- •Оглавление
- •Введение
- •История и ключевые факторы развития
- •Определение облачных вычислений
- •Модели облачных служб
- •Модели развёртывания
- •Основные свойства
- •Достоинства и недостатки облачных вычислений
- •Референтная архитектура
- •Соглашение об уровне сервиса
- •Методы и средства защиты в облачных вычислениях
- •Безопасность облачных моделей
- •Аудит безопасности
- •Расследование инцидентов и криминалистика в облачных вычислениях
- •Модель угроз
- •Юридическая база
- •Взаимоотношения между сторонами
- •1. Сохранность хранимых данных. Как сервис-провайдер обеспечивает сохранность хранимых данных?
- •2. Защита данных при передаче. Как провадйер обеспечивает сохранность данных при их передаче (внутри облака и на пути от/к облаку)?
- •3. Аутентификация. Как провайдер узнает подлинность клиента?
- •4. Изоляция пользователей. Каким образом данные и приложения одного клиента отделены от данных и приложений других клиентов?
- •5. Нормативно-правовые вопросы. Насколько провайдер следует законам и правилам, применимым к сфере облачных вычислений?
- •6. Реакция на происшествия. Как провайдер реагирует на происшествия, и насколько могут быть вовлечены его клиенты в инцидент?
- •Международные и отечественные стандарты
- •Территориальная принадлежность данных
- •Государственные стандарты
- •Средства обеспечения защиты в облачных технологиях.
- •Практическая часть
- •Литература
Аудит безопасности
Задачи Облачного Аудитора по сути не отличаются от задач аудитора обычных систем. Аудит безопасности в облаке подразделяется на аудит Поставщика и аудит Пользователя. Аудит Пользователя производится по желанию Пользователя, тогда как аудит Поставщика – одно из важнейших условий ведения бизнеса.
Он состоит из:
инициирование процедуры аудита;
сбор информации аудита;
анализ данных аудита;
выработку рекомендаций;
подготовку аудиторского отчета.
На этапе инициирования процедуры аудита должны быть решены вопросы полномочий аудитора, сроков проведения аудита. Так же должно быть оговорено обязательное содействие сотрудников аудитору.
В целом аудитор проводит аудит для определения надежности
системы виртуализации, гипервизора;
серверов;
хранилищ данных;
сетевого оборудования.
Если Поставщик на проверяемом сервере использует модель IaaS, то данной проверки будет достаточно для выявления уязвимостей.
При использовании модели PaaS дополнительно должны быть проверены
операционная система,
связующее ПО,
среда выполнения.
При использовании модели SaaS на уязвимости проверяются также
системы хранения и обработки данных,
приложения.
Аудит системы безопасности выполняется с применением тех же методов и средств, что и аудит обычных серверов. Но в отличие от обычного сервера в облачных технологиях дополнительно проводится проверка гипервизора на устойчивость. В облачных технологиях гипервизор является одной из основных технологий и поэтому его аудиту должно придаваться особое значение.
Расследование инцидентов и криминалистика в облачных вычислениях
Меры по Информационной безопасности могут быть разделены на превентивные (например, шифрование и другие механизмы управления доступом), и реактивные (расследования). Превентивный аспект безопасности облака - область активных научных исследований, в то время как реактивному аспект безопасности облака уделяется намного меньше внимания.
Расследование инцидентов (включая расследование преступлений в информационной сфере) - хорошо известный раздел информационной безопасности. Целями таких расследований обычно являются:
- Доказательство, что преступление / инцидент произошли
- Восстановление события, окружающие инцидент
- Идентификация правонарушителей
- Доказательство причастности и ответственности правонарушителей
- Доказатьельство нечестных намерений со стороны правонарушителей.
Новая дисциплина - копьютерно-техническая экспертиза (или форензика) появилась, в виду необходимости криминалистического анализа цифровых систем. Цели копьютерно-техническая экспертиза как правило таковы:
- Восстановление данных, которые, возможно, были удалены
- Восстановление событий произошедших внутри и вовне цифровых систем, связанных с инцидентом
- Идентификация пользователей цифровых системы
- Обнаружение присутствия вирусов и другого вредоносного программного обеспечения
- Обнаружение присутствия незаконных материалов и программ
- Взлом паролей, ключеи шифрования и кодов доступа
В идеале копьютерно-техническая экспертиза - это своего рода машина времени для следователя, которая может переместиться в любой момент в прошлое цифрового устройства и предоставить исследователю информацию о:
- людях использовавших устройство в определенный момент
- действиях пользователей (например, открытие документов, получение доступа к веб-сайту, печать данных в текстовом процессоре, и т.д.)
- данных, хранившихся, созданных и обработанных устройством в определенное время.
Облачные сервисы заменяющие автономные цифровые устройства должны обеспечить сходный уровень криминалистической готовности. Однако это требует преодоления проблем связанных с объединением ресурсов, мультиарендой и эластичностью инфраструктуры облачных вычислений. Основным средством в расследовании инцидентов является журнал аудита.
Журналы аудита — предназначенные для контроля над историей регистрации пользователей в системе, выполнением административных задач и изменением данных — являются существенной частью системы безопасности. В облачных технологиях журнал аудита сам по себе является не только инструментом для проведения расследований, но и инструментом расчёта стоимости использования серверов. Хотя контрольный журнал и не устраняет бреши в системе защиты, он позволяет посмотреть на происходящее критическим взглядом и сформулировать предложения по коррекции ситуации.
Создание архивов и резервных копий имеет большое значение, но не может заменить формального журнала аудита, в котором регистрируется, кто, когда и что делал. Журнал аудита – один из основных инструментов аудитора безопасности.
В договоре об оказании услуг обычно упоминается, какие именно журналы аудита будут вестись и предоставляться Пользователю.