ному каналу.
IaaS
Хоча тут клієнти не контролюють лежить в основі хмарну інфраструктуру, вони мають контроль над операційними системами, зберіганням даних і розгортанням додатків і, можливо, обмежений контроль над вибором мережевих компонентів.
У даній моделі є кілька вбудованих можливостей забезпечення безпеки без захисту інфраструктури самої по собі. Це означає, що користувачі повинні управляти і забезпечувати безпеку операційних систем, додатків і контенту, як правило, через API.
Якщо це перевести на мову методів захисту, то провайдер повинен забезпечити:
· надійний контроль доступу до самої інфраструктурі;
· відмовостійкість інфраструктури.
При цьому споживач хмари бере на себе набагато більше функцій по захисту:
· межсетевое екранування в рамках інфраструктури;
· захист від вторгнень в мережу;
· захист операційних систем і баз даних (контроль доступу, захист від вразливостей, контроль налаштувань безпеки);
· захист кінцевих додатків (антивірусний захист, контроль доступу).
Таким чином, більша частина заходів щодо захисту лягає на плечі споживача. Провайдер може надати типові рекомендації щодо захисту або готові рішення, ніж спростить завдання кінцевим споживачам.
Таблиця 1. Розмежування відповідальності за забезпечення безпеки між клієнтом і постачальником послуги. (П - постачальник, К - клієнт)
Сервер предпріятіяIaaSPaaSSaaSПріложеніе КККП Дані КККП середу виконання ККВП Сполучне програмне забезпечення ККВП Операційна система ККВП Віртуалізація КППП Сервера КППП Сховища даних КППП Мережеве обладнання КППП
7. Аудит безпеки
Завдання Хмарного Аудитора по суті не відрізняються від завдань аудитора звичайних систем. Аудит безпеки в хмарі підрозділяється на аудит Постачальника та аудит Користувача. Аудит Користувача проводиться за бажанням Користувача, тоді як аудит Постачальника - одна з найважливіших умов ведення бізнесу.
Він складається з:
ініціювання процедури аудиту;
збір інформації аудиту;
аналіз даних аудиту;
вироблення рекомендацій;
підготовку аудиторського звіту.
На етапі ініціювання процедури аудиту повинні бути вирішені питання повноважень аудитора, термінів проведення аудиту. Так само має бути обумовлено обов'язкове сприяння співробітників аудитору.
У цілому аудитор проводить аудит для визначення надійності
системи віртуалізації, гипервизора;
серверів;
сховищ даних;
мережевого обладнання.
Якщо Постачальник на перевіряється сервері використовує модель IaaS, то даної перевірки буде достатньо для виявлення вразливостей.
При використанні моделі PaaS додатково повинні бути перевірені
операційна система,
сполучна ПЗ,
середу виконання.
При використанні моделі SaaS на уразливості перевіряються також
системи зберігання та обробки даних,
додатки.
Аудит системи безпеки виконується із застосуванням тих же методів і засобів, що і аудит звичайних серверів. Але на відміну від звичайного сервера в хмарних технологіях додатково проводиться перевірка гипервизора на стійкість. У хмарних технологіях гіпервізор є однією з основних технологій і тому його аудиту має надаватися особливе значення.
8. Розслідування інцидентів та криміналістика в хмарних обчисленнях
Заходи щодо Інформаційної безпеки можуть бути розділені на превентивні (наприклад, шифрування та інші механізми управління доступом), і реактивні (розслідування). Превентивний аспект безпеки хмари - область активних наукових досліджень, в той час як реактивному аспект безпеки хмари приділяється набагато менше уваги.
Розслідування інцидентів (включаючи розслідування злочинів в інформаційній сфері) - добре відомий розділ інформаційної безпеки. Цілями таких розслідувань звичайно є:
Доказ, що злочин/інцидент відбулися
Відновлення події, що оточують інцидент
Ідентифікація правопорушників
