Yanada ko‘plab tashkilotlar bulutli texnologiyalarni tanlamoqda va bu tizimlarning afzalliklarini hisobga olganda bu yetarlicha tushunarli
BULUTLI TEXNOLOGIYALARIDA MAVJUD TAHDIDLAR VA ULARGA QARSHI KURASHISH MEXANIZMLARI
Yüklə 222,64 Kb.
|
| 2. BULUTLI TEXNOLOGIYALARIDA MAVJUD TAHDIDLAR VA ULARGA QARSHI KURASHISH MEXANIZMLARI
2.1. Bulutli texnologiyalarga xavf soluvchi tahdidlar Bulutni boshqarish va nazorat qilish – xavfsizlikning asosiy muomolaridan biri hisoblanadi. Bulut texnologiyalarida barcha resurslar hisoblanilgan va ular virtual mashinalar tomonidan doimiy nazoratda bo’lgan, qo’shimcha jarayonlar ishga tushurilmagan va bulut elementlari buzilmagan holat hali sodir bo’lmagan [4]. Bu yuqori o’rindagi tahdid hisoblanib, u bulut boshqaruvi bilan bog’liq, yagona informatsion tizim sifatida xizmat qiladi va uni umumiy himoyasini yuqori darajada qurilishi kerak bo’ladi. Buning uchun albata xavf extimoligni boshqarish modellarini bulutli infratuzilmada qo’llash kerak bo’ladi. Fizik xavfsizlikni ta’minlash asosida server va tarmoq infratuzilmasiga fizik kira olishni qattiq nazorat qilish shart. Fizik xavsizlikka qaraganda tarmoq xavfsizligi birinchi o’rinda model tahdidlariga qarshi xavfsizlikni o’zida namoyon qiladi va tarmoqlararo ekran orqali ularni bartaraf etadi. Tarmog’lar aro ekran filtr vazifasini bajarib, ma’lumotlarga ishlov berish markaz tarmog’idan (MIBM) foydalanishda cheklashlarni olib boradi. Bunda aloxida serverlar, ya’ni internet tarmog’idan foydalanishga ruxsat etilganlardan yoki tarmoq ichidagi serverlardan. Bulutlii hisoblashlardda asosiy rolni platforma sifatida virtualizatsiya o’ynaydi. Bulutli serverlarni, bulutli hisoblashlashlarga joylashtirishdagi qiyinchiliklar. Bulutli hisoblashlar xavfsizligiga talab, ma’lumotlarga ishlov berish markazi (MIBM) xavfsizligi talabidan farq qilmaydi. Lekin ma’lumotlarga ishlov berish markazini (MIBM) virtualizatsiya qilish va bulutli muxitga o’tish yangi tahdidlarni kelib chiqishiga sabab bo’ladi. Internet orqali hisoblash kuchlarini boshqarish, bulutli hisoblashning kalit xarakteristikalaridan biri hisoblanadi. Ko’plab an’anaviy ma’lumotlarga ishlov berish markazida (MIBM) injinerlarni serverdan foydalanishi, fizik o’rinda nazoratga olinadi va bulutli muxitda ular internet orqali ishlaydi. Kirishni nazorat qilayotgandagi cheklashlar va shaffof o’zgarishlarni tizim darajasida ta’minlash asosiy kriterik himoya hisoblanadi. Virtual mashinalarni dinamikligi. Virtual mashinalarni dinamikligi. Yangi mashina yaratishni, ish to’xtatish va boshqatdan ishga tushirishni qisqa vaqt ichida amalga oshirsa bo’ladi. Ular fizik serverlar bilan aralashib ketishi mumkin. Buday o’zgarishlar tizim xavfsizlik butunligini qaytatan ishlab chiqarishda muomo yaratadi. Biroq operatsion tizim yoki ilovalarni zaifligi virtual muxitda nazoratsiz tarqaladi va qanchadir vaqt oralig’ida tez tarqala boshlaydi (misol uchun, zaxira nusxadan qaytarilishda). Bulutli hisoblash muxitida eng avalo tizim xavfsizligi xolatini tog’irlash, shuni hisobga olish