotet mot dataintegritet: kompromisser och datastöld. Operativsystemets och applikationsfilernas integritet samt intern aktivitet måste övervakas.

Användningen av molntjänster med flera hyresgäster gör det svårt att följa kraven i standarder och lagar, inklusive kraven för användning av kryptografiska verktyg, för att skydda känslig information, till exempel information om ägaren av ett kreditkort och information som identifierar en person. Detta i sin tur ger upphov till den skrämmande uppgiften att säkerställa pålitligt skydd och säker åtkomst till viktiga data.

Baserat på analysen av möjliga hot i molndatorer, föreslås ett möjligt integrerat säkerhetsskydd för hårdvara och mjukvara för molndatorer, som inkluderar 5 tekniker: brandvägg, intrångsdetektering och förebyggande, integritetskontroll, logganalys och skydd mot skadlig kod.

Cloud computing-leverantörer använder virtualisering för att ge sina kunder tillgång till billiga datorresurser. Samtidigt delar klientens virtuella datorer samma hårdvaruresurser, vilket är nödvändigt för att uppnå största ekonomiska effektivitet. Företagskunder som är intresserade av molndatorer för att utöka sin interna IT -infrastruktur måste ta hänsyn till hoten som ett sådant drag innebär. Förutom traditionella mekanismer för nätverksskydd av databehandlingscentra, med användning av sådana säkerhetsmetoder som: kantbrandvägg, demilitariserade zoner, nätverkssegmentering, nätverksstatusövervakning, intrångsdetekterings- och förebyggande system, bör programvaruskyddsmekanismer också användas på virtualiseringsservrar eller på själva servrarna. VM, sedan med överföringen av VM till offentliga molntjänster, omkretsen företagsnätverk gradvis tappar sin mening och de minst skyddade noder börjar påtagligt påverka den övergripande säkerhetsnivån. Det är omöjligt med fysisk separation och användning av säkerhetshårdvara för att avvisa attacker mellan virtuella datorer som leder till behovet av att placera skyddsmekanismen på virtualiseringsservern eller på själva datorerna. Att implementera en omfattande skyddsmetod på själva den virtuella maskinen, inklusive programvaruimplementering av brandvägg, upptäckt och förebyggande av intrång, integritetskontroll, logganalys och skydd mot skadlig kod, är det mest effektivt sätt skydda integriteten, följa lagkrav och följa säkerhetspolicyer när du flyttar virtuella resurser från det interna nätverket till molnet.

Litteratur:

1. Radchenko G.I. Distribuerade datorsystem // Handledning... - 2012.- S. 146-149.

2. Kondrashin M. Säkerhet för molndatorer // Lagringsnyheter. - 2010. - Nr 1.