kerakki, uning xolati va turar joyiga bog’liq bo’lishi muhim bo’lishi shartmas. Ichki virtual muxitdagi zaifliklar. Bulutli hisoblash serverlari va local serverlar bir xil operatsion tizim va ilovalardan foydalanishadilar. Bulutli tizimlar uchun uzoqdan buzish yoki zararli dasturiy taminot tahdidlari ko’p hisoblanadi. Paralel virtual mashinalar hujum xafini ko’paytiradi. Protokolarga asoslangan tahdidlar (Система обнаружения вторжений) va ularni bartaraf etish protokollari zararli harakatlarni virtual pog’onasida aniqlashi lozim. Ishga tushmagan virtual mashinalar himoyasi. Qachonki virtual mashina o’chig’ligida, zararlanish xavfi ko’proq bo’ladi. Virtual mashinalardagi saqlanadigan obrazlarga kirish yetarli bo’ladi. Ishga tushmagan virtual mashinada dasturiy xavfsizlik taminotini umuman ishga tushirib bo’lmaydi. Bunday holatda virtual mashinada nafaqat ichki xavfsizlik tadbiq etilgan bo’lishi balki gipervizor darajasida xam bo’lishi shart. Hudud xavfsizligi va tarmoqni cheklash. Bulutli hisoblashni qo’llashda xudud tarmog’i susayadi yoki umuman ko’zdan yo’qoladi. Bu shunga olib keladiki, xavfsizlik yuqori darajada emasligi va tarmoq qismi umumiy xavfsizlik pog’onasini aniqlaydi. Bulutda xar– hil ishonchli darajada segmentlarni cheklashda virtual mashinalar o’z xavfsizliklarini o’zlari ta’minlashi kerak bo’ladi. Dasturiy ta'minotda an’anviy hujumlar. Operatsion tizim, modul komponentlari, tarmoq protokollari va boshqalarini zaifligi – an’anaviy tahdidlarga kiradi, himoyasini ta’minlash maqsadida tarmoqlararo ekran, antivirus, IPS va boshqa komponentlar o’rnatish orqali muomolarni hal etish mumkin [5]. Shuni hisobga olish keraki, bunday himoya yo’li virtualizatsiyada xam samarali ishlashi lozim. Bulut elementlarida funksional hujumlar. Hujumning buday turi ko’pqatlamli bulut bilan umumiy xavfsizlik prinspga bog’liq. Bulut xavfsizligini to’g’risida quydagilarni yechim sifatida olish mumkin: funksional hujumlardan himoyalanishda, har bir bulut qismiga quydagi himoya manbaini qo’yish lozim: proksi uchun – DoS – hujumdan samarali himoya taminlanishi, web – server uchun – sahifalarni yaxlitligini nazorat qilish, server ilovalari uchun – ekran pog’onasidagi ilovalar, MBBT uchun – SQL – inyeksiyasi himoyasi, ma’lumotlarni saqlash tizimi uchun – to’g’ri bekaplar (zaxira nushalash) berish, foydalanishdan cheklash. Yuqoridagi sanab o’tilgan himoya mexanizmlari ishlab chiqarilgan, lekin ular birgalikda bulut kompleks himoyasi ta’minlash uchun hali birga yig’ilmagan. Shuning uchun bulut yaratilayotgan vaqtda, ularni yagona tizimga integratsiyalash muomoni hal bo’lishiga sabab bo’ladi. Mijozjlarga hujumlar. Ko’plab mijozlar bulutga ulanayotganda, bravzurdan foydalanishadi. Hujumlardan biri Cross Site Scripting, parollarni «o’g’irlash», veb – sesiyalarni ushlab qolish va boshqalar. Bunday hujumdan yagona to’g’ri va himoya aniq autetifikatsiya va bog’lanishdagi shifrlash (SSL) bilan o’zaro autetifikatsiya. Ammo bunday usul himoyasi bulut yaratuvchilariga juda xam noqulaylik va ko’p vaqt talab qiladi. Gipervizorga hujumlar. Gipervizor virtual tizimlar uchun kalit elementlaridan biri hisoblanadi. Uning asosiy funksiyalaridan biri virtual mashinalarga resurslarni bo’lishdan iborat. Gipervizorga hujum shu narsani yuzaga kelib chiqarishi mumkinki, virtual mashinalardan biri boshqa virtual mashina xotira, resurslaridan foydalana olish qobilyatiga ham ega. Bundan tashqari u tarmoq trafigni qo’lga kiritishi, fizik resurslarni o’zlashtirishi va server orqali virtual mashinani ishlashdan to’xtatishi ham mumkin. Standart himoyalash usullarini joriy etishda virtual muxitda maxsuslashtirilgan maxsulotlar qo’llanilishini tavsiya etadilar. Xost – serverlarni katalog xizmatlari Active Directory bilan integratsiyalash, shuningdek xost – server boshqarish vositalaridan foydalana olish tartibotini standartlashtirish. Shu bilan birga ko’p xollarda ishlatilinmaydigan xizmatlardan voz kechish, masalan, virtualizatsiya serverga veb – foydalanish. Boshqarish tizimidagi hujumlar. Bulutda ishlatiladigan ko’pgina virtual mashinalar aloxida tizim boshqaruvini talab etadi. Boshqarish tizimiga halaqit berish virtual mashinalarda – nosozlikni kelib chiqaradi va bir virtual mashinani bloklash orqali boshqa virtual mashinani ayibdor qilib ham qo’yadi. Bulut soxasida eng samarali xavfsizlikni ta’minlash yo’llaridan birini Cloud Security Alliance (CSA) tashkiloti ommaga xavola etgan hisoblanib unda quyidagi ma’lumotlar taxlil qilingan: Ma’lumotlarni saqlash. Shifrlash – ma’lumotlarni himoyalashda eng samarali yo’llardan biri. Ma’lumotlardan foydalana olishga ruxsat beruvchi provayder, ma’lumotlarga ishlov berish markazi (MIBM) da saqlanayogan mijoz ma’lumotmi shifrlashi, foydalanishdan chiqqan holda esa ularni qaytarishsiz o’chirib tashlash kerak. Uzatishdagi ma’lumotlar xavfsizligi. Shifrlangan ma’lumotlarni uzatish faqatgina autenifikatsiyalangandan so’nggina amalga oshishi mumkin. Ma’lumotlarni o’qish yoki o’zgartirish kirgazish, Ulardan foydalana olish ishonchli bog’lamalar orqali amalga oshiriladi. Bunday texnologiyalar juda xam mashxur algaritmlar va ishonchli protokollar AES, TLS, Ipsec amalga oshiriladi. Autetifikatsiya. Parol himoyasi. Katta ishonchlilikni ta’minlashda tokenlar va sertifikatlar etiborni qaratadi. Provayder identifikatsiya tizimi bilan avtorizatsiyadan o’tishda shaffof tarizda harakatlanishi kerak. Bunda LDAP (Light Directory Access Protocol) va SAML (Security Assertion Markup Language) protokolari foydalaniladi. Iste’molchilarni izolatsiyalash. Virtual mashinalar va virtual tarmoqlardan individual foydalanish. Virtual tarmoqlarda quydagi texnologiyalar joriy etilgan bo’lishi lozim. VPN (Virtual Private Network), VLAN (Virtual Local Area Network) va VPLS (Virtual Private LAN Service). Provayderlar ko’pincha yagona dastur muxitida kod o’zgarganligi sababli istemolchilar ma’lumotlarini bir – biridan izolatsiyalanadi. Bunday yondashish xatarli hisoblanib, u standart bo’lmagan koddan yo’l topib, foydalanuvchi ma’lumotlaridan foydalana oladi. Yüklə 222,64 Kb. Dostları ilə paylaş:
|